Veri İhlali Müdahale Playbook'u

EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş. — MyHirer.ai · Versiyon 1.0 · 20 Nisan 2026

Bu belge, kişisel veri ihlali (data breach) tespit edildiğinde izlenecek adımları, sorumluları ve zaman çizelgesini tanımlar. KVKK m.12/5 kapsamında ihlalin öğrenilmesinden itibaren en kısa sürede ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılması zorunludur.

Sorumlu Kişiler ve İletişim

Veri Koruma İrtibat Kişisi (DPO fonksiyonu)

NAZMİ AHMET EKER

E-posta: kvkk@myhirer.ai

Telefon: (0224) 451 27 27

Teknik / Güvenlik Müdahale

NAZMİ AHMET EKER

E-posta: ahmet@eker.com

Hukuk Danışmanı

Başak Dede

E-posta: basakdede@eker.com

Resmi Bildirim Makamı

Kişisel Verileri Koruma Kurulu

Web: kvkk.gov.tr → Veri İhlali Bildirimi

KEP: kvkk@hs01.kep.tr

Veri İhlali Nedir?

KVKK m.12/5 kapsamında veri ihlali şunlardan herhangi birinin gerçekleşmesidir:

Yetkisiz erişim: Kişisel verilere yetkisi olmayan kişilerce erişim (hack, yanlış erişim yetkilendirmesi vb.)
Yetkisiz açıklama/yayılma: Verilerin sızdırılması, yanlış alıcıya gönderilmesi, yanlış müşteriye görüntülenmesi
Yetkisiz değişiklik: Veri bütünlüğünün kasıtlı/kazara bozulması
Kayıp/imha: Yedekleme başarısız + disk arızası sonucu geri dönüşsüz veri kaybı
Erişilebilirliğin kaybı: Ransomware, uzun süreli kesinti, silme saldırısı

Şüpheye düşerseniz raporlayın. "İhlal mi değil mi" kararını Veri Koruma İrtibat Kişisi verir; erken raporlama her zaman doğru olandır.

Müdahale Adımları (72 Saatlik Pencere)

Tespit ve Anında Bildirim (T+0)

İhlali kim fark ettiyse (çalışan, otomatik uyarı, müşteri, 3. taraf) derhal kvkk@myhirer.ai ve ahmet@eker.com adreslerine e-posta gönderir
Konu: [VERİ İHLALİ ŞÜPHESİ] kısa açıklama
Varsa kanıt (ekran görüntüsü, log, ilgili aday ID'si vb.) ekler
Müdahale ekibi (Ahmet + Başak) durumu teyit eder, bir olay numarası (INC-YYYYMMDD-NN) atar

Etkiyi Sınırla (T+1h)

Yetkisiz erişim devam ediyorsa: hemen kapat — etkilenen kullanıcıları logout et, tokenları revoke et, IP'yi firewall'da engelle, gerekirse servisi geçici kapat
Yanlış gönderilen veri varsa: alıcıdan iptal/silme talep et (hukuki baskıyla), KEP ile yazılı talep gönder
Ransomware/kripto: enfekte sistemi izole et, temiz yedekten geri yüklemeyi planla
Sistem loglarını (access.log, error.log, PostgreSQL audit) dondur ve yedek kopya al — sonradan değiştirilmemeli

Kapsamı Belirle (T+4h)

Hangi kişisel veri kategorileri etkilendi? (Kimlik, iletişim, özel nitelikli: ses/görüntü/psikometrik)
Kaç kişi etkilendi? (tahmini + kesin sayı)
İhlalin başlama ve bitiş zamanı?
İhlale sebep olan kök neden (operasyonel hata, yazılım bug, 3. parti kaynaklı, kasıtlı saldırı)
Bu bilgileri tek bir Olay Raporu şablonunda topla (altta)

24h

Hukuki Değerlendirme (T+24h)

Başak Dede ile toplantı yap — bildirim yükümlülüğünün kapsamı
Kurul bildirim formu taslağı hazırla (aşağıdaki şablonu kullan)
Etkilenen ilgili kişilere bildirimin dili + kanalı kararlaştır (e-posta / WhatsApp / portal bildirimi)
Gerekirse müşteri kurumlar (tenant'lar) bilgilendirme taslağı

72h

Resmi Bildirimler (T+72h — ZORUNLU)

KVKK Kurulu bildirimi: kvkk.gov.tr web formu + KEP üzerinden resmi yazı (ekersoft@hs01.kep.tr → kvkk@hs01.kep.tr)
İlgili kişi bildirimi: Etkilenen tüm veri sahiplerine doğrudan (e-posta / WhatsApp / portal banner)
Müşteri tenant bildirimi: Aday verileri etkilendiyse işveren kurumlara bilgilendirme
Müdahale ekibi içi: Her bildirimin gönderim kanıtını sakla (e-posta başlıkları, KEP alındı belgesi, web form makbuzu)

Post-Incident Review (T+7d)

Kök neden analizi (5 Neden / fishbone)
Aynı olayın tekrarlanmasını önleyecek teknik/idari önlemler
Compliance task list'e gerekli yeni öğeler eklenir
Olay dosyası /var/www/interview/incidents/INC-YYYYMMDD-NN/ altında 3 yıl süreyle saklanır (KVKK İmha Yönetmeliği)

Olay Raporu Şablonu

╔════════════════════════════════════════════════════════════════╗
║  VERİ İHLALİ OLAY RAPORU                                       ║
║  Olay No: INC-YYYYMMDD-NN                                      ║
║  Oluşturulma: YYYY-MM-DD HH:MM UTC                             ║
╚════════════════════════════════════════════════════════════════╝

1. TESPİT
   - Tespit tarihi/saati   :
   - Tespit eden kişi      :
   - Tespit yöntemi         : (otomatik uyarı / kullanıcı şikayeti / iç denetim)

2. İHLAL NİTELİĞİ
   - İhlal türü             : (yetkisiz erişim / sızıntı / kayıp / vb.)
   - Başlama zamanı         :
   - Sona erdirme zamanı    :
   - Tahmini süre (saat)    :
   - Aktif hâlen mi?        : Evet / Hayır

3. ETKİLENEN VERİLER
   - Veri kategorileri      : (kimlik / iletişim / özel nitelikli / …)
   - Özel nitelikli?        : Evet / Hayır  (evet ise detay: ses / görüntü / psikometrik)
   - Etkilenen kayıt sayısı :
   - Etkilenen kişi sayısı  :

4. KÖK NEDEN
   - Teknik neden           :
   - Operasyonel neden      :
   - İnsan hatası?          :
   - Kötü niyetli eylem?    :

5. ALINAN ÖNLEMLER
   - Anında önlem           :
   - Teknik düzeltme        :
   - Bildirim kanalları     : (e-posta / WhatsApp / portal)
   - Şifre/token revoke     : (etkilenen aday/user id listesi)

6. BİLDİRİMLER
   - KVKK Kurulu            : (tarih/saat, web form no, KEP no)
   - İlgili kişilere        : (kanal, kaç kişi, dağıtım tarihi)
   - Müşteri tenant'lara    : (hangi org'lara, nasıl)
   - 3. parti işleyenler    : (OpenAI / Anthropic / vs. — gerekliyse)

7. POST-INCIDENT
   - Kök neden analizi      : (5 Neden)
   - Önleyici aksiyonlar    : (task list'e eklenir)
   - Dersler öğrenildi      :
   - Kapanış tarihi         :

İmza (Veri Koruma İrtibat Kişisi): ___________________
Tarih: ___________________

İlgili Kişi Bildirim Şablonu

Konu: [Önemli] Kişisel Verilerinize İlişkin Veri İhlali Bildirimi

Sayın [Aday / Kullanıcı Adı],

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m.12/5 kapsamında, sizinle ilgili
kişisel veriler açısından bir ihlal durumu tespit edilmiş olup, size bilgilendirme yapmak
zorunluluğumuz bulunmaktadır.

1. İHLALİN NİTELİĞİ:
[İhlalin kısa açıklaması — örn: "Yetkisiz bir 3. tarafın, sistem loglarına okuma yetkisi elde
ettiği ve X süre boyunca Y türünde verilere erişmiş olabileceği tespit edilmiştir."]

2. ETKİLENEN VERİ KATEGORİLERİ:
- [Kimlik / İletişim / CV / Mülakat sesi / vb.]

3. OLASI SONUÇLARI:
[Örn: "Bu ihlalin doğrudan mali/kişisel zarara yol açtığı tespit edilmemiştir, ancak dikkatli
olmanızı rica ederiz."]

4. ALDIĞIMIZ ÖNLEMLER:
- [Sistem üzerinden etkilenen erişimler derhal kapatılmıştır]
- [Etkilenen tokenlar iptal edilmiş, yeni oturum açmanız gerekecektir]
- [Log sistemleri yeniden yapılandırılmıştır]
- [KVK Kurulu'na bildirim yapılmıştır]

5. SİZE ÖNERİLERİMİZ:
- Şifrenizi değiştirmenizi
- Olası şüpheli faaliyetleri bildirmenizi
- Sorularınız için kvkk@myhirer.ai adresine ulaşmanızı rica ederiz.

6. HAKLARINIZ:
KVKK m.11 kapsamında her zaman:
- Verilerinizin işlenip işlenmediğini öğrenme
- Aktarıldığı 3. kişileri bilme
- Zarar görmüş iseniz tazminat talep etme haklarınız saklıdır.

Özrümüzü kabul etmenizi rica ederiz.

EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş.
MyHirer.ai
kvkk@myhirer.ai · (0224) 451 27 27

Yıllık Tatbikat

Playbook'un işlediğinden emin olmak için yılda bir tatbikat yapılır. Senaryo örnekleri:

Sahte "yanlışlıkla gönderilen e-posta" senaryosu — bildirim zincirinin tetiklenmesi
Sahte "DB yedeği sızdı" senaryosu — log dondurma, analiz, bildirim taslağı
Sahte "AI sağlayıcıdan yanlış müşteriye yanıt" senaryosu — 3. parti işleyen koordinasyonu

Her tatbikat sonunda tatbikat raporu yazılır (olay raporu şablonu kullanılarak) ve compliance_tasks içinde breach_notification_procedure görevine kanıt olarak eklenir.