ÖĞRENCİ
PERSONEL
KURUMSAL
KALİTE GÜVENCE
KVKK
Ana Sayfa / KVKK / KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ SAKLANMASI VE İMHA POLİTİKASI
24 Nisan 2024, Çarşamba
KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ SAKLANMASI VE İMHA POLİTİKASI

1.BÖLÜM

 

1.1  GİRİŞ

 

İşbu Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmha Politikası (“Politika”) çerçevesinde Uşak Üniversitesi (“Kurum”) tarafından gerçekleştirilen kişisel veri işleme, saklama, koruma ve imha faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Kurumumuzun veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta, kişisel verilerin toplanması, işlenmesi, aktarılması, güncellenmesi ve yok edilmesi konusunda Kurum tarafından kabul edilen ve faaliyetlerin yürütülmesi esnasında uygulanacak olan ilkeler ile uyulacak kurallar belirlenmiştir.

Kurum, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte, saklanmakta ve imha edilmektedir.  

1.2.AMAÇ

 

İşbu politika, Kurumun gerçekleştirmekte olduğu faaliyetler kapsamında, öğrenci adaylarımızın, öğrencilerimizin, mezunlarımızın, personel adaylarımızın, personellerimizin, eski personellerimizin, yetkililerimizin, ziyaretçilerimizin, katılımcılarımızın, işbirliği içinde olduğumuz tedarik şirketleri gibi çeşitli kurum/kuruluşların personelleri, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemeye konu olan tüm kişisel verilerini kapsamaktadır.

İşbu politikamızda belirttiğimiz hususların kapsamı, işleme faaliyetinin türüne göre sayılan bu gruplardan tamamını kapsayabileceği gibi, örneğin tedarikçi şirket personeli gibi bir kısım grupları tamamen ya da kısmen de kapsayabilir. Kurum işbu Politika doğrultusunda, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sair mevzuat tarafından getirilmiş ilke, kurallara uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir. Bu amaçla, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.

Kişisel Verilerin İşlenmesi, Korunması, Saklanması ve İmha Politikası ile kişisel verilerin korunması ve imhası konusunda Kurum tarafından benimsenecek ve uygulamada dikkate alınacak ilkeler ortaya konulmaktadır.

Politika, Kurum olarak kişisel verilerin korunması, işlenmesi, saklanması ve imha edilmesi konusunda 6698 Sayılı Kişisel Verilerin Korunması(“KVK”) Kanunu’na uyum sağlamak amacıyla ilgili Kurum özelinde yürütülecek uyum faaliyetlerinin çerçevesini belirlemeyi ve koordinasyonu sağlamayı hedeflemektedir. Bu kapsamda amaç;

Kurumumuzun kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi; faaliyetlerin hukuka uygunluk, dürüstlük ve şeffaflık ilkelerine uygun olarak yürütülmesinin sürdürülmesi ile kurumumuzun kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması ve kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.

İşbu Politika, kişisel verilerin Kurumumuz tarafından toplanması, kullanılması, paylaşması, saklanması ve imhası süreçlerinde uygulanan prensipleri içermekte olup politika Kurum ile ilişiği devam eden öğrenciler, ilişiği olmayan vatandaşlar, kurum personelleri, ziyaretçiler, işbirliği içinde olduğumuz kurumların personelleri ve üçüncü kişiler başta olmak üzere kişisel verileri kurum tarafından işlenen kişileri bilgilendirme amaçlanmaktadır.

1.3. KAPSAM

Politika hükümleri, Kurumumuzun faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika Kurumumuzun tüm birimlerini, öğrencilerimizi, destek hizmeti veren firma personellerini, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli tüm personeli kapsamaktadır.

2. BÖLÜM

2.1. TANIMLAR VE KISALTMALAR

 

KURUM: Uşak Üniversitesi
AÇIK RIZA: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
ANONİM HALE GETİRME: Kişisel verinin, kişisel veri niteliği kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
İLGİLİ KİŞİ: Kişisel verisi işlenen gerçek kişi. Ör: Müşteriler, ziyaretçiler, personeller ve personel adayları.
KİŞİSEL VERİ: Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örn: ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap numarası vb.
ÖZEL NİTELİKLİ KİŞİSEL VERİ: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
KİŞİSEL VERİLERİN İŞLENMESİ: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
VERİ SORUMLUSU: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişiyi ifade eder
VERİ SAHİBİ BAŞVURU FORMU: İlgili Kişinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
ANAYASA: 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan;7 Kasım 1982 tarihli 2709 sayılı Türkiye Cumhuriyeti Anayasası
KVK KANUNU: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
POLİTİKA: Kişisel Verilerin Korunması Ve İşlenmesi Politikası
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ: 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.
PERİYODİK İMHA:  Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
KAYITLI ELEKTRONİK POSTA (KEP):  Her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.
VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ:  Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

2.2.İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Kişisel Veriler:

Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.

Kişisel verilerin korunması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri korunması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz.

Kurumumuzun meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’da düzenlenen bütün yükümlülüklere uyularak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

2.2.1. Veri Konusu Kişi Grubu Kategorileri

· Üniversitemizle ilişkisi süren öğrenciler: Üniversitemizde öğrenci olan veya veya bir başka nedenle üniversitemizle herhangi bir devam eden hizmet ilişkisi nedeniyle bir işlem kaydı bulunan kişiler.

 · Üniversitemizle ilişkisi sona ermiş olan öğrenciler: Üniversitemiz öğrencisi olma süreci son bulmuş, vefat emiş veya öğrencilik vasfından çıkmış olmasına rağmen bu durumdan üniversitenin bilgisi olmadığı için mevzuat gereği verisi işlenmeye devam edilen vatandaşlar. Bu vatandaşlara ilişkin veriler sona erme sebebi öğrenildiğinde veya mevzuat gereği işleme süresi sona erdiğinde ilgili prosedür uyarınca silinecek veya anonim hale getirilecektir.

· Üniversitemiz personelleri: İş Kanunu, Devlet Memurları Kanunu, İş Güvenliği mevzuatı başta olmak üzere ilgili mevzuat gereği kişisel verileri işlenen kurum personelleri.

·  Üniversitemiz eski personelleri: İş Kanunu, Devlet Memurları Kanunu, İş Güvenliği mevzuatı başta olmak üzere ilgili mevzuat gereği iş akdinin sona ermesinin ardından belirli süre ile işlenmesi zorunlu olan veriler açısından, iş akdi sona ermiş olmasına rağmen kişisel verileri işlenen kurum personelleri.

· Üniversitemiz hizmet sağlayıcıları, tedarikçi, alt işveren ve bunların personelleri: Kurumumuzun hizmet veya ürün aldığı veya alt yüklenicisi olan gerçek kişiler veya bu kişilerin personelleri.

·  Üniversitemiz ile iş ilişkisi sona ermiş olsa dahi kurum hizmet sağlayıcıları, tedarikçi, alt işveren ve bunların personelleri: Üniversitemiz olan sözleşmesel ilişkileri sona ermiş olmasına rağmen mevzuattan kaynaklanan yükümlülükler gereği verisi işlenilmeye devam eden hizmet sağlayıcılar, tedarikçiler ve altyükleniciler ve bunların  personelleri . Bu kişilere ilişkin veriler mevzuattan kaynaklanan işleme zorunluluğu sona erdiğinde ilgili prosedür uyarınca silinecek veya anonim hale getirilecektir.

 · Stajyer: İş Kanunu, İş Güvenliği mevzuatı başta olmak üzere ilgili mevzuat gereği kişisel verileri işlenen üniversite stajyer personelleri

· İlişkisi sona ermiş Stajyer: İş Kanunu, İş Güvenliği mevzuatı başta olmak üzere ilgili mevzuat gereği iş akdinin sona ermesinin ardından belirli süre ile işlenmesi zorunlu olan veriler açısından, iş akdi sona ermiş olmasına rağmen kişisel verileri işlenen Üniversite stajyer personelleri.

2.2.2 Veri Tipi Kategorileri;

Kişisel Veri Kategorileri Alt Başlıklar ve Açıklamalar
Kimlik Ad soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, anne kızlık soyadı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler.
İletişim İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası vb. kişisel verilerdir.
Vatandaş Verileri Kurumumuzun sorumlulukları ve bu çerçevede birimlerimizin yürüttüğü hizmetler neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler vb.
Aile Bireyleri ve Akraba/Yakın Bilgisi Kurum tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Üniversite’nin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler.
Özlük Kurum personellerine ait bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb.
Hukuki İşlem Adli Makamlarla yazışma bilgileri, dava dosyalarındaki bilgiler.
İşlem Güvenliği Bilgisi Sorumluluklarımız kapsamında faaliyetlerimizi yürütürken teknik, idari, hukuki güvenliğimizi sağlamamız için işlenen kişisel veriler vb.
Fiziksel Mekan Güvenliği Personellerin, öğrencilerin, ziyaretçilerin, vatandaşların vb. Kuruma giriş çıkış yapan kişilerin giriş çıkış kayıtları, kamera kayıtları.
İşlem Güvenliği İnternet sitesi giriş çıkış bilgileri, Ip adresi bilgileri, şifre ve parola bilgileri.
Hizmet Bilgisi Hizmetlerimizin kişisel veri sahibinin hizmet alma alışkanlıkları, beğenisi ve ihtiyaçlarına yönelik işlenen kişisel veriler ve bu işleme sonuçlarına göre yaratılan rapor ve değerlendirmeler vb
Mesleki Deneyim Diploma bilgileri, gidilen kurslar, Meslek içi eğitim bilgileri, transkript bilgileri, sertifikalar.
Dernek, Vakıf, Sendika Üyeliği Dernek, vakıf, sendika üyeliği bilgileri
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler
Görsel ve İşitsel Kayıtlar Görsel ve işitsel kayıtlar
Özel Nitelikli Kişisel Veriler KVKK’nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi).
Talep/Şikayet Yönetimi Bilgisi Kuruma yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler ve bu işleme sonuçlarına göre yaratılan rapor ve değerlendirmeler vb.

Özel Nitelikli Kişisel Veriler:

Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

2.3.KİŞİSEL VERİLERİN BULUNDUĞU ORTAMALAR

Elektronik Ortamlar Elektronik Olmayan Ortamlar
  • Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları.)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.)
  • Kişisel bilgisayarlar (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
 
  • Yazıcı, tarayıcı, fotokopi makinesi
  • Kağıt
  • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
  • Yazılı, basılı, görsel ortamlar
  • Birim dolapları
 

2.4.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI:

Kişisel Verilerin Elde Edilme, İşlenme ve Kullanılma Amaçları

Kurum bünyesinde toplanan kişisel veriler, KVKK’ nın 4. 5. ve 6. maddeleri uyarınca; hizmet faaliyetlerinin gerçekleştirilmesi, öğrenci ilişkilerinin yönetilmesi ve yürütülebilmesi, öğrenci ve personel taleplerinin karşılanabilmesi gibi kapsamlarda aşağıda belirtilen amaçlarla işlenmektedir:

  1. Kurum tarafından sunulan hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapabilmek,
  2. Eğitim öğretim ve akademik faaliyetlerin yürütülmesi, öğrenci kayıt işlemleri, başvuruların cevaplandırılması, sınav sonuçlarının duyurulması, eğitim hizmetlerinin vatandaşa en iyi şekilde sunulması,
  3. Kurumsal web sitemiz ve mobil uygulamalar üzerindeki faaliyetlerinin yürütülmesi,
  4. Elektronik ortam ve platformlarda (internet vs.) veya kâğıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,
  5. Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
  6. Öğrencilerimizin memnuniyetini artırmak, çeşitli kamusal faaliyetlerde kullanabilmek ve bu kapsamda anlaşmalı kuruluşlar aracılığıyla elektronik ortamda ve/veya fiziki ortamda anketler düzenlemek,
  7. Öğrencilerimize öneri sunabilmek, hizmetlerimizle ilgili vatandaşlarımızı bilgilendirebilmek,
  8. Hizmetlerimiz ile ilgili şikâyet, istek ve önerilerini değerlendirebilmek,
  9. Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan hakları kullanabilmek,
  10. İnternet ortamında öğrencilerimize ve öğrenci adaylarımıza daha iyi bir etkileşim sağlamak,
  11. Kreşlerde çocuklarımızın ve velilerin bazı kişisel verileri iletişim kurabilmek,
  12. Web sitesi/mobil uygulamalar üzerinden sitemizi kullananlar “çerez politikası” gereği IP adresi ve benzeri bilgileri toplayabilmek,
  13. İş başvurularınızı, staj başvurularınızı değerlendirebilmek,
  14. Kurumumuzla iş amaçlı bağı bulunanların kişilerin iletişim amacıyla adres ve iletişimi gerçekleştirebilmek,
  15. İş akitlerimizin, sözleşmelerin koşulları, güncel durumu ve güncellemeler ile ilgili müşterilerimiz ile iletişime geçmek, gerekli bilgilendirmeleri yapabilmek,
  16. Personellerimizin iş sağlığı ve güvenliği kapsamında elde edilen sağlık bilgisi sonuçları sadece iş sağlığı ve güvenliği kapsamında yasalara uygun olarak veri toplamak,
  17. Sendikal haklarla ilgili olarak personellerin lehine olacak şekilde sendikal haklardan personellerin faydalanmasını sağlamak,
  18. İş birliği, ortak iş yapma, tedarik ve taşeronluk iş ve işlemleri sırasında kullanmak,
  19. Sözleşmelerle ilgili yükümlülükleri yerine getirebilmek,
  20. Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
  21. Dolandırıcılık ve diğer yasa dışı faaliyetlerin önüne geçebilmek,
  22. Hizmet binalarımız, parklarımız içinde güvenlik kameraları marifetiyle bina, tesis, park gibi yerlerde kamera görüntüleri kamu güvenliği ve iş güvenliğini sağlayabilmek için alınmaktadır.

3. BÖLÜM

 

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR:

3.1. Kişisel Verilerin Güvenliğinin Sağlanması:

Kurum Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Kurum, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

Tüm personel, Kurum, tarafından işlenen ve kendi sorumluluklarında olan kişisel verilerin güvenli olarak tutulmasını sağlamakla yükümlüdür. Konuya ilişkin tüm sözleşmeli personellerimizin uyması gereken Personel Gizlilik Sözleşmesine uyumuna önem verilmektedir. Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmelidir. Kişisel verilere ilişkin bilgi güvenliği olayları KVK Komitesince en kısa süre içerisinde KVK Kuruluna ve ilgili kişiye bildirilir.

Tüm personeller, Kurum tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.

3.2. Özel Nitelikli Kişisel Verilerin Korunması

Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kurumumuz tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Kurum tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Kurum bünyesinde gerekli denetimler sağlanmaktadır. Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 4.3. (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) bölümünde yer verilmiştir.

3.3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

Kurumumuz, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır. Kurum personellerinin kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Kurum, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.

3.4 Kişisel Verilerin Korunması Komitesi Çalışma Esasları

Kurumumuzca KVKK gerekliliklerini yerine getirmek ve uygunluğunu sürdürebilmek, veri güvenliğini temin edebilmek için “Kişisel Veri Korunması Komitesi ” kurulmuştur. “Kişisel Veri Korunması Komitesi” üyelerinin önde gelen amacı ve hedefleri aşağıda belirtilmiştir:

 · Kişisel verilerin güncelliğini sağlamak ve periyodik kontrol etmek

 · Saklama süresi dolan kişisel verilerin imha işlemlerini başlatmak

· Kişisel verilerin güvenliğini sağlamak için gerekli idari ve teknik tedbirleri takibi sağlamak

 · Kişisel veri ile alakalı gelen tüm taleplerin (imha, düzeltme, saklama, işlenme, anonimleştirme vb.) değerlendirilmesi

 · Kişilerin temel hak ve özgürlüklerini korumak  

 

4.BÖLÜM

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Kurum bakımından öncelikle önem arz eden hususlardan biri, kişisel verilerin işlenmesinde mevzuatta öngörülen genel ilkelere uygun davranılmasıdır. Bu kapsamda, Yüksek Öğretim Kanunu, Öğrenci Seçme ve Yerleştirme Mevzuatı, Anayasa ve KVK Kanunu’na uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmektedir.

4.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi 

4.1.1.Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

Kurum, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır.

Bu kapsamda Kurum, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta ve kişisel verileri amacın gerektirdiği durumlar dışında kullanmamaktadır.  

4.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli tedbirler alınmakta, İlgili Kişiye verilerini güncellemesi ve var ise işlenen verilerindeki hataların düzeltilebilmesi için başvuru imkanı sunulmaktadır. 

4.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Bu nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde konuya ilişkin aydınlatmalar yapılarak açık rızalar alınmaktadır. 

4.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Bu nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde konuya ilişkin aydınlatmalar yapılarak açık rızalar alınmaktadır.

4.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Kurum, Türk Ceza Kanunu’nun 138.maddesine ve KVK Kanunu’nun 4. ve 7. maddelerine uygun olarak; işlediği kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmektedir.

Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya İlgili Kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silmeve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

 4.2.Kişisel Verilerin İşlenme Şartları

Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 4.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

İ. Kanunlarda Açıkça Öngörülmesi

İlgili Kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.

ii. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde İlgili Kişinin kişisel verileri işlenebilecektir.

iii. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

İlgili Kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.

İV. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi

Kurum hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde, İlgili Kişinin kişisel verileri işlenebilecektir.

V. Kişisel İlgili Kişinin Kişisel Verisini Alenileştirmesi

İlgili Kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

Vİ. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde İlgili Kişinin kişisel verileri işlenebilecektir.

Vİİ. Veri Sorumlusunun Meşru Menfaati için Veri İşlemenin Zorunlu Olması

İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Üniversitemiz,’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde İlgili Kişinin kişisel verileri işlenebilecektir.

4.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

İlgili Kişi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Kurum tarafından özel hassasiyet gösterilmektedir. Özel nitelikli kişisel veriler Kurum tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 (ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

4.3.1 Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Önlemler

Kurum, Kanun’un 6. Maddesinde yer alan, Özel Nitelikli Kişisel Veriler’in işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:

A-Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika belirlenmiştir,

B-Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan personellere yönelik;

  • Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir,
  • Gizlilik sözleşmelerinin yapılmaktadır,
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
  • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
  • Görev değişikliği olan ya da işten ayrılan personellerin bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından kendisine tahsis edilen envanteri iade almaktadır

 C-Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,

  • Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,
  • Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,

 D-Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

  • Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır,Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

 E-Özel Nitelikli Kişisel Veriler aktarılacaksa,

  • Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
  • Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Gizli ” formatta gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.

4.4. Kişisel Veri Sahibinin Aydınlatılması

Kurum, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Kurum, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

4.5.Kişisel Verilerin Aktarılması

Üniversitemiz tarafından kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket edilmektedir. Kurum hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak İlgili Kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Kurum, bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Kişisel verilerin paylaşıldığı/paylaşılabileceği kişi gruplarının söz konusu olması durumunda ilgili kişiye aydınlatma metni ile bilgilendirme yapılmaktadır.

4.5.1 Kişisel Verilerin Aktarılması

Kurum, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler; veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

· Kanunlarda açıkça öngörülmesi,

· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

· Veri sahibinin kendisi tarafından alenileştirilmiş olması,

· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

 · Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir.

Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir. 

4.5.2.Özel Nitelikli Kişisel Verilerin Aktarılması:

Kurum, hukuka uygun olarak elde etmiş olduğu özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda, gerekli idari ve teknik tedbirleri alarak, İlgili Kişinin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Kurum, bu doğrultuda, özel nitelikli kişisel verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda yer alan şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.

 (i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir. 

5.BÖLÜM

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Kurum kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, kurum öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

5.1. İLKELER

Kurum tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

  • •  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Kurum tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 5 (beş) yıl süreyle saklanmaktadır.

• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Kurum tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Kurum’a başvurulması halinde;

       - İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,

       - Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

6.BÖLÜM

6.1. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, Kurum tarafından özellikle

  • iş faaliyetlerinin sürdürülebilmesi,
  • hukuki yükümlülüklerin yerine getirilebilmesi,
  • personel haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Kurumun meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin Kurumun herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Kurum tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,

• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

6.2. SAKLAMA VE İMHA SÜRELERİ

Kurum tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;,

   - Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Kurum nezdindeki önem derecesine göre belirlenir.

   - Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Kurumun meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

  - Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Kurum tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinden ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 5 (beş) yıl süreyle saklanır.

6.3. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER

Kurumumuzun istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, öğrenci hizmetleri, öğrenci hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi Kurum güvenliğinin sağlanması veya kurumun meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler kuruma ait sistemlere işlenmektedir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Üniversite tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

7. BÖLÜM

7.1. İDARİ TEDBİRLER

  • Aydınlatma Metinleri (Personel, Personel Adayı, Kamera Sistemleri, İletişim Formu, Covid-19 Salgın Süreci) ve Açık Rıza Metinleri Hazırlanmıştır.
  • Personeller için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Personeller için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim yetkileri düzenlenmiştir.
  • Birim bazında kişisel verileri korumaya yönelik eğitim verilmiştir.
  • Birim bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili birimin özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler hayata geçirilmektedir.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Güvenlik politika ve prosedürlerine uymayan personellere yönelik uygulanacak disiplin yönetmeliği hazırlanmıştır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Katmanlı kamera aydınlatma metinleri kameraların bulunduğu bölgelere asılmıştır.
  • Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında personeller bilgilendirilerek farkındalık yaratılmıştır.
  • Kurumun yürütmekte olduğu tüm faaliyetler detaylı olarak tüm birimlerin özelinde analiz edilerek, bu analiz neticesinde ilgili birimlerin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme envanteri hazırlanmıştır.
  • Kişisel Verileri Koruma Komitesi kurulmuştur.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Sözleşmeler KVKK İle uyumlu hale getirilmiştir.

7.2. TEKNİK TEDBİRLER

  • •         Kurulan sistemler kapsamında gerekli iç kontrolleri yapılmaktadır.
  • •           Kurum, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam etmekte ve personeline gerekli kişisel verilerin korunmasına ilişkin eğitimleri vermektedir.
  • •          Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • •          Personeller için yetki matrisi oluşturulmuştur.
  • •          Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • •          Erişim logları düzenli olarak tutulmaktadır.
  • •          Kişisel Verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, Kişisel Verilerin bulunduğu veri depolama alanlarına erişimlerin iz kayıtları tutularak uygunsuz erişimler veya erişim denemeleri ilgililere iletilmektedir.
  • •          Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • •          Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • •          Görev değişikliği olan ya da işten ayrılan personellerin bu alandaki yetkileri kaldırılmaktadır.
  • •          Güncel anti-virüs sistemleri kullanılmaktadır.
  • •          Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • •          Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • •          Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • •          Mevcut risk ve tehditler belirlenmiştir.
  • •          Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • •          Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • •          Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

8. BÖLÜM

8.1. KİŞİSEL VERİLERİ KORUMA KOMİTESİNİN GÖREV VE YETKİLERİ

Kişisel Verileri Koruma Komitesi, Politika’nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur.

Kişisel Verileri Koruma Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

8.2. POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR

• İşbu Politika tüm personellere duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

• Personellerin politikanın gereklerini yerine getirip getirmediğinin takibi ilgili personellerin amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili personel amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

• Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.

• Politikaya aykırı davranan personel hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

 9. BÖLÜM

9.1. SAKLAMA VE İMHA TABLOSU

Veri Kategorisi Veri Saklama Süresi
1-Kimlik 101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
2-İletişim  101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
3-Özlük  101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
4-Hukuki İşlem  10 Yıl
5-Fiziksel Mekan Güvenliği  2 Yıl
6-İşlem Güvenliği  2 Yıl

 

Veri Kategorisi Veri Saklama Süresi
7-Risk Yönetimi  
10 Yıl
8-Finans  
101 Yıl
9-Mesleki Deneyim  
101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
10-Görsel ve İşitsel Kayıtlar  
101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
11-Sendika Üyeliği
 
Özel Nitelikli Kişisel Veri 		 
15 Yıl
12-Sağlık Bilgileri
 
Özel Nitelikli Kişisel Veri 		 
15 Yıl
13-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Özel Nitelikli Kişisel Veri  
10 Yıl

 

Veri Kategorisi Veri Saklama Süresi
14-Biyometrik Veri
 
Özel Nitelikli Kişisel Veri 		 
 
Çalışma ilişkisinin devamı müddetince saklanmaktadır.
15-Diğer Bilgiler-Askerlik Durumu  
101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
16-Diğer Bilgiler-Mesleki Bilgi Kişisel Veri  
101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)
17-Diğer Bilgiler-Eğitim Bilgileri Kişisel Veri  
101 Yıl (İş Kanunu kapsamında saklanılan veriler için ise personel işten ayrıldıktan sonraki 10 yıl)

 

9.2. PERİYODİK İMHA

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

10. BÖLÜM

 

    10.1. İMHA EDİLECEK KİŞİSEL VERİLERİN BELİRLENMESİ

     Periyodik İmha Gerektiren Durumlar

Kurumda kişisel verilerin imhası Kişisel Veriler Envanteri’ n de belirlenen sürelerde gerçekleştirilir ve en geç 6 (altı) aylık periyodlarla yapılır. Kişisel verilerin işlenme şartlarını ortadan kaldıran hallerden herhangi birinin gerçekleşmesi durumunda bu kişisel verilere ilişkin kayıtlar için bir sonraki imha periyodunda imha işlemi gerçekleştirilir.

Veri Sorumlusu Kişisel Veriler Envanteri üzerinden imha edilecek kişisel verileri tespit eder ve KVK Komitesi bölüm temsilcilerine bildirir. Bölüm temsilcisi, imha edilecek basılı ve elektronik kayıtları tespit eder.

 

 

Talep Üzerine İmha Gerektiren Durumlar

İlgili kişinin Kanun’dan kaynaklı hakkını kullanarak yaptığı başvurularda veya Kişisel Verileri Koruma Kurumu’nun talebine göre imha işlemi talebinin Kuruma ulaşmasından itibaren 30 gün içinde gerçekleştirilerek ilgili kişiye cevap iletilir.

Kişisel veriler Talep Yönetim Süreci aracılığıyla gelen imha talepleri için Veri Sorumlusu, KVK Komitesi bölüm temsilcilerinden oluşturacağı ilgili çalışma grubu ile inceler ve imha edilecek kayıtları talebin Kuruma ulaşması tarihinden itibaren en geç 10(on) gün içinde tespit eder.


     10.2.  İMHA YÖNTEMİNİN BELİRLENMESİ

Kişisel Veriler Envanterinde, imha edilecek kişisel verinin bulunduğu ortamın türü, kritikliği ve hassasiyetine göre Kişisel Verileri Koruma Kanununda belirtilen imha yöntemlerine göre imha türüne karar verilir. Eğer yok etme işlemi gerçekleştirilecekse, işlemin ardından oluşan fiziksel atıklar, güvenli ve geri döndürülemeyecek şekilde elden çıkarılır.

 

 

Silme Yok Etme Anonim Hale Getirme
Silinerek Parçalanarak (Shredding) Anonimleştirilerek
Formatlanarak Yakılarak -
Üzerine yazılarak - -
Manyetik alan ile - -

 

 

Fiziksel İmha Türleri Dijital İmha Türleri
Parçalanarak (Shredding) Formatlanarak
Yakılarak Anonimleştirilerek
Üzerine yazılarak Üzerine yazılarak
Manyetik alan ile Silinerek

Ortamlara göre imha yöntemi aşağıda örneklendirilmiştir;

 


Kişisel Veri İçeren Ortam İmha Çeşidi İmha Yöntemi
Kâğıt Fiziksel İmha Parçalanarak
CD, DVD, Disket vb. Fiziksel İmha Parçalanarak
Taşıyıcı Bellek, SD Kart (USB) Dijital İmha Formatlanarak
Veri Tabanı Dijital İmha Anonimleştirilerek, Silinerek
Harici/Dahili Disk Dijital İmha Formatlanarak, Parçalanarak
Elektronik Yazışma (E-posta vb.) Dijital İmha Silinerek

İmhanın Gerçekleştirilmesi

İmhası gerçekleştirilecek kişisel veriler,

ü  Belirlenen kayıtlar,

ü  Ekipler,

ü  Takvim ve

ü  Yöntem dikkate alınarak gerçekleştirilir.

Veri Sorumlusu, imha edilecek kişisel verileri veri işleyen taraflara da bildirerek ilgili taraflarda bulunan kayıtlarında imhasını sağlar.

 

Tespit Edilen Kişisel Verilerin Tamamının İmha Edildiğinden Emin Olunması

 

Veri Sorumlusu; Kişisel verilerin tamamının, planlanan zaman aralığında ve tespit edilen kayıtlarla imhayı KVK Komitesi tarafından imha edildiğini kontrol eder. Kişisel verilerin imhasının gerçekleştirilmesinin ardından İmha Ekibi, Veri İmha Formu ‘nu doldurur ve Veri Sorumlusu’ nun onayını alır. Bu form Veri Sorumlusu tarafından diğer hukuki yükümlülükler saklı kalmak üzere en az 10 (On) yıl süreyle saklanır.

 

 

11. BÖLÜM

KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

11.1. Kişisel Veri Sahibinin Hakları

Aydınlatma yükümlülüğü kapsamında, Kurum tarafından İlgili Kişi bilgilendirilmekte ve bu bilgilendirmeye ilişkin sistem ve altyapılar kurulmaktadır. İlgili Kişinin kişisel verilerine ilişkin haklarını kullanması için gerekli olan teknik ve idari düzenlemeler Kurum tarafından yapılmaktadır.

İlgili Kişi kişisel verileri üzerinde;

  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

11.2. Kişisel Veri Sahibinin Haklarını Kullanması

İlgili Kişiler, yukarıda sayılan haklarını, https://usak.edu.tr/KVKK/Index/6 adresinde yer alan İlgili Kişi başvuru formu vasıtasıyla ileterek kullanabilirler. Formun doldurulması yahut Kurumumuza gönderilmesi hakkında detaylı bilgiler bu formda yer almaktadır.

11.3. Kurumumuzun Başvurulara Cevap Vermesi

Kurumumuz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri sahibinin, bölüm 6.1.’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Kuruma iletmesi durumunda, Kurum, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

11.4. İlgili Kişinin Haklarını İleri Süremeyeceği Haller

KVKK’nın 28/2 hükmü uyarınca, aşağıdaki hallerde zararın giderilmesini talep etme hakkı hariç olmak üzere, ilgili kişilerin Kanun’un 11. maddesinde belirtilen haklardan yararlanmaları mümkün olmayacaktır;

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  •  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 

 

12. BÖLÜM

 

KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR

12.1. Kurum Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri

Kurum tarafından bina ve tesisilerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Kurum bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

Kurum tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Ayrıca, Kurum Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

Kurum tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda personelin erişimi bulunmaktadır.

12.2. Kurum Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Kurum tarafından, güvenliğin sağlanması ve işbu Politika’da belirtilen amaçlarla, Kurum binalarında ve tesislerinde vatandaşların giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Kurum binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Kurum nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.

Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

 

12.3.İnternet Sitesi Ziyaretçileri

Çerez kayıtları Kurum resmi internet sitesinin işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanılmaktadır. Kurum resmi internet sitesinde geçirilen vaktin daha verimli ve keyifli hale getirilmesi amaçlanmaktadır. Bunların yanında, internet sitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlanmaktadır. İnternet sitesinde yer alan çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve saklanabilmektedir. İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için resmi internet sitesindeki Çerez ve Gizlilik Politikasını inceleyebilirsiniz. 

13. BÖLÜM

 

KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kurumumuz, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdır. Bu kapsamda uymakla yükümlü olduğumuz başlıca hususlar aşağıda sıralanmaktadır:

13.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü

Kurumumuz, KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmakla yükümlü olup söz konusu yükümlülük Kurumumuzca yerine getirilmiştir.

13.2. Veri Sahibini Aydınlatma Yükümlülüğü

Kurumumuzca kişisel veriler toplanırken; öncelikle KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. Aydınlatma metinlerimizde;

  • Kurumumuzun adı, açık adresi ve iletişim bilgileri,
  • Kişisel veri kategorileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Verileri toplama yöntemi ve hukuki sebebi,
  • İlgili kişinin KVKK’nın 11. maddesinde sayılan hakları, şeklinde alt başlıklar ve içerikleri yer almaktadır. Aydınlatma metnimizde yukarıda yer alan bilgilerin dışında başvuru yöntemleri de sayılmıştır. Bu yöntemler sayesinde Kişisel Verilerin Korunmasında şeffaf ve ulaşılabilir olunması hedeflenmiştir.

Kamuoyuna açık olan işbu Politika’nın açık, anlaşılır, kolay erişebilir olmasına özen gösterilmektedir.

Ayrıca, personeller ve personel adayları, ziyaretçiler, vatandaşlar ve kamera sistemleri için Kişisel Verilerin Korunması Kanunu hakkındaki “Aydınlatma Metinlerini” Kurumumuz internet sitesi üzerinden incelenebilecektir.

13.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Kurum, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;

1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,

2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve

3. Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kurum bünyesinde, her açıdan güvenliğin sağlanmasının teşkil ettiği önemin bilinciyle, KVK Kanunu’nun 12. Maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verileri hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alınmakta, bu kapsamda gerekli denetimler yapılmaktadır.

Kurum, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkanlar dahilinde, gerekli teknik ve idari tedbirleri almaktadır. Bu kapsamda Kurum tarafından alınan tedbirler aşağıda açıklandığı gibidir:

 

13.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

Kurum, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmektedir.

 

13.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

Kurum, veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmaktadır. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.

13.6. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Yükümlülüğü:

KVKK’nın 5 inci ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12 . maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

13.6.1 Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları:

Türk Ceza Kanunu’nun 138. maddesi, KVK Kanunu’nun 7. maddesi ve “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Üniversitemiz’in  kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Üniversitemizce bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha işlemi yapılmaktadır. Bu yönetmelik uyarınca Üniversitemiz tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur. 

14. BÖLÜM

14.1. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi, korunması, saklanması ve imhası  konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Kurumumuz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Kurumumuz uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

14.2. POLİTİKA’NIN YÜRÜRLÜĞÜ

İşbu Politika’nın yürürlük tarihi 12.11.2021’dir. İşbu Politika, Kurumumuz internet sitesinde https://usak.edu.tr/KVKK/Index/8 yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

14.3.DAĞITIM

Politika, Kurumumuz internet sitesinde yayınlanarak, üçüncü taraflara, vatandaşlara ve Kurum personellerine duyurulur