Kişisel Verilerin İşlenmesine İlişkin İşleme, Saklama ve İmha Politikasi

KONYA GIDA VE TARIM ÜNİVERSİTESİ

KİŞİSEL VERİLERIN KORUNMASINA İLİŞKİN

İŞLEME, SAKLAMA VE İMHA POLITIKASI

Doküman No.

Revizyon Tarihi/No

KVK-01

I. GİRİŞ

1.1. Politikanın Amacı

Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca Konya Gıda ve Tarım Üniversitesi (“Üniversite”) tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (çalışanlar (akademik personel, idari personel, hizmetli personel) çalışan adayları, öğrenciler, öğrenci adayları, mezun öğrenciler, stajyer/kısmi süreli çalışan öğrenciler, PAMER danışanları, ziyaretçiler ve diğer üçüncü kişilerin vb.) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin korunması, işlenmesi, saklanması, gerektiğinde silinmesi, yok hale getirilmesi ve anonim hale getirilmesine dair imha süreci esaslarının belirlenmesi bu Politika’nın amacını oluşturmaktadır.

1.2. Politikanın Kapsamı

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak Üniversite tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Üniversite tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması

İşbu Politika, yürürlükte bulunan 2547 Sayılı Yükseköğretim Kanunu, 2914 Sayılı Yüksek Öğretim Personel Kanunu, Vakıf Yükseköğretim Kurumları Yönetmeliği, Yükseköğretim Kurumları Öğrenci Disiplin Yönetmeliği, Öğretim Üyesi Dışındaki Öğretim Elemanı Kadrolarına Yapılacak Atamalarda Uygulanacak Merkezi Sınav İle Giriş Sınavlarına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Devlet Arşiv Hizmetleri Hakkında Yönetmelik, Yükseköğretim Kurulu Arşiv Yönetmeliği, Standart Dosya Planı İle İlgili 2005/7 Sayılı Başbakanlık Genelgesi, ilgili mevzuat ve başta 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik olmak üzere, Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır. Üniversite tarafından Politika’nın yayım tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Üniversitemiz tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.

1.4. Politikanın Yürürlüğü

Politika, Üniversite’ye ait www.gidatarim.edu.tr internet sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.

II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

2.1. Kişisel Verilerin Güvenliğinin Sağlanması

6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.

Açıklanan nedenlerle Üniversite, kişisel verilerin hukuka aykırı olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER kısmında yer almaktadır.

2.2. Özel Nitelikli Kişisel Verilerin Korunması

Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Veri sahibi ilgili kişinin açık rızası olmaksızın özel nitelikli kişisel veriler işlenemez.

Üniversite tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm tedbirler alınmakta olup bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.

III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:

Hukuka ve dürüstlük kuralına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işleme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

3.2. Kişisel Verilerin İşlenme Şartları

Üniversite tarafından elde edilen kişisel veriler, Kanun’da öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel verileriniz aşağıda gösterilen hallerde açık rıza olmaksızın işlenebilir:

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

3.3. Açık Rıza Alınması Yükümlülüğünün İstisnaları

a) Kanunlarda açıkça öngörülmesi

Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir. Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.

b) Fiili imkânsızlık

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilmektedir.

c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması

Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi gündeme gelebilmektedir.

d) Üniversitenin hukuki yükümlülüğünü yerine getirmesi

Veri sorumlusu sıfatıyla Üniversitemizin yerine getirmesi gereken hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.

e) İlgili kişi tarafından alenileştirilmiş olması

Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma konu olamaz.

f) Bir hakkın tesisi, kullanılması ve korunması için zorunlu olması

Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerinin açık rızası olmaksızın da işlenmesi mümkündür.

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması

Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel veriler işlenebilir.

Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işleme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.

3.4. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin işlenmesi Kanun’un 6.maddesine tabi olup ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu kapsamda yer alan veriler sınırlı sayıda olup yorum yoluyla genişletilemez.

Özelliği gereği özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin ayrımcılığa ve mağduriyete uğramasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.

a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler

Sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilmektedir.

b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.

3.5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

Kişisel verilerin elde edilmesi sırasında Üniversitemizin veri sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme yapılmaktadır. Yapılan bilgilendirmeye dair usul ve esaslar Üniversite tarafından yayımlanan Kişisel Verilerin Korunması Hakkında Aydınlatma Metinlerinde belirtilmiş olup bilgilendirme özetle aşağıdaki unsurları içermektedir:

Veri sorumlusu ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Kanun’un 11. maddesinde gösterildiği üzere ilgili kişinin hakları.

a) Veri sorumlusu ve temsilcisinin kimliği

Kanun’un 10. maddesine göre veri sahiplerinden (çalışanlar (akademik personel, idari personel, hizmetli personel) çalışan adayları, öğrenciler, öğrenci adayları, mezun öğrenciler, stajyer/kısmi süreli çalışan öğrenci, PAMER danışanları, ziyaretçiler ve diğer üçüncü kişiler vb.) elde edilen kişisel veriler veri sorumlusu sıfatıyla Konya Gıda ve Tarım Üniversitesi tarafından işlenmekte olup ilgili birime ait iletişim kvk@gidatarim.edu.tr e-posta adresi, gidatarimuniversitesi@hs01.kep.tr kayıtlı elektronik posta (KEP) adresi veya www.gidatarim.edu.tr adresinden sağlanabilir.

b) Kişisel verilerin işlenme amaçları

Kişisel verilerin işlenmesi belirli, açık ve meşru amaçlarla gerçekleştirilmekte olup veri sahiplerinin bilgilendirilmesi esasına dayanmaktadır. Elde edilen verilerinizin hangi amaçlarla işlendiği Politika’nın V. ÜNİVERSİTEİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLEME AMAÇLARI kısmında yer almaktadır.

c) Kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları

Veri sorumlusunun, veri sahibini aydınlatma yükümlülüğü çerçevesinde kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları açıkça belirtilmelidir. Kişisel veriler, veri sahibinin açık rızası olmaksızın 3.kişilere aktarılamamaktadır. Üniversitemiz tarafından kişisel verilerin aktarıldığı alıcı grupları ve aktarılma amaçları IV. KİŞİSEL VERİLERİN AKTARILMASI kısmında gösterilmiştir.

d) Kişisel veri toplamanın yöntemi ve hukuki sebebi

Kanun’un 5 ve 6. maddesine uygun olarak, kişisel veri işleme şartlarından hangisine dayanılarak işlendiğinin veri sorumlusu tarafından açıkça belirtilmesi gerekir. Veri toplama yöntemi ve aracılığı, veri sorumlusunca belirlenmektedir. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda (m.5-6) sınırlı sayıda sayılmış olup, bu şartlar genişletilememektedir.

Veri sorumlusu Üniversite tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirmesi yapılmakta, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmektedir.

IV. KİŞİSEL VERİLERİN AKTARILMASI

4.1. Yurt İçi Aktarım

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak:

5 inci maddenin ikinci fıkrasında,
Yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında

belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Buna göre, kanunlarda açıkça öngörülmesi (1), fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya vücut bütünlüğünün korunması için zorunlu olması (2), bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (3), veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (4), ilgili kişinin kendisi tarafından alenileştirilmiş olması (5), bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (6), ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde ilgili kişiye ait kişisel veriler açık rızası alınmaksızın 3.kişilere aktarılabilecektir.

Aynı zamanda, ilgili kişilere ait özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde; sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi, bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın 3. kişilere aktarılabilecektir.

Kişisel verileriniz ve özel nitelikli kişisel verileriniz işbu politika metninde açıklanan amaçlar ve başta 2547 Sayılı Yükseköğretim Kanunu, 2914 Sayılı Yüksek Öğretim Personel Kanunu, Vakıf Yükseköğretim Kurumları Yönetmeliği, Yükseköğretim Kurumları Öğrenci Disiplin Yönetmeliği, Öğretim Üyesi Dışındaki Öğretim Elemanı Kadrolarına Yapılacak Atamalarda Uygulanacak Merkezi Sınav İle Giriş Sınavlarına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Bir Üniversite Adına Bir Diğer Üniversitede Lisansüstü Eğitim Gören Araştırma Görevlileri Hakkında Yönetmelik, Lisansüstü Eğitim-Öğretim Enstitülerinin Teşkilât ve İşleyiş Yönetmeliği, Üniversitelerde Akademik Teşkilât Yönetmeliği, Yükseköğretim Kurumları Bilimsel Araştırma Projeleri Hakkında Yönetmelik, Yükseköğretim Kurumları Öğretim Elemanları İle Yabancı Uyruklu Elemanları Geliştirme Eğitimi Yönetmeliği, Yükseköğretim Kurulu Bilimsel Araştırma ve Yayın Etiği Yönergesi, 4857 Sayılı İş Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili düzenlemeler çerçevesinde; Yüksek Öğretim Kurumu, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, CİMER, SABİM, Cumhurbaşkanlığı İnsan Kaynakları Ofisi (CBİKO), Avrupa Komisyonu, T.C. Dışişleri Bakanlığı, Türkiye Ulusal Ajansı, Konya İl Milli Eğitim Müdürlüğü, Konya İl Göç İdaresi Müdürlüğü, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri gibi yetkili kamu kurum ve kuruluşları, kolluk kuvvetleri, bankalar, düzenleyici ve denetleyici kurumlar, sigorta şirketleri, işbirliği yapılan üniversiteler, tedarikçiler, basın organları ve diğer üçüncü kişiler vb. gerçek ve tüzel kişilere aktarılabilmektedir.

Üniversite tarafından işlenen kişisel verilerinizin aktarıldığı alıcı gruplarına dair bilgiler bu Politika’nın EK 3 – Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları kısmında yer almaktadır.

4.2. Yurt Dışı Aktarım

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Şu kadar ki, Kanun’un 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

Yeterli korumanın bulunması,
Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

V. ÜNİVERSİTEMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI

Veri sahibi ilgili kişiler tarafından Üniversitemiz tarafından elde edilen veri kategorizasyonu ve kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında gösterilmiştir.

VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve kişisel verilere erişilmesinin önlenmesi için Üniversite tarafından idari ve teknik tedbirler alınmaktadır.

Kişisel veri güvenliğinin sağlanması için Üniversite tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının belirlenmesi yoluna gidilmekte; bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı (1), mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği (2), güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği (3) dikkate alınmaktadır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.

6.1. İdari Tedbirler

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Bu nedenle veri sorumlusu sıfatıyla iç organizasyonumuzdaki farkındalık ve bilgilendirme çalışmaları gerçekleştirilmektedir.

Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında gerekli eğitimin verilmesi, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması; veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmaktadır. Öte yandan çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmaları imzalanmakta, çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci yürütülmektedir.

Kişisel veri güvenliğine ilişkin uygulanan politika ve prosedürler belirlenmiş ve bunlarda herhangi bir değişiklik olması halinde değişikliğin çalışanlara bildirilmesi ve açıklanması amacıyla eğitimler yapılarak veri güvenliği ve güvenliğe ilişkin tehditler hakkındaki bilgilendirmeler güncel tutulmaktadır.

Kişisel verilerin korunması hakkında Üniversite’nin mevzuatsal yükümlülüklerini yerine getirmek, politikaların uygulanmasını sağlamak ve denetlemek ve bunların işleyişine yönelik önerilerde bulunmak amacıyla; Üniversite Yönetim Kurulu tarafından belirlenen birim üyeleri arasından Üniversite Rektörü tarafından Kişisel Verileri Koruma Komisyonu oluşturulmuştur.

Diğer yandan kişisel veri içeren fiziksel ortamlarda gerekli güvenlik önlemleri alınmakta olup bu ortamların yangın, sel vb. dış risklere karşı güvenliği sağlanmaktadır.

Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin özeti verilmiştir:

İdari Tedbirler

Kişisel Veri İşleme Envanterinin Hazırlanması

Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha Konularında Kurumsal Politikaların Hazırlanması ve Uygulanması

Veri Aktarımına ve Veri Güvenliğinin Sağlanmasına İlişkin Sözleşmelerin Düzenlenmesi ve İmza Edilmesi (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)

Gizlilik Taahhütnamelerinin Temini

Kurum İçi Periyodik ve/veya Rastgele Denetimlerin Yapılması

Risk Analizlerinin Yapılması

İş Sözleşmelerine Kanuna Uygun Hükümler İlave Edilmesi

Kişisel Verilerin Hukuka Aykırı İşlenmesine İlişkin Disiplin Yönetmeliklerinin ve KVKK Yönergelerinin Hazırlanması

Kanun Kapsamındaki Yükümlülüklerin Yerine Getirilmesinin ve Oluşturulan Politikaların Uygulanmasının Denetiminin Sağlanması için KVK Komisyonunun Oluşturulması

Kurumsal İletişimin Sağlanması (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

Çalışanlar İçin Bilgi Güvenliği ve Kanunlara İlişkin Eğitim ve Farkındalık Faaliyetlerinin Yürütülmesi

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirimin Yapılması ve Takibi

Kişisel Veri Güvenliği Politika ve Prosedürlerin Belirlenmesi ve Yayınlanması

Kişisel Veri Güvenliği Sorunlarının Hızlı Bir Şekilde Raporlanması

Kişisel Veri Güvenliğinin Takibinin Yapılması

Bilgi Teknolojileri Sistemleri Tedarik, Geliştirme Ve Bakımı Kapsamındaki Güvenlik Önlemlerinin Alınması

Çalışanlar İçin Veri Güvenliği Hükümleri İçeren Disiplin Düzenlemelerinin Oluşturulması

Görev Değişikliği Olan veya İşten Ayrılan Çalışanların Bu Alandaki Yetkilerinin Kaldırılması

İmzalanan Sözleşmelerde Veri Güvenliği Hükümlerine Yer Verilmesi

Mevcut Risk ve Tehditlerin Belirlenmesi

Özel Nitelikli Kişisel Veri Güvenliğine Yönelik Protokol ve Prosedürlerin Belirlenmesi ve Uygulanması

6.2. Teknik Tedbirler

Kişisel veri içeren bilgi teknoloji sistemlerimin internet üzerinden 3. kişilerin yetkisiz erişim ve tehditlerine karşı korunması amacıyla alınan tedbirler arasından güvenlik duvarı ve ağ geçitleri kullanılmaktadır. Kullanılan güvenlik duvarı ile bilgi ağına gerçekleşen ihlallerin durdurulması sağlanmakta, ağ geçidi ile çalışanların kişisel veri güvenliği bakımından tehdit teşkil eden internet siteleri veya online platformlara erişimlerinin kısıtlanması sağlanmaktadır.

Ayrıca yazılım ve donanımların düzgün biçimde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığına ilişkin düzenli kontroller sağlanmaktadır.

Kişisel veri içeren sistemlere erişim sınırlandırılmış olup bu kapsamda idari ve akademik birimlerdeki çalışanlara yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta, kurum e-posta adresi / kullanıcı adı ve şifre kullanmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifreler oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizilerinden mümkün olduğunca kaçınılmaktadır. Görev değişikliği olan veya işten ayrılan çalışanların bu alandaki yetkileri ise ivedilikle kaldırılmaktadır.

Veri sorumlusu organizasyonu içinde erişim yetki ve kontrol matrisleri oluşturulmakta, kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden anti-virüs, anti-spam gibi ürünler kullanılmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta olup veri güvenliğinin sağlanması adına kişisel veri içeren kağıt ortamındaki evraklar ile sunucular, yedekleme cihazları, CD, DVD, USB ve benzer diğer saklama cihazlarının yalnızca yetkili personelin erişimine açık tutulması ve bu konuda fiziksel güvenliğin artırılması için gerekli önlemler alınmaktadır.

Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin özeti verilmiştir:

Teknik Tedbirler

Yetki Matrisi

Yetki Kontrol Sistemi

Erişim Loglarının Düzenli Tutulması

Kullanıcı Hesap Yönetimi

Kapalı Sistem Ağ

Ağ Güvenliği

Şifreleme

Sızma Testi

Saldırı Tespit ve Önleme Sistemleri

Log Kayıtlarının Kullanıcı Müdahalesi Olmayacak Şekilde Tutulması

Yedekleme ve Yedeklenen Kişisel Verilerin Güvenliğini Sağlama

Güvenlik Duvarları

Güncel Anti-Virüs Sistemleri

Siber Güvenlik Önlemlerinin Alınması ve Uygulanmasının Sürekli Takibi

Silme, Yok Etme veya Anonim Hale Getirme

Kişisel Veri İçeren Fiziksel Ortamlara Giriş Çıkışlarla İlgili Gerekli Güvenlik Önlemlerinin Alınması

Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

VII. BİNA, TESİS GİRİŞLERİ İLE BİNA VE TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETİ

7.1. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyeti

Özel Güvenlik Hizmetlerine Dair Kanun kapsamında Üniversite binaları, kampüsü, bahçe alanları, koridorlar, kütüphane binasında; diğer taraftan yemekhane, öğrenci evi, laboratuvar, Psikolojik Danışma Merkezi, Kariyer Merkezi, Öğrenci Toplulukları Odası girişlerinde, otopark ve çevresinde güvenliğin sağlanması, Üniversitenin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerin korunması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Kamera ile izleme faaliyeti Kanun ile uyumlu olarak yürütülmekte olup gerek Kanun’da gerekse de işbu Politika’da sayılan veri işleme şartları kapsamında gerçekleştirilmektedir.

7.2. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Üniversite binaları, kampüsü ve tesislerine giriş çıkışların kontrolü ve takibi, güvenliği sağlanması amacıyla Üniversitemize ziyarette bulunan misafirlere ait kimlik bilgileri kişisel veri işleme faaliyetine konu edilmektedir. İşbu faaliyet kapsamında işlenen kişisel veriler yalnızca misafirlerin giriş ve çıkışlarının yapılması amacıyla sınırlı olarak gerçekleştirilmekte olup ilgili kişisel veriler elektronik veya fiziksel ortamda veri kayıt sistemine kaydedilmektedir.

VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

8.1. Kişisel Verilerin Saklanma Süreleri

Kişisel veriler Kanun’un 4. maddesinin (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda veri işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenen ve Üniversite nezdinde tutulan kişisel verileriniz, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Üniversitemiz tarafından verilerin saklanması ve imha süreçlerine ilişkin süreler, Ek-4-Kişisel Verileri Saklama Süreleri’nde yer almaktadır. Üniversitemiz tarafından Ek-4’te belirtilen süreler haricinde periyodik imhanın gerçekleştirileceği zaman aralığı azami 6 ay ile sınırlı tutulmuştur. Kişisel verilerin saklanma süreleri ise kural olarak Devlet Arşiv Hizmetleri Hakkında Yönetmelik ve Yükseköğretim Kurumları Arşiv Yönetmeliği’ne tabi olup işbu mevzuata göre kural olarak kişisel veriler; birim arşivlerinde 1-4 yıl arası, kurum arşivlerinde ise 10-14 yıl arası saklanacaktır. Ancak özel Kanun hükümleri ve zaman aşımı süreleri saklıdır.

Üniversitemiz, kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4.maddesinde gösterilen genel ilkeler ile 12. maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.

Tarafımızca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 3 yıl süreyle muhafaza edilmektedir.

Verilerin saklanması ve imhasına ilişkin Üniversite Yönetim Kurulu tarafından belirlenen birim üyeleri arasından Üniversite Rektörü tarafından görevlendirilen Kişisel Verileri Koruma Komisyonu üyeleri; kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişilerdir.

8.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü

Üniversite tarafından işlenmiş kişisel veriler, Kanun’un 7. maddesi ile Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin gerçekleştirilmesi esnasında; çalışanların bilgi güvenliği ve imha süreçlerine ilişkin bilgilendirilmesi, kişisel verilerin tutulduğu veri kayıt ortamının niteliğine göre en uygun yöntemin tercih edilmesi, veri güvenliğine ilişkin düzenli ve periyodik bakım ve takip çalışmalarının yapılması, teknolojik ve teknik açıdan gerekli en güncel imha sistemlerinin kullanılması, otomatik silme komutlarının verilmesi, silinen verilere erişim ve silinen verileri tekrar kullanma ve geri getirme yetkisinin kaldırılması gibi gerekli idari ve teknik tedbirler alınmaktadır.

a) Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.

b) Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

c) Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerinizin anonim hale getirilmesi için Üniversitemiz tarafından gerekli her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale getirilmektedir.

8.3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri

Üniversitemiz tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.

Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi (2), ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi (3), ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.

Kişisel verilerin silinmesinde izlenen yol şu şekildedir:

Uygulama türü çözümlerde silme komutu verme,
Kağıt ortamında bulunan verilerde karartma, kesilme veya görünemez hale getirme,
Taşınabilir medyada bulunan verilerde uygun yazılımlar kullanarak silme işlemi.

Kişisel verilerin yok edilmesinde izlenen yol şu şekildedir:

Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi suretiyle fiziksel yok etme,
Kağıt veya elektronik ortamda yapılan diğer yok etme işlemleri.

8.4. Kişisel Veri Kayıt Ortamları

Kişisel veri kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.

Veri sahibi ilgili kişilere ilişkin kişisel veriler, Üniversitemiz tarafından 6098 Sayılı KVKK hükümleri başta olmak üzere, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde aşağıda belirtilen veri kayıt ortalarında saklanmaktadır:

a) Teknik kayıt ortamları:

Bilgisayar ortamı,
Merkezi sunucular,
Optik diskler (CD, DVD vb.),
Çıkartılabilir bellekler (USB, Hafıza Kart vb.),
Bilgi güvenliği cihaz ve yazılımları,
Tamamen veya kısmen otomatik veri kayıt sistemleri (Kart okuyucu, parmak izi okuyucu makine ve araçlarının sunucuları)

b) Teknik olmayan veri kayıt ortamları:

Kâğıtlar,
Manuel veri kayıt sistemleri
Yazılı, basılı, görsel ortamlar,
İlgili idari ve akademik birimlerin dolapları.

8.5. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler

Üniversite tarafından veri sahibi ilgili kişilere ilişkin kişisel veriler, bunlarla sınırlı olmamak üzere başta;

Kanun’un 4. maddesinde yer alan genel ilkeler,
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Veri sahibi ilgili kişinin kişisel verilerin imha edilmesine ilişkin talepte bulunması,
Kişisel verilerin saklanmasına ilişkin yasal yükümlülüklerin sona ermesi,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve saklamaya devam edilmesinin gerektiren haklı bir nedenin olmaması

gibi amaç ve sebeplerle imha edilmektedir.

IX. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

9.1. Kişisel Veri Sahibinin Hakları

6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme

haklarınız bulunmaktadır.

9.2. Kişisel Veri Sahibinin Haklarını Kullanması

İlgili kişi veri sahibi tarafından Kanun’un uygulanması ile ilgili talepler, kvk@gidatarim.edu.tr irtibat e-posta adresine, gidatarimuniversitesi@hs01.kep.tr kayıtlı elektronik posta (KEP) adresine veya Melikşah Mah. Beyşehir Cad. No:9 42080 Meram / Konya adresine yazılı biçimde Üniversitemize iletilmelidir. Başvuru taleplerinde Üniversite tarafından internet sitesinde yayımlanan “İlgili Kişi Başvuru Formu”nun kullanılması gerekmektedir.

9.3. Üniversitemizin Başvurulara Cevap Vermesi

Başvuru talebinin niteliğine göre en kısa sürede Üniversite tarafından sonuçlandırılmaktadır. Bu süre 30 günü aşamaz. Şu kadar ki, işlemin herhangi bir maliyeti gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.

EK – 1: Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,

Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi

ifade eder.

EK – 2: Kişisel Veri Sahipleri (İlgili Kişiler)

Veri Sahibi Kategorileri	Açıklama
Çalışan	Üniversite bünyesinde akademik ve idari birimlerde ve ihale kapsamında akdedilen hizmet tedarik sözleşmesi çerçevesinde çalışan kişileri ifade etmektedir.
Çalışan Adayı	Üniversitenin akademik veya idari birimlerinde ilan edilen kadrolarda görev almak üzere Üniversiteye fiziken veya elektronik yollarla başvuruda bulunan kişilerdir.
Öğrenci	Üniversitemizde ön kayıt veya kesin kayıt yaptırarak Üniversitemizden eğitim hizmeti alan kişileri ifade etmektedir.
Öğrenci Adayı	Üniversitemizde eğitim hizmeti almak üzere Üniversitemize başvuran ancak henüz ön/kesin kayıt yaptırmayan veya öğrenci değişim programlarıyla eğitim almak üzere Üniversitemize başvuran kişileri ifade etmektedir.
Stajyer / Kısmi Zamanlı Çalışan Öğrenci	Üniversitemiz bünyesinde eğitimini aldığı mesleği, meslek bilgisini artırmak için uygulamalı olarak kullanan ve yarı zamanlı olarak çalışan öğrencileri ifade etmektedir.
Psikolojik Danışma Merkezi Danışanları	Üniversitemiz bünyesinde bulunan Psikolojik Danışma Merkezi’ne başvurarak psikolojik danışmanlık destek ve hizmeti alan Kurum içi ve dışı gerçek kişileri ifade etmektedir.
Tedarikçi	Üniversitemiz tarafından düzenlenen ihaleler kapsamında kendisinden mal/ürün/hizmet tedarik edilen ve kendisiyle iş ve işlemler yapılan gerçek kişiler ile tüzel kişi çalışanları ifade etmektedir.
Ziyaretçi	Üniversite yerleşkesini veya internet sitesini ziyaret eden 3. kişileri ifade etmektedir.
İlgili Diğer Üçüncü Kişiler	Açıklanan ilgili kişiler dışında kalıp Üniversitemiz tarafından kişisel veri işleme faaliyeti gerçekleştirilen gerçek kişilerdir.

EK – 3: Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

Aktarılan Kişi/Birim	Aktarılma Amacı
Yüksek Öğretim Kurumu	Eğitim hizmetlerinin yürütülmesi kapsamında mevzuat gereği bilgilerin aktarılması.
Sosyal Güvenlik Kurumu	Çalışanların, stajyer ve kısmi zamanlı çalışan öğrencilerin sigorta işlemlerinin yürütülmesi kapsamında işlemlerinin gerçekleştirilmesi amacıyla mevzuat gereği bilgilerin aktarılması.
Avrupa Komisyonu, T.C. Dışişleri Bakanlığı, Türkiye Ulusal Ajansı, Konya İl Milli Eğitim Müdürlüğü, Konya İl Göç İdaresi Müdürlüğü, Çalışma Bakanlığı	Uluslararası değişim programları faaliyetlerinin yürütülmesi kapsamında öğrenci ve akademik personellere ilişkin bilgi ve belgelerin paylaşılması/aktarılması.
Diğer Yetkili Kamu Kurum ve Kuruluşları, Mahkemeler ve Kolluk Kuvvetleri	İlgili kamu kurum ve kuruluşlarının, mahkemelerin ve kolluk kuvvetlerinin Üniversitemizden talep ettiği bilgi ve belgelerin amacıyla sınırlı olarak paylaşılması/aktarılması.
Cumhurbaşkanlığı İnsan Kaynakları Ofisi (CBİKO)	CBİKO staj faaliyetlerinin ve zorunlu Kariyer Planlaması derslerinin yürütülmesi kapsamında faaliyetlerle sınırlı olarak bilgi ve belgelerin paylaşılması/aktarılması.
Konsolosluklar	Uluslararası değişim programları ve faaliyetlerinin ve vize başvuru işlemlerinin yürütülmesi kapsamında öğrenci ve akademik personellere ilişkin bilgi ve belgelerin paylaşılması/aktarılması.
Bankalar	Öğrencilere, çalışanlara ve hizmet tedarik edilen üçüncü kişilere burs, maaş, ödenti, yolluk, destek, teşvik, ücret, hizmet bedeli vb. adı altında gerekli ödemelerin yapılması kapsamında aktarılan bilgiler.
Diğer Üniversiteler	Üniversitemizin öğrenci ve çalışanlarının katılım gösterdiği değişim programları, görevlendirme, staj programları, projeler, bilimsel etkinlikler vb. faaliyetler dahilinde yerel ve uluslararası diğer üniversiteler ile yapılan iş birlikleri kapsamında gerekli bilgilerin aktarılması.
İntihal Engelleme Ve Tespit Programları Veri Tabanları	Kütüphane kullanıcılarının Üniversite aracılığıyla intihal engelleme ve tespit programlarından yararlanmasının sağlanması amacıyla programa kayıt işlemlerinin gerçekleştirilmesi amacıyla sınırlı olarak kişisel verilerin paylaşılması/aktarılması.
Tedarikçiler	Üniversitemiz tarafından düzenlenen ihaleler kapsamında mal/ürün/hizmet tedarik edilen ve kendisiyle iş ve işlemler yapılan tedarikçi kimselerden hizmetlerin temin edilmesi faaliyetinin yürütülmesi amacıyla sınırlı olarak kişisel verilerin aktarılması.
İş Birlikçiler ve Çözüm Ortakları	Üniversitenin faaliyetlerini gerçekleştirmek üzere hizmet temin edilen veya öğrencilere staj veya iş imkanı sunulması gibi amaçlarla iş birliği yapılan firmalar, sivil toplum örgütleri ve diğer kurum ve kuruluşlara kişisel verilerin aktarılması.
Hukuk Birimleri	Üniversitenin hukuki haklarının tesisi, kullanılması ve korunması kapsamında hukuki destek almak amacıyla sınırlı olarak kişisel verilerin aktarılması.

EK – 4: Kişisel Verileri Saklama Süreleri

Kişisel Veri Kaynağı	Süre	Periyodik İmha
Satın Alma İşlemleri	15 Yıl	6 Ay
Tedarikçilere İlişkin Veriler	Hukuki İlişki Sona Erdikten Sonra 10 Yıl	6 Ay
Üniversite Bünyesinde Alınan Kurul Kararları	15 Yıl	6 Ay
Biyometrik Veriler	Açık Rıza Geri Alınmadıkça Hukuki İlişki Sona Erene Kadar	6 Ay
Özel Hukuka Tabi Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler	Sözleşmenin Sona Ermesine Müteakip 10 Yıl	6 Ay
Vergisel Kayıtlara İlişkin Kişisel Veriler	5 Yıl	6 Ay
Ziyaretçilerin Kişisel Verileri	2 Yıl	6 Ay
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları)	90 Gün	6 Ay
Etkinlik Kayıtları	2 yıl	6 Ay
İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türüvb.)	2 Yıl	6 Ay
Çerezler ve Log Kayıtları	6 Ay – En Fazla 2 Yıl	6 Ay
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri	2 Yıl	6 Ay
Kişisel Verileri Koruma Kurulu İşlemleri	10 Yıl	6 Ay
Öğrenci Özlük İşleri	Süresiz	6 Ay
Diploma Defteri	101 Yıl	6 Ay
Öğrenci Katkı Payları / Öğrenim Ücretleri	10 Yıl	6 Ay
Öğrenci Sınavları	2 Yıl	6 Ay
Öğrenci Sınav Sonuçları, Not Ve Başarı Çizelgeleri	10 Yıl	6 Ay
Stajyer Öğrenci İşlemleri	10 Yıl	6 Ay
Öğrenci İzin İşleri (Bilimsel Ve Eğitim, Kültürel, Sportif, Sağlık Sorunu Nedenleriyle)	10 Yıl	6 Ay
Sağlık ve Rapor İşleri	10 Yıl	6 Ay
Nakil, Kayıt Dondurma Ve Kayıt Silme	10 Yıl	6 Ay
Tez İşleri	Süresiz Olarak Kurumda Saklanır	6 Ay
Mezuniyet İşleri	Süresiz Olarak Kurumda Saklanır	6 Ay
Burslar Ve Krediler	10 Yıl	6 Ay
Yurt (Öğrenci Evleri) Başvuru Ve Kayıt İşleri Ve Dosyaları	10 Yıl	6 Ay
Kısmi Zamanlı Çalışma İşleri	10 Yıl	6 Ay
Öğrenci Sağlık Raporu İşlemleri	10 Yıl	6 Ay
Öğrenci Konseyi Ve Temsilciliği	10 Yıl	6 Ay
Öğrenci Toplulukları, Birlikleri vb.	10 Yıl	6 Ay
Öğrenci Değişim Programları	Süresiz	6 Ay
Akademik ve İdari Personel Dosyaları	101 Yıl	6 Ay
Hizmetli Personel Dosyaları	Hukuki İlişkinin Sona Ermesinden İtibaren 10 yıl	6 Ay
Öğretim Elemanının Yerleştirme İşlemleri	15 Yıl	6 Ay
Öğretim Elemanı Değişim Programları	15 Yıl	6 Ay
Yurtdışı Lisansüstü Eğitim Bursları	15 Yıl	6 Ay
Akademik Kadro İşlemleri	15 Yıl	6 Ay
Akademik Personel Görevlendirmeleri	15 Yıl	6 Ay
Yabancı Uyruklu Akademik Personel İstihdamı	15 Yıl	6 Ay
Sürekli Eğitim Uygulama ve Araştırma Merkezi	5 Yıl	6 Ay

Duyurular

Haberler