1. GİRİŞ Avrupa Konseyi bünyesinde hazırlanarak 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, ülkemizde Avrupa Birliği kriterlerine uyum çerçevesinde uzun yıllar çalışılarak hazırlanmış ve Kişisel Verilerin Korunması Kanunu (“KVKK”) olarak 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlamaktadır. KVKK’nın yürürlüğe girmesi ile bireylerin kişisel verileri, yasal düzenleme ile koruma altına alınmıştır. Kanun içerik olarak, kişisel verilerin tanımlanması ve sınıflandırılması, kişisel verilerin işlenmesi, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi, şikâyet başvuru usulleri gibi hususları düzenlemektedir. Kanun ile düzenlenen bireylerin kişisel verilerinin korunma yükümlülüğü, KTO Karatay Üniversitesi’nde yüksek kalite standartları çerçevesinde tüm teknik imkânlar kullanılarak özenle dikkat edilen bir husustur. Kanuna uyum sürecinin en başarılı şekilde uygulanabilmesi amacı ile işbu politika düzenlenerek yürürlüğe alınmıştır. 2. AMAÇ ve KAPSAM Kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın artırılması için gerekli tüm eğitimler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm çalışmalar yapılacaktır. Bu tedbirlerin işletilebilmesi için gerekli olan teknolojik altyapı kurulacaktır. Politika, KVKK için gerekli olan tüm tedbirleri alarak, konu ile ilgili düzenlenen iç prosedürlerin en etkin şekilde uygulanması ve gerekli uyum faaliyetlerinin düzenlenmesi konusunda, tüm üniversite çalışanları için başvuru kaynağı niteliğindedir. Üniversitede görevli tüm personel, bu politika ile belirlenen kurallara uymak ile yükümlüdür. Kişisel Verilerin Korunması Kanunu’nun “Kapsam” başlıklı 2. maddesinde Kanunun kapsamı düzenlenmiştir. Buna göre Kişisel Verilerin Korunması Kanunu “kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Kanunun gerekçesinde de belirtildiği gibi kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Kanunun uygulaması bakımından kamu ve özel sektör ayrımı yapılmamış olup düzenlenen usul ve esaslar her alanı kapsamaktadır. 3. TANIMLAR 3.1. Açık Rıza: Kanunda açık rıza, 95/46/AT sayılı Avrupa Birliği Yönergesinde yer aldığı şekilde “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Gerekçede de belirtildiği gibi, ilgili kişinin kendisine ait kişisel verilerin işlenmesine izin verdiği ve bu iznin sadece o işlemle sınırlı olduğunu belirtilen onay beyanıdır. Bu onay beyanı, üniversitenin KVKK prosedürlerine uygun şekilde alınmalı ve saklanmalıdır. 3.2. Anonim Hâle Getirme: Kanunda kişisel verilerin anonim hale getirilmesi, verilerin başka verilerle eşleştirilmesi dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Bir başka deyişle, kişisel verinin anonim hale getirilmesi sonucunda elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğunun anlaşılamaması gerekir. KTO Karatay Üniversitesi bu yönde gerekli olan tedbirleri almaktadır. 3.3. İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. Üniversite öğrencilerinin idari ve akademik personellerinin, yöneticilerinin, Mütevelli Heyetinin, danışmanlarının ve çözüm ortaklarının, misafirlerinin kişisel veri ve özel nitelikli kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK kanunu kapsamında, hazırlanan prosedürler dahilinde ele alınacaktır. 3.4. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kanunda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu bağlamda kişilerin kesin olarak belirlenmesini sağlayan adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler yanında, kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin bilgiler de kişisel veri olarak kabul edilmelidir. Gerekçede, bir kişinin belirli veya belirlenebilir olması, “mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesi” olarak tanımlanmıştır. Gerekçede isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verinin kişileri belirli veya belirlenebilir kılma özelliklerinin bulunması nedeniyle kişisel veri oldukları belirtilmiştir. Bu tanım eşliğinde, KTO Karatay Üniversitesi iş süreçleri kapsamında örnek verilirse; bir öğrencinin kayıt esnasında üniversiteye vermiş olduğu bilgiler (nüfus kayıt bilgileri, iletişim bilgileri, diploma bilgileri vb.) kişisel veridir. Öğrencinin bursluluk bilgileri, not ortalamaları da bu kapsamda değerlendirilir. İnsan Kaynakları Direktörlüğü tarafından işlenen idari ve akademik personel özlük bilgileri yine kişisel veriye örnektir. 3.5. Kişisel Verilerin İşlenmesi: Kanunda kişisel verilerin işlenmesi; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak, geniş bir alanı kapsayacak şekilde tanımlanmıştır. Gerekçede belirtildiği gibi, kişisel verilerin işlenmesi, verinin ilk defa elde edilmesinden başlayarak veri üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ise özel nitelikli kişisel veridir. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile departmanlar bazında belirlenmiştir. 3.8. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. KVKK kapsamında KTO Karatay Üniversitesi, veri sorumlusu sıfatına haiz olarak VERBİS sistemine kayıtlıdır. Üniversite içerisinde üç kişiden oluşan bir ekip (Kişisel Veri Sorumlusu Ekibi) alınan Mütevelli Heyeti Kararı ile kurulmuş olup, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan bu ekip sorumludur. Karar alınmasını gerektiren durumlarda üniversite içi Kişisel Veri Sorumlusu Ekibi, Hukuk Müşavirliği’nin de görüşünü aldıktan sonra yönetime tavsiye niteliğinde karar sunmakta, yönetimin onayına müteakip alınan kararları uygulamaktadır. 4. KVKK POLİTİKASININ YÜRÜTÜLMESİ VE SORUMLULUKLAR 4.1. Veri sorumlusu sıfatı ile üniversite, işbu politikanın tüm süreçlerinin ve iç işleyişlerinin düzenlenmesi ve uygulanması yönünden sorumludur. 4.2. İşbu politika çerçevesinde hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin üniversite bünyesinde uygulanmasından Hukuk Müşavirliği ve İç Denetim Biriminin desteği ile Kişisel Veri Sorumlusu Ekibi sorumlu ve yetkilidir. 4.3. Üniversitenin tüm personeli, departmanları, organları ve ilgili tüm üçüncü şahısların yükümlülükleri politikaya uyum sağlamak, hükümlerine uygun hareket etmek zorundadır. Kişisel Veri Koruma Kanunu ile ilgili mevzuat hükümleri gereğince doğacak olan tüm hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde Kişisel Veri Sorumlusu Ekibi ile iş birliği yapmaktadır. 4.4. İmza mukabili işbu politika üniversite içinde tüm personele teslim edilecek ve politikada yapılan tüm değişiklikler, Kişisel Veri Sorumlusu Ekibi tarafından takip edilmek üzere, üniversitenin internet sitesi ve bilgi sistemlerine yüklenerek her zaman güncel ve erişilebilir olmaktadır. 4.5. Yürürlükte olan mevzuat ile politika arasında çelişki meydana gelmesi halinde üniversite, mevzuat hükümlerini uygulamaktadır. Çelişkili politika, Kişisel Veri Sorumlusu Ekibi tarafından mevzuata uygun hale getirilerek çelişki giderilmektedir. 5. KİŞİSEL VERİLERİN İŞLENMESİ İÇİN GENEL İLKELER 5.1. Hukuka ve Dürüstlük Kuralına Uygun Olma Dürüstlük kuralı ilkesi, Türk Medeni Kanunu’nun 2. maddesinde yer aldığı üzere, kişisel verilerin işlenmesi sırasında kanun ve diğer hukuksal düzenlemelere uygun ve şeffaflığa dikkat edilmesi anlamına gelmektedir. 5.2 Doğru Olma ve Güncellik İlgili kişinin menfaatleri açısından, belli bir amaç için tutulan kişisel verinin doğru tutulması önemi arz etmektedir. Yanlış veri tutulması ise hem veri sorumlusunun menfaatlerini hem de veri sahibinin temel hak ve özgürlüklerini, manevi bütünlüğünü, ekonomik menfaatlerini zarara sokacak sonuçlar ortaya çıkarabilmektedir. 5.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesi, veri sorumlusunun, kişisel verileri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumluları, kişisel veriyi belirttikleri amaç dışında işlerlerse, bundan sorumludur. Gerekçede belirtildiği gibi, amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmet ile bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. 5.4. Verilerin Amaç ile Bağlantılı, Sınırlı ve Ölçülü Olması Bu ilkeye göre veri sorumlusu amacına ulaşmak için yeterli verileri toplamalı, fazla verileri toplamamalıdır. 5.5. Yürürlükte Olan Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre ile Sınırlı Olarak Muhafaza Edilme Kişisel veriler, ilgili mevzuatta belirlenen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir. Mevzuatta bir süre belirlenmişse bu süre baz alınır. Bir süre belirlenmemişse, belirli bir amaç için gerekli olan süre kadar veriler muhafaza edilir. Süre bitiminde üniversite tarafından saklanmaksızın veriler silinir, yok edilir veya anonimleştirilir. 6. KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI Bu şartlar açıkça KVKK 5. maddesinde yer almaktadır. Şartlar şu şekilde sıralanmıştır: 6.1. Açık Rıza Verilerin işlenmesinde ana kural olan açık rıza, ilgili kişinin konuyla ilgili yeterli bilgi sahibi olup, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Üniversite, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir. 6.2. İşleme Yasağının İstisnaları Kanunlarda açıkça düzenlenmesinin yanı sıra fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, kişisel verilerin işlenmesi ile ilgili bir sözleşmenin kurulması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerin açık rıza aramaksızın işlenmesi mümkündür. 7. ÖZEL NİTELİKLİ VERİLERİN İŞLENME ŞARTLARI Bu şartlar KVKK 6. maddesinde açıkça yer almaktadır. Üniversite tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir. Şartlar şu şekildedir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. 8. KİŞİSEL VERİLERLE İLGİLİ İŞLEMLER 8.1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi KVKK 7. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince ilgili mevzuata uygun olarak işlenen verilerin, işlenme amacının ortadan kalkması ile re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. 8.2. Kişisel Verilerin Yurt İçinde Aktarılması 8.2.1. Açık Rızanın Bulunması KVKK 8. maddesinde düzenlenen veri sahibinin açık rızası, yurt içinde aktarılacak veriler için ana kural olup, aynı kanunun 2. fıkra ve 3. fıkrası bu konuda bir istisna düzenlemektedir. Üniversite, hangi kişisel verilerin yurt içinde üçüncü şahıslara aktarılmasına rıza verildiğini tespit edecek ve verileri aktaracaktır. 8.2.2. Açık Rıza Bulunmadan Verilerin Aktarılmasına İlişkin Şartların Sağlanması KVKK 5. maddesinin 2. fıkrası gereğince veri sahibinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür. Bu durumların kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gerekmektedir. 8.2.3. Açık Rıza Bulunmadan Özel Nitelikli Verilerin Aktarılmasına İlişkin Şartların Sağlanması Kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmesi ve kamu sağlının korunması ile birlikte sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara açık rıza aranmaksızın aktarılabilir. Üniversite bu durumda, bu politikanın 7. maddesinde düzenlenen koşulların gerçekleşmesinin tespiti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin aktarılmasına ilişkin olan gerekli önlemleri alma yükümlülüğü, Kişisel Veri Sorumlusu Ekibi tarafından takip edilecektir. Özel nitelikli kişisel verilerin aktarılacağı üçüncü şahısların da aynı gerekli önlemleri alma yükümlülüğü almış olması zorunludur. Alınan gerekli önlemlere ilişkin tespit ve koordinasyon Kişisel Veri Sorumlusu Ekibi ve ilgili departman gözetiminde gerçekleştirilir. 8.3. Kişisel Verilerin Yurt Dışına Aktarılması 8.3.1. Açık Rızanın Bulunması KVKK 9. maddesinde düzenlenen veri sahibinin açık rızası, yurt dışında aktarılacak veriler için ana kural olup, aynı kanunun 2. fıkrası bu konuda bir istisna düzenlemektedir. 8.3.2. Açık Rıza Bulunmadan Verilerin Aktarılmasına İlişkin Şartların Sağlanması KVKK 5. maddesinin 2. fıkrası gereğince veri sahibinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür. Bu durumlarda kişisel verilerin aktarılacağı ülkelerde yeterli korumanın bulunması gerekmektedir. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması şart olarak hüküm altına alınmıştır. Yeterli korumanın bulunduğu ülkeler kurulca belirlenir ve Kişisel Veri Sorumlusu Ekibi tarafından takip edilerek üniversitenin KVKK iç işleyiş süreçlerine dahil edilir. Üniversite, verinin aktarılacağı ülkedeki üçüncü kişilerin yeterli korumayı taahhüt etmesi şartı ile kişisel verileri yurt dışına aktarır. 9. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ 9.1. Aydınlatma Yükümlülüğü KVKK’nın 10. maddesi gereğince veri sorumlusu sıfatı ile üniversite, verilerin elde edilmesi sırasında veri sahibini, veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplamanın yöntemini ve hukuki sebeplerini, kişisel veri sahibinin sahip olduğu diğer hakları ile ilgili aydınlatmalıdır. Üniversite bu yükümlülüğü yerine getirmek için iş süreçlerini ve veri toplama kanallarını gözden geçirmiş, tüm tespit edilen veriler bir sınıflandırmaya tabi tutularak envantere aktarılmış, KVKK 11. maddesinde yer alan veri sahiplerinin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için de iletişim kanalları oluşturulmuş ve gerekli düzenlemeler ile formlar yapılmıştır. 9.2. Kişisel Veri Güvenliğine Dair Yükümlülük 9.2.1. Hukuka aykırı olarak işlenmesini önleme KVKK’nın 12. maddesi gereğince veri sorumlusu sıfatı ile üniversite, kişisel verileri hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Üniversite bu yükümlülüğü yerine getirmek üzere farklı sistemler kurmuş, tüm personelini KVKK çerçevesinde bu yükümlülük hakkında bilgilendirmiş, sistemlerin denetimini yapmak üzere ilgili personeli belirlemiş ve üniversitenin kalite web sitesinde yayınlanmak üzere prosedürlerini oluşturmuştur. Üniversitenin ilgili birimleri tarafından yürütülen veri işleme faaliyetleri kapsamında “Kişisel Veri Envanteri” hazırlanmıştır. ISO 27001 belgesi için gerekli eğitimlere başlanmış, verilerin toplanmasından silinmesine kadar olan tüm süreçler gerekli idari yapı, donanım ve yazılım ile altyapısı oluşturulmuştur. Kişisel Veri Sorumlusu Ekibi tüm takiplerden, güncellemelerden, denetimlerden ve raporlamalardan sorumludur. Üniversite, gerekli olacak tüm belge ve evrakları düzenleyerek her bir personeline ulaştıracak ve gerekli eğitim seminerlerini düzenleyip katılım belgelerini özlük dosyalarına koyacaktır. Üniversite, kişisel veri içeren her türlü belgeyi hukuka uygun olarak işlenmesi için KVKK çerçevesindeki yükümlülüklere uygun hareket edeceğini, verilerin ifşa edilmeyeceğini, verilere ilişkin gizlilik yükümlülüğünün üniversite ile personel arasındaki iş akdinin sona ermesinden sonra dahi devam edeceğini, tüm bu yükümlülüklere uyulmadığı takdirde iş akdinin feshine kadar gidilebileceğini işbu politika ile kayıt altına almış ve personelini bilgilendirmiştir. 9.2.2. Hukuka Aykırı Olarak Erişilmesini Önleme 9.2.2.1. Teknik Tedbirler Üniversite, teknik açıdan uygun olarak önlemler alacak, gerekli periyodik güncellemeleri yapacak, yenileyecek ve sızma testleri ve sair tüm gerekli metotlarla sistemin güvenilirliğini test edecek/ettirecek ve gerekli tüm çalışmaları yapacaktır. Üniversite tarafından, birimler bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınacaktır. Veri Koruma Kurulunun teknik standartlar getirmesi durumunda ise bu teknik standartları sağlayacak yazılım/donanım çözümlerini üniversite uygulamaya alacaktır. Üniversite, verilere erişim yetkisi bulunan tüm sistemlere, ihtiyaç duyulan tüm donanımsal ve yazılımsal sistemleri kuracaktır. Üniversite, veri kaybının önlenmesi adına yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını sağlayacak, risk planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu politika ile getirilen güvenlik önlemlerini ve verilerin KVKK’ya uyumlu bir şekilde saklaması için gerekli akitleri yapacaktır. Alınan tüm teknik önlemler, periyodik olarak ilgilisine ve Kişisel Veri Sorumlusu Ekibine raporlanacaktır. Risk teşkil eden hususlar için teknik çözümler üretilecektir. Teknik tedbirler çerçevesinde Kişisel Veri Sorumlusu Ekibi, birim yöneticileri ve Bilgi İşlem Direktörlüğü her birime ilişkin ayrı prosedürlerin düzenlenmesi ve denetimlerin gerçekleştirmesi süreçlerini ortak yürütecektir. 9.2.2.2. İdari Tedbirler Üniversite personelinin, kişisel verilere hukuka aykırı bir şekilde erişiminin engellenmesi için gerekli eğitimler sağlanacaktır. Üniversite personelinin, işlenen kişisel verilerin tümüne erişimi engellenerek ve işlem amacı göz önünde bulundurularak erişim yetkileri düzenlenecektir. Üniversite, kişisel veri içeren her türlü belgeyi hukuka uygun olarak işlenmesi için KVKK çerçevesindeki yükümlülüklere uygun hareket edileceğini, verilerin ifşa edilmeyeceğini, verilere ilişkin gizlilik yükümlülüğünün üniversite ile personel arasındaki iş akdinin sona ermesinden sonra dahi devam edeceğini, tüm bu yükümlülüklere uyulmadığı takdirde iş akdinin feshine kadar gidilebileceğini işbu politika ile kayıt altına almış ve personelini bilgilendirmiştir. 9.2.3. Alınan Tedbirlerin Denetimi Üniversite, alacağı teknik ve idari tedbirler açısından gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgular. Çıkan sonuçlar üniversitenin konu ile ilgili birimi tarafından raporlanır ve iyileştirme için gerekli faaliyetler yürütülür. Görev ve yetkisine bakılmaksızın tüm personel görmüş olduğu eksikleri raporlamakla yükümlüdür. Üniversite tarafından; birimlerin ve paydaşların kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanır, periyodik raporlamaların ve raporlar çerçevesindeki aksiyonların takibi, doğrulama testleri ve kontrolleri yapılır. KVKK 12. madde gereğince üçüncü şahısların da işbu Politika ve KVKK hükümleri çerçevesinde verileri hukuka uygun olarak işleme, muhafaza etme ve erişme yükümlülükleri vardır ve aykırı durumlarda sorumludur. Üniversite bu nedenle, üçüncü kişilere bu şartların sağlanması ve kendisine denetim yapma yetkisinin verilmesini içeren taahhütler hazırlar. 10. İLGİLİ KİŞİNİN HAKLARI KVKK’nın 11. maddesi gereğince ilgili kişi, veri sorumlusu üniversiteye başvurarak kendisi ile ilgili kişisel verinin işlenip işlenmediğini öğrenme ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme, işleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenme, kişisel verilerin aktarıldığı kişileri bilme, eksik veya yanlış işleme halinde düzeltme isteme ve şartları gerçekleşmişse kişisel verilerin silinmesini isteme ve bu taleplerinin üçüncü kişilere iletilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etme hakkına sahiptir. Veri sahiplerinin yukarıda yazılan haklarına ilişkin taleplerini üniversite tarafından hazırlanan bir form ile yazılı olarak üniversiteye iletmesi durumunda, KVKK’nın 13. maddesi gereğince üniversite, talebin niteliğine göre bu formu en geç otuz gün içinde cevaplayacaktır. Talebin bir maliyet gerektirmesi halinde, KVK Kurulunca belirlenecek tarifedeki ücret alınacaktır. Yazılı başvurunun üniversitenin hatasından kaynaklandığı anlaşılır ise alınan ücret başvuru yapana iade edilecektir. Üniversite, talebin niteliğine göre başvuruyu kabul edebileceği gibi, gerekçe göstermek şartı ile reddedebilir. Başvurunun kabul edilmesi halinde talep üniversite tarafından gecikmeksizin yerine getirilir. Başvuru sahibinin, başvurusunun reddedilmesi, verilen cevabın yetersiz olması veya süresinde başvuruya cevap verilmemesi halinde 30 gün içerisinde KVK Kuruluna şikâyet hakkı vardır. 11. YÜRÜRLÜK VE GÜNCELLEMELER İşbu politika, KTO Karatay Üniversitesi Mütevelli Heyeti Başkanı tarafından onaylandığı tarihte yürürlüğe girer. Politikada yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar Hukuk, Denetim ve Kişisel Veri Sorumlusu Ekibi tarafından yapılacak ve değişiklikler üniversite Rektörünün onayı ile yürürlüğe girecektir. Politika, yılda bir defa güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişim, Veri Koruma Kurulunun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda üniversite bu politikayı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi KTO Karatay Üniversitesi Mütevelli Heyeti Başkanı’na aittir.
