YEDİTEPE ÜNİVERSİTESİ
YEDİTEPE ÜNİVERSİTESİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
MAYIS 2019
İÇİNDEKİLER
1.AMAÇ 5
2.KAPSAM 5
3.TANIMLAR 6
4.POLİTİKANIN YÜRÜTÜLMESİ VE SORUMLULAR 8
5.KİŞİSEL VERİ İŞLEME İLKELERİ-------------------------------------------------------------------------
------------------8
5.1 Kişisel Verilerin İşlenmesinde Genel İlkeler -9
5.2.Hukuka ve Dürüstlük Kuralına Uygun İşleme -9
5.3. Doğru ve Gerektiğinde Güncel Olma -9
5.4. Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi 10
5.5. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma 10
5.6. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza
Etme 10
6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 10
6.1 Xxxxxx Xxxxxxx Açık Rızasının Bulunması 10
6.2 İşlemenin Kanunlarda Açıkça Öngörülmesi 10
6.3.Fiili İmkansızlık Sebebiyle Xxxxxx Xxxxxxx Açık Rızasının Alınamaması 10
6.4.Bir Sözleşmenin Kurulması ve İfası İle Doğrudan İlgili Olmak Kaydıyla Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması 11
6.5.Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesinin Kişisel Veri İşlemeyi Zorunlu
Kılması- -11
6.6.Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi 11
6.7 Bir Hakkın Tesisi, Kullanımı veya Korunması İçin Veri İşlemenin Zorunlu Olması 11
6.8 Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması 11
7.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI 11
8.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI ve ÖZEL NİTELİKLİ VERİLERİN KORUNMASINA İLİŞKİN ÖNLEMLER 13
8.1.Özel Nitelikli Kişisel Verilerin İşlenme Amaçları 13
8.2. Özel Nitelikli Verilerin Korunmasına İlişkin Önlemler 13
9. KİŞİSEL VERİLERİN AKTARILMASI 14
9.1. Kişisel Verilerin Yurt İçinde Aktarılması 14
9.1.1. Xxxxxx Xxxxxxx Açık Rızasının bulunması 14
9.1.2. Kanunlarda Açıkça Öngörülmesi -
15
9.1.3. Fiili İmkansızlık Sebebiyle Xxxxxx Xxxxxxx Açık Rızasının Alınamaması--------------------------------
15
9.1.4 Sözleşmenin Kurulması veya Sözleşmenin İfasıyla Doğrudan İlgisi Olması---------------------------
-15
9.1.5.Veri Sorumlusu Üniversite’nin Hukuki Yükümlülüğünü Yerine Getirmesinin Kişisel Veriyi İşlemeyi Zorunlu Kılması
-15
9.1.6. Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi-------------------------------------
---15
9.1.7. Bir Hakkın Tesisi, Kullanımı veya Korunması İçin Veri İşlemenin Zorunlu Kılması----------------
--15
9.1.8.Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemeniz Zorunlu Kılması-------------------------
15
9.1.9 Yeditepe Üniversitesi Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
15
9.2. Kişisel Verilerin Yurt Dışına Aktarılması 16
9.2.1 İlgili Kişinin Kişisel Verilerinin Yurt Dışına Aktarılmasına İlişkin Açık Rızasının Bulunması-----
16
9.2.2 Xxxxxx Xxxxxxx Açık Rızası Bulunmasa Dahi Kişisel Verilerin İşlenmesine İlişkin Şartların Sağlanması Kaydıyla Kişisel Verilerin Aktarılması
-17
9.3. Özel Nitelikli Verilerin Aktarılması- - 17
9.3.1 Özel Nitelikli Verilerin Yurt İçine Aktarılması-------------------------------------------------------------
17
9.3.2 Özel Nitelikli Verilerin Yurt Dışına Aktarılması-----------------------------------------------------------
18
10 – YEDİTEPE ÜNİVERSİTESİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU 18
11. YEDİTEPE ÜNİVERSİTESİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON 20
12.KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ 21
13. VERİ SORUMLUSU SIFATI İLE ÜNİVERSİTENİN YÜKÜMLÜLÜKLERİ 21
14. İLGİLİ KİŞİNİN HAKLARI 21
14.1 Kişisel Veri Sahibinin Aydınlatılması 21
14.2 Kişisel Veri Sahibinin KVKK çerçevesindeki Hakları 21
14.3 Kişisel Veri Sahibinin Haklarını Kullanması 22
14.4 Üniversite’nin Başvurulara Cevap Verme Süresi 22
14.5 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller 23
15. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANILMASI 23
15.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler 23
15.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler-------------------
---24
15.3 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler-----------------
25
15.4. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler-------------------
25
15.5. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler----------------------
---26
15.6. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler--------------------------
26
16. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ 26
17. YEDİTEPE ÜNİVERSİTESİ BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ------------------------------------------------------
-----------------------------------------------------26
18. YEDİTEPE ÜNİVERSİTESİ BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ -----------------------------------------------
-------------------------------------------------------27
19. YEDİTEPE ÜNİVERSİTESİ BİNA VE TESİSLERİNDE ZİYARETÇİ’LERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI-------------
-----------------------------------------------------27
20. İNTERNET SİTESİ ZİYARETÇİLERİ -------------------------------------------------------------------
-----------------28
21. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ-----------------------------------------------------------
------------------28
22. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ-
-----------------------28
23.GÜNCELLEME--------------------------------------------------------------------------------------------------
----------28
24.YEDİTEPE ÜNİVERSİTESİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ----------------------------------------
---------------------------------------------------29
YEDİTEPE ÜNİVERSİTESİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. AMAÇ
İşbu politikanın amacı; kişisel verilerin korunması ve işlenmesinde Yeditepe Üniversitesi’nin tabi olduğu usul ve esasları belirlemek, verilerin korunması amacıyla yürütülen teknik ve idari faaliyetlerin, bir politika altında düzenlenmesi suretiyle etkin ve düzenli bir şekilde icrasını sağlamak ve kişisel verileri işlenen ilgili kişileri (öğrenci, mezun, çalışan, çalışan adayı, yetkili, ziyaretçi, iş birliği içinde olunan üçüncü kişiler vb.) bilgilendirerek şeffaflığı sağlamaktır.
2. KAPSAM
İşbu Politika; öğrencilerimiz, mezunlarımız, stajyerlerimiz, stajyer adaylarımız, çalışanlarımız, çalışan adaylarımız, ziyaretçilerimiz, iş ortakları/tedarikçi/alt işveren yetkililerimiz ve onların çalışanları ile üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (çalışanımız da olan mezunlarımız gibi); yalnızca bir kısım hükümleri de (yalnızca çalışanlarımız) olabilecektir.
3. TANIMLAR
Yeditepe Üniversitesi | T.C. Yeditepe Üniversitesi Rektörlüğü ve Rektörlüğe bağlı birim ve merkezleri |
Xxxx xxxx | Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Alt İşveren | Yeditepe Üniversitesi veya bağlı merkez ve birimlerinin sözleşmesel ilişki içerisinde olduğu ve Yeditepe Üniversitesi veya bağlı merkez ve birimlerine hizmet sunan tarafların alt işverenleri |
Başvuru Formu | 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun uyarınca İlgili Kişi(Veri Sahibi)tarafından Veri Sorumlusu T.C. Yeditepe Üniversitesi’ne yapılacak başvurularda kullanılacak Başvuru Formu |
Çalışan | T.C. Yeditepe Üniversitesi veya bağlı merkez ve birimleri personeli |
Çalışan Adayı | T.C. Yeditepe Üniversitesi veya bağlı merkez ve birimlerine iş başvurusunda bulunmuş veya özgeçmiş/ilgili bilgilerini T.C. Yeditepe Üniversitesi’nin incelemesine açmış olan gerçek kişiler |
İlgili kişi / Kişisel Veri Sahibi | Kişisel verisi işlenen gerçek kişi |
İrtibat Temsilcisi | 30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik m.11/4 uyarınca atanmış Yeditepe Üniversitesi İrtibat Temsilcisi |
İstek Vakfı | T.C. Yeditepe Üniversitesi’nin kurucusu olduğu İstanbul Eğitim ve Kültür Vakfı |
İş Ortakları | Yeditepe Üniversitesi veya bağlı merkez ve birimlerinin faaliyetlerini yürütürken iş ortaklığı kurduğu taraflar |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin: ad-soyad, TCKN, e-posta adresi, doğum tarihi, kredi kartı no, vb. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin başka verilerle eşleştirilse dahi maskeleme, toplulaştırma, veri bozma, vb. gibi tekniklerle hiçbir surette kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi |
KVKK | 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayınlanan 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun |
KVK Kurulu | Kişisel Verileri Koruma Kurulu |
KVK Kurumu | Kişisel Verileri Koruma Kurumu |
Mütevelli Heyeti | T.C. Yeditepe Üniversitesi Rektörlüğü Xxxxxxxxx Heyeti’ni |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerini |
Politika | T.C. Yeditepe Üniversitesi Kişisel Verilerin Korunması ve İşlenmesi Politikasını |
Stajyer | T.C. Yeditepe Üniversitesi veya bağlı merkez ve birimlerinde staj yapan gerçek kişiler |
Stajyer Adayı | T.C. Yeditepe Üniversitesi veya bağlı merkez ve birimlerinde staj yapmak üzere başvuruda bulunan, özgeçmiş ve ilgili diğer bilgileri T.C. Yeditepe Üniversitesi’nin incelemesine açmış olan kişiler |
Tedarikçi | Yeditepe Üniversitesi veya bağlı merkez ve birimlerinin sözleşmesel ilişki içerisinde olduğu ve Yeditepe Üniversitesi veya bağlı merkez ve birimlerine hizmet sunan taraflar |
Üçüncü kişi | Politika kapsamında farklı bir şekilde tanımlanmamış olan kişisel verileri işlenen gerçek kişiler (Kefil, refakatçi, aile bireyleri) |
Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. Örneğin; üniversitenin verilerini tutan bulut bilişim firması, vb. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri Sorumlusu Komitesi | 30.12.2017 tarih, 30286 sayılı Resmi Gazete’de yayımlanarak, 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/1 uyarınca T.C. Yeditepe Üniversitesi nezdinde oluşturulmuş Veri Sorumlusu Komitesi |
Veri Sorumlusu Temsilcisi | 30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/3 uyarınca atanmış T.C. Yeditepe Üniversitesi Veri Sorumlusu Temsilcisi |
Ziyaretçi | T.C. Yeditepe Üniversitesi veya bağlı merkez ve birimlerinin bulunduğu fiziksel yerleşkeleri veya internet sitelerini ziyaret eden, etkinliklerimize katılan gerçek kişiler |
4. POLİTİKANIN YÜRÜTÜLMESİ VE SORUMLULAR
4.1. Yeditepe Üniversitesi ‘Veri Sorumlusu’ sıfatıyla, bu politikanın uygulatılmasından sorumludur.
4.2 Politikanın hazırlanması, uygulanması ve güncellenmesinden, Yeditepe Üniversitesi Veri Sorumlusu Komitesi yetkili ve sorumlu olacaktır.
4.3 Üniversite tüm departmanları ve organları ile, ilgili kişiler(öğrenci, mezun, stajyer, stajyer adayı, çalışan, çalışan adayı, ziyaretçi, iş ortakları/tedarikçi/alt işveren yetkilileri ve çalışanları) Politika hükümlerine uygun hareket etmek, bu hükümlere uyulmasını sağlamak ve aykırı hareketin tespiti halinde durumu Üniversite Veri Sorumlusu Komitesi’ne bildirmekle yükümlüdür.
4.4 Politika, xxx.xxxxxxxx.xxx.xx internet sitesinde yayınlanmış olup, ayrıca ortak bilgi işlem sistemlerine de yüklenmek suretiyle erişime açıktır.
4.5 Politikada yapılan güncellemeler ‘Veri Sorumlusu Komitesi’ tarafından, gerek Üniversite web adresinde, gerekse de ortak bilgi işlem sistemine yüklenmek suretiyle erişime açık hale getirilecektir.
4.6 Politika ile mevcut kanun hükümleri arasında çelişki olması halinde, kanun hükümleri geçerli olacak ve Veri Sorumlusu Komitesi politikanın kanun hükümlerine uygun hale getirilmesi için gerekli güncellemeyi yaparak erişime açık hale getirecektir.
4.7 Politikanın yürürlükten kaldırılmasına karar verme yetkisi Xxxxxxxxx Heyetine aittir.
5.KİŞİSEL VERİ İŞLEME İLKELERİ
5.1 Kişisel Verilerin İşlenmesinde Genel İlkeler
Kişisel veriler, 6698 sayılı KVK Kanunu ve ikincil düzenlemeler ile, bu Politikada öngörülen usul ve esaslara uygun olarak işlenmektedir.
Yeditepe Üniversitesi kişisel verilerin işlenmesinde aşağıdaki ilkelerle hareket eder:
5.2 Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel Veriler, yürürlükteki hukuki düzenlemelere ve dürüstlük kuralına uygun olarak işlenmektedir. Yeditepe Üniversitesi, kişisel verilerin işlenmesinde orantılılık gereklerini dikkate almakta ve kişisel verileri işleme amaçları dışında kullanmamaktadır.
5.3 Doğru ve Gerektiğinde Güncel Olma
Yeditepe Üniversitesi tarafından kişisel verilerin toplanması ve işlenmesinde gerekli tedbirler alınarak verilerin doğruluğu sağlanmakta ve ilgili kişilere kişisel verilerini güncelleme imkânı tanınmaktadır.
5.4 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Yeditepe Üniversitesi tarafından, kişisel veri işleme amaçları kesin ve açık olarak belirlenmekte ve söz konusu veriler Üniversite’nin faaliyetleriyle bağlantılı olarak mevzuatlarda yer alan süreler dâhilinde işlenmektedir. Üniversite tarafından kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
5.5 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler ve işleme amaçları ‘Veri Envanteri’ ile kategorize edilmekte ve amacın gerçekleştirilmesi ile ilgili olmayan verilerin işlenmesinden kaçınılmaktadır. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
5.6 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel Veriler, Yeditepe Üniversitesi ve bağlı merkez/birimlerinin tabi olduğu başta Yükseköğretim mevzuatı ve Sağlık mevzuatı olmak üzere, diğer ilgili tüm kanun ve sair yasal mevzuatta yer alan veri işleme ve zamanaşımı süreleri dikkate alınarak işlenmektedir. Kanuni düzenlemelerde veri işleme sürelerinde değişiklik yapılması halinde, belirlenen yeni süreler esas alınmaktadır. Kanuni düzenlemelerle bir veri işleme süresi belirlenmediği hallerde, Yeditepe Üniversitesi kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Yeditepe Üniversitesi tarafından, kişisel verilerin işlenmesinde, 6698 sayılı KVK Kanunu’nun
5. maddesinde belirtilen kişisel veri işleme şartlarına uygun hareket edilmektedir.
6.1.Xxxxxx Xxxxxxx Açık Rızasının Bulunması
6698 sayılı KVK Kanunu’na göre kişisel verilerin işlenmesi bakımından temel hukuka uygunluk sebebi ‘Xxxx Xxxx’dır. Xxxx Xxxx; kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradesiyle açıklanan rızasını ifade eder.
Yeditepe Üniversitesi tarafından kişisel veri işlenilmesinde,6698 sayılı KVK Kanununun 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında sınırlı olarak belirtili ‘veri işleme şartlarının’ mevcut olup olmadığı öncelikli olarak değerlendirilmekte ve bu şartlardan herhangi biri yoksa, kişisel veri işleme faaliyeti ilgili kişinin bu işleme faaliyetine yönelik alınan açık rızası ile yapılmaktadır.
6.2.İşlemenin Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
6.3.Fiili İmkânsızlık Sebebiyle Xxxxxx Xxxxxxx Açık Rızasının Alınamaması
Fiili imkânsızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin veya bir başka kişinin hayat ve beden bütünlüğünün korunması için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda, kişisel veriler xxxx xxxx olmaksızın işlenebilmektedir. Örneğin; bayılan bir öğrencinin kan grubu bilgisinin üniversite çalışanları tarafından doktorlara verilmesi.
6.4.Bir Sözleşmenin Kurulması ve İfası İle Doğrudan İlgili Olmak Kaydıyla Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması
Sözleşmenin kurulması veya sözleşme konusu borcun ifasının gerçekleştirilmesiyle doğrudan ilgili olan işlemlerde, kişisel veriler xxxx xxxx olmaksızın işlenebilmektedir.
6.5.Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesinin Kişisel Veri İşlemeyi Zorunlu Kılması
Yeditepe Üniversite’nin veya bağlı merkez/birimlerinin tabi olduğu mevzuatta veri işlemenin zorunlu olarak öngörüldüğü hallerde, hukuki yükümlülüğün yerine getirilmesi için kişisel veriler işlenebilmektedir.
6.6.Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi
İlgili kişinin(Veri sahibi) kişisel verisini alenileştirmiş olması halinde, bu veriler, Yeditepe Üniversitesi tarafından işlenebilecektir.
6.7 Bir Hakkın Tesisi, Kullanımı veya Korunması İçin Veri İşlemenin Zorunlu Olması
Kişisel veri işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu hallerde, ilgili kişinin açık rızası aranmaksızın, veriler işlenebilmektedir.
6.8 Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması
İlgili kişilerin temel hak ve özgürlüklerine zarar verilmemesi kaydıyla, kişisel veri işlenmesinin zorunlu olduğu hallerde, Veri Sorumlusu Yeditepe Üniversite’sinin meşru menfaatleri için kişisel veriler işlenebilmektedir.
7.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Yeditepe Üniversitesi tarafından, 6698 sayılı KVK Kanunu ve ilgili yasal mevzuat kapsamında, aşağıda belirtili amaçlarla sınırlı ve KVK Kanunun 4. maddesinde belirtilen “Genel İlkeler” ile 5. maddesinde belirtilen “Kişisel Verilerin İşlenme Şartları” ve 6. maddesinde belirtilen “ Özel Nitelikli Kişisel Verilerin İşlenme Şartları” na uygun olarak kişisel veriler işlenebilmektedir.
Yeditepe Üniversitesi tarafından kişisel veriler;
• Üniversite ile ilişkisi bulunan gerçek ve/veya tüzel üçüncü kişi kurum ve kuruluşların (öğrenciler, çalışanlar, ziyaretçiler, hastalar, tedarikçiler, iş ortakları vb.) Üniversitemiz ve/veya Üniversitemize bağlı Merkez ve birimlerinin ürün ve hizmetlerinden yararlanabilmeleri için gerekli çalışmaların ilgili iş birimleri tarafından yapılabilmesi,
• Üniversite ana kampüsü ve/veya bağlı merkez ve birimlerinde bulunan gerçek ve/veya tüzel üçüncü kişi kurum ve kuruluşların (öğrenciler, çalışanlar, ziyaretçiler, hastalar, tedarikçiler, iş ortakları vb.) can ve mal güvenlikleri ile hukuki, ticari ve iş sağlığı güvenliklerinin temini,
• 2547 sayılı Yükseköğretim Kanunu, 4857 sayılı İş Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 3308 sayılı Mesleki Eğitim Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 213 sayılı Vergi Usul Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği vb. ilgili tüm kanunlardan ve ikincil düzenlemelerden doğan/doğabilecek yasal ve düzenleyici gereksinimlerin yerine getirilmesi ve bu kapsamda gerekli tedbirlerin alınabilmesi,
• Görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca yapılacak denetleme ve/veya düzenleme görevlerinin yürütülmesi,
• Öğrenciler ile akademik ve idari personel hakkında açılan/açılabilecek disiplin soruşturması süreçlerinin yönetilebilmesi,
• Üniversite bünyesinde bulunan öğrenci kulüplerine üye olunabilmesi, kulüp çatısı altında yapılan çalışmalardan, etkinliklerden ve organizasyonlardan yararlanılabilmesi; ayrıca dernek, vakıf, sivil toplum kuruluşu ve/veya sendikalarla herhangi bir işbirliği ve/veya bağlantısı bulunan bir kulübe üye olunması halinde, bu üyelik ile ilgili kanunlarda öngörülen kayıtların tutulabilmesi,
• Yargı organlarının ve/veya idari makamların istediği bilgi ve belge taleplerinin yerine getirilmesi,
• Üniversite ve Üniversiteye bağlı tüm merkez ve birimlerde sunulan ürün ve hizmetlerin kullanım şekline ilişkin listeleme, raporlama, doğrulama analiz çalışması yapmak, bu hususta istatistiki ve bilimsel bilgiler üretmek, buna bağlı olarak ürün ve hizmetlerimizi geliştirmek, ürün ve hizmetlerimize ilişkin memnuniyeti arttırmak ve bu kapsamda kullanıcıya ilişkin özelleştirmelerde bulunmak,
• Ürün ve hizmetlerimize ilişkin, pazar araştırması, tanıtım ve gerekli bilgilendirmeyi yapabilmek, şikâyet ve önerileri değerlendirebilmek ve Üniversitemiz ile paylaşılan iletişim kanalları üzerinden doğrudan sizinle irtibata geçebilmek,
• Akademik eğitimler, bilimsel araştırmalar, proje başvuruları, Xxxxx ve Sınai Mülkiyet Kanunu kapsamındaki haklara ilişkin başvuru, devir vb. her türlü işlemler ile yayın, danışmanlık vb. her türlü faaliyetin sürdürülebilmesi,
• Üniversitenin tüm İnsan Kaynakları süreç ve politikalarının yürütülmesi,
• Üniversitenin idari ve akademik süreçlerinin, iş stratejilerinin ve yasal uyum süreçlerinin belirlenmesi, geliştirilmesi ve uygulanması,
• Üniversite ile Üniversiteye bağlı merkez ve birimlerin akreditasyon ve değerlendirme çalışmalarının yapılabilmesi,
• Kamu düzeninin ve sağlığının korunması,
• Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım, medikal malzemelerinin temini gibi sağlık hizmetlerinin yürütülmesi ve yönetilmesi,
• Sunulan tüm hizmetlerin finansmanının planlanması ve yönetimi, faturalandırılmasının yapılması,
• Tüm çalışanların eğitilmesi ve geliştirilmesi,
• Eğitim, seminer vb. organizasyonlara katılım taleplerinin yerine getirilmesi,
• Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi,
• Anlaşmalı olunan özel sigorta şirketleri ve/veya diğer kurumlar tarafından, anlaşmalar çerçevesinde sunulan teklif, promosyon, muafiyet vb. hak ve yükümlülüklerin yerine getirilmesi,
• Veri güvenliği kapsamında, sistem ve uygulamalar için gerekli tüm teknik ve idari tedbirlerin alınması amaçlarıyla
6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde işlenebilmektedir.
8.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE KORUNMASI YÖNTEMLERİ
8.1. Özel Nitelikli Verilerin İşlenme Amaçları
KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Kanunun 6/1. maddesi uyarınca; ‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri’ özel nitelikli kişisel veridir.
Özel nitelikli veriler; bu verilerin korunması konusunda Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınması suretiyle, 6698 sayılı KVK Kanununun 6. maddesinde belirtilen ‘Özel Nitelikli Kişisel Verilerin İşlenme şartları’ çerçevesinde aşağıdaki şartların varlığı halinde işlenmektedir:
• -Kişisel Xxxx Xxxxxxxxx Açık Rızası var ise,
• -Kişisel Veri Sahibinin Açık Rızası yok ise; Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunulan durumlarda, mevzuatın öngördüğü ölçüde işlenmektedir.
8.2. Özel Nitelikli Verilerin Korunması Yöntemleri
Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca;
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmiştir.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
• Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,
• Gizlilik sözleşmeleri yapılmakta,
• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,
• Periyodik olarak yetki kontrolleri gerçekleştirilmekte,
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve Yeditepe Üniversitesi tarafından kendisine tahsis edilen envanter iade alınmakta,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
• Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
• Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,
• Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,,
• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta,, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmakta,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmakta,
• Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte, Özel nitelikli kişisel veriler aktarılacaksa;
• Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmakta,
• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtarın farklı ortamda tutulmakta,
• Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,
• Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
9.Kişisel Verilerin Aktarılması
9.1. Kişisel Verilerin Yurt İçinde Aktarılması
9.1.1. Xxxxxx Xxxxxxx Açık Rızasının bulunması
6698 sayılı kanunun 3/a bendi uyarınca ilgili kişinin açık rızası; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Veri Sorumlusu ‘Yeditepe Üniversitesi’ tarafından kişisel veri işleme faaliyetinin ifa edilmesinde, öncelikle veri işleme amacının xxxx xxxx dışındaki işlem şartlarından birine dayanıp dayanmadığı belirlenmekte ve bu amaç kanunda belirtilen xxxx xxxx şartlarından en az birini karşılamıyorsa, veri işleme faaliyetinin devamı için ilgili kişilerden açık rızası alınması yoluna gidilmektedir.
9.1.2. Kanunlarda Açıkça Öngörülmesi
Kanunlarda açıkça öngörülmesi halinde kişisel veriler, ilgili kişilerin açık rızası aranmaksızın aktarılabilecektir.
9.1.3. Fiili İmkânsızlık Sebebiyle Xxxxxx Xxxxxxx Açık Rızasının Alınamaması
6698 sayılı kanunun 5/II-b maddesine göre fiili imkânsızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunluysa, ilgili kişinin kişisel verisi aktarılabilecektir.
9.1.4 Sözleşmenin Kurulması veya Sözleşmenin İfasıyla Doğrudan İlgisi Olması
Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel veriler 6698 sayılı Kanunun 5/II-c maddesine göre hukuka uygun olarak aktarılabilecektir.
9.1.5.Veri Sorumlusu Üniversite’nin Hukuki Yükümlülüğünü Yerine Getirmesinin Kişisel Veriyi İşlemeyi Zorunlu Kılması
6698 sayılı Kanunun 5/II-ç maddesi gereğince; Veri Sorumlusu Üniversitenin hukuki yükümlülüklerini yerine getirmesi kapsamında ilgili kişilerin kişisel verileri aktarılabilecektir.
9.1.6. Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi
Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmesi halinde, 6698 sayılı kanunun 5/II-d bendi uyarınca kişisel veriler Yeditepe Üniversitesi tarafından hukuka uygun olarak aktarılabilecektir.
9.1.7. Bir Hakkın Tesisi, Kullanımı veya Korunması İçin Veri İşlemenin Zorunlu Kılması
Bir hakkın tesisi, kullanımı veya korunması için veri işlemenin zorunlu kılması olması halinde kişisel veriler Üniversite tarafından aktarılabilecektir.
9.1.8.Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemeniz Zorunlu Kılması
İlgili kişinin, temel hak ve hürriyetlerine zarar vermemek kaydıyla; Veri Sorumlusu Üniversite’nim meşru menfaatleri için kişisel veriler aktarılabilecektir.
9.1.9 Yeditepe Üniversitesi Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Yeditepe Üniversitesi, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmekte olup, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
(i) Yeditepe Üniversitesi iş ortaklarına,
(ii) Yeditepe Üniversitesi tedarikçilerine,
(iii) Yeditepe Üniversitesi alt işverenlerine,
(iv) Hukuken Yetkili kamu kurum ve kuruluşlarına
(v) Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler Tanımı | Veri Aktarım Amacı | |
Alt İşveren | 4857 sayılı İş Kanunu’nun 2. maddesinin 6. fıkrasına uygun olarak Yeditepe Üniversitesi’nden, yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde iş alan işveren yetkilisi gerçek kişiler | Alt işverenin yükümlü olduğu faaliyetlerini yerine getirmesini sağlamak amacıyla sınırlı olarak. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Yeditepe Üniversitesi’nden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Yeditepe Üniversitesi’nden bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
İş Ortağı | Yeditepe Üniversitesi’nin faaliyetlerini icra ederken projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi | Yeditepe Üniversitesi’nin faaliyetlerini yürütürken Yeditepe Üniversitesi’nin emir | Yeditepe Üniversitesi’nin tedarikçiden dış kaynaklı olarak temin ettiği ve faaliyetlerini |
ve talimatlarına uygun olarak sözleşme temelli olarak Yeditepe Üniversitesi’ne hizmet sunan tarafları tanımlamaktadır. | yerine getirmek için gerekli hizmetlerin Yeditepe Üniversitesi’ne sunulmasını sağlamak amacıyla sınırlı olarak |
9.2. Kişisel Verilerin Yurt Dışına Aktarılması
9.2.1 İlgili Kişinin Kişisel Verilerinin Yurt Dışına Aktarılmasına İlişkin Açık Rızasının Bulunması
Yeditepe Üniversitesi tarafından kişisel verilerin yurt dışına aktarılmasında; öncelikli olarak kanunun 5. maddesinin ikinci fıkrasında sayılı şartlardan herhangi birinin mevcut olup olmadığı değerlendirilmekte, bu şartlardan herhangi birinin mevcut olmaması halinde açık rızanın alınması suretiyle kişisel veriler yurt dışına aktarılabilmektedir.
9.2.2 Xxxxxx Xxxxxxx Açık Rızası Bulunmasa Dahi Kişisel Verilerin İşlenmesine İlişkin Şartların Sağlanması Kaydıyla Kişisel Verilerin Aktarılması
6698 sayılı KVK Kanunun 5. Maddesinin ikinci fıkrasında yazılı ve aşağıda belirtili;
•Kanunlarda açıkça öngörülmesi,
•Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
•Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması,
•Yeditepe Üniversite’sinin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
•Özel nitelikli verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
•Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
•İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması
Şartlarından herhangi birinin varlığı halinde xxxx xxxx aranmaksızın ve, Kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması,
kaydıyla Yeditepe Üniversitesi tarafından yurt dışına aktarılabilecektir.
9.3. Özel Nitelikli Verilerin Aktarılması
9.3.1. Özel Nitelikli Verilerin Yurt İçine Aktarılması
Özel Nitelikli Veriler, KVK Kanununun 8. maddesinde öngörülen düzenlemeye uygun olarak, A)Xxxx xxxx gerektiren hallerde 8. maddenin 1. fıkrası gereğince xxxx xxxx alınmak suretiyle, B))Yeterli önlemler alınmak kaydıyla 6. maddenin 3. fıkrasında yazılı;
•Sağlık ve cinsel hayat dışındaki kişisel veriler(ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler)kanunlarda öngörülen hâllerde,
•Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında,
xxxx xxxx aranmaksızın Yeditepe Üniversitesi tarafından yurtiçinde aktarılabilecektir.
9.3.2.Özel Nitelikli Verilerin Yurt Dışına Aktarılması
6698 sayılı KVK Kanunun 9. maddesi uyarınca;
-Xxxx xxxx gerektiren hallerde açık rızaların alınması suretiyle,
- Yeterli önlemler alınmak kaydıyla 6. maddenin 3. fıkrasında yazılı şartlardan herhangi birinin varlığı halinde xxxx xxxx aranmaksızın ve,
Kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması,
kaydıyla Yeditepe Üniversitesi tarafından yurt dışına aktarılabilecektir.
10 – YEDİTEPE ÜNİVERSİTESİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU
Yeditepe Üniversitesi, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini kişisel veri sahibine bildirmek amacıyla aşağıda açıklamıştır:
KİŞİSEL VERİ KATEGORİZASYONU KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Aile Bireyleri ve Yakın Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Yeditepe Üniversitesi birimleri tarafından yürütülen işlemler çerçevesinde, Yeditepe Üniversitesi’nin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
Çalışan Adayı Bilgisi | Yeditepe Üniversitesi çalışanı olmak için başvuruda bulunmuş veya Üniversite’mizin insan kaynakları ihtiyaçları doğrultusunda Çalışan Adayı olarak değerlendirilmiş bireylerle ilgili işlenen kişisel veriler. |
Denetim ve Teftiş Bilgisi | Yeditepe Üniversitesi’nin kanuni yükümlülükleri ve Üniversite politikalarına uyumu kapsamında işlenen kişisel veriler. |
Finansal Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Yeditepe Üniversitesi’nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler |
Fiziksel Mekan Güvenlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb. |
Görsel/İşitsel Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Hukuki İşlem ve Uyum Bilgisi | Yeditepe Üniversitesi’nin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve Yeditepe Üniversitesi politikalarına uyum kapsamında işlenen kişisel veriler. |
İletişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler |
İtibar Yönetimi Bilgisi | Kişiyle ilişkilendirilen ve Yeditepe Üniversitesi’nin itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Yeditepe Üniversitesi ile ilgili yapılan paylaşımlar). |
Kimlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyadı, X.X. xxxxxx numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler |
Lokasyon Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin Yeditepe Üniversitesi iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Topluluk şirketlerinin ürün ve hizmetlerinin kullanımı sırasında veya işbirliği içerisinde olduğumuz kurumların çalışanlarının Yeditepe Üniversitesi araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; GPS lokasyonu, seyahat verileri v.b. |
Olay Yönetimi Bilgisi | Kişisel veri sahibiyle ilişkilendirilen ve Yeditepe Üniversitesi çalışanlarını, öğrencilerini etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler (örneğin; kamuoyunun doğru yönetilmesine ilişkin toplanan bilgiler, değerlendirmeler gibi). |
Özel Nitelikli Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) |
Özlük Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Yeditepe Üniversitesi ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri |
Talep/Şikayet Yönetimi Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Yeditepe Üniversitesi’ne yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
11. YEDİTEPE ÜNİVERSİTESİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Kişisel Veri Sahibi Kategorisi Açıklaması
Alt İşveren Yetkilileri | 4857 sayılı İş Kanunu’nun 2. maddesinin 6. fıkrasına uygun olarak Yeditepe Üniversitesi’nden, yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde iş alan işveren yetkilisi gerçek kişiler. |
Çalışan | Yeditepe Üniversitesi’nin herhangi bir biriminde çalışmakta olan gerçek kişi. |
Çalışan Adayı | Yeditepe Üniversitesi’ne herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Üniversitemizin incelemesine açmış olan gerçek kişiler |
İş Ortakları | Yeditepe Üniversitesi’nin faaliyetlerini yürütürken muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. |
İş Ortakları/Tedarikçi/ Alt İşveren Yetkilileri Çalışanları | Yeditepe Üniversitesi’nin iş ilişkisi içerisinde bulunduğu iş ortaklarının, tedarikçilerinin ve alt işverenlerinin çalışanları, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler |
Mezun | Öğrenimini Yeditepe Üniversitesi’nde tamamlayıp diplomasını almış olan gerçek kişiler. |
Öğrenci | Yeditepe Üniversitesi’nde öğrenim gören gerçek kişiler. |
Stajyer | Yeditepe Üniversitesi’nde staj yapan gerçek kişiler. |
Stajyer Adayı | Yeditepe Üniversitesi’ne herhangi bir yolla staj başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Üniversitemizin incelemesine açmış olan gerçek kişiler. |
Tedarikçi | Yeditepe Üniversitesi’nin faaliyetlerini yürütürken Yeditepe Üniversitesi’nin emir ve talimatlarına uygun, sözleşme temelli olarak Yeditepe Üniversitesi’ne hizmet sunan tarafları tanımlamaktadır. |
Üçüncü Kişi | Bu Politika kapsamına girmeyen diğer gerçek kişiler (Örn. Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar) |
Ziyaretçi | Yeditepe Üniversitesi’nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
12.KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ
Kişisel veriler; Yeditepe Üniversitesi veya bağlı merkez ve birimleri, internet sitesi, sosyal medya mecraları, çağrı merkezi, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir.
13. VERİ SORUMLUSU SIFATI İLE ÜNİVERSİTENİN YÜKÜMLÜLÜKLERİ
Yeditepe Üniversitesi, kişisel verilerin elde edilmesi sırasında yetkilendirdiği kişilerle, ilgili
kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermektedir.
14. İLGİLİ KİŞİNİN HAKLARI
14.1 Kişisel Veri Sahibinin Aydınlatılması
Yeditepe Üniversitesi tarafından, ilgili kişilere ‘Aydınlatma Xxxxx’ ile; Üniversitenin kimliği, kişisel verilerin toplanma yöntemi ve hukuki sebebi, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve kişisel veri sahibinin KVKK m. 11’de sayılan hakları konularında bilgilendirme yapılmaktadır. Bu amaçla Yeditepe Üniversitesi web sitelerine bu politika ile birlikte müşteri aydınlatma metni yayınlanmıştır.
14.2 Kişisel Veri Sahibinin KVKK çerçevesindeki Hakları
KVKK’ nın “İstisnalar” başlıklı 28. maddesinde öngörülen haller saklı kalmak kaydıyla, Xxxxx’xx 11. maddesi çerçevesinde ilgili kişiler Yeditepe Üniversitesi’ne başvurarak, kişisel verilerin;
• İşlenip işlenmediğini öğrenme,
• İşlenmişse buna ilişkin bilgi verilmesini talep etme,
• İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
• Eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
• Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
• (e) ve (f) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesin isteme,
• Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
14.3 Kişisel Veri Sahibinin Haklarını Kullanması
Yeditepe Üniversitesi, ilgili kişilerin haklarını nasıl kullanacağına ilişkin olarak yol göstermekte olup, başvurular Yeditepe Üniversitesi’nin ‘xxx.xxxxxxxx.xxx.xx’ adresinde yer alan ‘Veri Sahibi Başvuru Formu’ doldurulduktan sonra, aşağıda yer alan yöntemlerle yazılı veya elektronik ortamda yapılabilmektedir.
Yazılı olarak talepte bulunulması halinde;
Veri Sahibi Başvuru Formu’ nun ıslak imzalı bir nüshası, Yeditepe Üniversitesi Yazı İşleri Müdürlüğü’ne ilgili kişinin kimliğini tespit edici bir belge ile şahsen veya 11. madde kapsamında sayılan haklara ilişkin başvuru yapmaya yetkili olunduğunu gösterir ve noter tasdikli bir vekâletname ile vekâleten teslim edilebilmekte ya da noter aracılığıyla ‘Xxxxx Xxx. Xxxxxxxxx Xxx. 000X, 26 Ağustos Yerleşimi, 34755, Ataşehir/ İstanbul” adresine gönderilebilmektedir.
Elektronik olarak talepte bulunulması halinde;
Veri Sahibi Başvuru Formu, 5070 sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” sertifikasına sahip bir elektronik ya da mobil imza ile imzalanarak, “Yeditepe Üniversitesi Kayıtlı Elektronik Posta (KEP) adresi olan “xxxxxxxxxxxxxxxxxxxx@xx00.xxx.xx''adresine gönderilebilmekte ya da ilgili kişiye ait, Yeditepe Üniversitesi’ne daha önce bildirilen ve Yeditepe Üniversitesi sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik Yeditepe Üniversitesi tarafından geliştirilmiş bir yazılım ya da uygulama olması halinde bu vasıtalar aracılığıyla da iletilebilmektedir.
Yukarıda sayılan başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru Usulleri Hakkında Tebliğ uyarınca başvuruda, ilgili kişinin;
a) Ad, soyadı ve başvuru yazılı ise imza,
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
c) Tebligata esas yerleşim yeri veya iş yeri adresi,
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
d) Talep konusu,
bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir.
14.4 Üniversite’nin Başvurulara Cevap Verme Süresi
Yeditepe Üniversitesi’ne iletilen talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde, Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’ in 7. maddesinde belirlenen işlem ücreti karşılığında, yazılı olarak veya elektronik ortamda cevaplandırılmaktadır.
14.5 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda 15.2’de sayılan haklarını ileri süremezler:
a. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
b. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
d. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 15.2’de sayılan diğer haklarını ileri süremezler:
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
b. Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
15. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
15.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
• Yeditepe Üniversitesi, KVK Kanunu uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik tedbirleri almakta, gerekli denetimleri yapmakta veya yaptırmaktadır.
• 30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/3 uyarınca; Kişisel Veri işleme amaç ve yollarının belirlenmesi, Veri İşleme Süreçlerinin takibi ve denetimi, KVK Kanunu ve
ikincil düzenlemeler kapsamında yükümlülüklerin etkin olarak yerine getirilmesi, Kişisel Verilerin KVKK prosedürlerine uygun şekilde korunmasına yönelik güvenlik düzeyini temin için gelişmelerin ve idari faaliyetlerin takip edilerek gerekli KVKK prosedürlerinin hazırlanması, teknik ve idari önlemlerin alınması, Politikanın yürürlük ve denetiminin sağlanması amacıyla, Yeditepe Üniversitesi bünyesinde ‘Veri Sorumluları Komitesi’ oluşturulmuştur.
• Teknik konularda mevcut personelimize ek olarak teknik personel istihdam edilmektedir.
• Kişisel veri işleme faaliyetleri teknik sistemlerle denetlenmekte, ilgili denetim raporu Veri Sorumlusu Komitesi tarafından da incelenmek suretiyle alınması gereken ek teknik tedbirler belirlenerek ivedilikle uygulamaya koyulmaktadır.
• KVK Kanunu kapsamında alınması gereken teknik önlemler çerçevesinde, mevcut altyapının veri güvenliği açısından analizi ve varsa eksiklik /iyileştirme noktalarının belirlenmesi uyumlu olmayan alanların geliştirilmesi amacıyla oluşturulan yol haritası doğrultusunda ilgili eksikliklerin giderilmesi, verilere dışarıdan yapılabilecek yetkisiz erişimlerin engellenmesi için gerekli yazılım ve donanımların kurulması ve ilgili testlerin yapılması amacıyla üçüncü kişi/kuruluşlarla teknik destek konusunda sözleşmeler akdedilecektir.
• Kişisel Veriler Koruma Kurulu Kararları ve ikincil düzenlemeler kapsamında doğacak yükümlülüklerle ilgili olarak gerekli iç prosedürler ivedi olarak oluşturulmakta ve ilgili teknik tedbirler düzenlenerek çalışanlara bildirilmektedir
15.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Yeditepe Üniversitesi kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Yeditepe Üniversitesi çalışanlarına 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikler çerçevesinde bilgilendirme çalışmaları yapılmakta ve bu konuda periyodik olarak eğitimler verilmektedir.
• Çalışanlardan hizmet akitlerinin devamı süresince öğrenmiş oldukları kişisel ve özel nitelikli verilerin işlenmesinde KVK Kanununda öngörülen hükümlere uygun davranacakları, bu verileri kanunda belirtili ölçü, kapsam, süre, Üniversite’nin tabi olduğu mevzuat ve ikincil düzenlemeler kapsamı haricinde başka herhangi bir amaçla ve xxxx xxxx gerektiren konularda veri sahibinin açık rızasını vermiş olduğu amaç dışında işlemeyecekleri, kişisel veri sahibinin Üniversite’ye verilmiş ‘açık rızası’ olmadıkça kanunen paylaşmakla yükümlü olunan kuruluşlar dışında verilerin yurtiçi ve yurtdışındaki üçüncü kişilere aktarılmayacağı, bu yükümlülüklerin hizmet akdinin sona ermesinden sonra da devam edeceği, kişisel verilerin herhangi bir çalışan tarafından hukuka aykırı olarak işlendiğinin öğrenilmesi halinde durumun derhal Veri Sorumlusu Komitesi’ne iletme yükümlülüğünün bulunduğu hususlarında taahhütleri alınmakta ve sözleşmelerde ihlaller halinde uygulanacak yaptırımlar belirlenmektedir.
• Yeditepe Üniversitesi ile işbirliği içerisinde olan veri işleyen kişi/kuruluşlarla devam eden sözleşmelerde ve yapılmakta olan sözleşmelerde, veri işleyenin kendisine aktarılan kişisel verileri veri işleme amaç ve kapsamı dışında işlemeyeceği, bu verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik olarak her türlü teknik ve idari tedbiri alacakları, kişisel verileri sözleşmeye aykırı olarak üçüncü şahıslara ifşa etmeyecekleri konularında taahhütleri alınmaktadır.
• Üniversitemiz tüm departmanları tarafından yürütülen kişisel veri işleme faaliyetleri incelenerek oluşturulmuş ‘Veri Envanteri’ doğrultusunda, çalışanların kişisel ve özel nitelikli
verilere erişimi departman bazında yetki sınırlandırma kararları ile düzenlenmektedir. İlgili denetimler Veri Sorumluları Komitesi tarafından yapılmaktadır.
• Kişisel Verilerin güvenli olarak saklanılması, bu verilerin hukuka aykırı olarak işlenmesi, yok edilmesi, değiştirilmesi veya silinmesini önlemek için uygulama maliyetlerine göre gerekli idari tedbirler alınmaktadır.
15.3 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
• Kişisel verilere hukuka aykırı olarak yetkisiz erişimi engellemek, bu verilerin tedbirsizlik veya yetkisiz olarak ifşa edilmesini engellemek amacıyla, uygulama maliyetlerine göre teknik tedbirler alınmakta, periyodik olarak güncellenmekte ve yenilenmektedir.
• Kişisel Veriler Koruma Kurulu Kararları ve ikincil düzenlemeler kapsamında doğacak yükümlülüklerle ilgili olarak gerekli iç prosedürler ivedi olarak oluşturulmakta ve teknik tedbirler düzenlenerek çalışanlara bildirilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Yetki sınırlaması yönünde alınan idari ve teknik kararlarla, çalışanların kendilerine tahsis edilen yetki çerçevesinde bilgilere erişmesi ve bu bilgileri kullanması sağlanmaktadır.
15.4. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
Yeditepe Üniversitesi tarafından kişisel verilere hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Kişisel verilere erişim ve yetkilendirme süreçlerine ilişkin idari kararlar alınarak uygulanmakta, ilgili kararlar konusunda çalışanlara bilgilendirme yapılmakta ve kararların uygulanması Veri Sorumlusu Komitesi tarafından da denetlenmektedir.
• Çalışanlar, öğrendikleri kişisel verileri mevzuata aykırı olarak başkasına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda hizmet sözleşmelerinde gerekli düzenlemeler yapılmaktadır.
• Yeditepe Üniversitesi ve bağlı merkez ve birimlerinde staj yapan stajyerler, staj süresince herhangi bir şekilde öğrenilen kişisel verilerin, KVK Kanununa aykırı olarak başkasına açıklanmayacağı, bu verilere hukuka aykırı olarak erişilemeyeceği, verilerin işleme amacı dışında kullanılamayacağı konusunda bilgilendirilmekte ve stajyerlerden ilgili taahhütler alınmaktadır.
• Gizli dokümanların tüm sayfalarına “GİZLİDİR” ifadesi basılmaktadır.
• Hizmet sözleşmelerinde ‘gizli bilgi’nin tanımı yapılmakta olup, çalışanların gizli bilgileri kanuna uygun olarak gizli tutmak ve korumak için gerekli her türlü özeni göstereceği, bu bilgileri Üniversite’nin yazılı izni olmadan kopyalayıp saklamayacakları, Üniversite’nin tabi olduğu mevzuat hükümleri çerçevesinde paylaşmakla yükümlü olduğu kuruluşlar dışında hiçbir üçüncü kişi ile yazılı, sözlü ve/veya elektronik ortamda paylaşmayacakları, gizli bilgilerin, bir başka çalışan tarafından ek protokol hükümlerine aykırı olarak ifşa edildiğini öğrenmesi halinde durumu derhal sorumlu olduğu birim yetkilisine yazılı olarak bildirecekleri, hizmet sözleşmesinin sona ermesi halinde gizli bilgileri içeren materyal, araç ve dokümanları teslim tutanağı mukabilinde Üniversite’ye teslim edecekleri taahhütleri alınmaktadır.
15.5. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
• Teknik konularda uzman ek personel istihdam edilmektedir.
• Sunucular, fiziksel olarak güvenli ortamlarda tutulmaktadır. Bu ortamlara girebilecek teknik personel belirlenerek, yetkisiz girişler engellenmiştir.
• Çalışanların Üniversite sistemine girişleri kullanıcı adı ve parolası ile yapılmakta olup, çalışanlar kullanıcı adı ve şifresini üçüncü kişilerle paylaşmamaları gerektiği konusunda eğitilmektedir.
• Sunucu üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmaktadır.
• Sunucu günlükleri (loglar) düzenli aralıklarla denetim ve izlemeye tabi tutulmaktadır.
• Veritabanı sunucuları, modemler, santral, anti-virüs programı, toplu eposta gönderim yazılımı erişim şifreleri sadece Bilgi İşlem Sorumlusu nezdinde tutulmaktadır.
15.6. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
• Yeditepe Üniversitesi, KVK Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun ivedilikle ‘Veri Sorumlusu Komitesi’ne, ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmek üzere gerekli idari tedbirleri almaktadır.
16. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ
Yeditepe Üniversitesi tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmekte olup, güvenliğin sağlanması amacıyla, Yeditepe Üniversitesi binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
17. YEDİTEPE ÜNİVERSİTESİ BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Yeditepe Üniversitesi tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
Yeditepe Üniversitesi, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Yeditepe Üniversitesi tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Yeditepe Üniversitesi genel hususlara ilişkin olarak yaptığı aydınlatmanın (Bkz. Bölüm 15.1) kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır. Yeditepe
Üniversitesi tarafından kamera ile izleme faaliyetine yönelik olarak; Yeditepe Üniversitesi internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).
Yeditepe Üniversitesi KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Yeditepe Üniversitesi tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlı olup, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Yeditepe Üniversitesi çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
18. YEDİTEPE ÜNİVERSİTESİ BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Yeditepe Üniversitesi tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Yeditepe Üniversitesi binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik ve bu amaçla sınırlı olarak kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Yeditepe Üniversitesi binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Yeditepe Üniversitesi nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.
19. YEDİTEPE ÜNİVERSİTESİ BİNA VE TESİSLERİNDE ZİYARETÇİ’LERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Yeditepe Üniversitesi tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; Yeditepe Üniversitesi tarafından bina ve tesislerimiz içerisinde kalınan süre boyunca talep eden Ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Yeditepe Üniversitesi içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Yeditepe Üniversitesi çalışanının erişimi bulunmakta olup, bahsi geçen kayıtlara erişimi olan Yeditepe Üniversitesi çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
20. İNTERNET SİTESİ ZİYARETÇİLERİ
Yeditepe Üniversitesi sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Kurabiyeler-cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir.
21. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
Kişisel veriler, Yeditepe Üniversitesi ve bağlı merkez ve birimlerinin tabi olduğu, başta Yükseköğretim mevzuatı olmak üzere, Sağlık Hizmetleri Temel Kanunu, Özel Hastaneler Yönetmeliği, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve sair kanunlar ile ikincil düzenlemeler kapsamında ilgili yükümlülüklerin yerine getirilebilmesi için, veri işleme ve zamanaşımı sürelerine riayet edilerek işlenmekte ve kanunlarda veri işleme sürelerine ilişkin değişiklik yapılması halinde, belirlenen yeni süreler esas alınmaktadır. Mevzuatta veri işleme sürelerine ilişkin bir hüküm bulunmadığı hallerde, kişisel veriler, Yeditepe Üniversitesi’nin uygulamalarına veya kişisel verilerin saklanma amacının devam edip etmemesine göre gereken süre kadar saklanmakta, daha sonra verinin niteliği uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Yeditepe Üniversitesi’nin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı sürelerinin sona ermesinden sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
22. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
Yeditepe Üniversitesi tarafından, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, mevzuatta öngörülen sürelerin geçmiş olması veya işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi için gerekli idari tedbirler alınmakta ve ayrıca bu konuda teknik alt yapıyı kurma çalışmalarına devam edilmektedir. Yeditepe Üniversitesi tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
23. GÜNCELLEME
Bu Politikayı güncelleme sorumluluğu Veri Sorumlusu Komitesi’ne aittir. Yapılacak güncellemeler Üniversite Rektörü’nün onayı ile yürürlüğe girecektir.
Politika, olağan olarak yılda bir defa Mayıs ayında gözden geçirilerek güncellenecektir.
Yeditepe Üniversitesi, mevzuattaki değişmeler kapsamında Politikayı gözden geçirme ve güncelleştirme hakkını saklı tutar.
24.YEDİTEPE ÜNİVERSİTESİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Yeditepe Üniversitesi, işbu belge ile ortaya koyulan esasları, Üniversite bünyesindeki diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.