KARAR NO: 2019/246
Niğde Ömer Halisdemir Üniversitesi Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın aşağıda verildiği şekilde kabulüne oy birliğiyle karar verildi.
T.C.
NİĞDE ÖMER HALİSDEMİR ÜNİVERSİTESİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. Amaç
Bu politikanın amacı;
- Niğde Ömer Halisdemir Üniversitesi (Üniversite) tarafından yürütülen her türlü faaliyette 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olarak kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen yöntemleri tarif etmek,
- Üniversitenin idari yetkilileri, akademik ve idari personeli, öğrencileri, mezunları, personel adayları, öğrenci adayları, ziyaretçileri, iş birliği içinde olduğu kurumların çalışanları ve üçüncü kişiler olmak üzere Üniversite tarafından işlenen tüm kişisel verileri, Üniversitenin kişisel verilerin korunmasına yönelik benimsemiş olduğu ilkeler ve kurmuş olduğu sistemler konusunda bilgilendirerek şeffaflığı sağlamaktır.
2. Kapsam ve Dayanak
Üniversitenin idari yetkilileri, akademik ve idari personeli, öğrencileri, mezunları, personel adayları, öğrenci adayları, ziyaretçileri, iş birliği içinde olduğu kurumların çalışanları ve üçüncü kişiler olmak üzere kişisel verileri Üniversite tarafından işlenen tüm kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Üniversitenin süreçlerinde işlenen tüm kişisel verileri kapsar.
Bu politika 7/4/2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve ilgili diğer yasal düzenlemelere dayanılarak hazırlanmıştır.
3.Yetki ve Sorumluluklar
Üniversite içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verilerin saklanması, korunması, işlenmesi ve imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, dış hizmet sağlayıcıları ve diğer surette Üniversite nezdinde kişisel veri saklayan ve işleyen herkes sorumludur. Her birim kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür. İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak imhalara; ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri işlemeyi yapan iş birimi dikkate alınarak Rektörlükçe belirlenen ilgili komisyon karar verecektir. Kişisel Verileri Koruma Kurumu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu veri sorumlusu irtibat kişisindedir.
4. Tanımlar ve Kısaltmalar
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili/Yetkili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Üniversite: Niğde Ömer Halisdemir Üniversitesi
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili/yetkili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Veri Sahibi/İlgili Kişi; Kişisel verisi işlenen gerçek kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik: 28 /10/2017 tarihli ve 30224 sayılı Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
5. Kişisel Verilerin Korunması ve İşlenmesi Politikası
Üniversite kişisel verilerin korunması ve işlenmesi için gerekli tedbirleri ve uygulanan süreci politika ile somut bir şekilde belirler. İlgili kanunlar ve yönetmelikler ile bu politikanın uyumsuz olduğu durumlarda ya da güncellenen mevzuatlar doğrultusunda politikanın güncel olmaması halinde Üniversite yürürlükteki mevzuata uyacağını kabul eder. Yasal düzenlemelerdeki değişikliklere göre bu politika güncellenir.
5.1. Kişisel Verilerin Güvenliğinin Sağlanması
Üniversite, KVKK’nın 12 inci maddesinin 1inci fıkrasında öngörülen;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
için gerekli her türlü teknik ve idari tedbirleri alır.
Üniversitenin kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır.
5.1.1.İdari Tedbirler
Üniversite veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli bilgi güvenliği farkındalığı ve kişisel verileri koruma ile ilgili eğitimleri verir. Kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak ve iş süreçlerinin aksamasına neden olmayacak düzeyde erişim ve yetkilendirmeleri tanımlar. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerini ve kurallarını tanımlar. Çalışanlar, öğrendikleri kişisel verileri KVKK’nın hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilir. Çalışanlardan bu doğrultuda gerekli taahhütler alınır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı kişilerle çerçeve sözleşme imzalanır yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde veri sorumlusu irtibat kişisi tarafından ilgilisine ve KVK Kuruluna bildirir. Kişisel verinin nasıl başkaları tarafından elde edildiği araştırılır. Üniversite tespit ettiği zafiyeti gidermek için gerekli idari tedbirleri uygular, ihtiyaç halinde teknik tedbirler alır.
5.1.2.Teknik Tedbirler
Üniversite, kurulan sistemler için gerekli iç kontrolleri yapar. Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi güvenliği risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini işletir. Bu süreçler doğrultusunda teknolojideki gelişmelere uygun teknik önlemleri alır. Gelişen teknolojiye uygun altyapı yatırımları yapar. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulmasını sağlar. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonlarını kullanır. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar. Üniversitede işlenmekte olan kişisel verilerin saklandığı fiziki alanlar, çalınmaya ve kaybolmaya karşı gerekli fiziksel güvenlik önlemleri alınarak muhafaza edilir. Aynı şekilde kişisel verilerin yer aldığı ortamlar dış risklere (yangın, sel, deprem vb.) karşı gerekli uygun yöntemler belirlenerek koruma altına alınır. Bu ortamlara giriş çıkışlar kayıt altına alınarak izlenir. Kişisel veri barındıran sunucular Üniversite sistem odasında muhafaza edilir. Sistem odasının fiziki güvenlik önlemleri alınır. Kişisel veri barındıran sistem, uygulama, veri tabanı vb. alanlara erişim için kullanılmakta olan şifreler, karmaşık bir algoritma ile üretilir ve sistemler bu şekilde kullanılmaya teşvik edilir. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme tanımlarını yapar. Erişimlerin yetkilendirmelere uygunluğunu kontrol eder. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır. Kişisel verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalığı yaygınlaştırır.
Birimlerce takip edilen kamera kayıtları ilgili birimlerde yer alır, kamera kayıtlarına erişimde kullanıcı yetkilendirilmesi yapılır ve veriler güvenli ortamda saklanır.
5.1.3.Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler
Üniversite, KVKK’nın 12 inci maddesine uygun olarak, gerekli denetimleri yapar ve yaptırır. Bilgi Güvenliği Yönetim Sistemi ve Veri Koruma Kişisel Bilgi Yönetimi sistemlerinin sürdürülebilirliğini sağlamak için iç ve dış denetimlerin yapılmasını sağlar. Sistemlerde oluşabilecek teknik açıklıklar için düzenli olarak sistemlere sızma testlerini gerçekleştirir. Bilgi işlem tarafından sistemler düzenli olarak izlenir. Ayrıca siber saldırılara karşı güvenliğin sağlanması için sistem iz kayıtları takip edilir. Yönetim sistemleri ve uyarı sistemlerinin ürettiği veriler ve sistemlerin izlenmesi ile tespit edilen bulgular için gerekli teknik ve idari tedbirler alınır.
5.1.4.Kişisel Verilerin Yetkisiz İfşası Durumunda Alınan Tedbirler
Üniversite, KVKK’nın 12 inci maddesine uygun olarak işlenen kişisel verilerin yetkisiz ifşa olması halinde ilgili kişisel veri sahibine ve KVK Kurulu’na bilgi verir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilir.
5.1.5. Üçüncü Tarafların Kişisel Verilerin Korunmasını Sağlaması İçin Uygulanan Tedbirler
Üniversite, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerini karşılıklı olarak bulundurur. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır.
5.1.6. Özel Nitelikli Kişisel Verilerin Koruması İçin Uygulanan Tedbirler
Özel nitelikli kişisel veriler için gerek nitelikleri itibari ile gerekse kişilerin mağduriyetine veya ayrımcılığa yol açabilmesinden dolayı yeterli önlemlerin alınması gerekmektedir. Üniversite, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında gerekli tedbirleri alır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde özel nitelikli kişisel veriler için hassasiyet gösterilir. Üniversite işlediği özel nitelikli kişisel verileri KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işler. Özel nitelikli kişisel veriler işlenmeden önce veri sahibinin açık rızası alınır.
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ve Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilir.
5.1.7. Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Yaratılması
Kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemeye ve muhafazasını sağlamaya yönelik farkındalığın artırılması için birimlere gerekli bilgilendirmeler yapılır, eğitimler düzenlenir ve etkinlikleri ölçülür. “Kişisel Verilerin Korunması ve İşlenmesi Politikası” Üniversitenin web sitesinde yayımlanır. İlgili yasal düzenlemelerde değişiklik olması halinde politikalar revize edilir.
5.2. Kişisel Verilerin İşlenmesi İçin İlkeler
KVK K’nın 4 ünci maddesi 2 inci fıkrasında kişisel verilerin işlenmesi için ilkeler belirlenmiştir. Üniversite belirlenen ilkelere uygun şekilde kişisel verileri işler. Kişisel verilerin işlenmesi aşağıdaki ilkelere uygun yapılır;
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
5.3. Kişisel Verinin İşlenmesi Şartları
Üniversite bir kamu kurumu olarak işlediği verilerin önemli bir çoğunluğunu yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu olan yetkileri kullanarak işler. KVKK’ nın 5 inci maddesinin 2 inci fıkrası gereği verinin işlenmesinin:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında açık rıza olmaksızın verileri işleyebilir. Bunların dışındaki durumlar için Üniversite ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işler.
5.4. Kişisel Verilerin İmhası
Üniversite elde ettiği kişisel verileri kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu değilse imha eder. Veri sahiplerine ait kişisel veriler, hizmetin devam ettirilebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının planlanması gereklilikleri ortadan kalktığında Üniversitenin belirleyeceği imha politikası gereğince imha edilmektedir.
5.5. Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması
Üniversite, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, başka mevzuatta yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara uyar. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmaz. Ancak, KVKK’ nın 8 inci maddesinin 2 inci fıkrasında düzenlenen şartlardan birinin varlığı halinde kişisel veriler; veri sahibinin açık rızası temin edilmeksizin de aktarılabilir. Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulur.
5.6. Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması
Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9 uncu maddesi doğrultusunda veri sahibinin açık rızası aranır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Üniversite tarafından kişisel veriler yurtdışına aktarılır. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, Üniversite ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt eder. Üniversite yabancı ülkelerdeki sunucularda kişisel veri tutmamaktadır.
5.7. Kişisel Veri Sahibinin Hakları Kişisel Verilerin Korunması Hakkında
Kanun’dan kaynaklanan veri sahibi hakları, KVKK’ nın 11 inci maddesinde;
“(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” şeklinde sıralanmıştır.
Yukardaki maddelerde geçen haklar “Kişisel Veri Sahibi Başvuru Formunu” doldurarak yapılabilir. İlgili Kanun gereği veri sorumlusu ve veri sorumlusu irtibat kişisi bilgileri aşağıdaki şekildedir:
Veri sorumlusu: Niğde Ömer Halisdemir Üniversitesi
Veri sorumlusu irtibat kişisi: Rektör Yardımcısı
5.8. Aydınlatma ve Bilgilendirme Yükümlülüğü
KVKK’nın 10 uncu maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce ya da en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
a) Veri sorumlusunun ve varsa temsilcisinin kimliği.
b) Kişisel verilerin hangi amaçla işleneceği.
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği.
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi.
d) KVKK’nın 11inci maddesinde sayılan diğer haklar.
Öte yandan, KVKK’nın 28 inci maddesinin 1inci fıkrası çerçevesinde, aşağıda sayılan durumlarda aydınlatma yükümlülüğü bulunmamaktadır:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
5.9. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonimleştirilmesi Şartları
Üniversite elde ettiği kişisel verileri kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu değil ise siler, yok eder ya da anonimleştirir.
6. İlgili Dokümanlar
· Kişisel Veri Sahibi Başvuru Formu
· Veri Sorumlusu İrtibat Kişisi Görev Tanımı
· Kişisel Verilerin İşlenmesi Aydınlatma Metni
· Açık Rıza Beyanı
NİĞDE ÖMER HALİSDEMİR ÜNİVERSİTESİ
KİŞİSEL VERİ SAHİBİ BAŞVURU FORMU
Bilgilendirme
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (Bundan sonra “Başvuru Sahibi” olarak anılacaktır), KVKK’ nın 11 inci maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır. KVKK’nın 13 üncü maddesinin 1 inci fıkrası uyarınca; veri sorumlusu olan Üniversiteye bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerle iletilmesi gerekmektedir. Bu çerçevede “yazılı” olarak Üniversiteye yapılacak başvurular, işbu formun çıktısı alınarak;
• Başvuru Sahibi’nin şahsen başvurusu ile,
• Noter vasıtasıyla,
• Başvuru Sahibi tarafından 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik
imza” ile imzalanarak Üniversitenin kayıtlı elektronik posta adresine gönderilmek suretiyle iletilebilecektir.
Şahsen veya noter kanalıyla yapılacak başvurular Niğde Ömer Halisdemir Üniversitesi Rektörlüğü Merkez Yerleşke Bor Yolu üzeri 51240 Niğde adresine, elektronik başvurular ise nohu@hs01.kep.tr adresine yapılabilecektir.
Üniversiteye iletilmiş olan başvurular KVKK’nın 13 üncü maddesinin 2 inci fıkrası gereğince, talebin niteliğine göre Üniversiteye ulaştığı tarihten itibaren en geç otuz gün içerisinde, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’ in 7 inci maddesinde belirlenen işlem ücreti karşılığında, cevaplanır ve KVKK’nın 13 üncü maddesi hükmü gereğince yazılı veya elektronik ortamda iletilir.
NİĞDE ÖMER HALİSDEMİR ÜNİVERSİTESİ
KİŞİSEL VERİ SAHİBİ BAŞVURU FORMU
A. Başvuru Sahibi iletişim bilgileri:
İsim ve Soyisim : | |
T.C.K.N. : | |
Telefon Numarası : | |
E-posta : | |
Adres : | |
B. Üniversitemiz ile olan ilişkinizi belirtiniz.
? Öğrenci | ? Çalışan |
? Mezun | ? Eski Çalışan (Çalıştığınız Yıllar) |
? Öğrenci Adayı/Çalışan Adayı (Tarih) | ?Üçüncü Kişi Firma Çalışanı (Firma ve pozisyon) |
| ? Diğer (Açıklayınız): |
Üniversitemiz içerisinde iletişimde olduğunuz Birim:………………….………………………………………………………… Konu: ……………………………………..…………………………………….……………...……… |
C. Lütfen KVK Kanunu kapsamındaki talebinizi detaylı olarak belirtiniz:
……………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...…………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...…………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..…………………………………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...…………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..…………………………………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...…………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..…………………………………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...…………………………………………..…………………………………….……………...……………………………………………..…………………………………….……………...……………………………………………..……………………………
D. Lütfen başvurunuza vereceğimiz yanıtın tarafınıza bildirilme yöntemini seçiniz:
? Adresime gönderilmesini istiyorum.
? E-posta adresime gönderilmesini istiyorum.(E-posta yöntemini seçtiğinizde size daha hızlı yanıt verebileceğiz.)
? Elden teslim almak istiyorum.(Vekâleten alınması durumunda noter tasdikli vekâletname veya yetki belgesi gerekmektedir.)
İşbu başvuru formu, Üniversite ile başvuru sahibi arasındaki ilişkiyi tespit ederek, varsa, Üniversite tarafından işlenen kişisel verileri eksiksiz olarak ilgili başvuruya, doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Üniversite ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletilen taleplere ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Üniversite, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.
VERİ SORUMLUSU İRTİBAT KİŞİSİ GÖREV TANIMI
1. Amaç
7/4/2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede Yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında Üniversite bünyesindeki Veri Sorumlusu İrtibat kişisinin görevlerinin belirlenmesini amaçlamaktadır.
2. Görevler
Veri Sorumlusu İrtibat Kişisinin görevleri;
a) Kişisel Verileri Koruma Kurulu veya Kurumu tarafından yapılan tebligat veya yazışmaları Üniversite adına tebellüğ veya kabul etme,
b) Kişisel Verileri Koruma Kurumu tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kişisel Verileri Koruma Kurumu’na iletme
c) Kişisel Verileri Koruma Kurulu tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin KVKK’nın 13 üncü maddesinin 1 inci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
ç) Kişisel Verileri Koruma Kurulu tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin KVKK’nın 13 üncü maddesinin 3 üncü fıkrası uyarınca veri sorumlusunun cevabını iletme,
d) Veri sorumlusu adına sicile ilişkin iş ve işlemleri yapma,
olarak belirlenmiştir.
T.C.
NİĞDE ÖMER HALİSDEMİR ÜNİVERSİTESİ
KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ
Niğde Ömer Halisdemir Üniversitesi olarak, Kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili yasal mevzuat gereğince ve “veri sorumlusu” sıfatıyla aşağıda açıklanan kapsamda işlenecektir.
Niğde Ömer Halisdemir Üniversitesi Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni, (“Aydınlatma Metni”) KVKK’ nın “Veri Sorumlusu’ nun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesi uyarınca; veri sorumlusunun kimliği, kişisel verilerin toplama yöntemi ve hukuki sebebi, bu verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri işleme süresi ve KVKK’ nın 11inci maddesinde sayılan hakların neler olduğu ile ilgili şeffaf şekilde bilgilendirme amacıyla hazırlanmıştır. Aydınlatma Metninde “Kişisel Veriler” için yapılan açıklamalar, “Özel Nitelikli Kişisel Verileri” de kapsar.
· Kişisel Verilerin Toplama Yöntemi ve Hukuki Sebebi:
Kişisel verileri, Üniversite ile kişisel veri sahibi arasındaki ilişkiye bağlı olarak otomatik ya da otomatik olmayan yöntemlerle, Üniversite birimlerince oluşturulacak ve güncellenerek işlenecek, hem dijital hem de fiziki ortamda muhafaza altında tutulabilecektir.
Kişisel verileri, aşağıda yer alan amaçlar doğrultusunda ve 6698 sayılı KVKK’ nın 5 inci ve 6 ıncı maddelerinde belirtilen kişisel veriler işleme şartları ve amaçları kapsamında işlenecek ve aynı Kanunun 8 inci ve 9 uncu maddeleri kapsamında aktarılabilecektir.
- Kişisel Verilerin İşlenme Amaçları:
Toplanan kişisel veriler;
- Eğitim- öğretim faaliyetlerinin sürdürülebilmesi, ölçme değerlendirme ve başarı takibi yapılabilmesi,
- Öğrencilerin barınma, sosyal, mali ve özlük haklarının yerine getirilebilmesi,
- Üniversite bünyesindeki tüm çalışanların mali ve özlük haklarının yürütülebilmesi,
- Personel ve öğrencilerin ilgili mevzuat gereği tutulması gereken kayıtlarının yapılabilmesi,
- Üniversitenin tanıtımı ve yürütülen etkinliklerin kamuoyu ile paylaşılabilmesi,
- İhale süreçlerinin yürütülebilmesi, alınan mal ve hizmetlerden kaynaklanan ödemelerin yapılabilmesi,
- Üniversite ile ilişkisi bulunan gerçek ve/veya tüzel kişilerin (öğrenciler, çalışanlar, mezunlar, personel adayları, öğrenci adayları, ziyaretçiler, tedarikçiler, iş ortakları, işbirliği içinde olduğumuz kurumların çalışanları vb.) Üniversite ve/veya Üniversiteye bağlı birimlerce sağlanan hizmetlerden yararlanabilmeleri için gerekli çalışmaların yapılabilmesi,
- Üniversite ve/veya Üniversiteye bağlı birimlerde bulunan gerçek ve/veya tüzel kişilerin (öğrenciler, çalışanlar, mezunlar, personel adayları, öğrenci adayları, ziyaretçiler, tedarikçiler, iş ortakları, işbirliği içinde olduğumuz kurumların çalışanları vb.) can ve mal güvenliği ile hukuki, ticari, iş sağlığı ve güvenliğinin sağlanabilmesi,
- İlgili tüm kanunlardan ve ikincil düzenlemelerden doğan/doğabilecek yasal ve düzenleyici gereksinimlerin yerine getirilebilmesi ve bu kapsamda gerekli tedbirlerin alınabilmesi,
- Görevli ve yetkili kamu kurum ve kuruluşlar ile kamu kurumu niteliğindeki meslek kuruluşlarınca yapılacak denetleme ve/veya düzenleme görevlerinin yürütülebilmesi,
- Öğrenciler ile akademik ve idari personel hakkında açılan/açılabilecek disiplin soruşturma süreçlerinin yönetilebilmesi,
- Üniversitede eğitim alan öğrencilere ve personele sağlık hizmeti sunulabilmesi,
- Kariyer planlamasında mezunlara destek olunabilmesi, mezun başarısının izlenmesi, mezunlar ağı oluşturulabilmesi,
- Spor faaliyetlerinin yürütülebilmesi ve Üniversite öğrenci kulüplerine üye olunabilmesi, kulüp çatısı altında yapılan çalışma, etkinlik ve organizasyonlardan yararlanılabilmesi,
- Yargı organlarının ve/veya idari makamların istediği bilgi ve belge taleplerinin yerine getirilebilmesi,
- Üniversite ve/veya Üniversiteye bağlı tüm birimlerde sunulan ürün ve hizmetlerin geliştirilebilmesi, memnuniyetin artırılabilmesi, bu kapsamda gerekli değişiklerin yapılabilmesi ile istatistiki ve bilimsel bilgiler üretilebilmesi,
- Ürün ve hizmetlere ilişkin, pazar araştırması, tanıtım ve gerekli bilgilendirmenin yapılabilmesi, şikayet ve önerilerin değerlendirilebilmesi için Üniversite ile paylaşılan iletişim kanalları üzerinden doğrudan irtibata geçilebilmesi,
- Akademik eğitimler, bilimsel araştırmalar, proje başvuruları, Fikir ve Sanat Eserleri Kanunu ile Sınai Mülkiyet Kanunu kapsamındaki haklara ilişkin başvuru, devir vb. her türlü faaliyetin sürdürülebilmesi,
- Üniversitenin insan kaynakları süreç ve politikalarının yürütülebilmesi,
- Üniversitenin stratejilerinin yasal uyum süreçlerinin belirlenebilmesi, geliştirilebilmesi ve uygulanabilmesi,
- Üniversite ile Üniversiteye bağlı birimlerin akreditasyon ve değerlendirme çalışmalarının yapılabilmesi,
- Eğitim, seminer vb. organizasyonlara katılım taleplerinin yerine getirilebilmesi,
- Yurtdışında faaliyet gösteren benzer kurumlarla geliştirilen eğitim ve araştırma amaçlı iş birlikleri, eğitim programları, personel değişimleri, yabancı ülke menşeili çalışanların ülkeleri ve ülke temsilcilikleri ile ortak etkinliklerin ve faaliyetlerin yürütülebilmesi,
- Veri güvenliği kapsamında, sistem ve uygulamalar için gerekli tüm teknik ve idari tedbirlerin alınabilmesi,
amaçlarıyla, 6698 sayılı Kanun’un 5 inci ve 6 ıncı maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde işlenecektir.
- İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçlarla Aktarılabileceği
6698 sayılı KVKK ve ilgili yasal mevzuat kapsamında, işbu “Aydınlatma Metni” nin “Kişisel Verilerin İşlenme Amaçları” başlıklı maddesinde belirtilen amaçlarla sınırlı ve KVKK’ nın 4 üncü maddesinde belirtilen “Genel İlkeler” ile 5 inci maddesinde belirtilen “Kişisel Verilerin İşlenme Şartları”, 6 ıncı maddesinde belirtilen “ Özel Nitelikli Kişisel Verilerin İşlenme Şartları” hükümlerine uygun olarak işlenen kişisel veriler, gerektiğinde, işlenmek üzere Üniversite ve/veya Üniversiteye bağlı birimlere, kanunen yetkili gerçek ve/veya tüzel kişilere, (iş ortaklarına, alt işverenlerine, tedarikçilerine, ürün ve hizmetlerini yürütmek üzere hizmet aldığı ya da herhangi bir alanda işbirliği yaptığı, yurt içinde ve/veya yurt dışında bulunan gerçek ve/veya tüzel kişilere), KVKK’nın 8 inci ve 9 uncu maddelerinde belirtilen durumlar çerçevesinde aktarılabilecektir.
Veri işleme süresi:
Kişisel verileri, işbu Aydınlatma Metni’ nin “Kişisel Verilerin İşlenme Amaçları” başlıklı maddesinde belirtilen amaçlarla sınırlı olmak üzere; Üniversite ve/veya Üniversiteye bağlı birimlerin tabi olduğu, başta 2547 sayılı Yükseköğretim Kanunu olmak üzere, diğer ilgili tüm kanun ve sair yasal mevzuatta yer alan veri işlenme ve zamanaşımı sürelerine riayet edilerek işlenecektir. Kanunlarda veri işlenme sürelerine ilişkin değişiklik yapılması halinde, belirlenen yeni süreler esas alınacaktır.
- Kişisel Veri Sahibinin KVKK’nın 11 inci Maddesinde Sayılan Hakları:
Kişisel veri sahibi, KVKK’ nın “İstisnalar” başlıklı 28 inci maddesinde öngörülen haller saklı kalmak kaydıyla, aynı Kanun’un 11 inci maddesi çerçevesinde Üniversiteye başvurarak, kişisel verilerinin;
a) İşlenip işlenmediğini öğrenme,
b) İşlenmişse buna ilişkin bilgi talep etme,
c) İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
d) Eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
e) Kanun’un 7 inci maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Başvurular, Üniversiteye ait ‘www.ohu.edu.tr’ adresinde yer alan ‘Kişisel Veri Başvuru Formu’ doldurulduktan sonra, aşağıda yer alan yöntemlerle yazılı veya elektronik ortamda yapılacaktır.
Yazılı olarak talepte bulunulması halinde;
Veri Sahibi Başvuru Formu’ nun ıslak imzalı bir nüshasını, Üniversite Genel Evrak Birimine kimliğini tespit edici bir belge ile şahsen teslim edecek veya 11 inci madde kapsamında sayılan haklara ilişkin başvuru yapmaya yetkili olduğunu gösterir noter tasdikli bir vekâletname ile vekaleten teslim edecek ya da noter aracılığıyla Üniversiteye gönderecektir.
Elektronik olarak talepte bulunulması halinde;
Veri Sahibi Başvuru Formu’nu, 5070 sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” sertifikasına sahip bir elektronik ya da mobil imza ile imzalayarak, “Üniversitenin Kayıtlı Elektronik Posta (KEP) adresi olan “nohu@hs01.kep.tr”adresini kullanarak gönderebilir, veya veri sahibi tarafından Üniversiteye daha önce bildirmiş olduğu ve Üniversitenin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik Üniversite tarafından geliştirilmiş bir yazılım ya da uygulama olması halinde bu vasıtalar aracılığıyla iletecektir.
Üniversiteye iletilen talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde, 10/03/2018 tarihli ve 30356 sayılı Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’ in 7 inci maddesinde belirlenen işlem ücreti karşılığında, yazılı olarak veya elektronik ortamda cevaplandırılacaktır.
T.C.
NİĞDE ÖMER HALİSDEMİR ÜNİVERSİTESİ
KİŞİSEL VERİLERE İLİŞKİN
VERİ SAHİBİ
AÇIK RIZA BEYAN FORMU
Niğde Ömer Halisdemir Üniversitesi ile paylaştığım kişisel verilerimin, işlenmesi ile ilgili olarak, Niğde Ömer Halisdemir Üniversitesi Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metnini okudum ve bu metin ile ilgili yeterli ve kapsamlı bir şekilde bilgilendim.
Kişisel verilerimin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili yasal mevzuat kapsamında, Aydınlatma Metninin “Kişisel Verilerinizin İşlenme Amaçları” ile sınırlı olmak üzere, KVKK’ nın 4 üncü maddesinde belirtilen genel ilkelere ve 5 inci maddesinde belirtilen kişisel verilerin işlenme şartları hükümlerine uygun olarak, Üniversite ve/veya Üniversiteye bağlı merkez ve/veya birimleri tarafından işlenmesine, bu verilerin, gerektiğinde, işlenmek üzere, kanunen yetkili gerçek ve/veya tüzel kişilere, (iş ortaklarına, alt işverenlerine, tedarikçilerine, ürün ve hizmetlerini yürütmek üzere protokol/sözleşme kapsamında hizmet aldığı ya da herhangi bir alanda işbirliği yaptığı, yurt içinde ve/veya yurt dışında bulunan gerçek ve/veya tüzel kişilere) KVKK’ nın 8 inci ve 9 uncu maddelerinde belirtilen kişisel verilerin aktarılması şartları çerçevesinde aktarılmasına, kendi özgür irademle, açıkça rıza gösteriyorum.
OKUDUM, OKUDUM,
KABUL EDİYORUM KABUL ETMİYORUM
T.C. Kimlik No: T.C. Kimlik No:
Adı: Adı:
Soyadı: Soyadı:
Kurum ile İlişkisi: Kurum ile İlişkisi:
Öğrenci No: Öğrenci No:
Tarih: Tarih:
İmza: İmza:
( 31.12.2019 Tarih ve 2019/246 Sayılı Karar )