BAŞLANGIÇ

 

  • GİRİŞ

 

Türkiye Cumhuriyeti Anayasası’na göre, herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Anayasal nitelikteki bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Afyon Kocatepe Üniversitesi (“AKÜ”) işbu Politika ile, bünyesindeki kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalık oluşturmanın yanı sıra mevzuata uyum kapsamında gerekli düzeni kurmayı ve kişisel veriler bakımından hem hukuken hem de fiilen tam bir koruma sağlamayı hedeflemektedir. AKÜ, personelinin, öğrencilerinin, kampüs ve internet sitesi ziyaretçilerinin, ilişkide olduğu diğer tüm üçüncü kişilerin kişisel verilerinin mevzuata uygun şekilde korunmasını işbu Politika ile kurum politikası haline getirmektedir.

1.2.  AMAÇ

İşbu Politikanın amacı, AKÜ tarafından mevzuata uygun olarak yürütülen kişisel veri işleme ve saklama ilke ve prensiplerinin oluşturulması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi uyarınca, veri sorumlusu AKÜ tarafından, kişisel veri işleme envanterine uygun olarak kişisel veri saklama yükümlülüğünün yerine getirilmesidir. AKÜ, bu Politika ile veri işleme faaliyetleri kapsamında bağlı olduğu esasları ve ilkeleri düzenlemektedir.

AKÜ tarafından kişisel verilerin işlenmesi ve güvenliğinin sağlanması amacıyla yürütülen faaliyetler, alınan önlemler konusunda, kişisel verileri işlenen ilgili kişilerin en şeffaf şekilde bilgilendirilmesi hedeflenmektedir. AKÜ ilgili kişilerin aydınlatılması için bu Politika ile örtüşür şekilde, internet sitesinde yayınlanan metin dikkate alınacaktır.

1.3.  KAPSAM

Bu Politika, AKÜ tarafından mevzuata uygun olarak otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilere dair her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.

1.4.  DAYANAK

Bu Politika, öncelikli olarak Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verileri Koruma Kurumu tarafından yayımlanan ikincil mevzuat ve yürürlükte bulunan sair mevzuat dayanak alınarak hazırlanmıştır.

1.5.  TANIMLAR

İşbu politika kapsamında kullanılan ifadelerin tanımları şu şekilde sıralanabilecektir:

 

İfade Açıklama
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi Kişisel verilerin kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
İlgili Kişi Kişisel verisi işlenen gerçek kişi
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Kişisel Veri Saklama ve İmha Politikası Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

 

2.      KİŞİSEL VERİLERİN İŞLENMESİ

 

  • KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANAN İLKELER

AKÜ, kişisel verilerin işlenmesinde, Kanun’un 4. maddesine uygun olarak aşağıdaki ilkelere uymaktadır:

2.1.1.   Hukuka ve Dürüstlük Kurallarına Uygun Şekilde İşlenmesi

Bu ilke, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuk düzenlemeleri ile getirilen ilkelere uygun hareket etme zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca AKÜ, veri işlemedeki hedeflerine ulaşmaya çalışırken, İlgili Kişilerin çıkarlarını ve makul beklentilerini dikkate almakta, İlgili Kişinin öngörmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir. Bu ilke uyarınca İlgili Kişi için söz konusu veri işleme faaliyetlerinin şeffaf olmasına dikkat edilmekte ve veri işleme faaliyetleri öncesinde bilgilendirme ve uyarı yükümlülükleri yerine getirilmektedir. AKÜ veri işleme faaliyetleri sırasında ilgili kişinin çıkarlarını gözetmekte ve veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmektedir.

2.1.2.   Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması

 

AKÜ, işlediği verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynaklar belirlenmekte, kişisel verilerin toplandığı kaynağın doğruluğu test edilmekte, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmakta ve bu kapsamda makul önlemler alınmaktadır.

 

 

2.1.3.   Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi

 

AKÜ, hukuka ve dürüstlük kuralına uygun olan kişisel veri işleme amacını açık, meşru ve İlgili Kişi tarafından anlaşılabilir olacak şekilde belirlemekte, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğini tespit etmektedir. AKÜ, kişisel veri işleme amaçlarını veri işleme faaliyeti başlamadan belirlemekte, İlgili Kişileri bilgilendirmekte ve İlgili Kişiye belirttikleri amaçlar dışında bir amaçla veri işlememektedir. AKÜ tarafından belirlenen veri işleme amaçları, yapılan iş ve sunulan hizmet ile bağlantılı ve bunlar için gerekli olma kriterini yerine getirecek şekilde belirlemektedir.

2.1.4.   Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

 

AKÜ, kişisel verilerin işlenmesindeki meşru ve hukuka uygun amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan verilerin işlenmesinden kaçınmaktadır. AKÜ, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi faaliyeti gerçekleştirmemektedir.

2.1.5.           İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi

 

AKÜ,Kanun’un4.ve7.maddelerineuygunolarakişlediğikişiselverileriçinmevzuatta bir süre öngörülmüş ise bu süreyi tespit etmekte ve söz konusu kişisel verileri bu süreye riayet ederekmuhafazaetmektedir.Mevzuattaherhangibirsüreöngörülmemişsekişiselverilerancak işlendikleri amaç için gerekli olan süre kadar işlenmektedir. Bir verinin daha fazla saklanması için geçerli bir sebebin bulunmaması halinde, söz konusu veri silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu kapsamda, AKÜ gerekli idari ve teknik tedbirleri almakta, bu doğrultuda kişisel veri saklama ve imha politikası ve esaslarını oluşturmakta ve de kişisel verilerinbuesaslarauygunolarakmuhafazaedilmesinisağlamaktadır.

Sonradan tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile AKÜ tarafından kişisel verilerin muhafaza edilmesi yoluna gidilmemektedir.

 

2.2.   KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

 

AKÜ, kişisel verileri sadece İlgili Kişinin açık rızası ile veya İlgili Kişinin rızası aranmaksızın Kanun’un 5. ve 6. maddesinde yer verilen şartlardan en az birinin gerçekleşmesi durumunda işlemektedir. Buna göre AKÜ, kişisel verilerin işlenmesi için aşağıda sayılan şartlardan en az birinin varlığını aramaktadır:

 

 

 

 

 

2.2.1.   Açık Rıza

 

AKÜ, kişisel veri işleme faaliyetinde bulunmak için öncelikli olarak Kanun’un 5. maddesinde sayılan şartlardan birini veya birkaçını aramaktadır. Bu şartların herhangi birinin bulunmaması ve kişisel veri işlemenin zorunlu olması halinde, AKÜ belirli konuya ilişkin, bilgilendirmeye dayalı, tereddüde yer bırakmayacak açıklıkta ve özgür irade ile açıklanmış Açık Rıza’ya dayanarak veri işleme faaliyetinde bulunmaktadır. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmekte, gerektiği takdirde açık rıza elektronik ortam veya telefon gibi yollarla da alınabilmektedir.

 

2.2.2.   Kanunlarda Açıkça Öngörülmesi

 

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, AKÜ tarafından ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir. Örneğin; 4857 Sayılı İş Kanunu’nun işçi özlük dosyası ile ilgili 75. maddesi gereğince çalışanların verilerinin toplanması bu kapsamda değerlendirilmektedir.

 

2.2.3.   Fiili İmkânsızlık

 

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel veriler AKÜ tarafından işlenebilecektir.

2.2.4.   Sözleşmenin Kurulması ve İfası İçin Gerekli Olması

 

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda kişisel veriler AKÜ tarafından işlenebilecektir.

 

2.2.5.   Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması

 

AKÜ, kişisel veri işleme faaliyetinin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda, kişisel veri işleyebilecektir.

 

 

 

 

 

 

 

 

2.2.6.   İlgili Kişinin Kişisel Verisinin Kendisi Tarafından Alenileştirilmesi

 

AKÜ, ilgili kişinin kendisi tarafından alenileştirilen eş deyişle, herhangi bir şekilde kamuoyuna açıklanmış olan, kişisel verileri işleyebilecektir. Ancak, söz konusu hukuka uygunluk sebebine dayanılabilmesi için alenileştirilme iradesinin varlığının bulunması aranmakta, kişisel verinin herkesin görebileceği bir yerde olması yeterli görülmemektedir. Ayrıca, alenileştirme durumunda da kişisel verileri amacı dışında kullanılmamaktadır.

 

2.2.7.       Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması

 

Kişisel veri işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda kişisel veri işlenebilecektir.

 

2.2.8.             İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması

 

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, AKÜ, meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verileri işleyebilecektir. Bu şarta dayanılarak veri işlenebilmesi için AKÜ menfaati ile İlgili Kişinin temel hak ve özgürlükleri arasında makul bir denge kurularak bu suretle hüküm uygulanabilirliği değerlendirilmektedir.

 

2.3.   KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

 

AKÜ kişisel verileri, Kanun’un 5. Maddesinin 2. Fıkrası ve 6. Maddesinin 3. fıkrasında belirtilen şartlar kapsamında, aşağıdaki amaçlarla işlemektedir;

 

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Burs Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekân Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  • Etkinlikler İçin Kıyafet/Kostümlerin Tedariki
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mazeret Sınavları ve Devamsızlık Süreçleri İçin Gerekçe Bilgileri
  • Notlandırma ve Devamsızlık Süreçlerinin Takibi
  • Organizasyon ve Etkinlik Yönetimi
  • Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Öğrenci Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Öğrenci Çalışanlar İçin Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Öğrenci Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Yemek Bursu İçin Var Olan Koşulların Mevcudiyetinin Belirlenmesi
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  • Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Uzaktan Eğitim Faaliyetlerinin Yürütülmesi
  • Ücret Politikasının Yürütülmesi
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Doğrudan Temin/İhale Süreçlerinin Yürütülmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

 

 

3.      KİŞİSEL VERİLERİN AKTARILMASI

 

AKÜ, sınırlı ve hukuka uygun olarak, gerekli güvenlik önlemlerini almak kaydıyla, İlgili Kişinin kişisel verilerini Kanun tarafından izin verilen şartlarda veya ilgili kişinin açık rızası ile üçüncü kişilere aktarabilmektedir. AKÜ, kişisel verilerin aktarılmasında kişisel verinin işlenmesi amaçları doğrultusunda, hukuka ve dürüstlük kurallarına uygun olarak hareket etmektedir.

 

3.1.   KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILMASI

 

AKÜ, meşru ve hukuka uygun kişisel veri işleme amaçları çerçevesinde, Kanun’un 8. Maddesi gereğince, Kanunun 5. maddesinde düzenlenmiş olan ve işbu Politikada yer alan kişisel veri işleme şartlarına uygun şekilde kişisel verileri yurtiçindeki üçüncü kişilere aktarabilmektedir.

 

 

 

 

3.2.   KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

 

AKÜ, 6698 sayılı KVK Kanunu’na uygun olarak işlediği kişisel verileri yurt dışına aktarmamaktadır.

 

3.3.   ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

 

AKÜ uyum projesinin İkinci Kısım, İkinci Bölümde yer alan Özel Nitelikli Kişisel Verilerin Korunması Politikasında da belirlendiği üzere, özel nitelikli kişisel verileri, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması şartıyla ve sadece aşağıdaki durumlarda aktarılabilir;

 

  • İlgilinin açık rızası varsa veya
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ilgili kişinin açık rızası aranmaksızın kanunlarda öngörülen hâllerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın aktarılabilir.

 

3.4.   KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

 

AKÜ tarafından veri aktarımı yapılabilecek olan kişiler ile veri aktarım amacı ve tanımı aşağıda belirtilmiştir:

 

Veri Aktarımı Yapılabilecek Kişiler  

 

Tanımı

 

 

Veri Aktarım Amacı

Faaliyetler gereği anlaşmalı olunan tüzel ve gerçek kişiler Faaliyetler gereği anlaşmalı olunan üçüncü kişiler Faaliyetlerin güvenliği ve sürekliliğinin sağlanması amacıyla aktarılabilecektir.
Tedarikçi / Yükleniciler İş faaliyetleri içerisine giren ve hizmet sunan bütün taraflar Faaliyetlerin yerine getirilmesi, temini amacıyla sınırlı olarak aktarılabilecektir.
Hukuken Yetkili Kamu Kurum ve Kuruluşları Yürürlükte bulunan mevzuata göre bilgi ve belge almaya yetkili kamu kurum ve kuruluşları Bilgi ve belge talep eden kamu kurum ve kuruluşlarının söz konusu mevzuat kapsamında belirlenmiş hukuki yetkisi çerçevesinde talep ettiği amaçla sınırlı olarak aktarılabilecektir.
Öğrenciler AKÜ’de eğitim alan gerçek kişiler Sözleşme kapsamındaki yükümlülüklerin yerine getirilmesi amacıyla sınırlı olarak aktarılabilecektir.
Hukuken Yetkili Özel Hukuk Kişileri Yürürlükte bulunan mevzuata göre bilgi ve belge almaya yetkili özel hukuk kişileri Bilgi ve belge talep eden özel hukuk kişilerinin söz konusu mevzuat kapsamında belirlenmiş hukuki yetkisi çerçevesinde talep ettiği amaçla sınırlı olarak aktarılabilecektir.
Sağlık Kuruluşları ve

Tıbbi Personel

Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerini yürütme

yetkisini haiz kuruluşlar ve tıbbi personel

 

 

 

Hayati risk içeren durumlarda personelinin sağlığına ilişkin kişisel veriler aktarabilecektir.

 

4.      İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI

 

  • KİŞİSEL VERİLERİN SINIFLANDIRILMASI

 

Uyum projesinin Yedinci Kısmında yer alan Kişisel Veri Envanteri’nde bulunan ve AKÜ tarafından Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen kişisel verilere ilişkin sınıflandırma bilgisi aşağıdaki tabloda verilmiştir.

 

 

Kişisel Veri Kategorisi

 

Kişisel Veri

 

 

 

 

 

 

 

Kimlik

Ad Soyad

Anne – Baba Adı Cinsiyet Bilgisi Doğum Tarihi Doğum Yeri Fotoğraf

İmza Medeni Hali

Nüfus Cüzdanı Fotokopisi Nüfus Cüzdanı Seri ve Sıra No

T.C. Kimlik Kartı TC Kimlik No

Vatandaşlık Bilgisi

Pasaport Bilgisi

İmza Sirküsü

 

İletişim

E-Posta Adresi Telefon No

İkametgah Adresi

 

 

 

 

 

 

 

 

 

 

 

Özlük

Aile Durumu Bildirimi (AGİ) Alınan Yazılı Savunmalar Askerlik Durumu Belgesi Zimmet Formu

Çalışan İzin Formları Disiplin Soruşturması Görev tanımı

İstifa Dilekçesi Nüfus Kayıt Örneği

Atama İzni ve Görevlendirme Tutanağı İşe Giriş-Çıkış Belgesi Kayıtları

Kadro türü (sürekli/geçici/sözleşmeli)

Sağlık Sigortası Durum Bilgileri Sigortalı İşe Giriş Bildirgesi Mal Bildirimi Bilgileri

Özgeçmiş Bilgileri

En son çalıştığı yerden Kümülatif Gelir Vergisi Matrahı yazısı veya onaylı son ücret bordrosu ile çalışma belgesi

Görev ve Unvan Değişikliğini Gösteren Belge İş Göremezlik Raporu

Kademe/Kıdem Terfi Bilgileri

Kıdem Hizmet Süresi

T.C. Vatandaşlığı/Çalışma İzni Gösteren Belge

Hukuki İşlem Dava Dosyasındaki Bilgiler

Adli Makamlarla Yazışmalardaki Bilgiler

 

Fiziksel Mekan Güvenliği

Kamera Kayıtları

Giriş Çıkış Kayıt Bilgileri Araç Plaka Bilgisi

 

İşlem Güvenliği

IP Adresi Bilgileri

İnternet Sitesi Giriş Çıkış Bilgileri Sunucu Logları

Şifre ve Parola Bilgileri

 

Finans

IBAN Numarası Malvarlığı Bilgileri

Kurumsal Harcama Bilgileri

Finansal Performans Bilgileri

 

 

 

 

Mesleki Deneyim

Meslek Bilgisi Önceki İş Tecrübesi Diploma Bilgileri

Onaylı Diploma Fotokopisi Önceki Çalıştığı Yer Sertifikalar

Sınav ve Mülakat Sonuçları

Emeklilik Bilgisi ve Sicil Numarası Gidilen Kurslar

Yabancı Dil Bilgileri

Görsel ve İşitsel Kayıtlar Görsel ve İşitsel Kayıtlar
 

 

Sağlık Bilgileri

Engellilik Durumuna Ait Bilgiler

İstirahat Belgesi (gerekçe ve tarih bilgisini içerir) Kan Grubu Bilgisi

Sağlık Raporu

Tedavi Yardım Beyannamesi

 

Ceza Mahkumiyeti ve Güvenlik Tedbirleri

Adli Sicil Kaydı

Ceza Mahkumiyetine İlişkin Bilgiler Güvenlik Tedbirlerine İlişkin Bilgiler

  Diğer Bilgiler (Eğitim Bilgileri) Değerlendirme Notu Ders Notu Bilgisi Devamsızlık Durumu Okul Bilgisi

Sınav Sonucu Bilgisi Transkript Belgesi Yabancı Dil Seviyesi

Öğrenci Belgesi

  Diğer Bilgiler Beden Ölçüleri

Aynı Konutta Yaşayan Kişi Ve Toplam Kişi Sayısı

Devamsızlık / Ders / Davranış Notu Bilgisi

Emekli / Dul / Yetim Aylığı Alıp Almadığı Bilgisi

Kullanıcı Tarafından Belirlenecek Veri Türleri

Öğrencinin Ailesinin Sosyal Durumu ve Gelir Bilgisi

Engellilik Bilgisi

Gazi veya Şehit Yakınlığı Bilgisi

Öğrencinin Eğitim Bursu Alıp Almadığı Bilgisi

Öğrencinin MEB/ÖSYM Başarı Puanı/Sıralaması

Öğrencinin Nakil Geldiği Okul Bilgisi

Bakmakla Yükümlü Olunan Kişilere İlişkin Bilgiler

SGK Hizmet Dökümü

Ek Ödeme Matrahı

Gelir Vergisi Matrahı

Anne/Baba/Yakını Telefon Numarası

 

 

 

 

 

4.2.   İLGİLİ KİŞİ SINIFLANDIRILMASI

 

Bu Politikanın Yedinci Kısmında yer alan Kişisel Veri Envanteri’nde bulunan ve kendilerine ait kişisel veriler AKÜ tarafından Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen kişilere ilişkin sınıflandırma bilgisi aşağıdaki tabloda verilmiştir.

 

AKÜ tarafından kişisel verileri işlenen kişilerin kategorileri aşağıdaki şekildedir. Bununla birlikte, aşağıda yer alan kategorilerden herhangi birine girmeyen kişilerin talepleri de Kanun ve bu Politika kapsamında değerlendirmeye alınacaktır.

İlgili Kişi Açıklama
Çalışan İş sözleşmesi ile bağlı olarak çalışan gerçek kişi çalışanları ifade eder.
Çalışan Adayı Herhangi bir yolla iş başvurusunda bulunmuş olan gerçek

kişileri ifade eder.

Öğrencisi AKÜ’de lisans/önlisans düzeyinde eğitim alan gerçek kişileri ifade eder.
Lisansüstü Öğrenci AKÜ’de lisansüstü düzeyde eğitim alan gerçek kişileri

ifade eder.

Doktora Öğrencisi AKÜ’de doktora düzeyinde eğitim alan gerçek kişileri ifade eder.
Öğrenci Adayı Henüz ürün veya hizmet almamış fakat alma potansiyeli

bulunan gerçek kişileri ifade eder.

Tedarikçi Yetkilisi Hizmet ya da ürün alınan tedarikçi, danışman veya hizmet sağlayıcılar ve hizmetlerin yürütülmesi sırasında iş birliği içinde olduğu iş ortakları ile bunların çalışanı, hissedarı

veya yetkilisini ifade eder.

Ziyaretçi Yerleşkelere girmiş olan veya internet sitesini ziyaret etmiş olan gerçek kişileri ifade eder.
Üçüncü Kişiler Bu Politika kapsamında yukarıda sayılan kategorilerden herhangi birine girmeyen ancak kişisel verilerini paylaşan diğer gerçek kişileri ifade eder.

 

 

5.    KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

 

AKÜ, Kanun’un 12. maddesi kapsamında;

 

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta ve Kanun’un uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır.

 

 

 

 

 

5.1.              KİŞİSEL    VERİLERİN   KORUNMASI   İÇİN    ALINAN   İDARİ TEDBİRLER

 

AKÜ, kişisel verilerin hukuka uygun işlenmesi, erişilmesi ve muhafazasını temin amacıyla birçok idari tedbir almaktadır. Kişisel verilerin korunmasına yönelik politikalar belirlenmekte, gerekli teknolojik altyapının sağlanması konusunda eğitimler gerçekleştirilmekte hem teknik hem de idari çalışma ve planlamalar yapılmaktadır.

5.1.1.   Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

 

AKÜ, personelinin ve kendi tesislerinde bulunan herkesin kişisel veri güvenliği konusunda eğitilmesi için azami gayret göstermektedir. AKÜ, veri güvenliğinin en önemli ayaklarından birinin çalışanların bu konudaki bilinç düzeyi olduğunun farkındadır. Bu bakımdan, AKÜ çalışanlarına kişisel verilerin korunmasına ilişkin teknik ve idari konularda eğitimler vermekte ve kişisel verilerin korunması konusunu günlük iş hayatının bir parçası haline getirmektedir.

 

İşbu Politika’da veya kişisel verilere ilişkin olarak AKÜ tarafından belirlenen diğer politika ve prosedürlerde esaslı bir değişiklik meydana gelmesi halinde, çalışanlara verilecek eğitimlerde bu değişiklikler çalışanların bilgisine sunulmaktadır.

 

5.1.2.   Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

 

AKÜ, veri güvenliğinin sağlanması amacıyla, bu Politika metninin yanı sıra Özel Nitelikli Kişisel verilerin Korunması ve Kişisel Verilerin Saklanması, Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Politikaları ve diğer AKÜ usul ve talimatları ile de kapsamlı olarak kişisel veri güvenliğini sağlamayı amaçlamaktadır. AKÜ ayrıca söz konusu Politikalar kapsamında düzenli denetimler ve kontroller yapmak için iç yönergeleri geliştirecektir.

 

5.1.3.   Kişisel Verilerin Azaltılması

 

AKÜ, işleme amaçları bakımından ihtiyaç olmayan kişisel verileri kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi politikası kapsamında ve Kanun’a uygun bir şekilde imha etmektedir. AKÜ, kişisel verilerin doğru ve güncel olması ile kişisel verilerin uygun ortamlarda muhafaza edilmesine özen göstermektedir.

 

 

 

 

 

 

5.1.4.   Veri İşleyenlerle İlişkiler

 

AKÜ, veri işleyenlerden hizmet almasının gerekli olması durumunda, veri işleyenlerin de güvenlik seviyesinin asgari olarak AKÜ standartlarında sağlanmasını zorunlu tutmak amacıyla; veri işleyenler ile imzaladığı sözleşmelerde aşağıda belirtilen kriterlerin mevcudiyetini aramaktadır:

  • Sözleşmenin yazılı olması,
  • Sözleşmede veri işleyenin sözleşmede belirtilen amaç ve kapsama uygun ve kişisel verilerin korunması mevzuatı ile uyum içerisinde hareket edeceğine dair hükümlerin yer alması,
  • Sözleşmede veri işleyenin veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar ile sır saklama yükümlülüğüne ilişkin hükümlerin yer alması.

 

5.1.5.   İlgili Kişinin Başvuru Prosedürünün Düzenlenmesi

 

AKÜ; ilgili kişinin KVK Kanunun 11. Maddesindeki haklarını kullanmasını kolaylaştırmak, başvuru sürecini şeffaf hale getirmek ve bu sürece işlerlik sağlamak amacıyla matbu başvuru dilekçeleri düzenlemiştir. Kişisel verileri hakkında başvuru yapmak isteyen ilgili kişi bu dilekçelerle AKÜ web sitesi üzerinden başvurusunu gerçekleştirebilir.

 

5.1.6.   Yurtdışı Aktarım Prosedürünün Düzenlenmesi

 

AKÜ faaliyetleri gereği çalışanlarının kişisel verilerini, yurtdışı alıcı gruplarıyla paylaşmamaktadır.

 

  • KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK TEDBİRLER

 

5.2.1.   Siber Güvenliğin Sağlanması

 

AKÜ, birçok prensip dâhilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen teknik tedbirler planlamakta, hazırlamakta ve uygulamaktadır.

 

Etkin olarak Güvenlik Duvarı (Firewall) sistemi çalışmaktadır. Ayrıca, internet ağ geçidi sistemi ile AKÜ personelinin veri güvenliğini tehdit edebilecek sitelere girişleri sistem tarafından engellenmektedir. Ek olarak sistemler ve ağ için yüklenen virüs koruma ve güvenlik duvarı yazılımları ve intranet-internet ağlarının ayrı olması da bilgi sızma riskini önlemektedir.

 

 

 

 

 

AKÜ kampüsünde kullanılan bilgisayarlara zafiyet içeren yazılımların yüklenmesi mümkün bulunmamaktadır. Şöyle ki, internet ağına bağlı olarak çalışan bilgisayarlarda bu tarz uygulamaları kurma yetkisi personelde bulunmayıp, uygulamalar ancak bilgi işlem personeli tarafından yönetici oturumuyla bilgisayarlara yüklenmektedir.

 

İnternet ağına bağlı olarak kullanılan bilgisayarlara güncel zafiyetleri kapatacak şekilde işletim sistemi üreten firmaların yayınlamış oldukları yamalar periyodik olarak bilgi işlem personeli tarafından yüklenmektedir.

 

Kişisel verilerin bulunduğu sistem ve programlar üzerinde kullanıcı yetkileri “bilmesi gereken prensibi” ve “en az haklar ilkesi”ne göre verilmektedir. Bilmesi gereken ilkesi gereği Kişi Güvenlik Belgesine sahip olsa dahi konu ile ilgisi olmayan personelin gizlilik dereceli projelerde görev üstlenmesine yahut bilgi ve belgeye erişimine müsaade edilmez. En az haklar ilkesi de her bilgisayar programı ve kullanıcısının tanımlı olan meşru görevini yerine getirebilmesi için gerekli olan en az hakla donatılmış olmasıdır.

 

Her birime ve bu birime bağlı personelin yürüttüğü faaliyetlere göre kendine tanımlanan erişim yetkileri bulunmaktadır. Sisteme personel tarafından erişim sağlanmaya çalışıldığında sistem, yetkileri kontrol ederek veriye ulaşmak isteyen personelin yetkili olup olmadığını denetler, personelin yetkiye sahip olmaması halinde erişim girişimi otomatik olarak engellenir.

 

Personel, kendi kullanıcı kodları ve şifreleri ile sisteme erişebilmektedir. Kullanıcı kodları anonim değil, kişiseldir. Her kullanıcının erişim yetkileri haricinde bu yetkilerin verilme ve alınma tarihleri de veri kaçağı oluşmaması adına kayıt altına alınmaktadır. Kişisel bilgisayarlara erişimde kullanılacak şifrelerin belirlenmesinde karmaşık şifre belirlenmesi için gerekli kural tanımlamaları bulunmaktadır.

 

Veri işleyenlerin erişim yetkilerinin takibi, AKÜ bünyesinde yetkili kişilerce yapılmaktadır. Bilgisayar hesaplarının kontrolü ve adminlik yetkisi yetkili bilgi işlem personelinde olup; işten ayrılan personel için kullanıcı hesapları derhal kapatılarak ayrılan personelin sisteme girişi engellenmektedir.

 

Kötü amaçlı yazılımlardan korunmak için Kurum genelinde merkezi olarak yönetilen “antivirüs” ve “antispam” yazılımları hususunda gerekli tedbirler alınmaktadır. Alınan bütün bu teknik tedbirlerle AKÜ veri güvenliğine ilişkin en üst seviyede koruma sağlamaktadır.

 

 

 

 

 

5.2.2.   Kişisel Verileri İçeren Ortamların Veri Güvenliğinin Sağlanması

 

  • Kişisel veri içeren ortamlar en üst düzeyde korunmaktadır.
  • Kâğıt ortamında saklanan kişisel veriler, gizlilik derecesine göre kilitli dolaplarda muhafaza
  • Elektronik ortamda bulunan kişisel veriler üzerinde güvenlik ihlallerini önlemek için ağ erişimleri sınırlandırılmaktadır.
  • Veri merkezine girişler sadece yetkili personelin erişebileceği şekilde yapılandırılmıştır.

 

 

5.2.3. Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

 

AKÜ tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

 

5.2.4.  Kişisel Verilerin Yedeklenmesi

 

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlardan korunmak için veriler düzenli olarak yedeklenmektedir.

 

6.    İLGİLİ KİŞİNİN HAKLARI

 

AKÜ, Kanun’un 10. ve 11. maddeleri çerçevesinde, sahip olduğu haklar konusunda ilgili kişileri bilgilendirmekte ve bu hakların kullanım yöntemleri konusunda yol göstermektedir. AKÜ, İlgili Kişinin haklarını kullanabilmesi için Kanun’un 13. maddesi çerçevesinde gerekli olan mekanizmaları kurmuştur.

 

6.1.   İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANIMI

 

  • İlgili Kişinin Hakları

 

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

 

 

 

  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına

 

6.1.2   İlgili Kişilerin Haklarına İlişkin İstisnalar

 

Kanun’un 28. maddesi uyarınca, aşağıda sayılı olan haller Kanun kapsamı dışında bırakıldığından, İlgili Kişi aşağıda sayılan konularda yukarıda sayılı olan haklarını kullanamazlar:

 

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • Ayrıca, yukarıda sayılan istisna hükümlerine ilaveten, Kanun’un 28/2 maddesi uyarınca, aşağıda sayılan hallerde ilgili kişiler zararın giderilmesini talep etme hariç yukarıda sayılan haklarını
  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • İlgili Kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

 

 

 

 

  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma/kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 

6.1.3   İlgili Kişinin Haklarını Kullanması

 

Kanun gereğince, ilgili kişinin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle veri sorumlusuna iletmeleri gerekmektedir.

 

  • İlgili Kişi bu haklarını kullanmak için https://bilgiedinme.aku.edu.tr/ adresindeki formu doldurarak, formun el mahsulü imzalı bir nüshasını “Afyon Kocatepe Üniversitesi Rektörlüğü Ahmet Necdet Sezer Kampüsü Gazlıgöl Yolu, 03200 Afyonkarahisar” adresine ilgili kişinin kimliğini tespit edici belgeler ile birlikte bizzat elden

 

 

İlgili Kişi adına üçüncü kişilerin başvuru talebinde bulunabilmesi için, bu kişilerin hak sahibi tarafından noterlikçe düzenlenmiş ve içeriğinde kişisel verilere ilişkin başvuru, bilgi talebi gibi yetkilerin yer aldığı özel vekâletname ile yetkilendirmiş olması ve bu belgeyi talep anında ibraz etmeleri veya taleplerine eklemeleri gereklidir.

 

6.2      BAŞVURULARIN CEVAPLANDIRILMASI

 

  • Başvurulara Cevap Verme Usulü ve Süresi

 

AKÜ; kişisel verilerle ilgili yapılan başvuruları inceler ve karara bağlar. Başvuru sahibinin bu Politikanın 6.1.1 maddesinde yer alan usule uygun olarak gerçekleştirmiş olduğu talebi, AKÜ tarafından, talebin niteliğine göre en kısa sürede ve en geç tebliğ alınan tarihten itibaren otuz gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret (10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti) alınabilir.

 

AKÜ, başvuru sahibinin ilgili kişi olup olmadığını tespit etmek amacıyla başvuru sahibinden bilgi ve belge talep edebilir. AKÜ, aynı zamanda, başvuru sahibinin başvurusunda yer alan hususları netleştirmek adına başvuru sahibine soru yöneltebilir.

 

6.2.2   İlgili Kişinin Başvurusunun Reddedilmesi

 

AKÜ, yapılan başvurunun bu Politikanın 6.1.2 maddesinde ve Kanun’un 28. maddesinde sayılan istisna halleri kapsamında olması durumunda başvuruyu reddetme hakkına sahiptir. AKÜ ayrıca, ilgili kişinin talebinin diğer kişilerin hak ve özgürlüklerini engellemesi ihtimali içermesi, talep edilen bilginin kamuya açık olması, talep edilen bilginin mevzuat çerçevesinde belirlenmiş gizli bilgi olması durumunda da başvuruyu reddedebilir.

 

7.    Uygulama ve Yürürlük

 

 

İşbu Politika AKÜ tarafından onaylanmasının akabinde yürürlüğe girer.

 

 

DÖKÜMAN TARİHÇESİ
Versiyon Yayın Tarihi Değişikliğin Tanımı
Hazırlayan Onaylayan
  Bilgi İşlem Daire Başkanı

 

 

  Rektör

 

 

03 Mayıs 2024, Cuma 1327 kez görüntülendi