BAŞLANGIÇ

GİRİŞ

Türkiye Cumhuriyeti Anayasası’na göre, herkes kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Anayasal nitelikteki bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Afyon Kocatepe Üniversitesi (“AKÜ”) işbu Politika ile, bünyesindeki kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalık oluşturmanın yanı sıra mevzuata uyum kapsamında gerekli düzeni kurmayı ve kişisel veriler bakımından hem hukuken hem de fiilen tam bir koruma sağlamayı hedeflemektedir. AKÜ, personelinin, öğrencilerinin, kampüs ve internet sitesi ziyaretçilerinin, ilişkide olduğu diğer tüm üçüncü kişilerin kişisel verilerinin mevzuata uygun şekilde korunmasını işbu Politika ile kurum politikası haline getirmektedir.

1.2. AMAÇ

İşbu Politikanın amacı, AKÜ tarafından mevzuata uygun olarak yürütülen kişisel veri işleme ve saklama ilke ve prensiplerinin oluşturulması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi uyarınca, veri sorumlusu AKÜ tarafından, kişisel veri işleme envanterine uygun olarak kişisel veri saklama yükümlülüğünün yerine getirilmesidir. AKÜ, bu Politika ile veri işleme faaliyetleri kapsamında bağlı olduğu esasları ve ilkeleri düzenlemektedir.

AKÜ tarafından kişisel verilerin işlenmesi ve güvenliğinin sağlanması amacıyla yürütülen faaliyetler, alınan önlemler konusunda, kişisel verileri işlenen ilgili kişilerin en şeffaf şekilde bilgilendirilmesi hedeflenmektedir. AKÜ ilgili kişilerin aydınlatılması için bu Politika ile örtüşür şekilde, internet sitesinde yayınlanan metin dikkate alınacaktır.

1.3. KAPSAM

Bu Politika, AKÜ tarafından mevzuata uygun olarak otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilere dair her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.

1.4. DAYANAK

Bu Politika, öncelikli olarak Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verileri Koruma Kurumu tarafından yayımlanan ikincil mevzuat ve yürürlükte bulunan sair mevzuat dayanak alınarak hazırlanmıştır.

1.5. TANIMLAR

İşbu politika kapsamında kullanılan ifadelerin tanımları şu şekilde sıralanabilecektir:

İfade	Açıklama
Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi	Kişisel verilerin kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
İlgili Kişi	Kişisel verisi işlenen gerçek kişi
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Kişisel Veri Saklama ve İmha Politikası	Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

2. KİŞİSEL VERİLERİN İŞLENMESİ

KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANAN İLKELER

AKÜ, kişisel verilerin işlenmesinde, Kanun’un 4. maddesine uygun olarak aşağıdaki ilkelere uymaktadır:

2.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Şekilde İşlenmesi

Bu ilke, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuk düzenlemeleri ile getirilen ilkelere uygun hareket etme zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca AKÜ, veri işlemedeki hedeflerine ulaşmaya çalışırken, İlgili Kişilerin çıkarlarını ve makul beklentilerini dikkate almakta, İlgili Kişinin öngörmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir. Bu ilke uyarınca İlgili Kişi için söz konusu veri işleme faaliyetlerinin şeffaf olmasına dikkat edilmekte ve veri işleme faaliyetleri öncesinde bilgilendirme ve uyarı yükümlülükleri yerine getirilmektedir. AKÜ veri işleme faaliyetleri sırasında ilgili kişinin çıkarlarını gözetmekte ve veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmektedir.

2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması

AKÜ, işlediği verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynaklar belirlenmekte, kişisel verilerin toplandığı kaynağın doğruluğu test edilmekte, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmakta ve bu kapsamda makul önlemler alınmaktadır.

2.1.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi

AKÜ, hukuka ve dürüstlük kuralına uygun olan kişisel veri işleme amacını açık, meşru ve İlgili Kişi tarafından anlaşılabilir olacak şekilde belirlemekte, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğini tespit etmektedir. AKÜ, kişisel veri işleme amaçlarını veri işleme faaliyeti başlamadan belirlemekte, İlgili Kişileri bilgilendirmekte ve İlgili Kişiye belirttikleri amaçlar dışında bir amaçla veri işlememektedir. AKÜ tarafından belirlenen veri işleme amaçları, yapılan iş ve sunulan hizmet ile bağlantılı ve bunlar için gerekli olma kriterini yerine getirecek şekilde belirlemektedir.

2.1.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

AKÜ, kişisel verilerin işlenmesindeki meşru ve hukuka uygun amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan verilerin işlenmesinden kaçınmaktadır. AKÜ, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi faaliyeti gerçekleştirmemektedir.

2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi

AKÜ,Kanun’un4.ve7.maddelerineuygunolarakişlediğikişiselverileriçinmevzuatta bir süre öngörülmüş ise bu süreyi tespit etmekte ve söz konusu kişisel verileri bu süreye riayet ederekmuhafazaetmektedir.Mevzuattaherhangibirsüreöngörülmemişsekişiselverilerancak işlendikleri amaç için gerekli olan süre kadar işlenmektedir. Bir verinin daha fazla saklanması için geçerli bir sebebin bulunmaması halinde, söz konusu veri silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu kapsamda, AKÜ gerekli idari ve teknik tedbirleri almakta, bu doğrultuda kişisel veri saklama ve imha politikası ve esaslarını oluşturmakta ve de kişisel verilerinbuesaslarauygunolarakmuhafazaedilmesinisağlamaktadır.

Sonradan tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile AKÜ tarafından kişisel verilerin muhafaza edilmesi yoluna gidilmemektedir.

2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

AKÜ, kişisel verileri sadece İlgili Kişinin açık rızası ile veya İlgili Kişinin rızası aranmaksızın Kanun’un 5. ve 6. maddesinde yer verilen şartlardan en az birinin gerçekleşmesi durumunda işlemektedir. Buna göre AKÜ, kişisel verilerin işlenmesi için aşağıda sayılan şartlardan en az birinin varlığını aramaktadır:

2.2.1. Açık Rıza

AKÜ, kişisel veri işleme faaliyetinde bulunmak için öncelikli olarak Kanun’un 5. maddesinde sayılan şartlardan birini veya birkaçını aramaktadır. Bu şartların herhangi birinin bulunmaması ve kişisel veri işlemenin zorunlu olması halinde, AKÜ belirli konuya ilişkin, bilgilendirmeye dayalı, tereddüde yer bırakmayacak açıklıkta ve özgür irade ile açıklanmış Açık Rıza’ya dayanarak veri işleme faaliyetinde bulunmaktadır. Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmekte, gerektiği takdirde açık rıza elektronik ortam veya telefon gibi yollarla da alınabilmektedir.

2.2.2. Kanunlarda Açıkça Öngörülmesi

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, AKÜ tarafından ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir. Örneğin; 4857 Sayılı İş Kanunu’nun işçi özlük dosyası ile ilgili 75. maddesi gereğince çalışanların verilerinin toplanması bu kapsamda değerlendirilmektedir.

2.2.3. Fiili İmkânsızlık

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel veriler AKÜ tarafından işlenebilecektir.

2.2.4. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda kişisel veriler AKÜ tarafından işlenebilecektir.

2.2.5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması

AKÜ, kişisel veri işleme faaliyetinin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda, kişisel veri işleyebilecektir.

2.2.6. İlgili Kişinin Kişisel Verisinin Kendisi Tarafından Alenileştirilmesi

AKÜ, ilgili kişinin kendisi tarafından alenileştirilen eş deyişle, herhangi bir şekilde kamuoyuna açıklanmış olan, kişisel verileri işleyebilecektir. Ancak, söz konusu hukuka uygunluk sebebine dayanılabilmesi için alenileştirilme iradesinin varlığının bulunması aranmakta, kişisel verinin herkesin görebileceği bir yerde olması yeterli görülmemektedir. Ayrıca, alenileştirme durumunda da kişisel verileri amacı dışında kullanılmamaktadır.

2.2.7. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması

Kişisel veri işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda kişisel veri işlenebilecektir.

2.2.8. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, AKÜ, meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel verileri işleyebilecektir. Bu şarta dayanılarak veri işlenebilmesi için AKÜ menfaati ile İlgili Kişinin temel hak ve özgürlükleri arasında makul bir denge kurularak bu suretle hüküm uygulanabilirliği değerlendirilmektedir.

2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

AKÜ kişisel verileri, Kanun’un 5. Maddesinin 2. Fıkrası ve 6. Maddesinin 3. fıkrasında belirtilen şartlar kapsamında, aşağıdaki amaçlarla işlemektedir;

Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Burs Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekân Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Etkinlikler İçin Kıyafet/Kostümlerin Tedariki
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mazeret Sınavları ve Devamsızlık Süreçleri İçin Gerekçe Bilgileri
Notlandırma ve Devamsızlık Süreçlerinin Takibi
Organizasyon ve Etkinlik Yönetimi
Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
Öğrenci Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Öğrenci Çalışanlar İçin Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Öğrenci Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
Yemek Bursu İçin Var Olan Koşulların Mevcudiyetinin Belirlenmesi
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Taşınır Mal ve Kaynakların Güvenliğinin Temini
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Uzaktan Eğitim Faaliyetlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Doğrudan Temin/İhale Süreçlerinin Yürütülmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

3. KİŞİSEL VERİLERİN AKTARILMASI

AKÜ, sınırlı ve hukuka uygun olarak, gerekli güvenlik önlemlerini almak kaydıyla, İlgili Kişinin kişisel verilerini Kanun tarafından izin verilen şartlarda veya ilgili kişinin açık rızası ile üçüncü kişilere aktarabilmektedir. AKÜ, kişisel verilerin aktarılmasında kişisel verinin işlenmesi amaçları doğrultusunda, hukuka ve dürüstlük kurallarına uygun olarak hareket etmektedir.

3.1. KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILMASI

AKÜ, meşru ve hukuka uygun kişisel veri işleme amaçları çerçevesinde, Kanun’un 8. Maddesi gereğince, Kanunun 5. maddesinde düzenlenmiş olan ve işbu Politikada yer alan kişisel veri işleme şartlarına uygun şekilde kişisel verileri yurtiçindeki üçüncü kişilere aktarabilmektedir.

3.2. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

AKÜ, 6698 sayılı KVK Kanunu’na uygun olarak işlediği kişisel verileri yurt dışına aktarmamaktadır.

3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

AKÜ uyum projesinin İkinci Kısım, İkinci Bölümde yer alan Özel Nitelikli Kişisel Verilerin Korunması Politikasında da belirlendiği üzere, özel nitelikli kişisel verileri, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması şartıyla ve sadece aşağıdaki durumlarda aktarılabilir;

İlgilinin açık rızası varsa veya
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ilgili kişinin açık rızası aranmaksızın kanunlarda öngörülen hâllerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın aktarılabilir.

3.4. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

AKÜ tarafından veri aktarımı yapılabilecek olan kişiler ile veri aktarım amacı ve tanımı aşağıda belirtilmiştir:

Veri Aktarımı Yapılabilecek Kişiler	Tanımı	Veri Aktarım Amacı
Faaliyetler gereği anlaşmalı olunan tüzel ve gerçek kişiler	Faaliyetler gereği anlaşmalı olunan üçüncü kişiler	Faaliyetlerin güvenliği ve sürekliliğinin sağlanması amacıyla aktarılabilecektir.
Tedarikçi / Yükleniciler	İş faaliyetleri içerisine giren ve hizmet sunan bütün taraflar	Faaliyetlerin yerine getirilmesi, temini amacıyla sınırlı olarak aktarılabilecektir.
Hukuken Yetkili Kamu Kurum ve Kuruluşları	Yürürlükte bulunan mevzuata göre bilgi ve belge almaya yetkili kamu kurum ve kuruluşları	Bilgi ve belge talep eden kamu kurum ve kuruluşlarının söz konusu mevzuat kapsamında belirlenmiş hukuki yetkisi çerçevesinde talep ettiği amaçla sınırlı olarak aktarılabilecektir.
Öğrenciler	AKÜ’de eğitim alan gerçek kişiler	Sözleşme kapsamındaki yükümlülüklerin yerine getirilmesi amacıyla sınırlı olarak aktarılabilecektir.
Hukuken Yetkili Özel Hukuk Kişileri	Yürürlükte bulunan mevzuata göre bilgi ve belge almaya yetkili özel hukuk kişileri	Bilgi ve belge talep eden özel hukuk kişilerinin söz konusu mevzuat kapsamında belirlenmiş hukuki yetkisi çerçevesinde talep ettiği amaçla sınırlı olarak aktarılabilecektir.
Sağlık Kuruluşları ve Tıbbi Personel	Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerini yürütme yetkisini haiz kuruluşlar ve tıbbi personel	Hayati risk içeren durumlarda personelinin sağlığına ilişkin kişisel veriler aktarabilecektir.

4. İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI

KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Uyum projesinin Yedinci Kısmında yer alan Kişisel Veri Envanteri’nde bulunan ve AKÜ tarafından Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen kişisel verilere ilişkin sınıflandırma bilgisi aşağıdaki tabloda verilmiştir.

Kişisel Veri Kategorisi		Kişisel Veri
Kimlik		Ad Soyad Anne – Baba Adı Cinsiyet Bilgisi Doğum Tarihi Doğum Yeri Fotoğraf İmza Medeni Hali Nüfus Cüzdanı Fotokopisi Nüfus Cüzdanı Seri ve Sıra No T.C. Kimlik Kartı TC Kimlik No Vatandaşlık Bilgisi Pasaport Bilgisi İmza Sirküsü
İletişim		E-Posta Adresi Telefon No İkametgah Adresi
Özlük		Aile Durumu Bildirimi (AGİ) Alınan Yazılı Savunmalar Askerlik Durumu Belgesi Zimmet Formu Çalışan İzin Formları Disiplin Soruşturması Görev tanımı İstifa Dilekçesi Nüfus Kayıt Örneği Atama İzni ve Görevlendirme Tutanağı İşe Giriş-Çıkış Belgesi Kayıtları Kadro türü (sürekli/geçici/sözleşmeli) Sağlık Sigortası Durum Bilgileri Sigortalı İşe Giriş Bildirgesi Mal Bildirimi Bilgileri Özgeçmiş Bilgileri En son çalıştığı yerden Kümülatif Gelir Vergisi Matrahı yazısı veya onaylı son ücret bordrosu ile çalışma belgesi Görev ve Unvan Değişikliğini Gösteren Belge İş Göremezlik Raporu Kademe/Kıdem Terfi Bilgileri Kıdem Hizmet Süresi T.C. Vatandaşlığı/Çalışma İzni Gösteren Belge
	Hukuki İşlem		Dava Dosyasındaki Bilgiler Adli Makamlarla Yazışmalardaki Bilgiler
	Fiziksel Mekan Güvenliği		Kamera Kayıtları Giriş Çıkış Kayıt Bilgileri Araç Plaka Bilgisi
	İşlem Güvenliği		IP Adresi Bilgileri İnternet Sitesi Giriş Çıkış Bilgileri Sunucu Logları Şifre ve Parola Bilgileri
	Finans		IBAN Numarası Malvarlığı Bilgileri Kurumsal Harcama Bilgileri Finansal Performans Bilgileri
	Mesleki Deneyim		Meslek Bilgisi Önceki İş Tecrübesi Diploma Bilgileri Onaylı Diploma Fotokopisi Önceki Çalıştığı Yer Sertifikalar Sınav ve Mülakat Sonuçları Emeklilik Bilgisi ve Sicil Numarası Gidilen Kurslar Yabancı Dil Bilgileri
	Görsel ve İşitsel Kayıtlar		Görsel ve İşitsel Kayıtlar
	Sağlık Bilgileri		Engellilik Durumuna Ait Bilgiler İstirahat Belgesi (gerekçe ve tarih bilgisini içerir) Kan Grubu Bilgisi Sağlık Raporu Tedavi Yardım Beyannamesi
	Ceza Mahkumiyeti ve Güvenlik Tedbirleri		Adli Sicil Kaydı Ceza Mahkumiyetine İlişkin Bilgiler Güvenlik Tedbirlerine İlişkin Bilgiler
	Diğer Bilgiler (Eğitim Bilgileri)		Değerlendirme Notu Ders Notu Bilgisi Devamsızlık Durumu Okul Bilgisi Sınav Sonucu Bilgisi Transkript Belgesi Yabancı Dil Seviyesi Öğrenci Belgesi
	Diğer Bilgiler		Beden Ölçüleri Aynı Konutta Yaşayan Kişi Ve Toplam Kişi Sayısı Devamsızlık / Ders / Davranış Notu Bilgisi Emekli / Dul / Yetim Aylığı Alıp Almadığı Bilgisi Kullanıcı Tarafından Belirlenecek Veri Türleri Öğrencinin Ailesinin Sosyal Durumu ve Gelir Bilgisi Engellilik Bilgisi Gazi veya Şehit Yakınlığı Bilgisi Öğrencinin Eğitim Bursu Alıp Almadığı Bilgisi Öğrencinin MEB/ÖSYM Başarı Puanı/Sıralaması Öğrencinin Nakil Geldiği Okul Bilgisi Bakmakla Yükümlü Olunan Kişilere İlişkin Bilgiler SGK Hizmet Dökümü Ek Ödeme Matrahı Gelir Vergisi Matrahı Anne/Baba/Yakını Telefon Numarası

4.2. İLGİLİ KİŞİ SINIFLANDIRILMASI

Bu Politikanın Yedinci Kısmında yer alan Kişisel Veri Envanteri’nde bulunan ve kendilerine ait kişisel veriler AKÜ tarafından Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen kişilere ilişkin sınıflandırma bilgisi aşağıdaki tabloda verilmiştir.

AKÜ tarafından kişisel verileri işlenen kişilerin kategorileri aşağıdaki şekildedir. Bununla birlikte, aşağıda yer alan kategorilerden herhangi birine girmeyen kişilerin talepleri de Kanun ve bu Politika kapsamında değerlendirmeye alınacaktır.

İlgili Kişi	Açıklama
Çalışan	İş sözleşmesi ile bağlı olarak çalışan gerçek kişi çalışanları ifade eder.
Çalışan Adayı	Herhangi bir yolla iş başvurusunda bulunmuş olan gerçek kişileri ifade eder.
Öğrencisi	AKÜ’de lisans/önlisans düzeyinde eğitim alan gerçek kişileri ifade eder.
Lisansüstü Öğrenci	AKÜ’de lisansüstü düzeyde eğitim alan gerçek kişileri ifade eder.
Doktora Öğrencisi	AKÜ’de doktora düzeyinde eğitim alan gerçek kişileri ifade eder.
Öğrenci Adayı	Henüz ürün veya hizmet almamış fakat alma potansiyeli bulunan gerçek kişileri ifade eder.
Tedarikçi Yetkilisi	Hizmet ya da ürün alınan tedarikçi, danışman veya hizmet sağlayıcılar ve hizmetlerin yürütülmesi sırasında iş birliği içinde olduğu iş ortakları ile bunların çalışanı, hissedarı veya yetkilisini ifade eder.
Ziyaretçi	Yerleşkelere girmiş olan veya internet sitesini ziyaret etmiş olan gerçek kişileri ifade eder.
Üçüncü Kişiler	Bu Politika kapsamında yukarıda sayılan kategorilerden herhangi birine girmeyen ancak kişisel verilerini paylaşan diğer gerçek kişileri ifade eder.

5. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

AKÜ, Kanun’un 12. maddesi kapsamında;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta ve Kanun’un uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır.

5.1. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ TEDBİRLER

AKÜ, kişisel verilerin hukuka uygun işlenmesi, erişilmesi ve muhafazasını temin amacıyla birçok idari tedbir almaktadır. Kişisel verilerin korunmasına yönelik politikalar belirlenmekte, gerekli teknolojik altyapının sağlanması konusunda eğitimler gerçekleştirilmekte hem teknik hem de idari çalışma ve planlamalar yapılmaktadır.

5.1.1. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

AKÜ, personelinin ve kendi tesislerinde bulunan herkesin kişisel veri güvenliği konusunda eğitilmesi için azami gayret göstermektedir. AKÜ, veri güvenliğinin en önemli ayaklarından birinin çalışanların bu konudaki bilinç düzeyi olduğunun farkındadır. Bu bakımdan, AKÜ çalışanlarına kişisel verilerin korunmasına ilişkin teknik ve idari konularda eğitimler vermekte ve kişisel verilerin korunması konusunu günlük iş hayatının bir parçası haline getirmektedir.

İşbu Politika’da veya kişisel verilere ilişkin olarak AKÜ tarafından belirlenen diğer politika ve prosedürlerde esaslı bir değişiklik meydana gelmesi halinde, çalışanlara verilecek eğitimlerde bu değişiklikler çalışanların bilgisine sunulmaktadır.

5.1.2. Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

AKÜ, veri güvenliğinin sağlanması amacıyla, bu Politika metninin yanı sıra Özel Nitelikli Kişisel verilerin Korunması ve Kişisel Verilerin Saklanması, Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Politikaları ve diğer AKÜ usul ve talimatları ile de kapsamlı olarak kişisel veri güvenliğini sağlamayı amaçlamaktadır. AKÜ ayrıca söz konusu Politikalar kapsamında düzenli denetimler ve kontroller yapmak için iç yönergeleri geliştirecektir.

5.1.3. Kişisel Verilerin Azaltılması

AKÜ, işleme amaçları bakımından ihtiyaç olmayan kişisel verileri kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi politikası kapsamında ve Kanun’a uygun bir şekilde imha etmektedir. AKÜ, kişisel verilerin doğru ve güncel olması ile kişisel verilerin uygun ortamlarda muhafaza edilmesine özen göstermektedir.

5.1.4. Veri İşleyenlerle İlişkiler

AKÜ, veri işleyenlerden hizmet almasının gerekli olması durumunda, veri işleyenlerin de güvenlik seviyesinin asgari olarak AKÜ standartlarında sağlanmasını zorunlu tutmak amacıyla; veri işleyenler ile imzaladığı sözleşmelerde aşağıda belirtilen kriterlerin mevcudiyetini aramaktadır:

Sözleşmenin yazılı olması,
Sözleşmede veri işleyenin sözleşmede belirtilen amaç ve kapsama uygun ve kişisel verilerin korunması mevzuatı ile uyum içerisinde hareket edeceğine dair hükümlerin yer alması,
Sözleşmede veri işleyenin veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar ile sır saklama yükümlülüğüne ilişkin hükümlerin yer alması.

5.1.5. İlgili Kişinin Başvuru Prosedürünün Düzenlenmesi

AKÜ; ilgili kişinin KVK Kanunun 11. Maddesindeki haklarını kullanmasını kolaylaştırmak, başvuru sürecini şeffaf hale getirmek ve bu sürece işlerlik sağlamak amacıyla matbu başvuru dilekçeleri düzenlemiştir. Kişisel verileri hakkında başvuru yapmak isteyen ilgili kişi bu dilekçelerle AKÜ web sitesi üzerinden başvurusunu gerçekleştirebilir.

5.1.6. Yurtdışı Aktarım Prosedürünün Düzenlenmesi

AKÜ faaliyetleri gereği çalışanlarının kişisel verilerini, yurtdışı alıcı gruplarıyla paylaşmamaktadır.

KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK TEDBİRLER

5.2.1. Siber Güvenliğin Sağlanması

AKÜ, birçok prensip dâhilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen teknik tedbirler planlamakta, hazırlamakta ve uygulamaktadır.

Etkin olarak Güvenlik Duvarı (Firewall) sistemi çalışmaktadır. Ayrıca, internet ağ geçidi sistemi ile AKÜ personelinin veri güvenliğini tehdit edebilecek sitelere girişleri sistem tarafından engellenmektedir. Ek olarak sistemler ve ağ için yüklenen virüs koruma ve güvenlik duvarı yazılımları ve intranet-internet ağlarının ayrı olması da bilgi sızma riskini önlemektedir.

AKÜ kampüsünde kullanılan bilgisayarlara zafiyet içeren yazılımların yüklenmesi mümkün bulunmamaktadır. Şöyle ki, internet ağına bağlı olarak çalışan bilgisayarlarda bu tarz uygulamaları kurma yetkisi personelde bulunmayıp, uygulamalar ancak bilgi işlem personeli tarafından yönetici oturumuyla bilgisayarlara yüklenmektedir.

İnternet ağına bağlı olarak kullanılan bilgisayarlara güncel zafiyetleri kapatacak şekilde işletim sistemi üreten firmaların yayınlamış oldukları yamalar periyodik olarak bilgi işlem personeli tarafından yüklenmektedir.

Kişisel verilerin bulunduğu sistem ve programlar üzerinde kullanıcı yetkileri “bilmesi gereken prensibi” ve “en az haklar ilkesi”ne göre verilmektedir. Bilmesi gereken ilkesi gereği Kişi Güvenlik Belgesine sahip olsa dahi konu ile ilgisi olmayan personelin gizlilik dereceli projelerde görev üstlenmesine yahut bilgi ve belgeye erişimine müsaade edilmez. En az haklar ilkesi de her bilgisayar programı ve kullanıcısının tanımlı olan meşru görevini yerine getirebilmesi için gerekli olan en az hakla donatılmış olmasıdır.

Her birime ve bu birime bağlı personelin yürüttüğü faaliyetlere göre kendine tanımlanan erişim yetkileri bulunmaktadır. Sisteme personel tarafından erişim sağlanmaya çalışıldığında sistem, yetkileri kontrol ederek veriye ulaşmak isteyen personelin yetkili olup olmadığını denetler, personelin yetkiye sahip olmaması halinde erişim girişimi otomatik olarak engellenir.

Personel, kendi kullanıcı kodları ve şifreleri ile sisteme erişebilmektedir. Kullanıcı kodları anonim değil, kişiseldir. Her kullanıcının erişim yetkileri haricinde bu yetkilerin verilme ve alınma tarihleri de veri kaçağı oluşmaması adına kayıt altına alınmaktadır. Kişisel bilgisayarlara erişimde kullanılacak şifrelerin belirlenmesinde karmaşık şifre belirlenmesi için gerekli kural tanımlamaları bulunmaktadır.

Veri işleyenlerin erişim yetkilerinin takibi, AKÜ bünyesinde yetkili kişilerce yapılmaktadır. Bilgisayar hesaplarının kontrolü ve adminlik yetkisi yetkili bilgi işlem personelinde olup; işten ayrılan personel için kullanıcı hesapları derhal kapatılarak ayrılan personelin sisteme girişi engellenmektedir.

Kötü amaçlı yazılımlardan korunmak için Kurum genelinde merkezi olarak yönetilen “antivirüs” ve “antispam” yazılımları hususunda gerekli tedbirler alınmaktadır. Alınan bütün bu teknik tedbirlerle AKÜ veri güvenliğine ilişkin en üst seviyede koruma sağlamaktadır.

5.2.2. Kişisel Verileri İçeren Ortamların Veri Güvenliğinin Sağlanması

Kişisel veri içeren ortamlar en üst düzeyde korunmaktadır.
Kâğıt ortamında saklanan kişisel veriler, gizlilik derecesine göre kilitli dolaplarda muhafaza
Elektronik ortamda bulunan kişisel veriler üzerinde güvenlik ihlallerini önlemek için ağ erişimleri sınırlandırılmaktadır.
Veri merkezine girişler sadece yetkili personelin erişebileceği şekilde yapılandırılmıştır.

5.2.3. Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

AKÜ tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

5.2.4. Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlardan korunmak için veriler düzenli olarak yedeklenmektedir.

6. İLGİLİ KİŞİNİN HAKLARI

AKÜ, Kanun’un 10. ve 11. maddeleri çerçevesinde, sahip olduğu haklar konusunda ilgili kişileri bilgilendirmekte ve bu hakların kullanım yöntemleri konusunda yol göstermektedir. AKÜ, İlgili Kişinin haklarını kullanabilmesi için Kanun’un 13. maddesi çerçevesinde gerekli olan mekanizmaları kurmuştur.

6.1. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANIMI

İlgili Kişinin Hakları

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına

6.1.2 İlgili Kişilerin Haklarına İlişkin İstisnalar

Kanun’un 28. maddesi uyarınca, aşağıda sayılı olan haller Kanun kapsamı dışında bırakıldığından, İlgili Kişi aşağıda sayılan konularda yukarıda sayılı olan haklarını kullanamazlar:

Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Ayrıca, yukarıda sayılan istisna hükümlerine ilaveten, Kanun’un 28/2 maddesi uyarınca, aşağıda sayılan hallerde ilgili kişiler zararın giderilmesini talep etme hariç yukarıda sayılan haklarını
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
İlgili Kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma/kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

6.1.3 İlgili Kişinin Haklarını Kullanması

Kanun gereğince, ilgili kişinin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle veri sorumlusuna iletmeleri gerekmektedir.

İlgili Kişi bu haklarını kullanmak için https://bilgiedinme.aku.edu.tr/ adresindeki formu doldurarak, formun el mahsulü imzalı bir nüshasını “Afyon Kocatepe Üniversitesi Rektörlüğü Ahmet Necdet Sezer Kampüsü Gazlıgöl Yolu, 03200 Afyonkarahisar” adresine ilgili kişinin kimliğini tespit edici belgeler ile birlikte bizzat elden

https://bilgiedinme.aku.edu.tr/ adresinde bulunan formu doldurarak 5070 sayılı Elektronik İmza Kanunu çerçevesinde güvenli elektronik imza ile imzalandıktan sonra bilgi@aku.edu.tr adresine güvenli elektronik imzalı olarak

İlgili Kişi adına üçüncü kişilerin başvuru talebinde bulunabilmesi için, bu kişilerin hak sahibi tarafından noterlikçe düzenlenmiş ve içeriğinde kişisel verilere ilişkin başvuru, bilgi talebi gibi yetkilerin yer aldığı özel vekâletname ile yetkilendirmiş olması ve bu belgeyi talep anında ibraz etmeleri veya taleplerine eklemeleri gereklidir.

6.2 BAŞVURULARIN CEVAPLANDIRILMASI

Başvurulara Cevap Verme Usulü ve Süresi

AKÜ; kişisel verilerle ilgili yapılan başvuruları inceler ve karara bağlar. Başvuru sahibinin bu Politikanın 6.1.1 maddesinde yer alan usule uygun olarak gerçekleştirmiş olduğu talebi, AKÜ tarafından, talebin niteliğine göre en kısa sürede ve en geç tebliğ alınan tarihten itibaren otuz gün içinde ücretsiz olarak sonuçlandırılır. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret (10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti) alınabilir.

AKÜ, başvuru sahibinin ilgili kişi olup olmadığını tespit etmek amacıyla başvuru sahibinden bilgi ve belge talep edebilir. AKÜ, aynı zamanda, başvuru sahibinin başvurusunda yer alan hususları netleştirmek adına başvuru sahibine soru yöneltebilir.

6.2.2 İlgili Kişinin Başvurusunun Reddedilmesi

AKÜ, yapılan başvurunun bu Politikanın 6.1.2 maddesinde ve Kanun’un 28. maddesinde sayılan istisna halleri kapsamında olması durumunda başvuruyu reddetme hakkına sahiptir. AKÜ ayrıca, ilgili kişinin talebinin diğer kişilerin hak ve özgürlüklerini engellemesi ihtimali içermesi, talep edilen bilginin kamuya açık olması, talep edilen bilginin mevzuat çerçevesinde belirlenmiş gizli bilgi olması durumunda da başvuruyu reddedebilir.

7. Uygulama ve Yürürlük

İşbu Politika AKÜ tarafından onaylanmasının akabinde yürürlüğe girer.

DÖKÜMAN TARİHÇESİ
Versiyon	Yayın Tarihi	Değişikliğin Tanımı


Hazırlayan		Onaylayan
Bilgi İşlem Daire Başkanı		Rektör

1208 kez görüntülendi