Bölüm 1: MEVZUAT, AMAÇ VE KAPSAM
İşbu Kişisel Verilerin İşlenmesi, Korunması ve İmhası Politikası; Türkiye Cumhuriyeti Anayasası, 7 Nisan 2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kısaca “Kanun” olarak anılacaktır) ve ilgili diğer mevzuata uygun olarak hazırlanmış olup öğrencilerimiz, potansiyel öğrencilerimiz, öğrenci yakınlarımız, velilerimiz, çalışanlarımız, ziyaretçiler, çalışan adaylarımız, işbirliği içinde olduğumuz ve/veya hizmet aldığımız kişi ya da Kurumların çalışanları, hissedarları ve yetkilileri ile bizimle kişisel veri paylaşan ve/veya kişisel veri paylaşımı sonucu doğuracak şekilde herhangi bir yolla temas eden diğer tüm üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri ile ilgili olarak Üniversitemiz ilke, prensip ve yükümlülüklerini belirlemek ve ilan etmek amacıyla hazırlanmıştır.
İşbu Politika; Üniversitemizin resmi internet sitesinde yayımlanır.
Bölüm 2: KİŞİSEL VERİLERİN İŞLENMESİYLE İLGİLİ TEMEL İLKELERİMİZ
Kanun’ un 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir.
Kanun’ a göre kişisel verilerin işlenmesinde uyulması gereken genel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu kapsamda, Üniversitemizce kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde göz önünde bulundurulmakta olup, veri işleme faaliyetlerinin bu ilkelere uygun olarak gerçekleştirilmesi Üniversite politikası olarak benimsenmektedir.
Bölüm 3: KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Veriler
Kişisel veri, kimliği belirli ya da belirlenebilir herhangi bir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel verilerin işlenmesi, Kanun’ un 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür.
Buna göre;
- İlgili kişinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanun’ da sınırlı sayıda sayılmış olup bu şartlar genişletilemez.
Kişisel veri işleme, yukarıda gösterilen şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır.
Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir.
Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanun’da sayılan sınırlı hallerde işlenebilir.
Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
Kanun’a göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür.
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili Kurum ve kuruluşlar tarafından
işlenebilir.
Bu kapsamda, Üniversitemizce kişisel verilerin işlenmesine ilişkin şartlar, tüm kişisel veri işleme faaliyetlerinin özünde göz önünde bulundurulmakta olup, veri işleme faaliyetlerinin bu şartlara uygun olarak gerçekleştirilmesi Üniversite politikası olarak benimsenmektedir.
Bölüm 4: VERİ AKTARIMI
1) Yurtiçi Aktarım
Kanun’da belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, Kanun’un 8. maddesi uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır.
Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.
Diğer taraftan, kişisel verilerin yurt içinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de Kanun’un 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir.
Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir. Bu şartlar;
- İlgili kişinin açık rızasının alınması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Özel nitelikli kişisel verilerin yurt içinde aktarılabilmesi; ilgili kişinin açık rızasının alınması ve/veya sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde mümkün olup, sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili Kurum ve kuruluşlar için mümkündür.
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir.
Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir.
Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanun’un 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
2) Yurtdışına Aktarım
Kanun’ un 9. maddesine göre yurtdışına veri aktarımı;
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanun’da belirtilen hallerin varlığı (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
- Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması
durumlarında gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür.
Açık rıza dışındaki hallerde, Kanun, kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
a) Yeterli Korumanın Bulunması Halinde
Kişisel veriler;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinde yurtdışına aktarılabilmektedir.
Özel nitelikli kişisel veriler ise, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecek olup yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili Kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
b) Yeterli Korumaya Sahip Olmayan Ülkelere Veri Aktarımı İçin İse ;
- Kanun’ un 5 veya 6. maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
- Kurulun izninin bulunması
gerekmektedir.
Bu kapsamda Üniversitemiz, yukarıda açıklanan hükümlere uygun davranmayı Üniversite politikası olarak belirlemiş olup, kişisel veriler anılan şartlara uygun olmak kaydıyla; YÖK, mevzuat hükümlerinin izin verdiği ve/veya zorunlu kıldığı kurum veya kuruluşlar, yurtiçi ve yurtdışı okul ve üniversiteler ile program ortaklarımız, bağlı ortaklıklarımız ve/veya doğrudan/dolaylı iştiraklerimiz, faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız, işbirliği yaptığımız kişi ve kuruluşlar, birimlerimiz ile her türlü kişisel verilerin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerini önlemek gibi veri güvenliği tedbirlerinin alınmasında sorumlu olan üçüncü kişilerdir.
Bölüm 5: VERİ KANALLARI
Kişisel veriler Üniversitemizce; üniversite, yurt ve lojman kayıt ve başvuru formlarımız, internet sitelerimiz ve e – postalar, mobil uygulamalarımız, toplanan formlar ve tutanaklar, tanıtım birimi çalışanlarımız, tanıtım uygulamalarımız, sağlık raporları, HES (Hayat Eve Sığar) kodları, YÖKSİS gibi sistemler, üniversite ve ders yönetim sistemleri, uzaktan iletişim platformları, eğitim yazılımı platformları, sözleşmeler, başvurular, teklifler, ses ve görüntü kayıtları, yurt içi ve yurt dışı okullarla yapılan akademik gerekliliklerden kaynaklanan paylaşımlar, internet sitesi ziyaretlerinde bilgisayarlarda kullanılan çerezler (cookies) vb. kanallarla, öğrenci işleri ve kayıt birimleri ile diğer çalışanlarımız, idari ve akademik birimlerimiz, sekretarya, resepsiyon, güvenlik birimleri, yurtiçi ve yurtdışı okul ve program ortaklarımız ile hizmet aldığımız firmalar aracılığıyla sözlü, yazılı veya elektronik ortamda Kanunun 5. ve 6. maddesinde yer alan işleme şartlarına uygun olarak toplanabilmektedir.
Bölüm 6: VERİ İŞLEME AMAÇLARI
Kişisel verilerin işlenme ve aktarılma amaçları ile hukuki sebepleri; üniversite – öğrenci ilişkilerinin yürütülebilmesi, iletişim bilgilerinin güncellenebilmesi, öğrencilerin ve öğrenci yakınlarının kayıtlarının sistemde açılabilmesi ve takibi, eğitim, burs ve iş olanaklarının bildirilebilmesi ve değerlendirilebilmesi, yasal ve sözleşmesel yükümlülüklerin yerine getirilebilmesi, tüm hizmetlerin verilebilmesi, kayıt ve sonraki işlemlerin yürütülebilmesi, faturalandırma işlemleri de dahil mali yükümlülüklerin yerine getirilebilmesi, ilgili birimlerin ilgili kişilerle iletişime geçebilmelerinin, duyuru yapılabilmesinin ve genel olarak memnuniyetin sağlanabilmesi, mezun ilişkilerinin yürütülebilmesi, ilgililerin beğeni, alışkanlık ve taleplerine göre ihtiyaçlarının belirlenebilmesi, üniversitemiz ve ilgililerin güvenliğinin sağlanabilmesi, kamu sağlığının korunması, stratejilerimizin belirlenebilmesi, hizmetlerimizin mevzuatın, sözleşmenin ve teknolojinin gereklerine uygun şekilde yapılabilmesi, hizmetlerimizin geliştirilebilmesi, tanıtım faaliyetlerinde bulunulabilmesi, ihtiyaçların analiz edilebilmesi, elektronik veya kağıt ortamında işleme amacı doğrultusunda tüm kayıt ve belgelerin düzenlenebilmesi, yurt içi ve yurt dışı okul ve üniversiteler ile öğrenci değişim programları, yüksek lisans gibi akademik gerekliliklerden kaynaklanan paylaşımların yapılabilmesi, mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerinin yerine getirilebilmesidir.
Bölüm 7: YÜKÜMLÜLÜKLERİMİZ
1) Aydınlatma Yükümlülüğü
Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır.
Buna göre veri sorumlusu olarak Üniversitemiz;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- maddede sayılan diğer haklar
İle ilgili olarak aydınlatma yükümlülüğünü benimsemiş olup, ilgili yükümlülüğe uygun davranmayı Üniversite politikası olarak benimsemiş durumdadır.
Bu kapsamda, Aydınlatma Metnimize https://www.bilkent.edu/www/kisisel-verilerin-korunmasi-kanunu-aydinlatma-metni/ linkinden ulaşabilirsiniz.
2) Veri Güvenliğine İlişkin Yükümlülükler
Kanun’un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu olarak Üniversitemiz;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
ile yükümlüdür.
Veri sorumlusu; bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Kanun’da, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir.
Veri sorumlusu, kendi Kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.
Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Bu kapsamda, Üniversitemizce, veri güvenliğine ilişkin ilkeler tüm faaliyetlerimizde göz önünde bulundurulmakta, veri güvenliğinin sağlanması için azami özen gösterilmekte ve durum Üniversite politikamız olarak belirlenmektedir.
3) İlgililer Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanun’un uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırmalıdır.
Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.
Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.
Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 (otuz) ve her hâlde başvuru tarihinden itibaren 60 (altmış) gün içinde Kurula şikâyette bulunabilir.
Bu kapsamda ilgililer tarafından yapılan başvuruların cevaplanmasına ilişkin yükümlülüklere uygun davranılması da Üniversite politikamız olarak belirlenmiştir.
4) İşlenmesini Gerektiren Sebeplerin Ortadan Kalkması Hâlinde Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Yükümlülüğü
Kişisel Verilerin Silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Yok Edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Anonim Hale Getirilmesi; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu verilerin, re’sen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi Üniversite politikamız olarak belirlenmiştir.
5) Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 (otuz) gün içinde yerine getirmek zorundadır.
Bölüm 8: İLGİLİ KİŞİNİN HAKLARI
Kanun’ un 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Üniversitemiz, ilgili kişilerin haklarına uygun davranmayı Üniversite politikası olarak kabul etmiş olup kişisel veri sahipleri; yukarıda belirtilen haklarına ilişkin taleplerini bu formu eksiksiz doldurarak ve ıslak imza ile imzalayarak “İhsan Doğramacı Bilkent Üniversitesi, 06800, Çankaya, ANKARA” adresine iadeli taahhütlü mektupla göndererek tarafımıza iletebileceklerdir.
Bölüm 9: KİŞİSEL VERİLERİN İMHASI
1) İmhayı Gerektiren Sebepler
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanun’un 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Üniversite tarafından kabul edilmesi,
- Üniversitemizin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında Kurumumuz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
2) Kişisel Verileri İmha Teknikleri
Sunucularda Yer Alan Kişisel Veriler
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
3) SAKLAMA VE İMHA SÜRELERİ
Üniversitemiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Üniversitemiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Üniversitemiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bölüm 10:
İşbu politika, Kurumumuz ilke, prensip ve yükümlülüklerini belirlemek ve ilan etmek amacıyla hazırlanmıştır.