KARAMANOĞLU MEHMETBEY ÜNİVERSİTESİ
KİŞİSEL VERİLERİ KORUMA KURULU USUL VE ESASLARI
BİRİNCİ BÖLÜM
AMAÇ, KAPSAM VE DAYANAK
Amaç
Madde 1- (1) Bu Usul ve Esasların amacı, 7 Nisan 2016 tarihli 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na, Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmî Gazete ’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’e uygun olarak Karamanoğlu Mehmetbey Üniversitesinde kişisel verilerin saklanması, kişisel verilerin korunması için gerekli tedbirlerin alınması,kişisel verilerin imha süreçlerinin yürütülmesi ve kişisel verilerle ilgili uygulanacak prosedürlerin yerine getirilmesi amacıyla, veri sorumlusu Kurum sıfatıyla Üniversite’de kurulacak olan Kişisel Verileri Koruma Kurulu’nun kuruluş, görev, yetki ve çalışma esaslarını düzenlemektir.
Kapsam
Madde 2-(1) Bu Usul ve Esaslar KaramanoğluMehmetbey Üniversitesi Kişisel Verileri Koruma Kurulu’nun sorumluluk, çalışma ve faaliyetlerini kapsar.
Dayanak
Madde 3- (1) Bu Usul ve Esaslar 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile İlgili Mevzuat hükümlerine dayanılarak hazırlanmıştır.
İKİNCİ BÖLÜM
TANIMLAR
Tanımlar ve Kısaltmalar
Madde 4- (1) Bu Usul ve Esaslardageçen,
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) İmha/Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, yok edilmesini,
c) KMÜ/Üniversite: Karamanoğlu Mehmetbey Üniversitesini,
ç) Usul ve Esaslar:KMÜKişisel Verileri Koruma KuruluUsul ve Esaslarını,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kişisel veri sahibi: Kişisel verileri Üniversite tarafından veya Üniversite adına işleme sokulan gerçek kişiyi,
g) Kurul: Karamanoğlu MehmetbeyÜniversitesi Kişisel Verileri Koruma Kurulu’nu,
ğ) Üye:Karamanoğlu MehmetbeyÜniversitesi Kişisel Verileri Koruma Kurulu üyelerini,
h) Kurum: Kişisel Verileri Koruma Kurumunu,
ı) KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı,
i) KVKK / KVK-Kanun: 7 Nisan 2016 tarihli 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
j) Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,
k) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi,
l) Veri kayıt sistemi: Kişisel verilerin belirli ölçütlere göre yapılandırılarak işlendiği kayıt sistemini,
m) Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri İlgilisi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu’nu,
n) Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiliktir. Karamanoğlu Mehmetbey Üniversitesinde veri sorumlusu akademik ve idari birimlerin idari üst yöneticisidir.
o) Veri sorumlusu irtibat kişisi: İrtibat kişisi, veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK uyarınca Veri sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişiyi,
ö) Yönetmelik: Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’i,
p) Ziyaretçi: Üniversite’nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Üniversite’nin internet sitelerini ziyaret eden gerçek kişileri ifade eder.
ÜÇÜNCÜ BÖLÜM
KURULUN OLUŞUMU
Kişisel verileri koruma kurulu
Madde 5- (1) Kurul, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Üniversitenin Rektörü tarafından atanır. Kurul, Üniversite KVK mevzuatı kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevlidir.
(2) Kurul Başkanı Rektörün görevlendireceği bir Rektör Yardımcısıdır.Kurul üyelerinin görev dağılımları, kuruldan üye çıkarılması veya atanması Kurul Başkanının önerisi ile Rektör tarafından gerçekleştirilir. Kurul Başkanı aynı zamanda Veri Sorumlusu İrtibat Kişisidir.
(3) Genel Sekreter, Genel Sekreter Yardımcısı, Hukuk Müşaviri ve Daire BaşkanlarıKurul’un doğal üyeleridir. Gerektiğinde Kurul üye sayısı artırılabilir.
(4) Kurulun sekretarya görevi Personel Daire Başkanlığınca yürütülür.
Veri sorumlusu irtibat kişisi
Madde 6- (1) Veri sorumlusu irtibat kişisi, KVKK uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek ve Üniversite’nin Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yürütmek üzere atanmış gerçek kişidir.
Üyeler
Madde 7- (1) Üyelerin Kurul içerisindeki görevleri aşağıdaki şekildedir:
a) Rektör Yardımcısı: Kurulun görev ve sorumluluklarının yerine getirilmesinden, eşgüdümünden, toplanmasından, Kurul kararların yürütülmesinin sağlanmasından, yönetişim ve iletişiminden sorumludur.
b) Genel Sekreter / Yardımcısı: Rektör Yardımcısının görevinde bulunmadığı durumdaKurulun görev ve sorumluluklarının yerine getirilmesinden, eşgüdümünden, toplanmasından, Kurul kararların yürütülmesinin sağlanmasından, yönetişim ve iletişiminden sorumludur.
c) Hukuk Müşaviri / Avukat: Üniversite’de KVKK ile ilgili oluşabilecek talepler ve ihlallerle ilgili hukuki işlemleri yürütür. Kurul kararlarının takibini yapar ve değişiklik durumunda Kurul başkanını bilgilendirir.
ç) Bilgi İşlem Daire Başkanı: KVKK’ya uyum sağlanabilmesi için gerekli teknik tedbirleri değerlendirir varsa gereksinimleri belirler ve Kurula raporlar. Alınması gereken tedbirleri alır. Kendi birimiyle ilgili KVKK uyum ve denetiminden sorumludur.
d) Daire Başkanları/ Müdürlükler: Kendi birimiyle ilgili KVKK uyum ve denetiminden sorumludur.
e) Personel Daire Başkanlığı: Kurulun sekretarya görevini yapar. Kurul gündemi ve toplantı kararlarının yazılmasını ilgili yerlere iletilmesini sağlar. Kurula gelen başvuruları alır, kurul görüşü doğrultusunda cevaplanmasını sağlar.
DÖRDÜNCÜ BÖLÜM
GÖREV VE SORUMLULUKLAR
Kurulun görevleri
Madde 8- (1) Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme ve anonim hâle getirme süreçlerinin işletilmesinden Kurul sorumludur. Bu kapsamda gerekli prosedürKurul tarafından oluşturulur ve anılan prosedürün uygulanmasını sağlar. Kişisel verilere ilişkin mevzuatta bir değişiklik meydana gelirse yeni düzenlemelere uyum için Üniversite içi faaliyetlerin yapılmasını sağlar.
(2) Kurul, kişisel verilerin envanterini hazırlar. (KVKK m.16/3) Kişisel verilerin envanterini periyodik olarak günceller. (KVKK m.16/4) Kişisel verilerin envanterini sicile bildirir ve güncel tutulmasını sağlar. (KVKK m.16/4) Sicil ile yazışmaları yapar ve yazışmaları saklar. (KVKK m.16)
(3)Kurul, kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder. KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Hosting hizmeti verenler, e posta hizmeti verenler vb.) (KVKK m.8)
(4)Kurul, kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir. (Örnek: Bordo ve özlük işleri takip eden Personel Daire Başkanlığı, İdari ve Mali İşler Daire Başkanlığı, ziyaretçi bilgileri alan kapı güvenlik personelleri vb.)
Kurulun çalışma esasları
MADDE 9- (1) Kurulun toplantı günlerini ve gündemini Kurul Başkanı belirler. Başkan gereken hâllerde Kurulu olağanüstü toplantıya çağırabilir.
(2) KMÜ KVK Kurulu, başkan dâhil en az üye sayısının yarısının bir fazlası ile toplanır ve katılanların üye tam sayısının salt çoğunluğu ile karar alır. Kurul üyeleri çekimser oy kullanamaz.
(3) Kurul üyeleri; kendilerini, üçüncü dereceye kadar kan ve ikinci dereceye kadar kayın hısımlarını, evlatlıklarını ve aralarındaki evlilik bağı kalkmış olsa bile eşlerini ilgilendiren konularla ilgili toplantı ve oylamaya katılamaz.
(4) Kurul üyeleri çalışmaları sırasında ilgililere ve üçüncü kişilere ait öğrendikleri sırları bu konuda kanunen yetkili kılınan mercilerden başkasına açıklayamazlar ve kendi yararlarına kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) Kurulda görüşülen işler tutanağa bağlanır. Kararlar ve varsa karşı oy gerekçeleri karar tarihinden itibaren en geç on gün içinde yazılır. Kurul, gerekli gördüğü kararları kamuoyuna duyurur.
(6) Aksi kararlaştırılmadıkça Kurul toplantılarındaki görüşmeler gizlidir.
Kurulun sorumlulukları
Madde 10- (1) Kurul, Karamanoğlu Mehmetbey Üniversitesi içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak Karamanoğlu Mehmetbey Üniversitesi içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Kurul, kişisel verilerin korunması kapsamında belirli dönemlerde denetimlerin yapılmasını sağlar. (Bu denetimler dış hizmet alımı yöntemiyle veya Kurul tarafından oluşturulabilecek bu konuda eğitim almış yeterlilik sertifikalarına sahip bir ekip ile gerçekleştirilebilir.) KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumun hem de risklerin görüşülmesini sağlar. Kurul, ilk toplantıda Kurul tarafından o güne kadar yayımlanmış olan kurul kararlarını gözden geçirir ve Karamanoğlu Mehmetbey Üniversitesi için gerekli çalışmalar karara bağlanır. Kurul, yapılan toplantı katılımcıları ve kararlarını ıslak imza ile alarak dosyalar. KVK ile ilgili alınan kararları ilgili birimlereyazı ile bildirir.
(2)Kurul,tüm kişisel veri işleme süreçleri bakımından aydınlatma yükümlülüğünün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür.
(3) Kurul kişisel verilerin elde edilmesi sırasında,
a) Veri sorumlusunun kimliğinin duyurulmasını sağlar. (KVKK m.10)
b) Kişisel verilerin işlenme amaçlarının, belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem de öğrencilere duyurulmasını sağlar. (KVKK m.4/2.c)
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını açıklar. (KVKK m.10/1.c)
ç) Kişisel veri toplama yöntemini ve hukuki sebebini açıklar. (KVKK m.10/1.ç)
(4) Kurul kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler, uygulatır ve denetler. (KVKK m.5/1)
(5) Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder. (KVKK m.6)
(6) Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar. Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur. (KVKK m.9/2 ve 9/3)
(7) Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınıp alınmayacağı belirlenir. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: (KVKK m.5/2)
a) Kanunlarda açıkça öngörülmesi,
b) Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
(8) Kişisel veri hem yurtdışına aktarılacak hem de açık rıza alınmamış ise verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder. (KVKK m.9/2)
(9) Açık rıza alınması gereken hâllerde veriyi paylaşacak kişi, bu veriyi paylaşacağı yerin, amacının yazılı ve onaylı olması durumunda veriyi paylaşabilir. Paylaşılacak veriyle ilgili kişinin kendisinin rızasının alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk Müşavirliği ve veri sorumlusu onayı alındıktan sonra paylaşılmasını sağlatır.
(10) Her durumda hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır.
(11) Kurul, kişisel veri sahiplerinin başvurularını değerlendirir ve başvurulara cevap için Üniversite içerisinde eşgüdümü sağlar. Kurul ile iletişim hâlinde olunması gereken durumlarda gerekli eşgüdümü ve iletişimi sağlar.
(12) Kurul, kişisel veri sahibinin başvurması hâlinde veri sorumlusu irtibat kişisi tarafından aşağıdaki kişi haklarının yerine getirilmesini en geç otuz gün içinde sağlar: (KVKK m.13/2)
a) Kişinin kendi kişisel verisinin işlenip işlenmediğini bildirme, (KVKK m.11/1.a)
b) Kişisel verileri işlenmişse buna ilişkin bilgi verme, (KVKK m.11/1.b)
c) Kişisel verisinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını bildirme, (KVKK m.11/1.c)
ç) Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bildirme, (KVKK m.11/1.ç ve f)
d) Kişisel verilerin eksik veya yanlış işlenmesi durumunda, bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.d)
e) Kişinin,kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.e)
f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.g)
g) Kişisel verinin hukuka aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma. (KVKK m.11/1.ğ, KVKK m.12/1.a)
(13) Kurul, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVKK’ye uyumu yönünde bir eksikliğin veya riskin tespit edilmesi hâlinde giderilmesi için gerekli önlemleri alır. Bu kapsamda Kurul, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar.
(14) Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (KVKK m.4/2.d)
(15) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’in 11/2 maddesi uyarınca, altı ayı geçmeyecek dönemlerde, işlenen kişisel verileri denetleyerek silinmesi, imha edilmesi veya anonim hâle getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini sağlar.
(16) Kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere kanuni süreler içerisinde saklanmasını sağlar.
(17) Aşağıdaki gerekçelerden herhangi biri olduğunda kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (KVKK m.7)
a) İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde,
b) Süresi dolması hâlinde,
c) Veri ilgilisinin talebi hâlinde.
(18) Kurul, Üniversite’nin çalışanları tarafından kendisine raporlanan KVK düzenlemelerinde belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale yönelik KVK düzenlemelerine uygun şekilde eylem planı oluşturur. Kurul konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin kişisel veri sahibine veya Kurum’a yapılacak bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür.
(19) Kurulun isteyeceği belge ve bilgileri 15gün içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (KVKK m.15/3)
(20) Şikâyet durumunda veya herhangi bir nedenle Kurulun tespit ettiği hukuka aykırılıklarla ilgili Kurulun tebliğlerini takip eder ve Kurulun bu konudaki kararının en geç otuz gün içerisinde yerine getirilmesini sağlar. (KVKK m.15/5)
(21) Kurul, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla Üniversite çalışanlarının bilgilendirilmesini sağlar. Üniversite’de kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur, bunun oluşturulması ve uygulanmasından Kurul sorumludur. Özel nitelikli kişisel verilere erişim yetkisinin verildiği sınırlı çalışanlara ait liste ve listenin takibi Kurul tarafından yapılır.
BEŞİNCİ BÖLÜM
ÇEŞİTLİ HÜKÜMLER
Yürürlük
Madde 11- (1) BuUsul ve Esaslar, Karamanoğlu Mehmetbey Üniversitesi Rektörü tarafından imzalandığı tarihte yürürlüğe girer. Usul ve Esaslarda yapılacak değişiklikler ve Usul ve Esasların düzenlemesi de aynı usule tabidir.
Yürütme
Madde 12- (1) Bu Usul ve Esasların hükümlerini, Karamanoğlu MehmetbeyÜniversitesi Rektörü yürütür.
(24.11.2021\42580 sayılı yazı.)