English

Çanakkale Onsekiz Mart Üniversitesi
Fen Fakültesi

Hızlı Erişim
Kişisel Verileri Koruma Komitesi Yönergesi

ÇANAKKALE ONSEKİZ MART ÜNİVERSİTESİ FEN FAKÜTLESİ

KİŞİSEL VERİLERİ KORUMA KOMİTESİ YÖNERGESİ

 

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç:

Madde 1- (1) Bu İç Yönerge’nin amacı 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatını haiz Çanakkale Onsekiz Mart Üniversitesi Fen Fakültesi nezdinde işlenen kişisel veri niteliğindeki verilerin işlenmesi ve korunması için Üniversite Politikalarının belirlenmesi, bilgi güvenliği kapsamında uyulması gereken usul ve esasların belirlenmesi ve Kişisel Verileri Koruma Komitesinin kuruluş, görev, yetki ve çalışma esaslarını düzenlemektir.

Kapsam:

Madde 2- (1) Bu Yönerge Komitenin ve üyelerinin ilgili sorumluluk, çalışma ve faaliyetlerini kapsar.

Dayanak:

Madde 3- (1) Bu Yönerge, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12/1 maddesi ve 2547 sayılı Yükseköğretim Kanunu’nun 14/b-2 maddesine dayanılarak hazırlanmıştır.

Tanımlar:

Madde 4 – (1) Bu Yönerge’de geçen;

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

c) Başkan: Çanakkale Onsekiz Mart Üniversitesi Fen Fakültesi Kişisel Verileri Koruma Komisyonu Başkanını,

ç) ÇOMÜ Fen Fakültesi : Çanakkale Onsekiz Mart Üniversitesi Fen Fakültesini,

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, ( Bu Politika kapsamında “kişisel veri” ifadesi uygun düştüğü ölçüde “özel nitelikli kişisel verileri”de kapsar.)

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

f) Kişisel veri sahibi : Kişisel verileri ÇOMÜ tarafından veya ÇOMÜ adına işleme sokulan gerçek kişiyi,

g) Komisyon : Çanakkale Onsekiz Mart Üniversitesi Fen Fakültesi Kişisel Verileri Koruma Komisyonunu,

ğ) Kurul : Kişisel Verileri Koruma Kurulunu,

h) Kurum: Kişisel Verileri Koruma Kurumunu,

ı) KVK düzenlemeleri : 6998 sayılı Kişisel Verilerin Korunması Kanunu ile verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat ile Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile kişisel verilerin korunmasına yönelik uygulanabilir uluslararası antlaşmalar ve diğer mevzuatı,

i) KVKK : 6998 sayılı Kişisel Verilerin Korunması Kanunu’nu,

j) Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

k) Politikalar: Çanakkale Onsekiz Mart Üniversitesi Kişisel Verilerin İşlenmesi ve Korunması Politikası ile Çanakkale Onsekiz Mart Üniversitesi Kişisel Verileri Saklama ve İmha Politikasını,

l)  Dekan: Çanakkale Onsekiz Mart Üniversitesi Fen Fakültesi Dekanı’nı

m) Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren 6698 sayılı Kanuna ve Kişisel Verilen Koruma Kurumunun çıkarmış olduğu Veri Sorunlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, kişisel veri ilgilisi tarafından veri sorumlusuna yapılacak başvurulara ilişkin formu,

n) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

o) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

p) Veri sorumlusu irtibat kişisi: Veri sorumlusunu mevzuat hükümlerine göre temsil yetkisi olmayan, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlayan, veri sorumlusunun mevzuat kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişiyi,

r) Yönetmelik: 28 Ekim 2017 tarih ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i

s) Ziyaretçi: ÇOMÜ Fen Fakültesi bünyesinde internet sitelerine, sosyal medya araçlarına ya da iş birliği yaptığı ortak, ilgili veyahut bağlı dijital her türlü ortamı ziyaret eden kişileri ifade eder.

 

İKİNCİ BÖLÜM

Komitenin Oluşumu Görev, Yetki ve Sorumlulukları

Kişisel Verileri Koruma Komitesi:

Madde 5- (1) Komite, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Üniversite Rektörü tarafından atanır. Komite; ÇOMÜ KVK mevzuatı kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevlidir.

(2) Komite Üyelerinin görev dağılımları, komiteden üye çıkarılması veya atanması Komite Başkanı (Genel Sekreter) görüşü ile Rektör tarafından gerçekleştirilir.

(3) Her birim başkanı (Daire Başkanı) Komitenin doğal üyesi olup kendi biriminden, kişisel veri işleme ilgisi olan ya da olabilecek bölümlerden en az iki Şube Müdürünü ve Bilgi İşlem Daire Başkanlığı ek olarak yazılım ve (grafik,web) tasarım bölümlerinden birer teknik personel görevlendirir. Gerektiğinde komite üye sayısı artırılabilir.

Veri Sorumlusu İrtibat Kişisi:

Madde 6– (1) Veri Sorumlusu İrtibat Kişisi, KVKK uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek ve ÇOMÜ’ nün Kurum (Kişisel Verileri Koruma Kurumu) ile olan ilişkilerini yürütmek üzere atanmış gerçek kişidir.

Üyeler:

Madde 7-Kişisel Verileri Koruma Komitesi aşağıda belirtilen üyelerden oluşur:

ÜYE

KOMİTE İÇERİSİNDEKİ GÖREVİ

Dekan

(Komite Başkanı)

Komitenin görev ve sorumluluklarının yerine getirilmesinden, koordinasyonundan,

toplanmasından, komite kararların yürütülmesinin sağlanmasından, yönetişim ve iletişiminden sorumludur.

Dekan Yardımcıları

KVKK ile ilgili oluşabilecek talepler ve ihlallerle ilgili hukuki işlemleri yürütür.

Kurul kararlarının takibini yapar ve değişiklik durumunda komite başkanını bilgilendirir.

Fakülte Sekreteri

KVKK uyum sağlanabilmesi için gerekli teknik tedbirleri değerlendirir varsa gereksinimleri belirler ve Komiteye Raporlar.

Kendi Birimiyle ilgili KVKK uyum ve denetiminden sorumlu.

Şube Müdürü

Birimiyle ilgili KVKK uyum ve denetiminden sorumlu olup ayrıca üniversite birimlerinin denetiminden sorumludur.

Bölüm Başkanları

Kendi Bölümüyle ilgili KVKK uyum ve denetiminden sorumlu.

 

ÜÇÜNCÜ BÖLÜM

Kişisel Verileri Koruma Komitesinin Görev ve Sorumlulukları

Kişisel verilerin işlenmesi, saklanması ve silinmesine dair görev ve sorumluluklar

Madde 8- (1) Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur ve anılan prosedürün uygulanmasını sağlar. Kişisel verilere ilişkin mevzuatta bir değişiklik meydana gelirse, yeni düzenlemelere uyum için üniversite içi aksiyonların alınmasını sağlar.

  (2) Kişisel verilerin envanterini hazırlar.

  (3) Kişisel verilerin envanterini periyodik olarak günceller.

  (4) Kişisel verilerin envanterinin sicile bildirir ve güncel tutulmasını sağlar.

(5) Sicil ile yazışmaları yapar ve yazışmaları saklar.

(6) Kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Arama Merkezi/Call Center, Servis Sağlayıcı/Hosting hizmeti verenler, e-Posta/mailing hizmeti verenler)

(7) Kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir. (Örnek: Call center, öğrenci şikayetlerini kayıt altına alan öğrenci işleri daire başkanlığı, bordo ve özlük işleri takip eden personel daire başkanlığı, ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi)

Teknik ve idari konularda görev ve sorumlukları

Madde 9- (1) Komite, ÇOMÜ Fen Fakültesi içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak ÇOMÜ Fen Fakültesi içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Komite kişisel verilerin korunması kapsamında belirli periyotlarda denetimlerin yapılmasını sağlar. (Bu denetimler dış hizmet alımı yöntemiyle veya komite tarafından oluşturulabilecek bu konuda eğitim almış yeterlilik sertifikalarına sahip bir ekip ile gerçekleştirilebilir.) KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumu hem risklerin görüşülmesini sağlar. Komite; İlk toplantında KVK Kurulu tarafından o güne kadar yayınlanmış olan kurul kararlarını gözden geçirir ve üniversite için gerekli çalışmalar karara bağlanır. İlgili Kurul Kararlarına “https://kvkk.gov.tr" internet sitesinden arama yapılarak ulaşılabilir. Komite yapılan toplantı katılımcıları ve kararlarını ıslak imza veya e-imza ile alarak dosyalar. KVK ile ilgili birimleri periyodik olarak Üniversite ana internet sayfasından veya e-posta ile duyuru yöntemiyle bilgilendirir.

 Aydınlatma yükümlülüğü ile açık rıza beyanı alınmasına dair görev ve sorumlukları

Madde 10- (1) Komite, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür.

(2) Komite kişisel verilerin elde edilmesi sırasında;

               a) Veri sorumlusunun kimliğinin duyurulmasını sağlar. (KVKK m.10)

               b) Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem müşterilere duyurulmasını sağlar. (KVKK m.4/2.c)

         c) İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklar. (KVKK m.10/1.c)

                     ç)Veri toplama yöntemi ve hukuki sebebi açıklar. (KVKK m.10/1.ç

         (3) Komite kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler ve uygulatır, denetler.

          (4) Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder.

          (5) Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar.  Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur.

Kişisel verilerin üçüncü taraflara aktarılmasın dair  görev ve sorumluluklar

Madde 11- (1) Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınacak mı alınmayacak mı belirler. Aşağıda açık rıza alınmayacak durumlar belirlenmiştir. Her durumda aşağıdaki kurumlarla hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır.

  1. Fiili imkânsızlıklar durumunda açık rıza alınamaması halinde,
  2. Kendisinin veya bir başkasının hayatı veya beden bütünlüğü söz konusu olduğunda,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,

         ç)      Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

  1. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  2. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  3. Kişi, kendi verisini alenileştirmiş olması durumunda,
  4. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
  5. Siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi durumunda,

         ı)      Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda,

(2) Kişisel veri yurtdışına aktarılacak ise açık rıza da alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder.

(3) Veriyi paylaşan bu veriyi paylaştığı yer ve amacını yazılı ve onaylı olarak yapılmasını sağlatır. Öneri verinin rızası alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk ve veri sorumlusu onayı ile alındıktan sonra paylaşılmasını sağlatır.

Başvuruların değerlendirilmesi

Madde 12- (1) Komite, kişisel veri sahiplerinin başvurularını değerlendirir ve başvurulara cevap için Fakülte içerisinde koordinasyonu sağlar. Kurul ile iletişim halinde olunması gereken durumlarda gerekli koordinasyonu ve iletişimi sağlar.

(2) Kişisel veri sahibinin başvurması halinde aşağıdaki kişi haklarının yerine getirilmesini en geç 30 takvim günü içinde sağlar

a)   Kişinin kendi kişisel verisinin işlenip işlenmediğini bilmesi

b)   Kişisel veri ile ilgili bilgi talep etme

c)   İşlenme amacını açıklama

ç)  Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri açıklama

d)  Kişisel verilerin eksik veya yanlış işlenmesi durumunda bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma

e)  Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma

f)  İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma

g)  Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma

Diğer Görev ve Sorumluluklar

Madde 13- (1) Komite, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVKK’ya ve Politikalara uyumu yönünde bir eksikliğin veya riskin tespit edilmesi halinde giderilmesi için gerekli önlemleri alır. Bu kapsamda Komite, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar.

2) Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler.

a) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11/2 maddesi uyarınca, altı ayı geçmeyecek periyotlarda işlenen kişisel verileri denetleyerek silinmesi, imha edilmesi veya anonim hale getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini sağlar.

b) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmasını sağlar.

c) Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar:

- İşlenmesini gerektiren sebeplerin ortadan kalkması halinde

- Süresi dolması halinde

- Veri sahibinin talebi halinde

3) Komite, ÇOMÜ Fen Fakültesinin çalışanları tarafından kendisine raporlanan KVK Düzenlemelerine ve Politikalarda belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale yönelik KVK Düzenlemelerine ve Politikalara uygun şekilde eylem planı oluşturur. Komite konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Kişisel Veri Sahibine veya Kurum’a yapılacak bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür.

4) Kurulun isteyeceği belge ve bilgileri on beş (15)  takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır.

5) Şikâyet durumunda veya herhangi bir nedenle Kurulun tebliğlerini takip eder ve 30 takvim günü içerisinde yerine getirilmesini sağlar.

6) Kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla ÇOMÜ çalışanlarının bilgilendirilmesini sağlar. Üniversitede kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Temsilcisi ve Komite müteselsilden sorumludur. Özel nitelikli kişisel verilere erişim yetkisinin verildiği sınırlı çalışanlara ait liste ve listenin takibi Komite tarafından yapılır.

7) Komite her akademik yılın başında ve sonunda olmak üzere yılda en az iki kez ilgili koordinasyon ve istişare toplantısı yapmak üzere toplanır.

 

BEŞİNCİ BÖLÜM

Çeşitli ve Son Hükümler

Hüküm bulunmayan haller

Madde 14- (1) Bu Yönerge’de hüküm bulunmayan hallerde Üniversite Senatosu kararı ile ilgili mevzuat hükümleri uygulanır.

Yürürlükten Kaldırılan Yönetmelik

Madde 15- (1)  Bu Yönerge ile Üniversitemiz Senatosu’nun 29/05/2020 tarih ve 13/13 sayılı kararı ile kabul edilen “Kişisel Verileri Koruma Komitesi Yönergesi” iptal edilmiştir.

Yürürlük

Madde 16- (1) Bu Yönerge, Çanakkale Onsekiz Mart Üniversitesi Senatosu’nda kabul edildiği tarihte yürürlüğe girer.

Yürütme

Madde 16- (1) Bu Yönerge hükümlerini, Çanakkale Onsekiz Mart Üniversitesi Rektörü yürütür.

Ekler

KİŞİSEL VERİLERİ KORUMA KOMİTESİ YÖNERGESİ.docx
Göster   İndir