ANKARA SOSYAL BİLİMLER ÜNİVERSİTESİ

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

Hükümet Meydanı No: 2  PK: 06050 Ulus, Altındağ, ANKARA

   +90 312 596 44 44 – 45 / www.asbu.edu.tr

 

ÖNSÖZ

Kişisel Verilerin Korunması hakkı temel insan hakkı olarak Avrupa Birliği Temel Haklar Bildirgesi’nin 8. ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın 16. maddelerinde yerini almıştır. Ayrıca kişisel veri, Türkiye Cumhuriyeti Anayasa’sının “Özel Hayatın Gizliliği” başlıklı 20. maddesinde de düzenleme altına alınarak, temel haklar arasına dahil edilmiştir.

Bu önemi sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKKK”) gerçek kişilere ait kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gerekli usul ve esasları düzenlemek maksadıyla 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanmıştır.

1. AMAÇ VE KAPSAM

Ankara Sosyal Bilimler Üniversitesi (“ASBÜ”) Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), kişisel verilere ilişkin mevzuat çerçevesinde kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmıştır.

“Politika” hazırlanırken öncelikle “ASBÜ” organizasyon şeması dahilinde çalışma birimlerinin hangi verileri, neden topladıkları ve bu verileri neden üçüncü kişilere aktarma gereksinimi olduğunu belirlemek ve ASBÜ’nün kişisel veri işleme usulünü anlamak temel ilke olarak belirlenmiştir. İlgili mevzuatın gereksinimleri “Politika”ya aktarılırken, özelleştirilerek, “ASBÜ”nün hangi verileri neden temin ettiğini, bu verileri neden işlediğini sade ve anlaşılır bir dil ile izah etmek  kişisel verilerin korunması gerekliliği dahilinde duyulan hassasiyet çerçevesinde  ilke edinilmiştir. Ayrıca, “ASBÜ” organizasyonu içinde ve organizasyon dışında veri gizliliğinin korunması için gerekli idari ve teknik tedbirleri almak ve verileri işlenen bireyleri bilgilendirmek ve aydınlatmak hedeflenmektedir.  

“Politika” kapsamına “ASBÜ” tarafından verileri işlenen tüm gerçek kişiler girmektedir.

İş bu “Politika” kapsamında “ASBÜ” organizasyonunda yer alan işlem ve faaliyetler çerçevesinde işlenen veriler, verilerin kategorizasyonu, veri alıcı grupları, veri toplama hukuki sebebi ve yöntemi, verilerin aktarıldığı üçüncü kişi grupları, verilerin işleme süreleri, verilerin silinme süreleri hakkında özelleştirilmiş bilgilere yer verilmeye çalışılmıştır. Ancak hali hazırdaki işleme faaliyetlerinin dışında “ASBÜ” tarafından veri işleme yapılması/yapılacak olması halinde harici bir aydınlatma metni dahilinde, işbu politikada belirtilen temel ilke ve prensiplere uyulmak kaydıyla işleme faaliyeti yürütülmesi ve aydınlatma yapılması mümkündür. Bu durumda yapılan aydınlatma işbu “Politika”nın ayrılmaz bir parçasını teşkil edecek olup, İşbu “Politika” da yer almadığı iddia edilemeyecektir. Nitekim Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesi kapsamında aydınlatmanın  sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yapılması mümkündür.

Veri Sorumluları Sicil Bilgi Sistemine(VERBİS) kayıt yapılırken veri sorumlusu bilgisi vergi kimlik numarası girilmek suretiyle işlenmektedir. Sisteme vergi kimlik numarası girildiğinde veri sorumlusu ismi otomatik olarak gelmekte ve üzerinde değişiklik yapılamamaktadır. Ankara Sosyal Bilimler Üniversitesi olarak işlemlerimizde kullandığımız vergi kimlik numarası sisteme girildiğinde veri sorumlusu ismi olarak, vergi dairesinde kayıtlı isim olan "ASBU ÖZEL KALEM (REKTÖRLÜK)" ismi otomatik olarak gelmektedir. Bu nedenle VERBİS'e kayıt bu isim ile yapılmıştır.

2. TANIMLAR

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
ASBÜ/Üniversite	31 Ocak 2013 tarih ve 28545 sayılı Resmi Gazetede yayınlanan “Yükseköğretim Kurumları Teşkilatı Kanunu İle Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun” ile kurulan Ankara Sosyal Bilimler Üniversitesi.
ASBÜ Mevzuatı	Ankara Sosyal Bilimler Üniversitesi Kuruluş Kanunu, 12.12.2016 Tarihli ve 2016/9648 Sayılı Bakanlar Kurulu Kararı, 06.02.2017 Tarihli ve 2017/9889 Sayılı Bakanlar Kurulu Kararı, 04.06.2018 Tarihli ve 2018/11959 Sayılı Bakanlar Kurulu Kararı, 24.06.2019 Tarihli ve 1157 Sayılı Cumhurbaşkanı Kararı, 03.10.2019 Tarihli ve 1614 Sayılı Cumhurbaşkanı Kararı, 15.06.2020 Tarihli ve 2654 Sayılı Cumhurbaşkanı Kararı, ve sair mevzuat. Tüm mevzuata ulaşmak için, https://gs.asbu.edu.tr/tr/mevzuat
Çerez (Cookie)	Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İrtibat Kişisi	Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. (İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.)
Kanun/KVKK	7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul	Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, Üniversite, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha	Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika	Üniversite tarafından oluşturulan kişisel veri koruma politikası.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik	Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği.
Kaynak:	6698 sayılı Kişisel Verilerin Korunması Kanunu- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik - Veri Sorumluları Sicili Hakkında Yönetmelik - Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ - Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

3. VERİ SORUMLUSU KİMLİĞİ

Bu politikanın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.

Veri Sorumlusu	ASBÜ Ankara Sosyal Bilimler Üniversitesi
Adres	Hacı Bayram, Hükümet Meydanı No:2, 06050 Altındağ/Ankara
Telefon	+90 312 596 44 44 – 45
Fax	+90 312 311 86 00
KEP	asbu@hs01.kep.tr
İnternet Sitesi	www.asbu.edu.tr

 

4. VERİ SORUMLUSU ORGANİZASYON ŞEMASI

ASBÜ söz konusu amacını ve faaliyetlerini rektörlük, senato, yönetim kurulu, idari birimler ve akademik birimler vasıtasıyla gerçekleştirmektedir.

4.1 Teşkilat Şeması

Teşkilat şemasına ulaşmak için https://www.asbu.edu.tr/tr/asbu-teskilat-semasi bağlantısını kullanabilirsiniz.

5. KİŞİSEL VERİLERİN KORUNMASI ORGANİZASYON YAPISI

Bu Politika kapsamına giren kişisel veri işleme faaliyetleri bakımından veri sorumlusu, Ankara Sosyal Bilimler Üniversitesi’dir.

Üniversitemiz, kişisel verilerin korunması mevzuatına uyumun sürdürülebilir kılınmasını teminen bir organizasyon yapısı oluşturmuş ve bu kapsamda bir uyum programını hayata geçirmiştir. Bu çerçevede, Üniversitemizin “Rektörlük” bünyesinde bir “Kişisel Verileri Koruma Komisyonu” kurulmuş ve İrtibat Kişisi görevlendirilmiştir.

5.1. Kişisel Verileri Koruma Komisyonu

Kişisel verileri koruma mevzuatına sürdürülebilir uyumu sağlama yönündeki kararlılığımızı göstermek ve kişisel verilerin korunması sistemimizin etkinliğini temin etmek amaçlarıyla Üniversitemiz bünyesinde bir KVKK Komisyonu kurulmuştur. KVKK Komisyonu Başkanı ve KVKK Komisyonu üyeleri Rektörlük tarafından belirlenir.

KVKK Komisyonu Başkanı’nın izin ve/veya sair nedenlere bağlı olarak Üniversitemizde bulunmaması durumunda, yerine vekalet edecek kişi KVKK Komisyonu Başkanı tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Kişisel Verilerin Korunması Politikası kapsamında KVKK Komisyonu Başkanı’na atanan tüm görevlerin yerine getirilmesinden sorumludur.

5.2. İrtibat Kişisi

Üniversitemizin kişisel verilerin korunması mevzuatına uyuma yönelik almış olduğu önlemlerin etkinliğini takip etmek üzere İrtibat Kişisi belirlenmiştir. İrtibat Kişisi’nin başlıca sorumluluğu, KVKK Komisyonu’nun Merkezi Politikalar görev ve sorumluluklarını yerine getirmesine yönelik çalışmaktır. İrtibat Kişisi, KVKK Komisyonu üyesi olup, ihtiyaç halinde KVKK Komisyonu’nu toplantıya çağırır.

İrtibat Kişisi aynı zamanda Üniversitemizin veri sorumluları sicili ve Kişisel Verileri Koruma Kurulu nezdinde KVKK Mevzuatı kapsamında irtibat kişisi olarak hareket eder.

İrtibat Kişisi’nin izin ve/veya sair nedenlere bağlı olarak Üniversitemizde bulunmaması durumunda, yerine vekalet edecek kişi KVKK Komisyonu tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Kişisel Verilerin Korunması Politikası kapsamında İrtibat Kişisi’ne atanan tüm görevlerin yerine getirilmesinden sorumludur.

6. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI, İŞLEDİĞİMİZ KİŞİSEL VERİLERİNİZ, TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ

İşlenme Amaçları

Kişisel verileriniz KVKK’da öngörülen sınırlara riayet edilerek ve 2547 sayılı Yükseköğretim Kanunu’na uygun biçimde, ASBÜ mevzuatında gösterilen amaçları gerçekleştirmek için kullanılacaktır. İşleme amaçlar şunlardır;

a. Yüksek Öğretim Kanunu ve Yüksek Öğretim Kurumu tarafından öngörülen eğitim faaliyetlerine ve denetime ilişkin yükümlülüklerin karşılanması,

b. Yüksek Öğretim Mevzuatı kapsamında eğitim faaliyetinden kaynaklı hakların tesis edilmesi,                                                                           

c. Üniversiteye kaydınızın sağlanması ve öğrenci işleri faaliyetlerinin yürütülmesi,                                                                  

ç. Üniversitemiz tarafından sunulan hizmetlerden yararlanmanız için gereken çalışmaların ilgili birimlerce yapılması,                                                                                                                                             

d. Tarafımızla paylaştığınız iletişim kanallarınız üzerinden Üniversitemiz ve faaliyetlerinin tanıtımı amacıyla sizinle iletişime geçilmesi,                                                                                                                                 

e. Üniversitenin ihtiyaç duyduğu alanlarda personel temini, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve  5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu başta gelmek üzere iş hayatını düzenleyen mevzuat kapsamında hak ve yükümlülüklerin yerine getirilmesi,

f. Sınav sonuçlarının açıklanması ve ilanı,

g. Personele ilişkin maaş ödeme, harcırah temini, döner sermaye ödemelerinin gerçekleştirilebilmesi vb. faaliyetlerin yürütülmesi, üniversite içi yazışmaların yapılması,

ğ. Yetkili kamu kurum ve kuruluşları ile adli ve yargı makamlarına kanunlarda gösterilen haller dahilinde bilgi-belge temini,                                                                                                               

h. Üniversitedeki organizasyon ve etkinlik (seminer, konferans, toplantı, eğitim, sempozyum vb.) yönetimi süreçlerinin işlerliğinin sağlanarak kamuoyuna duyurulması, üniversitenin kamuoyunda bilinirliğinin sağlanması ve güncelliğinin korunabilmesi için internet sayfası ve sosyal medya hesaplarının güncel verilerle sürekliliğinin sağlanması, tanıtım ve reklam süreçlerinin yönetilmesi,

ı. Saklama ve arşiv faaliyetlerinin yürütülebilmesi ve yıllık birim faaliyet raporlarının oluşturulabilmesi amacıyla mevzuatta gösterilen usullerle arşiv tutulması,

i. Ziyaretçi kayıtlarının oluşturulması ve takibi,

j. Bina, personel, öğrenci ve ziyaretçi güvenliğinin temini,                                                                                            

k. Uluslararası ofis kapsamında, yurt dışına yapılacak değişim, hareketlilik, ortak proje ve üniversitece belirlenen milletlerarası eğitim iş birliklerinin sağlanması ile uluslararası proje başvurularının yapılabilmesi ve yürütülmesi, eğitim-öğretim ve iletişim hizmetlerinin daha rahat yürütülebilmesi amacıyla uluslararası öğrenci listesi adıyla eposta listesi oluşturularak uluslararası öğrencilere duyuruların yapılması,

l. Verilerin anonim hale getirilerek araştırma amacıyla istatistiki faaliyetlerde kullanılabilmesi,

m. Üniversite adına Strateji Geliştirme Daire Başkanlığı öncülüğünde yeni stratejilerin geliştirilebilmesi, eski stratejilerin güncellenebilmesi ve gerekli analizlerin yapılması,

n. Örgün/online, sertifikalı/sertifikasız eğitimlerin düzenlenebilmesi,

o. KVKK kapsamında yapılacak ilgili kişi başvurularının alınması ve yanıtlanabilmesi.

ii. İşlediğimiz Kişisel Verileriniz

Kimlik Bilgileri: İsminiz, soy isminiz, T.C. kimlik numaranız, anne adı, baba adı, doğum yeri ve tarihi, öğrenci numaranız, personel sicil numaranız, uyruk bilginiz ve Üniversite’ye tarafınızca açık rızanız dahilinde temin edilen sair bilgiler.

İletişim Bilgileri: İkamet adresiniz, işyeri adresiniz, telefon numaranız ve e-posta adresiniz, KEP adresi ile var ise Üniversite’ye tarafınızla iletişim kurulması için tercih ettiğinizi bildirdiğiniz cep telefonu numaranız, faks numaranız veya size ulaşabilmemiz için rızanız ile temin etmiş olduğunuz diğer iletişim kanallarına ilişkin bilgileriniz.

Çalışma ve Eğitim Bilgileriniz: Üniversite’ye başvuru (iş başvurusu, öğrenci kaydı, sertifikalı/sertifikasız eğitimlere katılma başvurusu) için doldurmuş olduğunuz başvuru formu, kayıt evrakı kapsamında ve/veya üniversite resmi e-posta adresi olan bilgi@asbu.edu.tr adresine gönderilen iş başvuru formlarında yahut Üniversite tarafından sağlanan çevrimiçi ya da fiziki başka başvuru usulleri kullanılmak suretiyle kimlik bilgileriniz, iş durumunuza ait bilgiler, iletişim bilgileriniz ile eğitim durumunuza ait (“üniversite mezunu, yüksek lisans mezunu, fizik bölümü mezunu” gibi) bilgileriniz ve geçmiş mezuniyet bilgileriniz, katıldığınız kurs/seminer bilgileriniz, sertifika bilgileriniz ile ulusal yahut uluslararası sınav sonuçlarınız. Ayrıca üniversitemizden talep edilmesi halinde transkript ve öğrenci durum belgesinde yer alan veriler. İş başvurularında gönderilen kişisel veriler web sayfasındaki CV Bankası alanına yönlendirilmekte ve Üniversite’deki ilgili birime iletilmektedir.

Finansal/Mali Bilgileriniz: Üniversite ikinci öğretim ücretlerinin tahsili, tezsiz yüksek lisans ücretlerinin tahsili, öğrenim ücreti katkı payı ödemelerinin yapılabilmesi, ek ders ödemelerinin gerçekleştirilebilmesi, sertifikalı/sertifikasız eğitim ücretlerinin tahsili, fazla ve yersiz alınan ödemelerin iadesi, adınıza çıkarılan öğrenci kartlarının banka kartı olarak da kullanılabilmesi, döner sermayeden yapılacak ödemelerin gerçekleştirilebilmesi, Üniversite dışı görevlendirmelerde dışarıdan gelen öğretim üyesi/eğitmene ek ders ödemelerinin yapılabilmesi amacıyla edinilen; banka isim ve şube bilgisi, banka hesap no bilgisi, IBAN no bilgisi.

Görsel/İşitsel Bilgiler: Üniversite’nin düzenlediği konferans, seminer, tiyatro gösterisi, sergi, münazara ve benzeri etkinliklerde etkinlikle ilgili olarak; etkinliği tanıtmak, duyurmak, yaygınlaşmasını sağlamak gibi amaçlar için etkinliğin gerçekleştiği yerin ve katılanların durağan veya akan görüntüleri ve/veya sesleri ile Üniversite merkez, şube ve temsilciliklerinde güvenliği sağlamak için kurulmuş olan kameraların sağladığı görsel/işitsel bilgiler. Söz konusu etkinliklerde elde edilen görsel/işitsel bilgiler Üniversite faaliyetlerini aşmayacak ve etkinliğin amacı ile sınırlı olacak şekilde Üniversite’nin internet sitesinde, Üniversite tarafından kullanılan sosyal paylaşım platformlarında, Üniversite tarafından basılan eserlerde kullanılabilecektir. Yahut Üniversite’nin izniyle ve kontrolü altında basılmak/yayınlanmak üzere 3. kişilere (basımevi, yayıncı, kurum, kuruluş…) gönderilebilecektir. Bu kullanım usulü güvenlik kamera görüntülerini kapsamayacak olup, ilgili görsel/işitsel kişisel veriler kullanılmadan önce (Misalen; etkinliğin başında) katılımcılara ayrıca bilgilendirme yapılacak olup, açık rızaları alınacaktır.

Özel Nitelikli Kişisel Veriler: Üniversite bünyesinde mevzuat kaynaklı çalıştırma yükümlülüklerini yerine getirebilmek amacıyla çalıştırılan engelli ve hakkında mahkumiyet kararı verilmiş ve/veya güvenlik tedbiri uygulanmış kişilere ilişkin sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin özel nitelikli kişisel veriler işlenmektedir.

Üniversite bünyesinde bulunan engelli öğrencilerin, engelli öğrenci adaylarının yahut üniversitede sınava girecek olan engelli kişilerin sağlık özel nitelikli kişisel verileri; mevzuat kaynaklı yükümlülükleri yerine getirebilmek, herhangi bir sağlık problemi ile karşılaşılması ihtimalinde acil ve doğru müdahalede bulunabilmek, eğitim/öğretim faaliyetlerinden eksiksiz yararlanabilmelerini sağlamak, fırsat eşitliğini sağlayabilmek, kişilerin engel durumlarının oluşturduğu olumsuzlukları en aza indirgemeye yönelik tedbirler alabilmek amacıyla işlenmektedir.

Ayrıca Üniversite’de eğitim alan ve öğretim elemanı olarak görev yapan yabancı uyruklu kişilerin ırk, etnik kökene ilişkin özel nitelikli kişisel verileri eğitim hizmetinin verilebilmesi, öğrenci, öğretim elemanı ve ders takibinin sağlanabilmesi, yurt dışı ile koordinasyonun sağlanması ve mevzuattan kaynaklı yükümlülüklerin yerine getirilebilmesi amacıyla işlenmektedir.

Üniversite’nin bu amaçlar haricinde başka herhangi bir doğrudan özel nitelikli kişisel veri işleme amacı olmamakla birlikte Üniversite’ye sunmuş olduğunuz kimlik belgesi, fotoğraflar yahut etkinlikler kapsamında durağan/akan görüntülerden elde edilen veriler kapsamında dolaylı olarak edinilme ihtimali olan din, kılık-kıyafet, felsefi inanç, siyasi düşünce ve sağlık verileriniz (örneğin fotoğraftan anlaşılan kıyafet, cihaz ve protezler) ile Üniversite tarafından sağlanan bir evrakta ihtiyari olarak belirttiğiniz özel nitelikli sair bilgiler.

iii. Kişisel Verilerinizin Toplanma Yöntemleri

Kişisel verileriniz üye kayıt formu, internet üzerinden doldurulan kayıt/başvuru formları, alındı ve harcama belgeleri, etkinliklerde kullanılan görüntü ve ses kayıt cihazları, güvenlik kamera kayıtları ve ASBÜ resmi e-mail adresi olan bilgi@asbu.edu.tr   adresine yahut “@asbu.edu.tr” uzantısını kullanan Üniversite’ye ait herhangi bir mail adresine, asbu@hs01.kep.tr KEP adresine veya +90 312 311 86 00 numaralı faks adresine  kişisel veri gönderilmesi durumunda söz konusu iletişim kanalları vasıtasıyla toplanmaktadır.

Kişisel veriler, fiziken evrak gönderilmesi, Üniversite’nin sağladığı bir evrakın fiziken doldurulması, kütüphane hizmetinin sunulabilmesi için doldurulan kütüphane üyelik formunun ıslak imzalı olarak doldurulması, +90 312 596 44 44 – 45 numaralı hatların veya Üniversite’ye ait diğer dahili numaraların aranması suretiyle de toplanmaktadır.

Kişisel verileriniz ayrıca otomatik yollarla https://www.asbu.edu.tr/tr adresi ve uzantılarında kullanılan çerezler (cookie) vasıtasıyla da toplanmaktadır. Söz konusu çerezler, yalnızca ziyaretçinin siteyi tam verimlilikte kullanabilmesi için gerekli çerezler olup ziyaretçinin tercihlerini hatırlamak amacıyla kullanılmakta ve başka bir kişisel veri temin etmemektedir.  Çerez politikamıza  https://kvkk.asbu.edu.tr/tr/cerez-politikasi adresinden ulaşabilirsiniz.

iv. Kişisel Veri İşlemenin Hukuki Sebepleri

KVKK, kişisel verilerin işlenme şartlarını 5. maddesinin 2. fıkrasında listelemektedir. Eğer bir veri sorumlusu tarafından kişisel verilerin işlenme amaçları, KVKK’da listelenmiş olan kişisel veri işleme şartları çerçevesinde değerlendirilebiliyorsa, o veri sorumlusu kişisel verileri hukuka uygun olarak işleyebilmektedir. Bu kapsamda Üniversite tarafından da güdülmekte olan kişisel veri işleme amaçlarının, KVKKK’da düzenlenen kişisel veri işleme şartları kapsamında değerlendirilebildiği durumlarda Üniversite tarafından kişisel veri işleme faaliyetleri gerçekleştirilmektedir. Üniversite kişisel veri işleme şartları kapsamına girmeyen herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır.

KVKK’da yer alan kişisel veri işleme şartları şunlardır;

• İlgili kişinin açık rızasının bulunması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel veriler için de temel işleme şartı açık rızadır ve Üniversite temelde özel nitelikli kişisel veri işleme amacı gütmemektedir. Ancak faaliyetimiz gereği işlememiz gereken veya açık rızanız ile onay verdiğiniz özel nitelikli kişisel verileriniz de mevzuat dahilinde ölçülü olarak işlenmektedir.

KVKK’da özel nitelikli kişisel verilerin işlenebilmesi için sayılan şartlar şunlardır;

• İlgili kişinin açık rızasının bulunması,
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kanunlarda açıkça öngörülmesi,

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak,

• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir veya birden fazla kişisel veri işleme şartı aynı anda bulunabilmektedir.

Söz konusu amaçlarımızı gerçekleştirebilmek için yukarıda belirttiğimiz verilerinizin işlenmesi gereği hasıl olmaktadır. Üniversitemize, kimlik bilgileri aktarılırken aslında işleme amaçlarımız dahilinde olmayan veriler de tarafımıza aktarılabilmektedir. İdari ve teknik tedbirler dahilinde söz konusu verileri mevzuatta öngörülen süreler sonunda siliyor ve/veya anonim hale getiriyoruz ancak her koşulda bu durumu temin etmek mümkün olmamaktadır. Bu halde, söz konusu verilerin işlenmesi amacıyla açık rızanıza başvurmak gerekmektedir. 

7. KİŞİSEL VERİLERİN AKTARIMI

Kişisel verileriniz bu Politikada gösterilen amaçlar için ve buradaki vasıtalarla, yetkili kamu kurum ve kuruluşları, yargı mercileri, infaz mercileri, emniyet birimleri ile sözleşmeli ürün ve veya hizmet alınan tedarikçiler ile paylaşılmaktadır. Paylaşım yapılan tarafları gösteren tablo aşağıdadır:

PAYLAŞILAN TARAFLAR	PAYLAŞIM ÖRNEKLERİ
Hukuken Yetkili Kamu/Özel Kurum veya Kuruluşu	Yüksek Öğretim Kurumu, Hazine ve Maliye Bakanlığı, İç Denetim Koordinasyon Kurulu, Sayıştay, Yargı ve İnfaz mercileri, diğer kamu ve vakıf üniversiteleri, uluslararası programlar için yurtdışında yer alan üniversiteler,  Noterler gibi resmi kurum ve kuruluşlarla veri paylaşılabilmektedir.
Organizasyon Şirketleri	Üniversite Faaliyetlerinin Organizasyon şirketleri dahli ile planlanması halinde katılımcı listeleri söz konusu organizasyon şirket yetkilileri ile paylaşılmaktadır.
Tedarikçi/İş Ortağı/Danışman	Üniversitenin faaliyetlerinin tamamlayıcısı niteliğindeki hizmetleri aldığı, işbirliği yaptığı danışman, kuruluş ve taraflarla yürüttükleri faaliyetlerin amaçlarıyla sınırlı olarak veri paylaşılabilmektedir.

Üniversite amaçlarını ilgilendirmeyen hiçbir veri aktarımı yapılmamaktadır. Örneğin; rızanız doğrultusunda elde etmiş olsak dahi IP adresi bilginiz veya araç plakanıza ait bilgiler yukarıda gösterilen kişi ve kurumlar da dahil olmak üzere hiçbir 3. kişi ile paylaşılmamaktadır. Bu belirlemenin istisnası, söz konusu veriye ilişkin aktarımın mevzuat ile zorunlu kılınması, yahut bir suç soruşturması için mecburi olması veya resmî bir makamca mevzuata dayalı olarak ve gerekçesi gösterilerek talep edilmesidir.

8. İLGİLİ KİŞİNİN HAKLARI

KVKK kapsamında

1. Kişisel Verilerinizin işlenip işlenmediğini öğrenme,
2. Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel Verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme,
5. Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
6. KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme,
7. v. ve vi. maddeleri kapsamında yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel Verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.

Haklarınızı Nasıl Kullanabilirsiniz?

https://kvkk.asbu.edu.tr/tr/basvuru-formu bağlantısını kullanarak indirebileceğiniz " başvuru formunu " talebiniz/şikâyetiniz doğrultusunda doldurarak, söz konusu formu kvkk@asbu.edu.tr adresi üzerinden tarafımıza iletebilir veya formu fiziki olarak doldurarak “Hükümet Meydanı No: 2 06050 Ulus, Altındağ/ANKARA" adresine kargo/posta vasıtasıyla gönderebilirsiniz.

Talebinizi üstte gösterilen yöntemlerden birisini kullanarak tarafımıza iletmeniz durumunda KVKK md. 13/2 gereğince, talebiniz en geç 30 gün içinde değerlendirilecek ve tarafınıza konuyla ilgili bilgi verilecektir. Eğer talebiniz kabul edilirse, gerekli işlemler derhal veri sorumlusu ASBÜ tarafından yerine getirilecektir. 

Talepler kural olarak ücretsiz karşılanır ancak, talebin gereğini yerine getirmek masraf gerektiriyorsa “Veri Sorumlusuna Başvuru Usul ve Esasları Hk. Tebliğ” madde 7’de öngörülen; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, 10 sayfaya kadar ücret alınmaz. 10 sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” Hükmü gereğince ASBÜ tarafından ücret istenebilecektir.

9. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

KVKK m. 4, kişisel verilerin işlenmesi için uyulması gereken temel ilkeleri listelemektedir. Söz konusu ilkeler, “ASBÜ” tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır. Bahsi geçen ilkeler ve bunlara ilişkin açıklamalar aşağıda yer almaktadır:

Hukuka ve Dürüstlük Kuralına Uygun Olmak: “ASBÜ”, kişisel verilerin işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine ve Türk Medeni Kanununda düzenlenmiş olan dürüstlük kuralına uygun olarak hareket etmektedir.

Kişisel Verilerin Doğru ve Güncel Olmasını Sağlamak: Kişisel verilerin bireyler hakkında doğru ve güncel bilgileri sağlaması, bireylerin haklarının korunması için büyük bir önem taşımaktadır. “ASBÜ” işlenmekte olan kişisel verilerin doğru ve güncel olmasını sağlamak adına kendisinden beklenecek makul düzeyde özeni göstermektedir.

Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşlemek: Kişisel verilerin işlenmesi ile ulaşılmak istenilen amaçlar, kişisel veri işleme faaliyetinin hukuka uygun olup olmadığının belirlenmesinde en önemli kriteri oluşturmaktadır. Bu kapsamda KVKK veri işleme faaliyetlerinin belirli, açık ve meşru amaçlarla işlenmesini gerektirmektedir. “ASBÜ” de bu ilke çerçevesinde faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla kişisel veri işleme faaliyetleri yürütmektedir.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmak: “ASBÜ”, kişisel verileri yürüttüğü faaliyetler kapsamında belirlenen amaçları gerçekleştirmesine yetecek kadar işlemektedir. “ASBÜ” ayrıca ihtiyaç olmayan kişisel verileri işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.

İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza Etmek: “ASBÜ” tarafından işlenmekte olan kişisel veriler, kişisel veri işleme şartları kapsamında değerlendirilebilecek kişisel veri işleme amaçlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza edilmektedir. Söz konusu amaçlar ortadan kalktığında, “ASBÜ” tarafından ilgili kişisel verilerin muhafaza edilmesi işlemleri sonlandırılacaktır.

10.  KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK, kişisel verilerin işlenme şartlarını 5 numaralı maddesi altında listelemektedir. Eğer bir veri sorumlusu tarafından kişisel verilerin işlenme amaçları, KVKK’da listelenmiş olan kişisel veri işleme şartları çerçevesinde değerlendirilebiliyorsa, o veri sorumlusu kişisel verileri hukuka uygun olarak işleyebilmektedir. Bu kapsamda “ASBÜ” tarafından da güdülmekte olan kişisel veri işleme amaçlarının, KVKK’da düzenlenen kişisel veri işleme şartları kapsamında değerlendirilebildiği durumlarda “ASBÜ” tarafından kişisel veri işleme faaliyetleri gerçekleştirilmektedir. “ASBÜ” kişisel veri işleme şartları kapsamına girmeyen herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır.

KVKK’da yer alan kişisel veri işleme şartları aşağıda paylaşılmaktadır:

• İlgili kişinin açık rızasının bulunması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir ya da birden fazla kişisel veri işleme şartı aynı anda uygulanabilmektedir.

11. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

“ASBÜ” KVKK’nın 6. maddesinde yer alan veri işleme koşullarının varlığı halinde özel nitelikli kişisel verileri işleyebilmektedir. Özel nitelikli kişisel veriler, bireyler arasında ayrımcılık yapılmasına yol açacak herhangi bir amaçla ya da bir bireyin hukuka aykırı muamelelere maruz kalmasına sebep olacak şekilde işlenmemektedir. Ayrıca “ASBÜ”  tarafından ilgili mevzuatta öngörüldüğü şekilde ek güvenlik önlemleri, özel nitelikli kişisel verilerin güvenliğinin sağlanması amacıyla alınmaktadır.

KVKK m. 6’da yer alan özel nitelikli kişisel verilerin işlenme şartları şunlardır:

• Özel nitelikli veri sahibinin açık rızası,
• Sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki kişisel veriler için kanunlarda öngörülen hâller,
• Sağlık ve cinsel hayata ilişkin kişisel veriler için ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenme.

12. KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE KANUNİ İSTİSNALAR ve AÇIK RIZA AÇIKLAMASI

KVKK aşağıdaki sıralanan hallerde veri sorumlusunun ilgili kişinin açık rızası olmaksızın veri işleme faaliyetinin yürütülebileceğini belirtmiştir.

İşbu Politika’da belirtilen işleme amaç ve şartları dikkate alındığında kanuni istisnalar kapsamına giren veri işleme şartları bakımından ilgili kişilerin rızalarının alınması gereği bulunmamaktadır. Ancak istisnaların ve işleme ilkelerinin yorumlanmasından ortaya çıkabilecek ihtilafların bertaraf edilmesi, bir belge içinde yer alan birden fazla verinin bir kısmının istisna kapsamına girerken, diğer kısmının istisna kapsamında değerlendirilmemesi, veri sorumlusunun meşru menfaat kavramının farklı yorumlanması, KVKK ve ilgili mevzuatı dahilinde içtihat ve yüksek mahkeme kararlarının az sayıda olması; kanunen işlenmesi, saklanması ve aktarılması zorunlu verilerin düzenleyici işlemlerde tek tek sayılmaması, saklama sürelerinin belirtilmemesi ve/veya muğlak olması ve/veya fiili uygulamada talep edilmesi ile yaptırımların ağır olması hususları birlikte değerlendirildiğinde, “ASBÜ” tarafından ilke olarak ilgili kişilerin “açık rızalarına” başvurma yönteminin benimsenmesi arzu edilmektedir.

Ancak bu hal hiçbir koşulda “ASBÜ” nün istisna hükümlerden yararlanmayacağı ve/veya her durumda açık rıza alma yolunu seçeceği şeklinde yorumlanmamalıdır. “ASBÜ” kanuni istisna kapsamında yer alan işleme faaliyetlerinden açık rıza almadan yararlanabilecektir.  

12.1.  Kişisel Verilerin Açık Rıza Olmaksızın İşlenmesi:

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

12.2.  Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenmesi:

• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, Üniversite, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
• Yukarıda belirtilen sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
• Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

12.3. KVKK’nın Uygulanmayacağı Tam İstisna Halleri

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetleri kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

12.4. Kısmi İstisna Halleri:

KVKK’nın amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

13. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BİLGİLER

“ASBÜ”  tarafından gerçekleştirilen kişisel veri işleme faaliyetleri, bir kişisel verinin “ASBÜ” hakimiyet alanına girmesinden bu verilerin imhasına kadar geçen tüm süre için bütüncül bir yaklaşımla detaylıca incelenmekte ve planlanmaktadır. Kişisel veri işleme faaliyetleri sırasında verilerin kişisel veri işleme prensiplerine uygun şekilde işlenmesi için gereken önlemler alınmaktadır. 

Kişisel veriler, “ASBÜ” tarafından değişik kanallardan elde edilmektedir. Toplanan kişisel veriler ile “ASBÜ”’nün kişisel verilerini işlediği veri sahipleri/ilgili kişiler ayrı ayrı kategorize edilmektedir. Aynı şekilde “ASBÜ”’nün kişisel veri işleme amaçları da kategoriler altında sınıflandırılmıştır. “ASBÜ” nün kişisel veri işleme faaliyetleri, işte bu üç temel kategori (veri kategorileri, veri sahibi kategorileri ve veri işleme amaçları)  dikkate alınarak hazırlanmıştır.

Veri Sorumluları Sicili Hakkında Yönetmeliğin 5/ç maddesi gereğince sicile kayıt yükümlülüğü olan veri sorumlularının “Kişisel Veri İşleme Envanteri” hazırlamakla yükümlü olduğu belirtilmiştir. İlaveten, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi kapsamında KVKK’nın 16. maddesi gereğince “Veri Sorumluları Siciline” kayıt olmakla yükümlü olan veri sorumlularının kişisel veri işleme envanterine uygun olarak “Kişisel Veri Saklama Ve İmha Politikası” hazırlamakla yükümlü olduğu belirtilmektedir.

Üniversitemizin “Kişisel Veri İşleme Envanteri” ve “Kişisel Veri Saklama Ve İmha Politikası” hazırlama ilgili mevzuat dahilinde yükümlülüğü mevcut olup, söz konusu yükümlülükler yerine getirilmiştir.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5/i maddesi gereğince, “kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangileri ile elde edildiğinin” açık bir şekilde belirtilmesi gerekmektedir.

Bu durumda otomatik yollarla veri işlemenin ne demek olduğu Üniversitemizce nasıl anlaşıldığının da izahı zorunlu hale gelmektedir.

Üniversitemizce , “Otomatik olarak veri işlenmesi”; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyeti, “bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme” ise; manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyeti olarak anlaşılmaktadır.

Üniversitemizce yapılan işleme faaliyetleri aşağıda belirtilen işleme kanallarından elde edilen veriler dahilinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmektedir.

13.1. Kişisel Verilerin Elde Edildiği Kanallar

Üniversite tüzüğü dahilinde faaliyetlerini yürütmekte olan “ASBÜ”nün kişisel veri elde etme kanalları aşağıda listelenmektedir:  

• Üniversite Kayıt Formları
• Yönetim Kurulu, Senato ve diğer İdari Akademik Birimler Toplantı Tutanakları
• İcra Kurulu, Komisyonlar ve Çalışma Grupları Faaliyet Belgeleri, Toplantı Tutanakları ve Çalışma Belgeleri
• Organizasyon, Etkinlik, Konferans Katılımcı- Davetli –Sponsor Listeleri
• Çalışanların Özlük Dosyası Belgeleri
• Öğrenci Dosyaları
• Faaliyetler ve Sözleşmeler Dahilindeki İşlemlerin İfa Edilmesi İçin Finans Verileri
• Kartvizitler
• CCTV (Kapalı Devre Kamera Kayıtları),
• SMS/E-Posta, Telefon
• İnternet Sitesi, Uygulamalar, Çerezler (Cookies) ve Benzer Takip Teknolojileri,
• Faks,
• Posta, Kargo ya da Kurye Hizmetleri,
• Konum Takip Cihazı,
• Parmak İzi Okuyucu,
• Diğer Fiziki ve Elektronik Ortamlar.

Teknolojik gelişmelere bağlı olarak “ASBÜ”  tarafından yukarıdaki kişisel veri elde etme kanallarına yeni eklemeler yapılabilecek ya da mevcut kanallardan bazılarının kullanılmasından vazgeçilebilecektir. Böyle durumlarda da şeffaflığı ve hesap verilebilirliği korumak adına Politika’nın güncellenmesi yoluyla kullanılan kanalların doğru bir şekilde ifade edilmesi sağlanacaktır.

13.2. Kişisel Verilerin Kategorizasyonu

Kişisel verilere ilişkin mevzuata uyum sağlanması için kişisel verilerin kategorize edilmesi mutlak bir gerekliliktir. “ASBÜ”  işlemekte olduğu kişisel verileri temel olarak kişisel veriler ve özel nitelikli kişisel veriler olarak iki kategori altında toplamaktadır. Söz konusu kategoriler altında da veri tiplerine göre kategorizasyon yapılmıştır.

“ASBÜ”’in kişisel verilere ve özel nitelikli kişisel verilere ilişkin kategoriler aşağıdaki tabloda paylaşılmaktadır:

 

KİŞİSEL VERİ KATEGORİSİ	KATEGORİZASYON AÇIKLAMASI
Kimlik Verileri	Gerçek kişilerin kimlik bilgilerine ilişkin kişisel verileri bu kategori altında değerlendirilecektir. (ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, tc kimlik no)
İletişim Verileri	Kişilerle iletişim amacıyla kullanılabilecek her türlü kişisel veri bu kategori altında değerlendirilecektir. (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no)
Aile Durumuna İlişkin Veriler	Kişilerin aile ve yakınlarına ilişkin bilgilere bu kategori altında yer verilecektir. İlgili kişinin müşteri, çalışan ya da diğer bir veri sahibi kategorisine ait olmasının herhangi bir önemi bulunmamaktadır.
Özlük Dosyası Verileri	Üniversite çalışanların ilgili mevzuat kapsamında özlük dosyasında bulunan veriler (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, izin bilgileri, özgeçmiş bilgileri, diploma, doğum izni, çalışamaz raporu, askerlik, performans değerlendirme raporları ve hükümlü başvurularında, ceza mahkumiyetleri ve güvenlik tedbirleri kayıtları (adli sicil kaydı), sağlık bilgileri yer almaktadır. "Genel olarak özlük dosyalarında aşağıdaki evraklara rastlanmaktadır. 1. Adli sicil kaydı 2. Aile durum bildirimi formu 3. Çalışma Belgesi/Hizmet Belgesi 4. Çok tehlikeli işler için ağır ve tehlikeli işlerde çalışabilir raporu 5. Diploma fotokopisi 6. Doğum izni, çalışabilir/çalışamaz raporları, emzirme izni dilekçeleri, 7. Engelli işçi ise sakatlık raporu, İŞKUR müracaat kayıt belgesi 8. Erkek işçiler için askerlik durumunu gösterir belgeler 9. Eski hükümlü, terör mağduru işçinin İŞKUR müracaat kayıt evrakı 10. Evlilik cüzdanı fotokopisi 11. Fazla çalışmalar için işçi onay yazısı 12. Geçici olarak bir başka işyerine devredilecek işçinin rızasını gösteren belge 13. Haklı fesih varsa bu durumu kanıtlayan belgeler, istifa dilekçesi veya fesih bildirimi 14. İbraname 15. İkametgâh ilmühaberi "16. İş sözleşmesi 17. İşçi hakkında yapılan tüm yazışmalar ve tutulan kayıtlar 18. İşçilerin, iş sağlığı ve güvenliği, mesleki riskler, alınması gerekli tedbirler ve yasal hak ve sorumluluklar konusunda bilgilendirildiklerine dair yazı. 19. İşçiye ait bordrolar ve ödemeye ilişkin belgeler 20. İşe giriş ve işten ayrılış bildirgeleri 21. İşe izinsiz gelmeme / iş geç gelme tutanağı ve ihtarname 22. Kan grubu kartı 23. Kıdem ve ihbar tazminatı bordroları 24. Nüfus cüzdanı fotokopisi 25. Nüfus kayıt örneği 26. Özgeçmiş 27. Sağlık raporu ve periyodik sağlık muayene raporları 28. Resim 29. Sağlık Raporu 30. Sakatlık indiriminden yararlanacaklar için Gelir İdaresi Başkanlığından indirim uygulanacağına dair yazı 31. Sigorta olaylarında yapılması gereken idari işlemlere ilişkin (iş kazası tutanağı, iş kazası bildirimi vb.) belgeler 32. Teslim edilen araç gereçler var ise bunların zimmet belgesi 33. Ücretsiz izinler ve yıllık ücretli izin ile ilgili dilekçe, form ve cetveller 34. Varsa almış olduğu eğitim sertifikaları 35. Yabancı işçiler için çalışabilir belgesi
Eğitim, İş ve Profesyonel Yaşama İlişkin Veriler	Kişilerin eğitim ve çalışma hayatlarına ilişkin her türlü veriye bu kategori altında yer verilecektir. (Eğitim- Diploma- Sertifika, Transkript, Meslek İçi Eğitim Bilgileri)
Finansal  Veriler	Kişilerin hesap, banka, fatura bilgileri
Görsel İşitsel Kayıtlar	Organizasyon ve etkinliklerle yapılan kayıtlar ile güvelik amacı ile tutulan görsel/işitsel kayıtlar
Dijital Ortam Kullanım Verileri	Kullanıcıların dijital ortamdaki faaliyetlerinin takibi neticesinde elde edilen her türlü kişisel veri bu kategori altında sınıflandırılacaktır.
Özel Nitelikli Kişisel Veriler	Irk- Etnik Köken, Sağlık, Biyometrik Veriler, Ceza Mahkumiyeti-Güvenlik Tedbirleri, Din-Mezhep,Felsefi İnanç, Sendika, Vakıf, Dernek Üyelikleri, Kılık Kıyafet

13.3. Veri Sahibi Kategorizasyonu

Veri sahipleri yani kişisel verileri işlenmekte olan ilgili kişiler, bu politikanın ve dolayısıyla “ASBÜ”’nün kişisel veri işleme faaliyetlerinin odak noktasını oluşturmaktadır. Yapılan kategorizasyon, veri sahiplerinin haklarının daha etkin bir şekilde korunması ile veri sahipleri ile verimli bir şekilde iletişim kurulmasına imkân vermektedir. “ASBÜ”’nün veri sahiplerine ilişkin kategorizasyonu aşağıdaki tabloda gösterilmektedir:

KİŞİSEL VERİ SAHİBİ KATEGORİSİ	KATEGORİZASYON AÇIKLAMASI
Üniversite Personeli	Akademik ve idari personel.
Öğrenci	Aday öğrenci, öğrenci, mezun öğrenci.
Yönetim Kurulu, Senato Üyeleri	Üniversitenin organlarında ve çalışmalarında yer alan üyelerin verileri
Üniversite Çalışmalarına Katılan 3. Kişiler	Üniversite komisyon, çalışma grupları ve organizasyonlarına dahil olan 3. kişiler
Üniversite Faaliyetleri Davetlileri	Üniversiten organizasyonlarına davet edilen gerçek kişiler
Üniversite Faaliyetleri Katılımcıları	Üniversite organizasyonlarına katılan kişiler
Ödeme Muhatabı/Hizmet Alınan Kişi	Üniversite Faaliyetlerinde ödeme yapılması gereken 3. kişiler
Üniversite Çalışanları Yakınları	Üniversite Çalışanı Yakını, Aynı ikamette oturan kişiler ve bakmakla yükümlü olunan kişiler
Potansiyel Çalışanlar	Üniversiteye çalışmak üzere başvuru yapan potansiyel çalışanlar
Tedarikçi	“ASBÜ”ye mal veya hizmet sağlayan kişiler, kuruluşlar veya bunlarla ilişkili kişilerdir.
Proje Ortağı	“ASBÜ”nün yürütmekte olduğu projelere dahli olan kişiler
Danışman	“ASBÜ”ye dış danışmanlık hizmeti sağlayan kişiler, kuruluşlar veya bunlarla ilişkili kişilerdir.
Diğer	Yukarıdakiler dışında, “ASBÜ”  ile sürekli veya arızi, doğrudan ya da dolaylı ilişki kurmuş kişiler, kuruluşlar veya bunlarla ilişkili kişilerdir.

14. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

 “ASBÜ”  kişisel verilerini işlemekte olduğu veri sahiplerinin kişisel verilerini elektronik ve fiziki ortamlarda gerekli teknik ve idari güvenlik tedbirlerini alarak saklamaktadır.

“ASBÜ”’in kişisel verileri saklama süresi ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır. Bununla beraber, Üniversite faaliyetlerinin yürütülmesi amacıyla Üniversitenin bireylerle iletişim halinde olması Üniversite mevzuatındaki amacı gerçekleştirmek bakımından önem taşımaktadır. Bu nedenle ilgili mevzuatta öngörülen sürelerin haricinde “ASBÜ”, bireylerin “açık rıza”larını temin etmek suretiyle özellikle “ad/soyad/görev/iletişim” bilgilerini her daim güncelleyerek saklamayı arzu etmektedir.

KVKK’da yer alan kişisel veri işleme şartlarının varlığını ortadan kaldıracak kişisel veri işleme amaçlarının sona ermesi halinde, “ASBÜ”  tarafından kişisel veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak 6 aylık periyotlarla re’sen gerçekleştirilmekte ya da veri sahiplerinden gelen taleplerin gerektirmesi halinde neticeye bağlanmaktadır. Yönetmeliğin 12. maddesi gereğince ise, ilgili kişinin silme ve/veya yok etme taleplerini “ASBÜ” mevzuatta başkaca bir süre öngörülmediği takdirde en geç 30 gün içinde yerine getirerek ilgili kişiye bilgi verecektir. 

Kişisel Verilerin imhası ile ilgili tutanaklar ise “ASBÜ” tarafından mevzuat gereğince başkaca bir süre belirlenmediği takdirde 3 yıl süre ile saklanacaktır.

“ASBÜ”  tarafından kişisel verilerin imhası, kişisel verilerin yer aldığı ortamlara göre silme, anonimleştirme ya da yok etme teknikleri kullanılarak yerine getirilmektedir. Söz konusu teknikler hakkında detaylı bilgiler Kurul tarafından yayınlanmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi içerisinde yer almaktadır. 

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemine kişisel verinin silinmesi denir. İlgili Kullanıcı tabiri ise, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. Bu halde “ASBÜ” imha sistemi kapsamında verilerin işlenme amaçları dahilinde öncelikli olarak “Silme” prosedürü uygulanacaktır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7/5. maddesi gereğince veri işleme sebeplerinin ortadan kalkması halinde ve/veya ilgili kişinin talebi üzerine (Eğer ki KVKK m. 5/2 ve 6/3 dahilinde yer alan açık rıza alınmasına gerek olmayacak şekilde veya KVKK  m. 28 dahilinde kanuni istisna kapsamına girmiyorsa) “ASBÜ” bünyesinde oluşturulan “KVKK Komisyonu” tarafından kişisel veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek şekilde silinecektir.  

ASBÜ için esas imha usulü “silme” olmakla beraber, eğer ki tüm şartlar sağlanmış ve değerlendirme sonucunda uygun bulunmuşsa “yok etme” veya “anonim hale getirme” imha usulleri de ASBÜ tarafından uygulanabilecektir.

İlgili Kişiler bakımından önemle belirtmek isteriz ki, KVKK  5/2 ve 6/3 kişisel verilerin “ilgili kişilerin” açık rızası alınmadan işlenme şartları ve KVKK m. 28 hükmünde Kanun hükümlerinden istisna halleri belirtilmiştir. Söz konusu işlenme şartlarının devam etmesi halinde ilgili kişiden “açık rıza” dahi alınmış olsa, ilgili kişi açık rızasını kaldırmak suretiyle verilerin imhasını ve veri işlenmesine son verilmesini talep etse dahi, talebinin reddi söz konusu olabilecektir. 

15. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI

Üniversite faaliyetlerinin gereklilikleri nedeniyle “ASBÜ” tarafından kişisel verilerin yurtiçinde veya yurtdışında bulunan kişilerle/kurumlarla paylaşılması söz konusu olabilmektedir. Söz konusu paylaşımların gerçekleştirilebilmesi için “ASBÜ”  tarafından KVKK’nın gereklerine ve veri işleme şartlarını sağlayan amaçların varlığına büyük bir özen gösterilmektedir. Ayrıca veri paylaşımları sırasında mevzuatın gerekliliklerine uygun seviyede güvenlik önleminin sağlanması amacıyla gereken teknik ve idari önlemler alınmaktadır. 

“ASBÜ” tarafından kişisel veri paylaşımlarının takip edilmesi amacıyla, paylaşım yapılan kişiler aşağıda yer alan kategorilere ayrılmıştır:

PAYLAŞILAN TARAFLAR	PAYLAŞIM ÖRNEKLERİ
Hukuken Yetkili Kamu/Özel Kurum veya Kuruluşu	Yüksek Öğretim Kurumu, Hazine ve Maliye Bakanlığı, İç Denetim Koordinasyon Kurulu, Sayıştay, Yargı ve İnfaz mercileri, diğer kamu ve vakıf üniversiteleri, uluslararası programlar için yurtdışında yer alan üniversiteler,  Noterler gibi resmi kurum ve kuruluşlarla veri paylaşılabilmektedir.
Organizasyon Şirketleri	Üniversite Faaliyetlerinin Organizasyon şirketleri dahli ile planlanması halinde katılımcı listeleri söz konusu organizasyon şirket yetkilileri ile paylaşılmaktadır.
Tedarikçi/İş Ortağı/Danışman	Üniversitenin faaliyetlerinin tamamlayıcısı niteliğindeki hizmetleri aldığı, işbirliği yaptığı danışman, kuruluş ve taraflarla yürüttükleri faaliyetlerin amaçlarıyla sınırlı olarak veri paylaşılabilmektedir.

Yurtiçi aktarım: Bilindiği üzere, KVKK  8/2.a ve b maddesi gereğince kişisel verilerin KVKK 5/2 ve 6/3 maddesi kapsamında işlenmesi halinde açık rıza alınmaksızın yurtiçinde aktarılması mümkündür. “ASBÜ” tarafından ilgili hükümler gözetilerek 3. kişilere aktarım yapılmakta olup, söz konusu hükümler kapsamına girilmemesi halinde ise ilgili kişilerin açık rızasına başvurulmaktadır.

Yurtdışı aktarım: “ASBÜ” tarafından kural olarak yurtdışı aktarım yapılmamaktadır. Ancak, “ASBÜ” tarafından işlenen veri ve belgelerin Üniversite dışında bulunan bilgisayarlarda tutulması, e-mail gönderilmesi ve kayıtlara söz konusu bilgisayarlardan erişilmesi, bu verilerin tutulduğu, aktarıldığı sistemlerin ve/veya e-mail sağlayıcılarının veri tabanlarının yurtdışında konumlandırılmış olması mümkün olabilmektedir. İlaveten özellikle yurtdışı organizasyon, etkinlik düzenlemelerinde, otel konaklamaları, vizelerin alınması, uçak biletlerinin alınması, yurtdışı etkinliğin yürütülmesi ve planlanmasında kişisel verilerin yurtdışına aktarılması zarureti bulunabilmektedir. Bu halde ise KVKK’nın 9. maddesi hükümlerine riayet edilmek suretiyle aktarım yapılacaktır.

16. AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK’nın 10. maddesi uyarınca “ASBÜ”; kişisel verilerin elde edilmesi sırasında aşağıdaki bilgileri ilgili veri sahiplerine sunarak KVKK’da bahsedilen aydınlatma yükümlülüğünü yerine getirecektir:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• 11 inci maddede sayılan diğer hakları.

“ASBÜ”, aydınlatma yükümlülüğünü yerine getirmek amacıyla, Üniversite faaliyetlerini yürütürken veri sahipleriyle temas edilen noktalarda kullanılmak üzere uygun aydınlatma metinleri hazırlamakta ve bunları veri sahiplerine sunmaktadır. Ayrıca bu politika da aydınlatma yükümlülüğünün yerine getirilmesi amacına hizmet etmektedir.

17. VERİ SAHİBİNİN HAKLARI

KVKK’nın 11. maddesi kapsamında veri sahiplerine tanınan haklar aşağıda sıralanmaktadır:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

“ASBÜ”, her veri sahibinin KVKK’nın veri sahiplerine tanıdığı hakların rahatça kullanabilmesi konusunda mevzuatın gerekliliklerine uygun olarak gerekli idari ve teknik önemleri almaktadır. Veri sahipleri, yukarıda sayılan haklarını https://kvkk.asbu.edu.tr/tr/basvuru-formu adresinde yayınlanan ya da “ASBÜ”  merkezinden temin edebilecekleri başvuru formunu doldurarak aşağıdaki yöntemlerle Üniversitemize iletebilirler.

Başvuru usulünde “ASBÜ” Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında işlemlerini yürütmektedir. Bu kapsamda başvurunun adı geçen tebliğin 5. maddesine uygun yapılması gerekmektedir.

Form eksiksiz bir şekilde doldurulup;

• Kimlik tespitini sağlayacak bir belge ile birlikte eksiksiz olarak doldurulmuş İşbu Başvuru Formu’nun ıslak imzalı bir kopyasını https://kvkk.asbu.edu.tr/tr/basvuru-formu şahsen ibraz etmek suretiyle,
• Kimlik tespitini sağlayacak bir belge ile birlikte eksiksiz olarak doldurulmuş İşbu Başvuru Formu’nun ıslak imzalı bir kopyasını https://kvkk.asbu.edu.tr/tr/basvuru-formu noter vasıtasıyla göndermek suretiyle,
• İşbu Başvuru Formu’nu 5070 sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalayarak kvkk@asbu.edu.tr  adresine göndermek suretiyle,
• Kayıtlı Elektronik Posta (KEP) hesabından asbu@hs01.kep.tr adresine KEP ile göndererek,
• Ayrıca işbu başvuru formunu doldurup imzalamak ve ıslak imzalı formu taratarak bilgisayara yüklemek suretiyle kvkk@asbu.edu.tr adresine mail atarak, (bu usulün tercih edilmesi durumunda maile kimlik tespitini sağlayacak bir evrakın da eklenmesi gerekmektedir)
• Veya Kurul tarafından belirlenecek diğer yöntemler kullanılarak tarafımıza iletilmelidir.

Başvuruda;

5. Ad, soyad ve imza,
5. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
5. Tebligata esas yerleşim yeri veya iş yeri adresi,
5. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
5. Talep konusu bulunması zorunludur.
5. Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
5. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.
5. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir

“ASBÜ”, kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin yazılı olarak ya da Kurul tarafından belirlenecek diğer yöntemlerle iletecekleri taleplerini, iletim tarihinden sonra en kısa sürede ve en geç otuz günde sonuçlandıracaktır. Kurul tarafından yayınlanan tarifeler çerçevesinde veri sahiplerinin başvuruları ücretlendirilebilecektir. İlgili Tebliğ’in 7. maddesi gereğince, İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

Veri sahipleri tarafından yapılan başvuruların yanıtlanması amacıyla “ASBÜ”  tarafından başvurucunun kimliğinin doğrulanması, ilgisiz kişilere bir başka kişinin kişisel verilerinin hukuka aykırı olarak iletilmesinin önüne geçilmesi ile başvurucu talebinin netleştirilmesi amacıyla ek bilgi ve belge talep edilebilecektir. Söz konusu bilgi ve belgelerin paylaşılmaması halinde veri sahibinin başvurusu cevaplanamayabilecektir.

Başvurunun “kimlik sahibi” ve/veya yetkili kişi tarafından yapılmış olduğunun teyit edilmesi ciddi önem taşımaktadır. Keza amaç kişisel verilerin korunması iken, kimlik doğrulamanın yapılamamasından ötürü 3. kişilere kişisel verilerin verilmesi ve KVKK’nın 11. maddesinde izah edilen haklar dahilinde işlem yapılması ilgili kişinin korunması gereken menfaatini zedeleyecektir. Bu nedenle kimlik doğrulama işlemleri bakımından hassasiyetimizi anlayışla karşılayacağınızı ve Üniversitemize yardımcı olacağınızı temenni etmekteyiz.

“ASBÜ”, talepleri en kısa sürede ve en geç 30 gün içinde sonuçlandırır. Değerlendirme sonucu yazılı olarak veya elektronik ortamda ilgiliye bildirilir ve talebin kabulü halinde KVKK’ya uygun şekilde gereği yapılır.

Kişisel Veri Sahiplerinin başvurularının reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi cevabı öğrendiği tarihten itibaren 30 gün içinde Kişisel Verilerin Korunması Kurulu’na KVKK madde 14 uyarınca şikayette bulunabilir.

16. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER

“ASBÜ”, işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda, bir devlet üniversitesi olmanın da verdiği sorumluluk bilinciyle, gereken her türlü makul dikkat ve özeni sağlamaktadır. “ASBÜ”, ilgili mevzuatının gereklilikleri yanında KVKK’nın 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için de gereken teknik ve idari tedbirlerini makul düzeyde almaktadır. Söz konusu idari ve teknik güvenlik tedbirleriyle birlikte kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ile kişisel verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.

“ASBÜ”, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili veri işleyenler tarafından da alınması için gerekli tedbirleri alacaktır.

Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde, ilgili mevzuat hükümleri uyarınca veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.

Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) göz önünde bulundurulmaktadır.

İdari Tedbirler

• • • • Üniversite bünyesinde bilgi güvenliği yönetim sisteminin kurulması ve işletilmesi,
      • Üniversite personelleri ve ilgili taraflar ile taahhütnameler ve gizlilik sözleşmelerinin imzalanması,
      • İş süreçleri üzerinde risk analizlerinin gerçekleştirilmesi,
      • Kişisel veri envanterlerinin oluşturulması,
      • Bilgi güvenliği politika ve prosedürlerinin işletilmesi,
      • Bilgi güvenliği ve kişisel veri işleme faaliyetleri hakkında eğitimlerin düzenlenmesi ve değerlendirilmesi,
      • Çalışan bilgisayar vb. araç gereçlerine yetkisiz erişimlerin önüne geçmek adına söz konusu araç ve gereçleri yalnızca yetkili kişilerin kullanması,
      • Üniversite içi ya da bağımsız denetimler ile faaliyetlerin gözden geçirilmesi,
      • Yapılan işlemler için objektif delil üretecek kayıtların oluşturulması,

Teknik Tedbirler

• • • • Sızma testleri ile Üniversite bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
      • Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
      • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
      • Sistemler üzerinde yazılımsal değişiklik ve/veya güncelleme yapılacağı zaman denemeler test ortamında yapılmakta, varsa güvenlik açıkları tespit edilerek gerekli tedbirler alınmakta ve yapılacak değişikliğe son hali bu işlemlerin ardından verilmektedir.
      • Üniversitenin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
      • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
      • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlerle ilgili teknik kontroller yapılmaktadır.
      • Üniversite içerisinde yazılımsal erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
      • Üniversite, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
      • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Üniversite tarafından buna uygun hazırlık çalışmaları yapılmıştır.
      • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
      • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
      • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
      • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
      • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
      • Üniversite internet sayfasına erişimde güvenli protokol (HTTPS) kullanılmaktadır.
      • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
      • Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

18. ÜNİVERSİTEDE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI

 “ASBÜ” tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; “ASBÜ” tarafından “ASBÜ” yerleşkesinde kaldığı süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu erişimin sağlanabilmesi adına ziyaretçilerden ad- soyad ve TC Kimlik numarası bilgileri talep edilmektedir. Ayrıca internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya “ASBÜ” içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.

Bahsi geçen kayıtlara erişimi olan Üniversite çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşlardan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilere aktarmaktadır.

19. ÇEREZLER ÜZERİNDEN TOPLANAN KİŞİSEL VERİLERİN İŞLENMESİ

Üniversitemiz; Çerezleri, internet sayfalarımız veya mobil uygulamalarımızın işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanmakta ve dijital platformlarımızda geçirdiğiniz vakti daha verimli ve keyifli hale getirmeye çalışmaktadır.

Ayrıca internet sitelerimiz ve mobil uygulamalarımızda yaptığınız tercihleri hatırlamaya yönelik bazı çerezlerden yararlanmakta ve bu sayede size geliştirilmiş ve tercihlerinize yönelik kişiselleştirilmiş bir deneyim sağlamaktadır. Dijital platformlarımızda yer alan çerezler üzerinden kişisel verileriniz işlenmekte ve aktarılmaktadır.

Üniversitemiz tarafından KVKK madde 12’ye uygun olarak, çerezler üzerinden toplanan kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Ayrıntılı bilgi  https://kvkk.asbu.edu.tr/tr/cerez-politikasi bağlantısını kullanarak çerez politikamıza erişebilirsiniz.

20. DİĞER HÜKÜMLER

“ASBÜ”, bu Politika’nın diğer “ASBÜ” politikaları ile uyuşmaması durumunda, her iki politika arasında KVKK veya ilgili ikincil düzenlemeleri dikkate alarak uyum sağlayacaktır. Politika ile mevzuat arasında uyumsuzluk olması durumunda öncelikli olarak ilgili mevzuat uygulanacaktır.

Bu politika yayınlandığı tarihte yürürlüğe girer. Politika zaman içerisinde değişen durum ve ihtiyaçlar kapsamında güncellenebilecektir.