Politikalar

Kişisel Veri Saklama ve İmha Politikası

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizin yerine getirilmesi ve kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi işlemi ile silme, yok etme ve anonim hale getirme işlemleri için dayanak olarak kullanılması ve bu işlemler hakkında ilgili kişilerin bilgilendirilmesi amacıyla, veri sorumlusu sıfatıyla Hakkari Üniversitesi tarafından hazırlanmıştır.

KAPSAM

Bu politika, Üniversite nezdinde tutulan, Üniversite tüm çalışanlarını, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, tedarikçilerini ve Üniversitenin diğer hukuki ilişkiye girdiği gerçek ve tüzel kişileri, bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.

YETKİ VE SORUMLULUKLAR

Üniversite içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette Üniversite nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.

KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu “Veri Sorumlusu İrtibat Kişisindedir. “

TANIMLAR

Kısaltma	Tanım
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun/KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
EBYS	Elektronik Belge Yönetim Sistemi
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul	Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik	28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

KURALLAR

Hakkari Üniversitesi tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler¹ ile 12. maddesi kapsamında alınması gereken ve işbu Politikanın 6.2. maddesinde belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Hakkari Üniversitesi tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 6 ay süreyle saklanmaktadır.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Hakkari Üniversitesi tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Hakkari Üniversitesi başvurulması halinde;

İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,
Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

1 a)Hukuk ve dürüstlük kurallarına uygun olma, b)Doğru ve gerektiğinde güncel olma, c)Belirli, açık ve meşru amaçlar için işlenme, d)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, e)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, Hakkari Üniversitesi tarafından yapılan veri envanteri ve Verbis Bildirimi kapsamında belirlenen amaçlar dahilinde işlenmekte, yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Hakkari Üniversitesi meşru menfaatleri için saklanmasının zorunlu olması,
Kişisel verilerin Hakkari Üniversitesi herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması. Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Hakkari Üniversitesi tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler Hakkari Üniversitesi tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
İlgili kişinin, Kanun’un 11. Maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

SAKLAMA VE İMHA SÜRELERİ

Hakkari Üniversitesi tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Hakkari Üniversitesi nezdinde ki önem derecesine göre belirlenir.

Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Hakkari Üniversitesi ’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Hakkâri Üniversitesi tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, KVKK Verbis ekran platformundan ve üniversitemize KVKK Başvuru Formunu doldurarak Kişisel Veri İşleme Envanteri’nden ulaşabilirsiniz.

Saklama süresi dolan kişisel veriler, Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla Politika’da yer verilen usullere uygun olarak imha edilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 6 ay süreyle saklanır.

KİŞİSEL VERİLERİN HAKKARİ ÜNİVERSİTESİ TARAFINDAN SAKLANMASI VE İMHASI USULLER

KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Hakkari Üniversitesi tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik ortamlar:

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
Yazılımlar (ofis yazılımları, portal, devlet uygulamaları, üniversite uygulamaları, EBYS, BELBİS, CİMER VERBİS.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
Yazıcı, tarayıcı, fotokopi makinesi

Fiziksel ortamlar:

Kâğıt
Yazılı, basılı, görsel ortamlar, arşiv odaları, form ve dokümanlar

TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Hakkari Üniversitesi tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler:

Hakkari Üniversitesi idari tedbirler kapsamında;

Hakkari Üniversitesi Kurumu kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler.
İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak ve iş süreçlerinin aksamasına neden olmayacak düzeyde erişim ve yetkilendirmeleri tanımlar. Bilgi Teknoloji departmanında çalışanların kişisel verilere erişim yetkilerini ve kurallarını tanımlar.
Çalışanların niteliğinin geliştirilmesine yönelik, Bilgi Güvenliği, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı kişilerle çerçeve sözleşme imzalanır yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde veri temsilcisi tarafından ilgilisine ve KVK Kuruluna bildirir. Kişisel verinin nasıl başkaları tarafından elde edildiği araştırılır.
Hakkari Üniversitesi tespit ettiği zafiyeti gidermek için gerekli idari tedbirleri uygular, ihtiyaç halinde teknik tedbirleri alır.
Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
Kişisel veri işlemeye başlamadan önce Üniversite tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.

Teknik Tedbirler:

Hakkari Üniversitesi teknik tedbirler kapsamında;

Üniversitemiz, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli Bilgi Güvenliği Farkındalık Eğitimleri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu eğitimlerini verir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmuş ve gerekli bağımsız denetimlere girerek sertifikaları almaya hak kazanmıştır. Kurulan sistemler için gerekli iç kontroller ve sertifikaların devamlılığının sağlanabilmesi için gerekli kontroller yapılır ve süreçler sürekli analiz edilir.
Kurulan sistemler kapsamında risk analizi, bilgi güvenliği, kişisel veri risk değerlendirmesi gerçekleştirilmesi süreçlerini işletir. Bu süreçler doğrultusunda teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. Virüs koruma sistemleri, erişim yetkilendirmeleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulmasını sağlar.
Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonlarını kullanır ve sızma (penetrasyon) testleri yaptırır.
Bilgi İşlem Daire Başkanlığı çalışanları kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme tanımlarını yapar. Erişimlerin yetkilendirmelere uygunluğunu kontrol eder. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri ilgililere raporlar. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır. Kişisel Verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile üniversite kültürünün bir parçası olması için farkındalığı yaygınlaştırır. Alınan tedbirlerin kontroller ile sürekli yaşatılmasını sağlar.

PERSONEL

Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına KVKK Politika’sından ulaşabilirsiniz.

KİŞİSEL VERİLERİN İMHA EDİLMESİ

Kişisel veri işleme şartlarının, kişisel veri özelinde tamamen ortadan kalkması halinde bu kişisel veriler resen veya ilgili kişinin talebi üzerine silinmek, yok edilmek veya anonim hâle getirilmek suretiyle imha edilmektedir.

Temel ilkeler ile bu kişisel verilerin korunması için alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Kişisel Veri SaklamaVe İmha Politikasına uygun hareket edilmektedir.

Üniversitemiz tarafından en geç 6 ayda bir olmak üzere, KVK Komisyonu tarafından düzenlenen takvim çerçevesinde Üniversitemiz içerisinde denetimler yapılmaktadır. Düzenli olarak yapılan işbu denetimlerin sonucunda düzenlenen raporlar ışığında, işlenme amacı ortadan kalktığı tespit edilen kişisel veriler periyodik olarak imha edilmektedir.

Veri ilgilisinin imha talebi olması halinde, takip eden denetim süresi beklenmez, talebin Üniversitemize usulüne uygun şekilde ulaşmasından itibaren derhal ve en geç 30 gün içerisinde talep değerlendirilerek gerek görülmesi halinde aynı süre içerisinde uygun görülen yöntem ile imha işlemi gerçekleştirilerek talep sahibine bilgi verilir. İşbu madde kapsamında imha edilen verilerin, herhangi bir zamanda üçüncü kişilere aktarılmış olması halinde, gerçekleştirilen işlemle ilgili olarak bu üçüncü kişilere de bilgi verilerek üçüncü kişilerin de gerekli işlemleri yapması temin edilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütünişlemler imha tutanağı ile ilgili birim tarafından düzenlenmesi suretiyle kayıt altına alınır.

İlgili kişinin talebine istinaden imha yapılması halinde ise, seçilen uygun yöntemin tercih edilme gerekçesi hususunda talep sahibine açıklama yapılır. Kişisel verilerin işlenmesi şartları tamamen ortadan kalkmamışsa Üniversitemiz, gerekçesini talep sahibine açıklayarak talebi reddedebilir, bu halde talep sahibi uygun vasıtayla bilgilendirilir.

KİŞİSEL VERİLERİN İMHA USULLERİ

Hakkari Üniversitesi tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Hakkari Üniversitesi tarafından resen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri:

Hakkari Üniversitesi tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

Kişisel Verilerin Silinmesi:

Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Yazılım sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarka silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilere

Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

Kişisel Verilerin Yok Edilmesi:

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

Hardiskler, CD, DVD vb., optic ortamlar, USB Bellekler ve Taşınabilir Akıllı Cihazların elektronik ve manyatik bileşenlerin de- manyenize edilmesi,eritilmesi, yakılması, toz halimne getirilmesi, parçalanarak tekrardan kullanılmayacak hale getirilmesi ile Bilgi İşlembirimi kayıt altına alarak gerçekleştirmektedir. Fiziksel kayıtlarda İmha Formları kullanılmaktadır.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri:

Hakkari Üniversitesi tarafından kişisel verilerin anonim hale getirilmesi tekniklerine ilişkin usul ve esaslar belirtilmiştir.

Kişisel Verilerin Anonim Hale Getirilmesi, kişisel veriler başka verilerle eşleştirilse dahil kimliği belirli ya da belirlenebilir dair bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanır.

• Kayıt ortamı ile ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,

• Geri döndürme tekniklerin kullanılması ya da verilerin başka verilerle eşleştirilmesi yoluyla anonim haline getirilme teknikleri kullanılmaktadır.

KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.

DİĞER HUSUSLAR

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

Hakkari Üniversitesi tarafından hazırlanan işbu Politika 11.06.2024 tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.

HAKKARİ ÜNİVERSİTESİ

EK-1

BİRİM & GÖREV & SORUMLULUK LİSTESİ

BİRİM

GÖREV

SORUMLULUK

Fakülteler

Veri İşleyen Sıfatıyla

Fakülteler Bölüm ve Birimleri

Kişisel veri saklama ve imha politikası uygulama sorumlusu