ESOGÜ KVKK Yönergesi

ESKİŞEHİR OSMANGAZİ ÜNİVERSİTESİ

KİŞİSEL VERİLERİ KORUMA KOMİSYONU YÖNERGESİ

BİRİNCİ BÖLÜM

AMAÇ, KAPSAM VE DAYANAK

Amaç

Madde 1 – (1) Bu Yönergenin amacı; 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na, Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete ’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e, Eskişehir Osmangazi Üniversitesi Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve ESOGÜ Kişisel Veri Saklama ve İmha Politikasına uygun olarak, KVK-Kanun ve Yönetmelik kapsamında Üniversite’ de kişisel veri saklama ve imha süreçlerinin yürütülmesi, gerekli tedbirlerin alınması ve Politikalar gereğince uygulanacak prosedürlerin yerine getirilmesi amacıyla, veri sorumlusu Kurum sıfatıyla Üniversite’ de kurulacak olan Kişisel Verileri Koruma Komisyonu’nun kuruluş, görev, yetki ve çalışma esaslarını düzenlemektir.

 

Kapsam

Madde 2 – (1) Bu Yönerge Komisyon’un ve üyelerinin ilgili sorumluluk, çalışma ve faaliyetlerini kapsar.

 

Dayanak

Madde 3 - (1) Bu yönerge; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile İlgili Mevzuat hükümlerine dayanılarak hazırlanmıştır.

 

İKİNCİ BÖLÜM

TANIMLAR

Tanımlar ve Kısaltmalar

Madde 4 - (1) Bu yönergede geçen;

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

c) Üniversite: Eskişehir Osmangazi Üniversitesi’ni,

ç) Yönerge: Kişisel Verileri Koruma Komisyonu Yönergesini,

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (Bu politika kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Verileri de kapsar.),

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

f) Kişisel veri sahibi: Kişisel verileri Üniversite tarafından veya Üniversite adına işleme sokulan gerçek kişiyi,

g) Komisyon: Eskişehir Osmangazi Üniversitesi Kişisel Verileri Koruma Komisyonu’nu,

ğ) Kurul: Kişisel Verileri Koruma Kurulunu,

h) Kurum: Kişisel Verileri Koruma Kurumunu,

ı) KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı,

i) KVKK / KVK-Kanun: 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,

j) Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,

k) Politikalar: Eskişehir Osmangazi Üniversitesi Kişisel Verilerin İşlenmesi ve Korunması Politikası ile Eskişehir Osmangazi Üniversitesi Kişisel Veri Saklama ve İmha Politikasını,

l) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi,

m) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

n) Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri İlgilisi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu’nu,

o) Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiliktir. Bu yönergede Eskişehir Osmangazi Üniversitesi tüzel kişiliğini,

ö) Veri sorumlusu irtibat kişisi: İrtibat kişisi, veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK uyarınca Veri sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişiyi,

p) Yönetmelik: Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i,

r) Ziyaretçi: Üniversite’nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Üniversite’nin internet sitelerini ziyaret eden gerçek kişileri,

ifade eder.

 

ÜÇÜNCÜ BÖLÜM

KOMİSYONUN OLUŞUMU

Kişisel verileri koruma komisyonu

Madde 5 - (1) Komisyon, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Üniversitenin Rektörü tarafından atanır. Komisyon; Üniversite KVK mevzuatı kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevlidir.

(2) Komisyon Başkanı Rektör Yardımcısıdır. Komisyon Üyelerinin görev dağılımları, komisyondan üye çıkarılması veya atanması Komisyon Başkanının önerisi ile Rektör tarafından gerçekleştirilir.

(3) Genel Sekreter, Genel Sekreter Yardımcısı, Hukuk Müşaviri ve Daire Başkanları,  Kurumsal İletişim Araştırma ve Uygulama Merkezi Basın ve Halkla İlişkiler Birimi  Komisyonun doğal üyeleri olup kendi biriminden, kişisel veri işleme ilgisi olan ya da olabilecek alanında yetkin en az bir personel görevlendirilir. Gerektiğinde komisyon üye sayısı artırılabilir.

 

Veri sorumlusu irtibat kişisi

Madde 6 – (1) Veri sorumlusu irtibat kişisi, KVKK uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek ve Üniversite’nin Kurum ile olan ilişkilerini yürütmek üzere atanmış gerçek kişidir.

 

Üyeler

Madde 7 - (1) Üyelerin komisyon içerisindeki görevleri aşağıdaki şekildedir:

  1. Rektör Yardımcısı: Komisyonun görev ve sorumluluklarının yerine getirilmesinden, koordinasyonundan, toplanmasından, komisyon kararların yürütülmesinin sağlanmasından, yönetişim ve iletişiminden sorumludur.
  2. Genel Sekreter / Yardımcısı: Rektör Yardımcısı beraberinde Komisyonun görev ve sorumluluklarının yerine getirilmesinden, koordinasyonundan, toplanmasından, komisyon kararların yürütülmesinin sağlanmasından, yönetişim ve iletişiminden sorumludur

            c) Hukuk Müşaviri / Avukat: Üniversite’de KVKK ile ilgili oluşabilecek talepler ve ihlallerle ilgili hukuki işlemleri yürütür. Kurul kararlarının takibini yapar ve değişiklik durumunda komisyon başkanını bilgilendirir.

ç) Bilgi İşlem Daire Başkanı: KVKK’ya uyum sağlanabilmesi için gerekli teknik tedbirleri değerlendirir varsa gereksinimleri belirler ve Komisyona Raporlar. Kendi Birimiyle ilgili KVKK uyum ve denetiminden sorumludur.

            d) Daire Başkanları/ Müdürlükler: Kendi Birimiyle ilgili KVKK uyum ve denetiminden sorumludur.

e) İlgili Personel: KVKK’ya uyum sağlanabilmesi için Komisyon tarafından belirlenen olası teknik tedbirlerin ve duyuruların gerektiğinde bilişim sistemleri üzerinde/üzerinden alınmasını ve uygulanmasını koordine eder. Birimiyle ilgili KVKK uyum ve denetiminden de sorumludur.

 

DÖRDÜNCÜ BÖLÜM

GÖREV VE SORUMLULUKLAR

            Komisyonun görevleri

Madde 8 - (1) Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden Komisyon sorumludur. Bu kapsamda gerekli prosedür Komisyon tarafından oluşturulur ve anılan prosedürün uygulanmasını sağlar. Kişisel verilere ilişkin mevzuatta bir değişiklik meydana gelirse, yeni düzenlemelere uyum için Üniversite içi faaliyetlerin yapılmasını sağlar.

(2) Komisyon, kişisel verilerin envanterini hazırlar. (KVKK m.16/3) Kişisel verilerin envanterini periyodik olarak günceller. (KVKK m.16/4) Kişisel verilerin envanterini sicile bildirir ve güncel tutulmasını sağlar. (KVKK m.16/4) Sicil ile yazışmaları yapar ve yazışmaları saklar. (KVKK m.16)

(3) Komisyon, kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder. KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Hosting hizmeti verenler, e posta hizmeti verenler vb.) (KVKK m.8)

(4) Komisyon, kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir. (Örnek: Bordo ve özlük işleri takip eden Personel Daire Başkanlığı, İdari ve Mali İşler Daire Başkanlığı, Ziyaretçi bilgileri alan kapı güvenlik personelleri, vb.)

 

Komisyonun sorumlulukları

Madde 9 - (1) Komisyon, ESOGÜ içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak ESOGÜ içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Komisyon, kişisel verilerin korunması kapsamında belirli periyotlarda denetimlerin yapılmasını sağlar. (Bu denetimler dış hizmet alımı yöntemiyle veya komisyon tarafından oluşturulabilecek bu konuda eğitim almış yeterlilik sertifikalarına sahip bir ekip ile gerçekleştirilebilir.) KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumun hem de risklerin görüşülmesini sağlar. Komisyon; İlk toplantıda Kurul tarafından o güne kadar yayınlanmış olan kurul kararlarını gözden geçirir ve ESOGÜ için gerekli çalışmalar karara bağlanır. İlgili Kurul Kararlarına “https://kvkk.gov.tr" internet sitesinden arama yapılarak ulaşılabilir. Komisyon, yapılan toplantı katılımcıları ve kararlarını ıslak imza ile alarak dosyalar. KVK ile ilgili birimleri periyodik olarak portaldan / kurumsal e posta / duyuru ile bilgilendirir.

(2) Komisyon, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür.

(3) Komisyon kişisel verilerin elde edilmesi sırasında;

a) Veri sorumlusunun kimliğinin duyurulmasını sağlar. (KVKK m.10)

b) Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem de öğrencilere duyurulmasını sağlar. (KVKK m.4/2.c)

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını açıklar. (KVKK m.10/1.c)

ç) Kişisel veri toplama yöntemini ve hukuki sebebini açıklar. (KVKK m.10/1.ç)

(4) Komisyon kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler, uygulatır ve denetler. (KVKK m.5/1)

(5) Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder. (KVKK m.6)

(6) Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar.  Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur. (KVKK m.9/2 ve 9/3)

(7) Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınıp alınmayacağı belirlenir. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: (KVKK m.5/2)

a) Kanunlarda açıkça öngörülmesi,

b) Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

(8) Kişisel veri hem yurtdışına aktarılacak hem de açık rıza alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder. (KVKK m.9/2)

(9) Açık rıza alınması gereken hallerde veriyi paylaşacak kişi, bu veriyi paylaşacağı yerin, amacının yazılı ve onaylı olması durumunda veriyi paylaşabilir. Paylaşılacak veriyle ilgili kişinin kendisinin rızasının alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk Müşavirliği ve veri sorumlusu onayı alındıktan sonra paylaşılmasını sağlatır.

(10) Her durumda hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır.

(11) Komisyon, kişisel veri sahiplerinin başvurularını değerlendirir ve başvurulara cevap için Üniversite içerisinde koordinasyonu sağlar. Kurul ile iletişim halinde olunması gereken durumlarda gerekli koordinasyonu ve iletişimi sağlar.

(12) Komisyon, kişisel veri sahibinin başvurması halinde veri sorumlusu irtibat kişisi tarafından aşağıdaki kişi haklarının yerine getirilmesini en geç otuz gün içinde sağlar: (KVKK m.13/2)

a) Kişinin kendi kişisel verisinin işlenip işlenmediğini bildirme, (KVKK m.11/1.a)

b) Kişisel verileri işlenmişse buna ilişkin bilgi verme, (KVKK m.11/1.b)

c) Kişisel verisinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını bildirme, (KVKK m.11/1.c)

ç) Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bildirme, (KVKK m.11/1.ç ve f)

d) Kişisel verilerin eksik veya yanlış işlenmesi durumunda, bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.d)

e) Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.e)

f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma (KVKK m.11/1.g)

g) Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma. (KVKK m.11/1.ğ, KVKK m.12/1.a)

(13) Komisyon, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVKK’na ve Politikalara uyumu yönünde bir eksikliğin veya riskin tespit edilmesi halinde giderilmesi için gerekli önlemleri alır. Bu kapsamda Komisyon, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar.

(14) Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (KVKK m.4/2.d)

(15) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11/2 maddesi uyarınca, altı ayı geçmeyecek periyotlarda, işlenen kişisel verileri denetleyerek silinmesi, imha edilmesi veya anonim hale getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini sağlar.

(16) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere kanuni süreler içerisinde saklanmasını sağlar.

(17) Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (KVKK m.7)

a) İşlenmesini gerektiren sebeplerin ortadan kalkması halinde,

b) Süresi dolması halinde,

c) Veri ilgilisinin talebi halinde.

(18) Komisyon, Üniversite’nin çalışanları tarafından kendisine raporlanan KVK Düzenlemelerine ve Politikalarda belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale yönelik KVK Düzenlemelerine ve Politikalara uygun şekilde eylem planı oluşturur. Komisyon konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Kişisel Veri Sahibine veya Kurum’a yapılacak bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür.

(19) Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (KVKK m.15/3)

(20) Şikâyet durumunda veya herhangi bir nedenle Kurulun tespit ettiği hukuka aykırılıklarla ilgili Kurulun tebliğlerini takip eder ve Kurulun bu konudaki kararının otuz gün içerisinde yerine getirilmesini sağlar. (KVKK m.15/5)

(21) Komisyon, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla Üniversite çalışanlarının bilgilendirilmesini sağlar. Üniversite’de kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur, bunun oluşturulması ve uygulanmasından Komisyon sorumludur. Özel nitelikli kişisel verilere erişim yetkisinin verildiği sınırlı çalışanlara ait liste ve listenin takibi Komisyon tarafından yapılır.

BEŞİNCİ BÖLÜM

ÇEŞİTLİ HÜKÜMLER

Yürürlük

Madde 10 - (1) Bu İç Yönerge, Eskişehir Osmangazi Üniversitesi Senatosu’nda kabul edildiği tarihte yürürlüğe girer. İç yönergede yapılacak değişiklikler ve yönerge düzenlemesi de aynı usule tabidir.

Yürütme

Madde 11 - (1) Bu Yönerge hükümlerini, Eskişehir Osmangazi Üniversitesi Rektörü yürütür. Oy birliği ile karar verildi.

 

Takip Tablosu

Açıklama

Kabul/Revizyon Tarih ve Numarası

İlk Yayın

12.05.2020 Tarihli 13320152-050.02.04-12 sayılı Senato Kararı

 


 

  • Meşelik Kampüsü
  • Büyükdere Mah. Prof. Dr. Nabi AVCI Bulvarı No: 4
  • 26040, Odunpazarı - ESKİŞEHİR
  • Tel: 0(222)239 37 50 - Fax: 0(222)229 14 18
  • Web: http://www.ogu.edu.tr
  • E-mail: ogrisl@ogu.edu.tr
  • ESOGÜ KEP (Kayıtlı Elektronik Posta) Adresleri
  • eskosmangaziuni@hs03.kep.tr
  • esoguhastane@hs03.kep.tr (Sağlık, Uygulama ve Araştırma Hastanesi Başhekimliği)
  • esogudishastane@hs03.kep.tr (Ağız, Diş ve Çene Sağlığı Eğitim, Uygulama ve Araştırma Merkezi)