Politikalar

Veri İşleme, Kaydetme, Paylaşma, Değiştirme, Anonimleştirme Ve İmha Politikası

HAKKARİ ÜNİVERSİTESİ VERİ İŞLEME, KAYDETME, PAYLAŞMA, DEĞİŞTİRME, ANONİMLEŞTİRME VE İMHA POLİTİKASI

 

1. AMAÇ

Bu politikanın amacı, Hakkari Üniversitesi bünyesindeki kişisel verilerin; işlenmesi, kaydedilmesi, saklanması, paylaşılması, değiştirilmesi, anonimleştirilmesi ve imhası süreçlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ve diğer ilgili ulusal/uluslararası mevzuatlara uygun şekilde yürütülmesini sağlamaktır.

 

2. KAPSAM

Bu politika veri sorumlusu olarak Hakkari Üniversitesi'nin; tüm akademik ve idari birimlerinin, öğrencilerinin, akademik ve idari personelinin, ziyaretçilerinin, tedarikçilerinin, kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerinin, Üniversitenin diğer hukuki ilişkiye girdiği gerçek-tüzel kişilerin ve Hakkari Üniversitesi ile herhangi bir şekilde kişisel veri paylaşımında bulunan üçüncü tarafların, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen kişisel verilerini kapsar. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.

 

3. TANIMLAR VE KISALTMALAR

  1. Bilgi Güvenliği: Bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması
  2. Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, risk yaklaşımına dayalı yönetim sistemidir.
  3. Bilgi Güvenliği Yönetim Sistemi Komisyonu (BGYS Komisyonu): Hakkari Üniversitesi Bilgi İşlem Daire Başkanlığı bünyesinde, TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında Hakkari Üniversitesi bilgi varlıklarının yönetilmesine ve korunmasına yardımcı olmak için oluşturulan bir komisyondur.
  4. Kişisel Verilerin Korunması Komisyonu (KVKK Komisyonu): Hakkari Üniversitesinde kişisel verilerin korunması ile ilgili tüm mevzuatlarca iş ve işlemlerin daha sağlıklı bir şekilde yürütülebilmesi, birimler bazında yakından takibin sağlanarak gerekli tedbirlerin alınabilmesi, 6698 sayılı Kanunun 5'inci bölümünde belirtilen suçlar ve kabahatler ile veri ihlali gibi durumların önüne geçilmesi ve Hakkari Üniversitesine bağlı tüm birimlerde konu hakkında farkındalığın oluşturulabilmesini sağlayan Hakkari Üniversitesi akademik ve idari birim yönetici/temsilcilerinden oluşan komisyondur.
  5. Bilgi: Hakkari Üniversitesi süreçlerinin devamlılığı için gerekli olan ve bu nedenle değeri olan, dolayısı ile uygun şekilde korunması gereken bir veridir.
  6. Bilgi varlıkları: TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi dâhilinde Hakkari Üniversitesi’nde bulunan ve bilgi güvenliği için anlam taşıyan tüm varlıklar.
  7. Üniversite: Hakkari Üniversitesi
  8. Rektör: Hakkari Üniversitesi Rektörü
  9. Kalite Yönetim Temsilcisi: Kalite Yönetim Sistemi şartlarını, gerekli proseslerin oluşturulmasını, uygulanmasını ve sürekliliğini sağlayarak, Hakkari Üniversitesi Kalite Yönetim Sisteminin performansı ve iyileştirme için fırsatlar ile ilgili üst yönetime rapor sunan,  Hakkari Üniversitesinde, müşteri şartlarının bilincinde olunmasını tüm çalışanlarda sağlayan, Hakkari Üniversitesi Kalite Yönetim Sistemindeki değişiklikleri planlayan ve uygulayan, kalite yönetim sisteminin bütünlüğünü güvence altına alan Hakkari Üniversitesi çalışanı
  10. Daire Başkanı: Hakkari Üniversitesi Bilgi İşlem Daire Başkanı
  11. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  12. Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, inanç, sağlık bilgileri, biyometrik ve genetik veriler gibi, KVKK kapsamında daha sıkı korunması gereken veri türleri
  13. Veri İşleyen: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri
  14. İlgili Kişi (Veri Sahibi): Kişisel verisi işlenen gerçek kişi
  15. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
  16. Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
  17. Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. (Bu politika kapsamında Hakkari Üniversitesi)
  18. Kişisel Verilerin İşlenmesi: Kişisel verilerin elde edilmesi, kaydedilmesi, saklanması, değiştirilmesi, aktarılması, silinmesi, yok edilmesi gibi her türlü işlem.
  19. Silme: Kişisel verilerin ilgili kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemi.
  20. Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemi.
  21. İmha: Silme, yok etme veya anonim hale getirme işlemlerinin tümünü kapsayan üst tanım.
  22. Kayıt Ortamı: Kişisel verilerin bulunduğu her türlü ortam (örneğin; dijital sistemler, fiziki dosyalar, e-posta sunucuları, yedekleme diskleri vb.).
  23. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi (örneğin; Öğrenci Bilgi Sistemi, Personel Otomasyonu, EBYS).
  24. Denetim izi (Log): Bir bilgi varlığının hakkında, zaman içindeki durumlarının ya da değişikliklerinin (dijital hareketlerinin) kayıt altına alınması sırasında oluşan sistemsel kayıtlar.
  25. KVKK: Kişisel Verileri Koruma Kurumu
  26. Kurul: Kişisel Verileri Koruma Kurulunu,
  27. Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  28. Hukuk Müşavirliği: Hakkari Üniversitesi hukuk müşavirliği birim çalışanları
  29. VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

 

4. SORUMLULAR

  1. Bilgi Güvenliği Yönetim Sistemi Komisyonu (BGYS Komisyonu): İşbu politikanın hazırlanmasından ve güncellenmesinden sorumludur.
  2. Kişisel Verilerin Korunması Komisyonu (KVKK Komisyonu): İşbu politikanın yürütülmesini koordine eder. Kişisel veri envanteri, aydınlatma metinleri, açık rıza belgeleri gibi dokümantasyon süreçlerini yönetir. Veri sahibi başvurularının alınmasını ve cevaplanmasını sağlar. Kurul ile iletişimi yürütür. Periyodik denetim ve raporlama yapar.
  3. Rektör: İşbu politikanın onaylanması ve yürürlüğe konulmasından sorumludur.
  4. Kalite Yönetim Temsilcisi: İşbu politikanın KYT-PRD-01 Dokümanların Kontrolü Prosedürü’ne göre kontrol edilmesinden, politikaya doküman kodu verilmesinden, politika revizyona uğrarsa takibinden ve revizyon numarasının verilmesinden, politikanın güncel doküman listesine eklenmesinden ve listenin takibinden sorumludur.
  5. Daire Başkanı: İşbu politikanın kontrolü ve uygulanabilirliğinin sağlanmasından sorumludur.
  6. Veri İşleyen: Kendi süreçlerinde işlenen kişisel verilerin işbu politika çerçevesinde, güvenli ve mevzuata uygun şekilde yönetilmesinden sorumludur. Birim düzeyinde açık rıza alınması, aydınlatma metinlerinin yayımlanması gibi süreçleri yürütür.
  7. Hukuk Müşavirliği: İşbu politika ve veri işleme süreçlerine ilişkin hukuki değerlendirme, görüş bildirme ve sözleşme, aydınlatma metinleri, açık rıza metinleri inceleme görevlerini yürütür. Kişisel veri ihlallerine ilişkin adli/idari süreçlerde danışmanlık sağlar. Üniversitenin Kurul nezdindeki yasal savunmalarında görev alır.
  8. Veri Sorumlusu: Başta kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemek, kişisel veri işleme faaliyetlerinin, kanun, bağlı yönetmelikler, Kurul kararları, işbu politika ve ISO/IEC 27001 bilgi güvenliği standartlarına uygun yürütülmesini sağlamak, veri sahiplerinin başvurularını etkin ve yasal süreler içinde değerlendirmek, veri ihlali olması durumunda KVKK ve Kurula, ilgili kişilere süresi içinde bildirimde bulunmak olmak üzere işbu politikanın tam sorumlusudur.

 

5. ROL-SORUMLULUK MATRİSİ

 

Rol / Birim

Politika Hazırlama

Politika Güncelleme

Politika Onayı

Doküman Kontrol

Uygulama & İzleme

Başvuru Yönetimi

Hukuki Uyum

BGYS / ISO 27001

Dış Paydaş Takibi

Rektör

🔲

 

🔲

 

 

🔲

 

🔲

 

🔲

 

🔲

 

Yönetim desteği

🔲

BGYS Komisyonu

 

 

🔲

 

🔲

 

İzleme

🔲

 

🔲

 

🔲

 

🔲

 

KVKK Komisyonu

 

 

🔲

 

 

Koordinasyon

 

🔲

 

Takip&Rapor&Ana sorumlu

 

Kalite Yönetim Temsilcisi

🔲

🔲

🔲

🔲

🔲

🔲

🔲

🔲

Daire Başkanı

🔲

 

🔲

 

🔲

 

🔲

 

Uygulama&Teknik Güvenlik

🔲

 

🔲

 

 

Sistem bağlantısı

Veri İşleyen

🔲

🔲

🔲

🔲

Günlük işlem

🔲

🔲

🔲

Hukuk Müşavirliği

🔲

 

🔲

 

🔲

 

🔲

 

🔲

 

🔲

 

Mevzuat denetimi

Görüş verir

Sözleşme inceleme

Veri Sorumlusu

🔲

 

🔲

 

🔲

 

Tam sorumlu

🔲

 

🔲

 

🔲

 

🔲

 

🔲

 

 

6. VERİ İŞLEME İLKELERİ

  1. Kanun ve bağıl mevzuat, rehber kapsamında Hakkari Üniversitesi Veri Sorumlusu sıfatıyla veri sahibinden; Kimlik Bilgisi, İletişim Bilgisi, Lokasyon Bilgisi, Özlük Bilgisi, Hukuki İşlem Bilgisi, Müşteri İşlem Bilgisi, Fiziksel Mekân Bilgisi, İşlem Güvenliği Bilgisi, Risk Yönetim Bilgisi, Finans Bilgisi, Mesleki Deneyim Bilgisi, Görsel ve İşitsel Kayıtlar Bilgisi, Dernek Üyeliği Bilgisi, Vakıf Üyeliği Bilgisi, Sendika Üyeliği Bilgisi, Sağlık Bilgisi, Ceza Mahkûmiyet ve Güvenlik Tedbirleri Bilgisi, Denetim ve Teftiş Bilgisi, Talep/Şikâyet Yönetim Bilgisi, Araç/Plaka Bilgisi verilerini sınırlı olarak toplamaktadır.
  2. Kişisel veriler, veri sorumlusunun yetkilendirmiş olduğu veri işleyenler tarafından, işbu politika amaç ve kapsamı doğrultusunda otomatik veya otomatik olmayan yöntemler yoluyla; fiziksel (yazılı) ya da dijital olarak işlenmekte ve kaydedilmektedir.
  3. Kişisel veriler, Kanunun 4, 5, 6. maddeleri uyarınca hukuka uygun, veri sahibinin temel hak ve özgürlüklerini zedelemeyecek şekilde işlenir.
  4. Kişisel veriler, VERBİS kılavuzunda yer alan “Kişisel Veri İşleme Amaçları” doğrultusunda, yalnızca açık, meşru ve belirli amaçlar için işlenir.
  5. Amaçla bağlantılı, sınırlı ve ölçülü veri işlenir. Gereksiz, aşırı ya da bağlam dışı veri toplanmaz.
  6. İlgili kişilere, verilerinin hangi amaçla, ne şekilde işlendiği ve hakları konusunda açık, sade bir dilde bilgilendirme yapılır.
  7. Açık rızaya tabi veriler (ör. sağlık verisi, dini inanç gibi özel nitelikli veriler) için açık rıza metni alınmadan işleme yapılmaz.
  8. Üniversite tüm akademik ve idari birimlerde işlenen tüm veriler için “Veri Envanteri” hazırlanarak KVKK komisyonu denetiminden geçtikten sonra Kişisel Veri Envanter Yönetim Sistemine işlenir.

 

7. VERİ KAYDETME VE SAKLAMA İLKELERİ

  1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5 ve 6. maddeleri uyarınca hukuka uygun, doğru ve güncel olmasına özen gösterilir.
  2. Veriler, yalnızca işleme amacının gerektirdiği ve ilgili mevzuatınca öngörülen süre kadar saklanır. Süresi dolan veriler, silme/yok etme/anonimleştirme işlemine tabi tutulur.
  3. Kişisel veriler, yetkisiz erişime karşı korumalı dijital (sunucu, bulut, veri tabanı vb.) ve fiziksel (dosya dolapları, arşivler) ortamlarda saklanır. Veriler saklandıkları ortama uygun güvenlik tedbirleri ile korunur. Fiziksel veriler kilitli dolaplarda ve yalnızca yetkilendirilmiş personelin erişimine açık alanlarda muhafaza edilir.
  4. Saklama süresi sona eren kişisel veriler, işbu politika doğrultusunda periyodik imha takvimi çerçevesinde silinir, yok edilir veya anonim hale getirilir.
  5. Yedekleme ve log alma işlemi, Yedekleme Prosedürü ile Denetim İzi Kayıtları Prosedürü’ne doğrultusunda yapılır.
  6. Kişisel Verilerin Güvenliğine Yönelik Tedbirler:
    1. Teknik Tedbirler; Kişisel verilerin bulunduğu sistemlerde, erişim yetki sınırlaması, şifreleme, log yönetim sistemleri ile erişim loglarının tutulması, Üniversite ağında güvenlik duvarı ve saldırı tespit sistemi, antivirüs çözümleri, yedekleme, iki faktörlü kimlik doğrulama, yazılım güncellemeleri, zaafiyet taramaları ve güvenlik açığı yönetimi, Üniversite yazılım geliştirme sürecinde “privacy by design” yaklaşımı, SSL/TSL güvenli iletişim protokolleri uygulanır.
    2. İdari Tedbirler; Kişisel verilerin korunmasına yönelik Kullanıcı Hesap Yönetimi ve Erişim Yetkilendirme Prosedürü, Bilgi Güvenliği İhlal Olayları Prosedürü, Ağ Güvenliği ve Yönetimi Prosedürü, Denetim İzi Kayıtları Prosedürü, Proje Yönetiminde Bilgi Güvenliği Prosedürü, Yedekleme Prosedürü, Risk Yönetimi Prosedürü, Tehdit İstihbaratı Prosedürü oluşturulmuş, Üniversite genelinde yaygınlaştırılmıştır. Personelin veri güvenliği farkındalığı için periyodik farkındalık eğitimleri verilir. Üniversite tüm akademik ve idari personeller gizlilik taahhütnamesi veya kişisel veri işleme yükümlülüklerine ilişkin sözleşmeleri imzalamakla yükümlüdür. Üniversite içinde veri işleme faaliyetleri Bilgi ve İletişim Güvenliği denetim planına dahil edilmiştir. Üçüncü taraflarla yapılan sözleşmelere, kişisel verilerin korunmasına ilişkin özel hükümler eklenmelidir. Aydınlatma ve açık rıza süreçlerinde ilgili kişilere, verilerin işleme amacına göre aydınlatma yapılır, rıza alınır. Üniversite tüm akademik ve idari birimleri nezdinde KVKK Komisyonu yönetiminde kişisel veri işleme envanteri oluşturulur ve her sene güncellenir.

 

8. VERİ PAYLAŞMA (AKTARIM) İLKELERİ

  1. Kişisel veriler, Kanunun 8 ve 9. maddeleri uyarınca hukuka uygun, veri sorumlusunun meşru ve belirli amaçları doğrultusunda, verinin işleme amacına uygun, sınırlı ve ölçülü biçimde yalnızca kanunen yetkili kamu kurumları ve meşru sözleşmeli taraflar ile paylaşılabilir.
  2. İlgili kişinin açık rızası alınmadan aktarılmaz.
  3. Kişisel verilerin paylaşımı yalnızca yetkilendirilmiş birim ve kişiler tarafından gerçekleştirilir.
  4. Paylaşılacak veri kategorisi ve kapsamı belirlenir.
  5. Veri aktarımı yapılacak gerçek veya tüzel kişilerle, Veri Paylaşım Protokolü, Veri İşleme Sözleşmesi, Gizlilik Taahhütnamesi veya Açık Rıza Beyanı düzenlenir.
  6. Veri paylaşımı sırasında, veri sahibine ait haklara zarar verilmemesi ve paylaşımın veri güvenliği ilkelerine uygun olması esastır.
  7. Kişisel veriler aktarılırken güvenli elektronik iletim yöntemleri kullanılır.
  8. Fiziksel ortamda aktarılacak kişisel veriler için güvenli taşıma kurallarına uygun şekilde işlem yapılır.
  9. Aktarılan tarafların veri güvenliği tedbirleri alması zorunlu olup sorumluluğu aktarılan taraf uhdesindedir.
  10. Paylaşılan veriler, aktarım amacına ulaşıldığında ya da hukuki yükümlülük ortadan kalktığında imha edilir.
  11. Yurt İçi Veri Paylaşımı:
    1. İlgili kişinin açık rızası varsa, kişisel veriler üçüncü kişilere aktarılabilir.
    2. Açık rıza aranmaksızın aktarım yapılabilen haller: Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rıza alınamayan kişinin kendisinin veya bir başkasının hayatî menfaati için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin verisinin alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    3. Özel nitelikli kişisel veriler (örn. sağlık bilgisi), açık rıza olmaksızın sadece kanunlarda açıkça öngörülmesi ve ilgili kişi için veri güvenliği önlemlerinin alınması şartıyla paylaşılabilir.
  12. Yurt Dışı Veri Paylaşımı:
    1. Kişisel veriler, ilgili kişinin açık rızasıyla yurt dışına aktarılabilir.
    2. Açık rıza olmaksızın aktarım yapılabilmesi için; Kanunun 5/2 ve 6/3 maddelerindeki işleme şartlarının mevcut olması, verilerin aktarılacağı ülkenin Kurul tarafından güvenli ülke ilan edilmesi veya Veri sorumlusu tarafından Türkiye’deki ve yabancı ülkedeki veri sorumlularının yazılı olarak yeterli korumayı taahhüt etmeleri ve bu taahhüdün Kurulca onaylanması gerekir.
    3. Kişisel verilerin uluslararası kuruluşlara aktarımı da bu ilkelere tabidir.

 

9. VERİ DEĞİŞTİRME İLKELERİ

  1. Kişisel veriler, Kanunun 4 ve 11. maddeleri ile ilgili fıkra/bentleri, Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği uyarınca hukuka uygun, zamanında, işleme amacına uygun ve doğruluk ilkesine göre güncellenmelidir.
  2. Veri sorumlusu olarak, doğruluğu kaybolmuş, güncelliğini yitirmiş kişisel verileri düzenli aralıklarla gözden geçirir ve uygun görülen yöntemlerle düzeltme/güncelleme süreçlerini yürütür.
  3. İlgili Kişinin Talebi Üzerine Güncelleme: Veri sahibi, kişisel verilerinin düzeltilmesini İlgili Kişi Başvuru Formu ile talep edebilir. Üniversite bu talebi en geç 30 gün içinde yerine getirmekle yükümlüdür.
  4. Kişisel verilerde tespit edilen yazım hataları, veri tabanı hataları, eski bilgiler veya işlevini yitirmiş alanlar, Üniversitenin ilgili akademik/idari birimi tarafından güncellenir.
  5. Sistemsel güncellemeler sırasında yanlışlıkla bozulan veriler için kayıt sisteminde log tutulur.
  6. Güncelleme veya düzeltme işlemi yalnızca yetkili kullanıcılar tarafından yapılabilir.
  7. Güncellenen ya da düzeltilen kişisel veriler, daha önce bu verilerin paylaşıldığı üçüncü taraflara da bildirilir. Bu süreçte varsa yapılmış aktarım sözleşmeleri veya veri paylaşım protokolleri uyarınca da sorumluluk paylaşımı göz önüne alınır.
  8. Üniversitenin akademik ve idari birimlerinde kullanılan tüm bilgi sistemlerinde, kullanıcı bilgilerinin doğruluğu ve güncelliğinin sağlanması amacıyla, her yıl en az bir kez olmak üzere, kullanıcıdan sisteme giriş esnasında bilgi güncellemesi talep edilmelidir. Bu yükümlülüğün yerine getirilmesinden ilgili sistemin yürütülmesinden sorumlu akademik veya idari birim sorumludur.

 

10. VERİ ANONİMLEŞTİRME İLKELERİ

  1. Kanunun 3’üncü maddesinin birinci fıkrasının (d) bendi ile 28 inci maddesinin birinci fıkrası, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Kişisel Verilerin Anonim Hale Getirilmesi Rehberi, Veri Sorumluları Sicil Hakkında Tebliğ kapsamında belirlenen esaslara uygun şekilde uygulanır.
  2. Anonimleştirme işlemi sonucunda verilerin, herhangi bir yöntem, teknoloji veya veri ile tekrar bir kişiyi tanımlamaya elverişli hale gelmemesi gerekir. Bu doğrultuda kullanılan yöntemlerin, teknik olarak kırılmasının veya geri dönüşünün mümkün olmaması esastır.
  3. Anonimleştirme süreci, veri kategorisi, ilgili kişi grubu, işleme amacı ve kullanılacak teknik yöntemler esas alınarak risk tabanlı bir değerlendirme süreci çerçevesinde gerçekleştirilir. Her anonimleştirme işlemi öncesi, Veri Anonimleştirme Değerlendirme Formu doldurulur ve KVKK komisyonu onayı alınarak işlem kayıt altına alınır. Kullanılan yöntemlerin geri döndürülemezliğine ilişkin testler yapılır ve sonuçlar belgeye eklenir. Anonimleştirilen verilerin kişisel veriye dönüşmemesi için gerekli teknik tedbirler alınır.
  4. Anonimleştirme, sadece belirli, açık ve meşru amaçlarla gerçekleştirilmeli; amaç dışı veya aşırı veri seti kullanılarak yapılmamalıdır.
  5. Anonimleştirme işlemlerinde, Üniversitenin teknik kapasitesine uygun, Kişisel Verilerin Anonim Hale Getirilmesi Rehberi’nde önerilen yöntemler çerçevesinde aşağıdaki teknikler kullanılabilir.
    1. Değer Türetme Yöntemleri; Genelleştirme, alt kümeleme, global kodlama, veri maskeleme
    2. Veri Bozma Yöntemleri; Karıştırma, veri Türetme, gürültü ekleme
    3. Kayıt Dışı Bırakma Yöntemleri; Kayıtların tümünün veya bazı özelliklerinin silinmesi
  6. Anonimleştirilmiş veriler, etik kurallara uygun şekilde bilimsel ve istatistiksel araştırmalar için kullanılabilir.
  7. Anonimleştirilen veri, veri envanterinde kişisel veri kategorisinden çıkarılarak etiketlenir (örn. "anonim veri").
  8. Anonim veriler hiçbir şekilde tekrar kişisel veri olarak kullanılmaz veya birleştirilerek tanımlama yapılmaz.

 

11. VERİ SİLME, YOK ETME VE İMHA İLKELERİ

  1. Kanunun 7’inci maddesi, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları Sicil Hakkında Tebliğ, Kişisel Veri Saklama ve İmha Rehberi, TS EN ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sistemi Standartları kapsamında belirlenen esaslara uygun şekilde uygulanır.
  2. Kişisel veriler, işlenme amacı ortadan kalktığında ve saklama süresi sona erdiğinde, ilgili mevzuat uyarınca silinir, yok edilir veya anonim hale getirilir.
  3. Üniversite bünyesindeki tüm sistemlerde, yılda bir periyodik imha yapılır. Bu süreç, KVKK Komisyonu ve BGYS Komisyonu tarafından koordine edilir.
  4. İlgili Kişinin Talebi Üzerine İmha: İlgili kişinin başvurusu ve kişisel verilerinin işlenme şartlarının sona erdiğinin tespiti halinde, üniversite kişisel veriyi derhal silmek/yok etmek veya imha etmek zorundadır. İşlem, veri sahibinin İlgili Kişi Başvuru Formu ile başvurusunu yaptığı birim veya kişisel verisinin bulunduğu sistem/birim yöneticisi tarafından en geç 30 gün içinde tamamlanmalı ve ilgili kişiye başvurduğu birimce bilgi verilmelidir.
  5. Silme ve yok etme işlemleri, kişisel verinin hiçbir şekilde geri getirilememesini garanti altına alacak şekilde gerçekleştirilmelidir.
  6. İmha işlemlerine ilişkin log kayıtları tutulur, bu veriler denetim amaçlı 3 yıl süreyle saklanır.
  7. Silme, yok etme ve imha işlemlerinde uygulanacak yöntemler;
    1. Elektronik Ortamlar için Silme Yöntemleri; Komutla silme, üzerine yazma, kriptografik silme
    2. Disk temizleme yazılımları aracılığı ile silme
    3. Fiziksel Ortamlar için Yok Etme Yöntemleri; Evrak öğütme, yakma, delme/darbeleme
    4. Optik medya kırıcılar veya disk imha makineleri ile silme
  8. Her silme, yok etme ve imha işlemlerine dair, işbu işlemleri gerçekleştiren birim veya kişilerce Kişisel Veri İmha Kayıt Formu ile dokümante edilir.

 

12. REFERANS DOKÜMANLAR

  1. KYT-PRD-01 Dokümanların Kontrolü Prosedürü
  2. Yedekleme Prosedürü
  3. Denetim İzi Kayıtları Prosedürü
  4. Kullanıcı Hesap Yönetimi ve Erişim Yetkilendirme Prosedürü
  5. Bilgi Güvenliği İhlal Olayları Prosedürü
  6. Ağ Güvenliği ve Yönetimi Prosedür
  7. Denetim İzi Kayıtları Prosedürü
  8. Proje Yönetiminde Bilgi Güvenliği Prosedürü
  9. Yedekleme Prosedürü
  10. Risk Yönetimi Prosedürü
  11. Tehdit İstihbaratı Prosedürü
  12. İlgili Kişi Başvuru Formu
  13. Veri Anonimleştirme Değerlendirme Formu
  14. Kişisel Veri İmha Kayıt Formu