KVKK Politikası ve Aydınlatma Metni

Abdullah Gül Üniversitesi (“Üniversite” veya “Veri Sorumlusu”) veri sorumlusu olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyum sağlanması için ilgili mevzuatların öngördüğü ilkeleri benimsemekte, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili yükümlülüklerini yerine getirmektedir. Bu kapsamda işbu Kişisel Verilerin Korunması Politikası ve Aydınlatma Metni (“Politika ve Aydınlatma Metni”) düzenlenmiş olup kişisel verisi işlenen gerçek kişilerin (“ilgili kişi”) erişimine sunulmaktadır.

1. POLİTİKANIN AMACI ve KAPSAMI

İşbu Politika ve Aydınlatma Metni aşağıda yer alan hususları düzenlemekte olup ilgili kişileri aydınlatmayı amaçlamaktadır.

Kişisel verilerin işlenmesine ilişkin ilkeleri

Kişisel veri işleme şartlarını

Özel nitelikli kişisel verilerin işlenebileceği halleri

Kişi grubunun aydınlatılması ve bilgilendirilmesi

Kişisel verilerin kategorize edilmesi

Kişisel verilerin işlenme amaçları

Kişisel verilerin yurtiçi ve yurtdışı üçüncü kişilere aktarılması

Kişisel verilerin işlenmesinin yöntemi ve hukuki sebebi

Kişisel verilerin saklanma süreleri

Kişisel verilerin güvenliği

Çerez kullanımı

Kişi gruplarının yasal hakları ve kullanma yöntemleri ile ilgili iletişim bilgileri

 

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

2.1. Hukuka,Dürüstlük Kuralına ve Şeffaflığa Uygun İşleme

Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralı ile şeffaflık prensibine uygun hareket edilmektedir.

2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kişi gruplarının işlenen kişisel verilerinin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tüm makul tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Üniversite bünyesinde oluşturulur.

2.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler açık, belirli ve meşru veri işleme amaçlarına dayalı olarak işlenmektedir. Verilerin hangi amaçla işleneceği, işbu Politika ve Aydınlatma Metni’nde detaylı olarak yer almaktadır.

2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler öngörülen amaç/amaçların gerçekleştirilebilmesi için ölçülü, amaçla ilintili ve sınırlı biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

2.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Üniversite kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Üniversite’nin Kişisel Verilerin Saklanması ve İmhası Politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. İşbu Politika ve Aydınlatma Metni’nde saklama sürelerine detaylıca yer verilmiştir.

2.6. Verilerin Bütünlüğü ve Gizliliğine Uygun İşleme

Kişisel veriler, yetkisiz veya hukuka aykırı işlemeye ya da kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere uygun teknik veya idari tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenmektedir.

 

3. KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI

Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen hukuka uygunluk sebeplerinden yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen kişisel verilerin, özel nitelikli kişisel veri olması halinde ise; aşağıda “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” başlığı içerisinde yer alan koşullar uygulanır.

İlgili kişi gruplarının açık rızası, kişisel verilerin hukuka uygun olarak işlenmesini olanaklı kılan hukuka uygunluk sebeplerinden sadece bir tanesidir. Açık rıza dışında, aşağıda yer alan diğer hukuka uygunluk sebeplerinden birinin varlığı durumunda da kişisel veriler işlenebilir.

İlgili kişi gruplarının kişisel verileri, aşağıda açıklanan işleme şartları dâhilinde işlenmektedir.

3.1. Kanunlarda Açıkça Öngörülmesi

Kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Üniversite verisi işlenecek kişi gruplarının ayrıca açık rızasını almadan kişisel verilerini işlemektedir. Örneğin Yükseköğretim Kanunu ve ilgili ikincil mevzuatlar uyarınca eğitim-öğretim faaliyetinin gerçekleştirilebilmesi için öğrenci verilerinin işlenmesi gibi süreçlerde kişisel verilerin işlenmesi, kanunda açıkça öngörülmesi halinde gerçekleşen işleme faaliyetidir.

3.2. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması veya Kişisel Verilerin İlgili Kişinin veya Başka Bir Kişinin Hayati Çıkarlarının Korunması İçin Gerekli Olması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişi grubunun kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişi grubunun açık rızası alınmaksızın verileri işlenebilir. Ayrıca kişisel veriler, ilgili kişinin veya başka bir kişinin hayati menfaatlerinin korunması için gerekli ise, söz konusu ilgili kişinin açık rızası alınmadan işlenebilecektir.

3.3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir.

3.4. Üniversite’nin Hukuki Yükümlülüğünü Yerine Getirmesi

Veri sorumlusu olarak, hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın kişi grubunun kişisel verileri işlenebilir. Örneğin, iş sağlığı ve güvenliği  hukuki yükümlülüğünü yerine getirmesi için gerekli işleme faaliyetleridir.

3.5. Kişi Gruplarının Kişisel Verisini Alenileştirmesi

Kişi grubunun, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde, açık rızaya gerek olmaksızın veriler işlenebilir. Örneğin, Öğrencilerin internette, sosyal medya hesaplarında herkese açık olarak paylaşmış olduğu kişisel veriler Üniversite’nin sosyal medya kanalları ile bağlantılı kişi veya Üniversite etiketi ile yapılan paylaşım ise, bu paylaşım iradesine uygun ve ölçüde olduğu takdirde işlenebilecek ve Üniversite’nin sosyal medya kanallarında da görülebilecektir.

3.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, kişi grubunun açık rızası alınmaksızın verileri işlenebilir. Örneğin, Öğrencilerin eğitim ve kurs taleplerinin karşılanması, kütüphane üyelikleri, gibi hakkın tesisi veya korunması için gerekli işleme faaliyetleridir.

3.7. Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi

Kişi grubunun temel hak ve özgürlüklerine zarar vermemek kaydıyla Üniversite’nin meşru menfaatleri için veri işlemenin zorunlu olması halinde kişi grubunun açık rızası alınmaksızın kişisel verileri işlenebilir.

3.8. Kişi Grubunun Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi

Kişi grubunun kişisel verileri, yukarıda belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda, açık rızaya dayalı olarak işlenecektir, bu durumda KVKK’nın ve GDPR’ın belirlediği kriterlere uygun açık rıza alınarak işleme faaliyeti gerçekleştirilmektedir.

 

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ HALLER

Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır. Üniversite’de özel nitelikli kişisel veriler, ayrı işleme şartları ve korumaya tabidir.

4.1. Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı Olarak İşlenmesi

Özel nitelikli kişisel veriler, kişi grubunun açık rızası olması halinde, işbu Politika ve Aydınlatma Metni’nde belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir.

4.2. Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller

Özel nitelikli kişisel veriler, kişi grubunun açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla, sağlık ve cinsel hayat dışındaki veriler için, kanunlarda öngörülen hallerde; sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir. Örneğin iş sağlığı ve güvenliği faaliyetleri için sağlık verilerinin işlenmesi.

5. KİŞİ GRUBUNUN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Üniversite’de kişisel verilerin elde edilmesi sırasında ilgili kişi grupları bilgilendirilir ve aydınlatma gerçekleştirilir. Ayrıca www.agu.edu.tr web sitesinde, Üniversite içerisinde ortak alanlarda, Kampüs ve diğer alanlarda yer alan aydınlatma metinleri ve kare kodlar ile aydınlatma gerçekleştirilmektedir. Aydınlatma kapsamında Üniversite’nin veri sorumlusu kimliği, işlenen kişisel veri türleri, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişi gruplarının sahip oldukları haklar bildirilir.

Kişi grupları; Üniversite’den kvkk@agu.edu.tr  üzerinden her zaman bilgi talep edebilir. Bu halde en kısa sürede gerekli bilgilendirme yapılır.

6. KİŞİSEL VERİLERİN KATEGORİZE EDİLMESİ

Üniversite tarafından kişi gruplarının aşağıda belirtilen ve örneklendirilen kategorilerdeki kişisel verileri işlenmektedir.

Kimlik Ad, soyadı, doğum tarihi, cinsiyet, T.C. kimlik numarası	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Tedarikçi Yetkilisi Tedarikçi Çalışanı Çalışan Adayı
İletişim Cep telefonu, e-posta adresi, adres, posta kodu, sabit telefon	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Tedarikçi Yetkilisi Tedarikçi Çalışanı Çalışan Adayı
Lokasyon	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Tedarikçi Çalışanı
Hukuki İşlem Sözleşme, yasal bilgiler	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Tedarikçi Yetkilisi Tedarikçi Çalışanı Çalışan Adayı
İşlem Güvenliği Şifre, parola, IP bilgileri	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Çevrimiçi Ziyaretçi Tedarikçi Yetkilisi Tedarikçi Çalışanı
Finans Fatura bilgileri, banka hesap bilgileri, finansal bilgiler, ödeme borç alacak bilgileri	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Tedarikçi Yetkilisi Tedarikçi Çalışanı
Mesleki Deneyim	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Tedarikçi Çalışanı Çalışan Adayı
Tanıtım	Okuyan-Mezun-Ayrılan Öğrenci, Çalışan-Emekli-Ayrılan Personel, Misafir Öğrenci, Misafir Personel Çevrimiçi Ziyaretçi

 

7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

7.1. İşlenme Koşulları

Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir.

• Kişisel verilerinizin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
• Kişisel verilerinizin Üniversite tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin işlenmesinin Üniversite’nin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin kişi grubu tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Üniversite tarafından işlenmesi,
• Kişisel verilerin Üniversite tarafından işlenmesinin Üniversite’nin veya kişi gruplarının veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Kişi gruplarının temel hak ve özgürlüklerine zarar vermemek kaydıyla Üniversite’nin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
• Üniversite tarafından kişisel veri işleme faaliyetinde bulunulmasının ilgili kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması veya kişisel verilerin ilgili kişinin veya başka bir kişinin hayati çıkarlarının korunması için gerekli olması.

Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için Üniversite kişisel veri sahiplerinin açık rızalarına başvurmaktadır.

7.2. İşleme Amaçları

Üniversite, kişisel verileri; aşağıda belirtilen amaçlarla işlemektedir:

Öğrenci Grubu için:

• Kayıt işlemlerinin gerçekleştirilmesi.
• Üniversite tarafından sunulan hizmetlerden yararlandırılması, hizmetlerin iyileştirilmesi, yeni hizmetlerin geliştirilmesi ve bilgilendirme yapılması.
• Kayıt sildirme işlemlerinin gerçekleştirilmesi.
• Açık rıza bulunması halinde tanıtım, fırsat ve fayda sağlanması, pazarlama faaliyetlerinin gerçekleştirilmesi.
• Öğrenci sorun ve şikâyetlerinin çözümlenmesi.
• Muhasebe ve ödeme işlemlerinin takibi.
• Hukuki süreçler ve mevzuata uyum.
• İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
• Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
• İşlenen verilerin doğru ve güncel olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması.
• Bilginin güvenliğinin ve üniversite içi süreç iyileştirmelerin sağlanmasına ilişkin süreçlerin oluşturulması ve uygulanması.

Tedarikçi Grubu (Tedarikçi, Tedarikçi Yetkilisi, Tedarikçi Çalışanı) için:

• Tedarikçilerle olan iş sürecinin yönetilmesi.
• İhtiyaç duyulan hizmete ilişkin sözleşme gibi hukuksal süreçlerin ve yasal gerekliliklerin yerine getirilmesi.
• Seçilen tedarikçilerle sözleşmelerin kurulması ve gerekli işlemlerin yürütülmesi.
• Satın alma, üretim, tedarik ve benzeri işlemlerinin gerçekleştirilmesi.
• Satın alınan ürün/hizmet sonrası hizmetlerin ve iade/iptal/giderim gerekliliklerinin ve süreçlerinin yürütülmesi.
• İş Sağlığı yasası ve sözleşme gereği.
• Çalışanların yeterlilik belgelerinin bulunup bulunmadığının kontrolü (yaptığı işe bağlı şekilde sertifika, yetki belgesi vb.)
• Kişisel veri işleyen gerçek veya tüzel kişi tedarikçinin KVKK uyarınca Üniversite’nin veri güvenliği bakımından uymak zorunda olduğu yükümlere uyacağına dair taahhütlerin alınması.
• Muhasebe ve satın alma işlemlerinin takibi, ödemelerin kontrolü ve onay verilmesi.
• Hukuki süreçler ve mevzuata uyum, hukuki yükümlülüklerin yerine getirilmesi.
• İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
• Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
• İşlenen verilerin güncel ve doğru olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması.
• Taahhütlerin yerine getirilip getirilmediğinin kontrolü ve denetimlerinin planlanması.

Aday Çalışan Grubu için:

• İnsan kaynakları politikalarının ve süreçlerinin tamamlanması ve yürütülmesinin sağlanması.
• Çalışan adaylarının başvuru seçme ve değerlendirme süreçlerinin planlanması.
• İş sağlığı ve güvenliği çerçevesinde yapılması gereken faaliyetlerin icra edilmesi.
• Çalışan adayı yerleştirilmesi için gerekli iletişim aktiviteleri.
• Stajyer alımı, yerleştirilmesi ve operasyon süreçlerinin planlanması.

Personel Grubu için:

• İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
• Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
• İşlenen verilerin doğru ve güncel olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması.
• Bilginin güvenliğinin ve üniversite içi süreç iyileştirmelerin sağlanmasına ilişkin süreçlerin oluşturulması ve uygulanması.

8. KİŞİSEL VERİLERİN YURTİÇİ VE YURTDIŞI ÜÇÜNCÜ KİŞİLERE AKTARILMASI

8.1. Kişisel Verilerin Aktarılması

Kişisel veriler ve özel nitelikli kişisel veriler, KVKK’nın Madde 8 ve Madde 9’da öngörülen koşulların gerçekleşmesi durumunda, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü taraf kurum-şirketlere, üçüncü gerçek kişilere) aktarılabilmektedir.

Kişisel veriler, kullanılan yazılım ve sunucu altyapısı, hizmet alınan ürün yazılım ve sunucu altyapısı nedeni ile yurt dışına aktarılabilmektedir.

8.2. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler

Kişisel verileriniz aşağıda sıralanan veri konusu kişi gruplarına aktarılabilir:

• iş ortaklarına,
• tedarikçilerine,
• Hukuken yetkili kamu kurum ve kuruluşlarına,
• Hukuken yetkili özel hukuk kişilerine.

9. KİŞİSEL VERİLERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ 

Üniversiteye elektronik veya fiziki ortamda iletilen kişisel verileriniz işbu Politikada yer verilen amaçlar doğrultusunda KVKK’nın 5. ve GDPR’ın ilgili maddeleri uyarınca; kişi gruplarına göre aşağıdaki hukuki sebepler çerçevesinde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmektedir. 

Öğrenci Grubu için; 

• Öğrencinin haklarının ve menfaatlerinin korunması. 
• Eğitim ilişkisinin kurulması amacıyla öğrencilere hak ve menfaatler sağlanması. 
• Üniversite içi faaliyetlerin sürdürülmesi ve geliştirilmesi. 
• Mevzuattan doğan yükümlülüklerin yerine getirilmesi. 
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
• Öğrencinin açık rızası bulunması 

Personel Grubu için:

• Öğrencinin haklarının ve menfaatlerinin korunması. 
• Üniversite içi faaliyetlerin sürdürülmesi ve geliştirilmesi. 
• Mevzuattan doğan yükümlülüklerin yerine getirilmesi. 
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
• Öğrencinin açık rızası bulunması 

Tedarikçi/İş Ortağı Grubu (Tedarikçi/İş Ortağı, Tedarikçi/İş Ortağı Yetkilisi, Tedarikçi/İş Ortağı Çalışanı) için: 

• Veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için gerekli olması. 
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
• Tedarikçi/İş Ortağı’nın temel hak ve özgürlüklerine zarar vermemek kaydıyla, iş sürekliliği ile hızlı ve efektif iletişim sağlanabilmesi için ilgililerin iletişim bilgilerinin saklanması gibi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 
• Tedarikçi/İş Ortağı’nın açık rızası bulunması 

Aday Çalışan Grubu için:

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
• Aday Çalışan temel hak ve özgürlüklerine zarar vermemek kaydıyla, gelecekte oluşabilecek personel ihtiyacı için yapılacak saklamalar ve değerlendirmeler gibi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 
• Aday Çalışan’ın açık rızası bulunması 

 

10. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Üniversite tarafından işlenen kişisel verilerin saklanma süreleri ve kanuni dayanakları aşağıdaki tabloda yer almaktadır:

 

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Log Kayıt Takip Sistemleri	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi ve Akademik ve İdari Personel Dosyalarının Saklanması	Faaliyetin sona ermesini takiben 101 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Emekli Personel Özlük Dosyalarının Saklanması	Faaliyetin sona ermesini takiben 101 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yabancı Personel Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 101 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Dilekçe ve Başvuru Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 5 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Görevlendirme Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 5 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Disiplin Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel İzin ve Sevk Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Güvenlik Soruşturması Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 30 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yabancı Dil Tazminatı Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 5 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Süreçlerinin Yürütülmesi ve Planlanması için işlenen Çalışan Yakınına İlişkin Kişisel Veriler	Hukuki ilişkinin niteliğine göre; hukuki ilişki süresi boyunca veya hukuki ilişki sona erdikten itibaren 101 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Zimmet Tutanaklarının Hazırlanması ve Saklanması	Zimmetten düşülmesinden itibaren 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Akademik Personel İşe Alım Süreçlerinin Planlanması ve Yürütülmesi	Faaliyetin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İdari Personel İşe Alım Süreçlerinin Planlanması ve Yürütülmesi	Faaliyetin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Alt işveren Çalışanının İnsan Kaynakları Süreçlerinin Planlanması ve İcrası Süreçlerinin Yürütülmesi	Hukuki ilişkinin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Alt işveren Çalışanının İş Sağlığı ve Güvenliği Süreçlerinin Planlanması ve İcrası Süreçlerinin Yürütülmesi	Hukuki ilişkinin sona ermesini takiben 50 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşçi Puantaj Cetvelleri ve Bunlarla İlgili Yazışma Süreçlerinin Yürütülmesi	Hukuki ilişkinin sona ermesini takiben 5 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personelin Ücretlerinden Kesilen Vergilerle İlgili Muhasebe Fişleri, Muhtasar Beyannameler, Kurumla İş Yapan Üçüncü Şahıslardan Kesilen Stopaj Vergisi Beyannameleri, Akreditif Açılmasıyla İlgili Damga Vergisi Beyannameleri, Vergi Tecil Yazışmaları Süreçlerinin Yürütülmesi	Faaliyetin sona ermesinden itibaren 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Maaş Bordroları, Ek Ödeme Bordroları, Fazla Mesai Bordroları Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 50 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Staj İşlemleri Süreçlerinin Yürütülmesi	Hukuki ilişkinin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Öğrenci Kayıt Süreçlerinin Yürütülmesi ve Öğrenci Dosyalarının Saklanması	Faaliyetin sona ermesini takiben 101 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Öğrenci Disiplin Süreçlerinin Yürütülmesi	Tutanağın hazırlanmasından itibaren 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Öğrenci Değerlendirme ve Memnuniyet Anketi Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 5 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Öğrenci Dilekçe ve Başvuru Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 5 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yurt Dışı Burslu Öğrenci Kayıt Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 30 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Yönetim Kurulu/Fakülte Kurulu/Akademik Kurul/Disiplin Kurulu Karar Süreçlerinin Yürütülmesi	Toplantı tutanağının hazırlanmasından itibaren 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin Kurulması ve İfası Süreçlerinin Yürütülmesi	Sözleşmenin sona ermesini takiben 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Satın Alma Süreçlerinin Yürütülmesi	Sözleşmenin sona ermesini takiben 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Satın Alma Teklif Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 5 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuk İşlerinin Takibi Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 30 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Adli Dava Dosyası Süreçlerinin Yürütülmesi	Yargılamanın kesinleşmesinden itibaren 35 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İdari Dava Dosyası Süreçlerinin Yürütülmesi	Yargılamanın kesinleşmesinden itibaren 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İcra Dosyası Süreçlerinin Yürütülmesi	Yargılamanın kesinleşmesinden itibaren 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans ve Muhasebe İşlerinin Takibi Süreçlerinin Yürütülmesi	Hukuki ilişkinin sona ermesinden itibaren 101 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Vergi İadesi İcmal Bordroları, Vergi İade Süreçlerinin Yürütülmesi	Faaliyetin sona ermesinden itibaren 5 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Basın ve Bülten Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 15 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Güvenlik Kamerası Kayıtları	Kaydın alınmasını takiben 30 gün	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi Kayıtları	Ziyaretin sona ermesinden itibaren 1 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Diğer İş Süreçlerinin Yürütülmesi	İlgili zamanaşımı süresinin başlangıcından itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

11. KİŞİSEL VERİLERİN GÜVENLİĞİ

Üniversite’de kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.

Kişisel verilere, erişim yetkisi bulunan kişilerden başkasının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.

Yetkilendirilmiş kişiler gereken güvenlik ve iç kontrollerinden geçirilir. Ayrıca bu kişiler görev ve sorumlulukları hakkında eğitilir.

Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal soruşturma ve yasal işlemler başlatılır.

Üniversite, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki güvenlik tedbirlerini almaktadır:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.      
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

12. KİŞİ GRUPLARININ YASAL HAKLARI VE KULLANMA YÖNTEMLERİ

12.1. KVKK Kapsamında Kişisel Verilere İlişkin Haklar

Kişisel verilerine ilişkin olarak kişi gruplarının kullanabileceği haklar KVKK Madde 11’de yer almakta olup, aşağıdaki gibidir:

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu hükümler uyarınca yapılan işlemlerin, kişisel verilen aktarıldığı üçüncü kişilere bildirilmesini isteme, 
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

12.2. GDPR Kapsamında Kişisel Verilere İlişkin Haklar

Kişisel verilerine ilişkin olarak kişi gruplarının kullanabileceği haklar GDPR Bölüm 3’te (Madde 12-23) yer almakta olup, aşağıda sıralanmaktadır:

• Kişisel verileriniz açık rızanıza dayalı olarak işleniyorsa söz konusu rızayı geri alma;
• Aşağıdaki hallerde kişisel verilerinizin işlenmesinin sınırlandırılmasını talep etme;
  • Kişisel verilerinizin doğruluğuna tarafınızca itiraz edilmişse söz konusu doğruluğu kontrol edebileceğimiz bir süre kadar,
  • Veri işlemenin hukuka aykırı olması fakat verilerinizin silinmesinden ziyade kullanımının sınırlandırılmasını tercih etmeniz halinde,
  • Kişisel verilerinizin işlenmesinin ilgili veri işleme amacı için artık gerekli olmaması fakat hukuki talep ve iddialarınızın tesis edilmesi, uygulanması veya sunulması için gerekli olması dolayısıyla talebiniz halinde veya
  • GDPR’ın 21. maddesi uyarınca kullandığınız itiraz hakkı sonrası menfaatlerimiz dolayısıyla itirazın geçersiz olup olmadığının incelemesi yapıldığı sırada;
• Kişisel verileriniz kamu yararı gerekçesiyle veya veri sorumlusuna kanunen verilen yetkiye veya veri sorumlusu veya bir üçüncü kişinin meşru menfaatine dayanılarak profilleme uygulamaları da dahil olmak üzere işleniyorsa söz konusu kişisel verilerinizin işlenmesine itiraz etme;
• Aşağıdaki bilgilere erişme;
  • Kendinizle ilgili kişisel verilerin işlendiğini doğrulatma ve bu durumda ilgili kişisel verilerinize ve ilgili veri işleme amaçlarına ve kategorilerine,
  • Kişisel verilerinizin paylaşıldığı veya paylaşılacağı veri alıcıları veya bunların kategorilerine, mümkünse kişisel verilerinizin saklanacağı süre, bu mümkün değilse söz konusu süreyi belirlemek için kullanılan kritere,
  • Kişisel verilerin işlenmesinin sınırlandırılması, silinmesi veya yok edilmesi, kişisel verilerin işlenmesine itiraz etme ve denetleyici kuruma başvuru hakkının varlığına ve
  • Kişisel verilerin ilgili kişiden veya üçüncü bir kişiden elde edildiği bilgisine ve
  • Profilleme dahil, kullandığımız otomatize karar alma mekanizmalarının varlığı ve bunların arkasındaki mantık ve sizin için bunun olası sonuçları ve önemi bilgilerine erişme;
• Kişisel verileriniz açık rızanıza veya bir sözleşme hükmüne dayanılarak işleniyorsa ve veri işleme otomatik mekanizmalar yoluyla gerçekleştiriliyorsa verilerinizin düzenli, kullanılabilir ve makine tarafından okunabilir bir formattaki versiyonunu tarafınıza veya teknik olarak makul olması halinde başkaca bir veri sorumlusuna transfer ettirme;
• Profilleme dahil, kullandığımız otomatize karar alma mekanizmalarının varlığı ve bunların arkasındaki mantık ve ilgili kişi için bunun olası sonuçları ve önemi hakkında bilgi edinme haklarına sahipsiniz.

 

13. Kişisel Verilere İlişkin Hakların Kullanılmasına İlişkin Esaslar

İlgili kişi olarak, 6698 sayılı Kanun 11. maddede yer alan haklarınıza ilişkin bir talebiniz olması durumunda; internet sitemizden temin edebileceğiniz İlgili Kişi Başvuru Formu’nu doldurarak ve her halükarda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile öngörülen asgari koşulları sağlayan; agu@hs01.kep.tr KEP adresimize göndereceğiniz ileti ile kvkk@agu.edu.tr e-posta adresimize sistemimizde kayıtlı e-posta adresinizle veya güvenli e-imzalı olarak ileteceğiniz ileti ile, Barbaros, Sümer Kampüsü, Erkilet Blv., 38080 Kocasinan/Kayseri adresimize yazılı olarak şahsen veya noter kanalı ile başvuru gerçekleştirebilirsiniz. Yapacağınız başvuruyu talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracağız. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Üniversite tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.

Başvuru Belgesi için tıklayınız...