×
TRK ENG
KAYÜ Anasayfa
Kişisel Veri Saklama ve İmha Politikası
Kişisel Veri Saklama ve İmha Politikası

1.0 AMAÇ

İşbu Kişisel Veri Saklama ve İmha Politikası ( Bundan böyle kısaca “Politika” olarak bahsedilecektir ), 6698 Sayılı Kişisel Verilerin Korunması Kanunu ( Bundan böyle kısaca “KVKK” ya da “Kanun” olarak bahsedilecektir ) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete ’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ( Bundan böyle kısaca “Yönetmelik” olarak bahsedilecektir ) uyarınca yasal yükümlülüklerimizi yerine getirmek, işlenen veriler, veri koruma ilkeleri, veri sahiplerinin hakları ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Kayseri Üniversitesi (Bundan böyle kısaca “Üniversite” ya da “Kurum” olarak bahsedilecektir) tarafından hazırlanmıştır.

2.0 KAPSAM

Bu prosedür, Bilgi Güvenliği Yönetim Sistemi ve 6698 sayılı kişisel verilerin korunması kanunu çerçevesinde Kişisel veri Saklama ve İmha yöntemleri hakkında kontrollerini kapsar.

3.0 TANIMLAR

Bu Politikanın uygulanmasında; 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik bilgiyi,

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi, 

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi/kişileri,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, 

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan olumlu beyanı,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’ sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Kurul: Kişisel Verileri Koruma Kurulu’ nu,

Kanun/KVVK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ nu

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiyi,

Kişisel Veri İşleme Envanteri: Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçlarını ve hukuki sebebini, veri kategorisini, aktarılan alıcı grubunu, azami muhafaza edilme sürelerini açıklayan envanterini ifade eder.

4.0 UYGULAMA

4.1 İŞLENEN VERİ KATEGORİLERİ

        Üniversitemiz tarafından Kanun’a ve ilgili diğer mevzuat hükümlerine uygun olarak işbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde kimlik bilgisi, iletişim bilgisi, özlük, hukuki işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, finansal bilgi, mesleki deneyim, eğitim, pazarlama, görsel ve işitsel kayıtlar, ceza mahkumiyeti ve güvenlik tedbirleri bilgileri, imza, unvan, meslek, çalışılan şirket bilgisi, müşteri bilgisi, müşteri işlem bilgisi, banka bilgisi, sigorta bilgisi, talep/ şikayet yönetimi bilgisi, vize/pasaport bilgisi, seyahat bilgisi, iletişim bilgisi, aile bireyleri ve yakın bilgisi, araç bilgisi, çalışan/çalışan adayı/stajyer bilgisi, denetim ve teftiş bilgisi, sağlık, felsefi inanç, din, mezhep, sendika ve vakıf üyeliği gibi özel nitelikli kişisel veri kategorilerine dahil kişisel veriler işlenmektedir. 

4.2 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI 

     KVKK Kanunu ile birtakım kişisel verilere özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. 

     Kurumumuz hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunması için alınan teknik ve idari tedbirleri özenle uygulamakta ve gerekli denetimleri sağlamaktadır. 

     Bu kapsamda, Kurumumuz bünyesinde işe giriş anında işçi tarafından getirilen işçinin sağlık durumunu bildirir, raporlar, periyodik muayene formu ve işe giriş sağlık testleri, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar, tetkikler ve tanılar, istirahat raporları, durum bildiri raporları, aşılar, ilaçlar, tahlil sonuçları, kan grubu, medikal geçmiş gibi ve işçinin bizzat başvuru formunda beyan etmiş olduğu sağlık bilgileri muhafaza edilmektedir. Ayrıca kurumumuzda verilen iş yeri hekimliği hizmeti sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması, sözleşmesinin feshi/iptali durumunda erişim yetkisi derhal kaldırılmaktadır. 

     Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli alanlarda saklanmaktadır. Çalışanların sağlık verilerine hiçbir birim erişememektedir. 

     Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta, evrak “gizlilik dereceli belgeler” formatında gönderilmekte ve verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır. 

4.3 İLKELER

 Kişisel verilen saklanması ve imhasında kurumumuz tarafından benimsenen ilkeler şunlardır;

  1. Kişisel verilen saklanması ve korunmasında ilgili mevzuat hükümlerine, Kurul kararlarına işbu Politika’ da belirtilen teknik ve idari tedbirlere tamamen uygun hareket edilmektedir.
  2. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla sınırlı ve ölçülü olma, doğru ve güncel olma, mevzuatta öngörülen veya işlendikleri amaç için gerekli süre boyunca muhafaza edilme ilkelerine uygun hareket edilmektedir.
  3. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi işlemleri kurumumuz tarafından kayıt altına alınmakta ve bu kayıtlar 10 (on) yıl süreyle muhafaza edilmektedir.
  4. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re ’sen silme/ yok etme/ anonim hale getirme yöntemlerinden uygun olanı tarafımızca uygulanmaktadır. İlgili kişi tarafından yapılacak taleplerde gerekçesi açıkça belirtilmek suretiyle diğer yöntemler de uygulanabilecektir.
  5. Kişisel verilerin Kanun’ a göre işlenme şartlarının ortadan kalkması halinde kişisel veriler kurumumuz tarafından re’ sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından başvurulması halinde; iletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmekte, talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

4.4 SAKLAMA VE İMHAYI GEREKTİREN HUKUKİ SEBEPLER

Veri sahiplerine ait kişisel verileri saklamayı gerektiren hukuki sebepler; kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

4.5 KİŞİSEL VERİLERİN İŞLENME AMACI ve VERİ PAYLAŞIMI

Kişisel verilerinizin kurum tarafından işlenme amaçları aşağıdaki gibidir:

a-)Kişisel verilerin, sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,

b-)Yasal mevzuattan doğan hak ve yükümlülüklerin yerine getirilebilmesi,  bir hakkın tesisi, kullanılması veya korunması,

c-)Çalışan ücret, sosyal hak ve yan haklarının planlanması ve ifası, eğitim faaliyetlerinin planlanması,

d-)İlgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla kurumumuzun meşru menfaatleri için kişisel verilerin saklanmasının zorunlu olması,

e-)3.şahıslarla yapılan sözleşmelerin ifasında karşılıklı yükümlülüklerin yerine getirilmesi, yasal mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi,

f-)Kurumumuz ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlanabilmesi, mal/hizmet satma – satın alma süreçlerinin yürütülmesi,

g-)İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,

h-) Kurum içi fiziksel mekan güvenliğin sağlanması, ziyaretçi, çalışan, tedarikçi, taşeron, hizmet sağlayıcı kayıtlarının oluşturulması ve takibi,

ı-)Risk yönetimi işlemlerinin icrası/takibi, hukuk işlerinin icrası/takibi,

i-) Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini,

j-) Bilgilerinin tutarlılığına ilişkin denetimin sağlanması, denetim faaliyetlerinin yürütülmesi,

k-) Bilgi teknolojileri alt yapısının oluşturulması, yönetilmesi ve güvenliğinin sağlanması,

l-)Memnuniyet veya şikayet yönetimini sağlamak,

m-)İş/staj başvurularının Personel Daire Başkanlığı birimince değerlendirilmesi ve sonuçlandırılması

Bu kapsamda kişisel veriler fiziki ve/veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde (mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi ya da İlgili Kişilerin açık rızasının bulunması halinde) saklanmaktadır.

Ayrıca saklanan kişisel veriler Kanun’ un 8/2 ve 9/2 maddeleri uyarınca yukarıda belirtilen amaçlarla sınırlı olmak kayıt ve şartıyla kurumumuz ve direkt ve dolaylı iştirakleri başta olmak üzere; yurt içindeki ve yurt dışındaki iş ortaklarıyla, tedarikçilerle, alt işverenlerle, hissedarlarla, iştirakler ve bağlı ortaklıklarla, sigorta şirketleriyle, topluluk şirketleriyle ve yetkili kamu kurum ve kuruluşlarıyla, lojistik firmalarıyla, etkinlik şirketleriyle, denetim şirketleriyle, bankalarla ve sair iş ortaklarıyla, dışarıdan hizmet alınan üçüncü kişilerle, hukuken yetkili özel kişi ve kurumlar ile paylaşılabilecek ve yurt dışına aktarılabilecektir.

4.6 KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER

Kişisel verilerin kurumumuz tarafından re ’sen veya İlgili Kişinin talebi üzerine silinme, yok edilme, anonim hale getirilmesini gerektiren sebepler aşağıdaki gibidir: 

a-)Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b-)Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

c-)KVVK’ nın 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

d-)Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

e-)İlgili kişinin, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

f-)Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g-)Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmamasıdır.

4.7 SAKLAMA ve İMHA SÜRELERİ

Kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda belirtilen ölçütlerden yararlanılmaktadır: 

a-)Kişisel verinin saklama ve imhasında işbu Politika’ da ve buna göre hazırlanacak envanterde belirlenen süreler uygulanır. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında bendi kapsamında işlem yapılır. 

b-) Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla yapılacak işlemler;

  • Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının kurumumuz nezdindeki önem derecesine göre belirlenir.
  • Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu (Verinin saklanmasında kurumumuzun meşru bir amacının olup olmadığı) sorgulanır. Saklanmasının KVKK’ nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
  • Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir

Saklama süresi dolan kişisel veriler, imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’ da yer verilen usullere uygun olarak imha edilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak kanunda daha az bir süre belirtilmemiş olmak kaydıyla en az 10 yıl süreyle saklanır. Kanunda daha uzun bir süre öngörülmüş olması halinde bu süre boyunca saklanır.

4.8 SAKLAMA ve İMHA USULÜ

I- KAYIT ORTAMLARI

Elektronik ortamlar:

  • Yazılımlar
  • Dijital/sanal kayıt sistemleri
  • Bordro
  • Mobil cihazlar (telefon, tablet)
  • Kişisel bilgisayarlar (Masaüstü, dizüstü)
  • Optik diskler (CD, DVD ...)
  • Harici bellekler ( USB , Hafıza kartı…)
  • Yazıcı, tarayıcı, fotokopi makinesi

Fiziksel (elektronik olmayan) ortamlar:

  • Birim Dolapları
  • Arşiv
  • Dosya
  • Manuel veri kayıt sistemleri (Anket formu, iş başvuru formu, staj başvuru formu, ziyaretçi giriş defteri, revir defteri, protokol defteri …)

 II- İDARİ ve TEKNİK TEDBİRLER 

KVKK’ nın 12. Maddesine göre; “Veri sorumlusu,

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

           Bu ilkeler çerçevesinde,

a-İdari Tedbirler: 

  • Saklanan kişisel verilere kurum içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
  • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar veya mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir. Kişisel verilere erişimi olan personeller ile gizlilik taahhütnameleri imzalanmaktadır.
  • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
  • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik disiplin süreci başlatılır.
  • İlgili Kişilere karşı aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Erişim, bilgi güvenliği, veri kullanımı, saklama ve imha konusunda kurumsal politika oluşturulmuştur.
  • Verbis ’e kaydı yapılmıştır. 

b-Teknik Tedbirler 

a-) Kurum içerisinde bulun tüm sistemlerde güncel anti-virüs sistemleri kullanılır. Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

b-) Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.

c-) Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

d-) Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar. Yetki matrisi oluşturur.

e-) Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak

şekilde sağlanır.

III-KİŞİSEL VERİLERİN İMHA USULLERİ

Kişisel Verilerin Silinmesi Yöntemleri

Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her

türlü teknik ve idari tedbirlerin alınması.

Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir. 

Kişisel Verilerin Yok Edilmesi Yöntemleri

De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. USB, taşıyıcı bellek gibi harici depolama cihazlarında bu yöntem kullanılmaktadır.

Fiziksel Yok Etme: Kağıt ortamındaki verilerin yok edilmesi bu şekilde gerçekleştirilmektedir.

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini engelleyen yöntemdir. Bilgisayar verileri için bu yöntem uygulanmaktadır.

Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir.

Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler

herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin; çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik

oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi

sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, boy değerlerinin olduğu bir veri grubunda (+/−) 5 cm sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır. 

IV-KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ

     

4.9 DİĞER HUSUSLAR

İşbu Politika ile KVVK ve sair ilgili diğer mevzuat hükümleri arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır. Üniversitemiz tarafından hazırlanan işbu Politika 01/12/2024 tarihinde yürürlüğe girmiştir. Politika’ da değişiklik olması durumunda, Politika’ nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecek, önceki tarihler işlenen veriler Politika’ ya uygun hale getirilecektir.

5.0 SORUMLULUK

Bilgi güvenliği yöneticisi; bu prosedürün amaç bölümünde yer alan tüm faaliyetlerle ilgili olarak bölümler arası koordinasyonu sağlamaktan ve takibini yapmaktan sorumludur. Kapsam içindeki tüm bölümler; bu prosedür de belirtilen maddelerin eksiksiz uygulanmasından sorumludur.

ADRES ve TELEFON
Kayseri Üniversitesi
+903524323838 03525043837 kvkk@kayseri.edu.tr
Bölüm / Program
Copyright © 2018 - 2025 / Tasarım & Yazılım Geliştirme: Kayseri Üniversitesi Bilgi İşlem Daire Başkanlığı / Web Grubu