KVKK Aydınlatma Metni
Kişisel Verilerin Korunması KanunuKişisel Verilerin İşlenmesi ve Korunması
Anayasanın 20. maddesinde “Özel hayatın gizliliği ve korunması” hakkının gereği olarak “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir.
Anayasanın amir hükmü çerçevesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiş ve kanunun uygulanması bakımından türev mevzuat olan yönetmelikler ve kurul kararları yayımlanmıştır. Mezkur kanun kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.
Hacettepe Üniversitesi, veri sorumlusu sıfatıyla KVKK kapsamında işlenen kişisel verilerin güvenliğine önem verilmektedir. Kişisel veriler, veri işleme amacı geçerli olduğu sürece saklanmaktadır. Saklanan, kaydedilen verilerin kaybolmaması, yetkisiz kişilerin eline geçmemesi ve hukuka aykırı kullanımların önlenmesi için gerekli güvenlik önlemleri alınmaktadır.
Hacettepe Üniversitesi KVKK Komisyonu Üyeleri
| Üye Adı | Görevi / Birimi |
|---|---|
| Doç. Dr. Oytun CANYAŞ | Genel Sekreter Vekili (Başkan) |
| Prof. Dr. Necla ÖZER | Sağlık Hizmetleri Birimi |
| Mustafa Gökhan GÜZEL | Bilgi İşlem Daire Başkanlığı |
| Özkan AY | Öğrenci İşleri Daire Başkanlığı |
| Dr. Öğr. Üye. Ertuğrul AKÇAOĞLU | Hukuk Fakültesi Öğretim Üyesi |
| Şahin DİNÇER | Personel Daire Başkanlığı |
| Murat KARAAĞAÇ | Strateji Geliştirme Daire Başkanlığı |
| Fatma Ceren TÜRKMEN DUMAN | İdari ve Mali İşler Daire Başkanlığı |
| Mustafa KESKİN | Kütüphane ve Dökümantasyon Daire Başkanlığı |
| Hülya KÖSE | Sağlık Kültür ve Spor Daire Başkanlığı |
| Muhittin KİRAZLI | Yapı İşleri Daire Başkanlığı |
Hacettepe Üniversitesi KVKK Envanter Hazırlama Grubu Üyeleri
| Üye Adı | Birim |
|---|---|
| Ahum BARBAROS | Bilgi İşlem Daire Başkanlığı |
| Süleyman KAHRAMAN | Destek Hizmetleri Müd. (Beytepe) |
| Hatice ALTIN | Döner Sermaye İşletme Müdürlüğü |
| Cevahir SALİHOĞLU | İdari ve Mali İşler Daire Başkanlığı |
| Ekrem BULUT | Koruma ve Güvenlik Müdürlüğü (Beytepe) |
| Rıdvan ACA | Koruma ve Güvenlik Müdürlüğü (Sıhhiye) |
| Çiğdem TOPUZ | Kütüphane ve Dokümantasyon Daire Başkanlığı |
| Gülfem GÖKMEN | Öğrenci İşleri Daire Başkanlığı |
| Cemalettin BACI | Personel Daire Başkanlığı |
| Alaatin ARAS | Sağlık Hizmetleri Birimi |
| Fatih TÜRKERİ | Sağlık Kültür ve Spor Daire Başkanlığı |
| Cüneyt YILMAZ | Strateji Geliştirme Daire Başkanlığı |
| Kenan KORKMAZ | Yapı İşleri ve Teknik Daire Başkanlığı |
A. Tanımlar
- Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
- Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
- İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
- Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
- Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
B. Kişisel Verilerin İşlenmesi Temel İlkeler
Hacettepe Üniversitesi hem iç, hem de dış prosedürlerinde, KVKK’nın 4. maddesi doğrultusunda kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
- Hukuka ve dürüstlük kuralına uygunluk
- Doğruluk ve güncellik
- Belirli, açık ve meşru amaçlarla işleme
- Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
- Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
C. Kişisel Verilerin İşlenme Şartları
KVKK’nın 5. maddesine uygun olarak Hacettepe Üniversitesi tarafından kişisel verilerin işlenme süreçleri KVKK ve ilgili mevzuat belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir:
- İlgili kişinin açık rızasının bulunması
- Kanuni gereklilikler nedeniyle verilerin işlenmesi
- Fiili imkânsızlık nedeniyle ilgili kişinin rızasını açıklayamayan veya rızasına hukuki geçerlilik tanınamayan kişinin verilerinin işlenmesinin kendisinin veya başkasının hayatı veya beden bütünlüğünün korunması için işlenmesinin zorunlu olması
- Bir sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişi tarafından alenileştirilen kişisel verilerin işlenmesi
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan verilerin işlenmesi
- Veri sorumlusunun meşru menfaatleri için kişisel verilerin işlenmesi
D. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
KVKK’nın 6. Maddesi gereği kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Hacettepe Üniversitesi çalışanlarının kişisel veriler bakımından özel nitelikli veri işlememesi temel prensiptir. Hacettepe Üniversitesi, aşağıdaki kanuni istisnalar ile yükümlülükler saklı kalmak kaydıyla öğrencilerin ve ziyaretçilerin özel nitelikli kişisel verilerini işlememeyi temel kural ve prensip edinmiştir.
Ana prensibin istisnaları aşağıdaki gibidir:
- İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi: Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır.
- İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri ile Öngörülmesi Sebebiyle İşlenmesi: Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK hükmü doğrultusunda işlenebilecektir. Bu durumda Üniversite tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.
- Sağlık ve Cinsel Hayat ile İlgili Özel Nitelikli Kişisel Verilerin İşlenmesi: KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi, açık rızalarının bulunması koşuluna bağlanmış, açık rızanın bulunmadığı hallerde ise ancak koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz konusu kişisel verilerin işlenebileceği düzenlenmiştir.
- Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler: Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği şifreli erişimle yetkisiz girişi ve siber saldırıları engelleme başta olmak üzere gerekli teknik ve idari tedbirler alınır.
E. Kişisel Verilen Hangi Amaçla İşlenebileceği
Toplanan kişisel veriler, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dahilinde kalmak kaydıyla aşağıdaki amaçlarla işlenebilecektir:
- Üniversitemizin ve Üniversitemiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; Üniversitemizin akademik süreçlerinin ve iş stratejilerinin belirlenmesi ve uygulanması,
- Üniversitemizin akreditasyon ve değerlendirme çalışmaları, kamu düzeni ve güvenliğinin sağlanması, çağrı merkezi ve telefon iletişiminde verim ve kalitenin artırılması, şiddetin önlenmesi, akademik rehberlik faaliyetleri,
- Üniversitemizin iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülükleri kapsamında (Acil durum listeleri, analiz raporları vb.),
- Üniversitemizin insan kaynakları politikalarının yürütülmesinin temini kapsamında (Etkili eğitim yönetimi, performans denetimi, kariyer gelişimi, yurt dışı görevlendirmeler vb.),
- Üniversitenin akademik iç mevzuatından doğan yükümlülüklerini yerine getirmesini temin kapsamında, kamu kurumlarına bildirim yapılması,
- İç yönetmeliklerden doğan gerekliliklerin yerine getirilmesi, disiplin kayıtları, hastalık raporlarının nedenlerinin toplanması,
- Üniversitenin eğitim politikaları ve süreçlerinin etkin ve modern biçimde planlanması ve icra edilmesi,
- Üniversite tarafından sunulan ürün ve hizmetlerden ilgili kişileri/öğrencileri faydalandırmak amacı ile gerekli çalışmaların yapılması,
- Üniversitenin ve öğrencilerin hukuki, ticari, iş güvenliğinin temini.
F. İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel veriler KVKK ve türev mevzuatın cevaz verdiği ve gerekli olduğu ölçüde; Yükseköğretim Kanunu, İş Kanunu, SGK Kanunu ve diğer ilgili mevzuat hükümlerinin izin verdiği kurum veya kuruluşlara, Kişisel Verileri Koruma Kurumu, YÖK, Bakanlıklar gibi kamu tüzel kişilerine ve üniversite olarak faaliyetlerimizi yürütmek üzere hizmet aldığımız iş ortaklarımıza 6698 sayılı Kanunun 8. ve 9. maddelerinde belirtilen şartlar dahilinde aktarılabilecektir.
G. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Üniversite tarafından farklı kanallar ve farklı hukuki sebeplere dayanarak; Üniversite eğitim-öğretim faaliyetlerinin etkin biçimde planlanması ve yürütülmesi amacıyla, fiziki ve elektronik ortamda toplanmaktadır.
H. Kişisel Verilerin Aktarılması
KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir. Ana kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. İstisnai durumlar kanunla belirlenmiştir.
I. Kişisel Verilerin Yurt Dışına Aktarılması
KVKK’nin 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Rıza verilmesi veya kanuni istisnalar halinde, güvenli ülke listesi dikkate alınarak aktarım yapılabilir.
J. Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi
Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması ile ilgili kişinin talebi veya bizzat Üniversite tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.
K. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi bhim@hacettepe.edu.tr adresine iletebilirsiniz. Bu kapsamda sahip olduğunuz haklar şunlardır:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.