BİTLİS EĞİTİM VE TANITMA VAKFI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI
POLİTİKASI
1.GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI
Vakfımız Bitlis Eğitim ve Tanıtma Vakfı (Bundan böyle “BETAV” veya “Vakıf” olarak ifade edilecektir) olarak 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘’KVK Kanunu’’ olarak ifade edilecektir) ve ilgili mevzuat uyarınca kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.
2.POLİTİKA’NIN AMACI ve KAPSAMI
İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Öğrenci, Aday Öğrenci, Veli, Aday Öğrenci Velisi, Mezunlar başta olmak üzere kişisel verileri Vakfımız tarafından işlenen kişileri bilgilendirmektir. Bu şekilde Vakfımız tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere işbu Politika’nın EK 2 (“EK 2- Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.
3. TANIMLAR VE KISALTMALAR
KISALTMA |
TANIM |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun/KVKK |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Kurum |
Kişisel Verileri Koruma Kurumu |
Kurul |
Kişisel Verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri Sahibi/İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik |
28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
4. GÖREV VE SORUMLULUKLAR
BETAV’ın verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler veri işleyen olarak kabul edilecektir. Kişisel verilerin BETAV adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde ise veri sorumlusu olarak BETAV ile veri işleyen kişiler tedbirlerin alınmasında müştereken sorumlu olurlar. BETAV, veri sorumlusu olarak, kendisi ile kişisel verilerini paylaşan ilgili kişilere sağladıkları güvenin; hizmet sağlayıcı, Ekined Eğitim Bilişim Danışmanlık İç ve Dış Ticaret Sanayi Limited Şirketi (“E-Bursum.com”) tarafından da aynı şekilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin işbu politika uyumunu denetler.
5.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
5.1.Kişisel Verilerin Güvenliğinin Sağlanması
Vakfımız, mevzuata uygun olarak özellikle KVKK m.12 gereğince kişisel verilerin hukuka uygun olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Vakfımız, Kurul tarafından yayımlanmış olan rehberlere uygun olarak Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar yönetim kuruluna bildirilmekte ve yönetim kurulu bu hususlar nezdinde gereken tedbirleri almaktadır.
5.1.1.Kişisel Verilerin Hukuka Uygun Olarak İşlenmesini Sağlamak İçin Alınan İdari ve Teknik Tedbirler
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler:
Vakfımız tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler şunlardır;
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler:
Vakfımız tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
5.1.2.Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan İdari ve Teknik Tebdirler
a.İdari tedbirler.
BETAV tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler şu şekildedir;
b. Teknik tedbirler
BETAV tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler şu şekildedir;
5.1.3.Kişisel Verilerin Güvenli Ortamlarda Saklanması
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Vakıf tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler şu şekildedir;
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Vakıf, tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler şu şekildedir;
5.1.4.Kişisel Verilerin Korunması İçin Alınan Güvenlik Tedbirlerinin Denetiminin Sağlanması
Vakfımız, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları, Kurumun iç işleyişi kapsamında yeniden değerlendirilmekte ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
5.1.5.Kişisel Verilerin Yetkisiz Bir Şekilde İfşasının Gerçekleşmesi Durumunda Alınacak Tedbirler
Vakfımızın işlemekte olduğu kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybetmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.
5.2.Özel Nitelikli Kişisel Verilerin Korunması
Vakfımız tarafından, Kanun ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel verilerin korunması kapsamında kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından uygulanmaktadır ve gerekli denetimler sağlanmaktadır.
5.3. İş Birimlerinin Kişisel Verilerin Korunması Ve İşlenmesi Konusunda Farkındalıklarının Arttırılması Ve Denetimi
Vakfımız, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak hususunda gerekli farkındalığı yaratmaya yönelik çalışmalar yapmakta, gerekli eğitimlerin düzenlenmesini sağlamaktadır.
5.4.İş Ortakları ve Tedarikçilerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
Vakfımız, kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeler yapmaktadır. İş ortaklarıyla kurum arasında akdedilen sözleşme, protokol ve gizlilik anlaşmalarında KVK mevzuatı kapsamında gerekli olan uyarılara ve ikazlara atıf yapılmaktadır.
6. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER
BETAV, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir.
6.1.Hukuka Ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme
BETAV, veri sorumlusu sıfatı ile Anayasa ve KVK Kanunu başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürütmektedir. Bu çerçevede kişisel veriler, Vakfımızın faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
6.2.Kişisel Verilerin Doğruluk Ve Güncelliğini Sağlama
BETAV, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin idari ve teknik mekanizmaları kurmaktadır.
6.3.Belirli, Açık Ve Meşru Amaçlarla İşleme
BETAV, kişisel veriler hukuka uygun olarak işlemekte olup, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
6.4.Kişisel Verileri İşlendikleri Amaç İle Bağlantılı, Sınırlı Ve Ölçülü Olarak İşleme
BETAV tarafından, kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
6.5.İlgili Mevzuatta Öngörülen Veya İşlenme Amacının Gerektirdiği Süre İle Sınırlı Olarak İşleme
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler BETAV tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
7.KİŞİSEL VERİLERİN AKTARILMASI POLİTİKASI
7.1.Kişisel Verilerin Aktarılması
BETAV, gerekmesi halinde hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Vakfımız bu doğrultuda Kanun’un 8.maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Ayrıntılı bilgiye işbu Politika’nın EK 4 (“EK 4- Vakfımız Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları”) dokümanından ulaşılabilir.
Kişisel verilerin aktarılmasının sebepleri şunlardır;
– Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
– Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılmasının gerekli olması,
– Vakfımızın hukuki yükümlülüğünü yerine getirebilmesi için kişisel verilerin aktarılmasının zorunlu olması,
– Kişisel verilerin,veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Vakfımız tarafından aktarılması,
– Kişisel verilerin Vakıf tarafından aktarılmasının Vakıf’ın veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
– Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Vakıf meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması.
Tüm bunların yanında kişisel veriler, yukarıdaki şartlardan herhangi birinin bulunması halinde ve gerekli olması durumunda Vakfımız tarafından; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilecektir. Vakfımız, bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
7.2.Özel Nitelikli Kişisel Verilerin Aktarılması
Vakfımız tarafından gerekli özen gösterilerek; işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul tarafından belirlenen önlemler de dahil her türlü idari ve teknik tedbir alınarak, aşağıdaki şartların varlığı halinde aktarılabilecektir:
Tüm bunların yanında kişisel veriler, yukarıda şartlardan herhangi birinin bulunması halinde Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilecektir.
8.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
8.1.Kişisel Verilerin İşlenmesi Şartları
Kanun’da sayılan istisnalar dışında, Vakfımız ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:
8.2.Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla özel nitelikli kişisel veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın işlenebilmektedir.
Sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
8.3.Kişisel Veri Sahibinin Aydınlatılması
BETAV, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
9. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ
BETAV tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama sürelerinin tespiti için;
Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
BETAV tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde BETAV tarafından re’sen veya İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.
a.Kişisel Verilerin Silinmesi
BETAV tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Vakfımız tarafından, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınacaktır.
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç şu şekildedir;
Kişisel verilerin silinme yöntemleri ise şu şekildedir;
b.Kişisel Verilerin Yok Edilmesi
BETAV tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler yok edilebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
1)Yerel Sistemler Üzerindeki Kişisel Veriler için Kişisel verilerin yok edilmesi yöntemleri şu şekildedir;
2)Çevresel Sistemler Üzerindeki Kişisel Veriler için Kişisel verilerin yok edilmesi yöntemleri şu şekildedir;
3)Kâğıt ve Mikrofiş Ortamlarındaki Kişisel Veriler için Kişisel verilerin yok edilmesi yöntemi şu şekildedir;
Kalıcı ve fiziksel ortam üzerine yazılı olan kişisel verilerin yok edilmesi için ortamın kâğıt imha veya kırpma makineleri ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmesi gerekir.
4)Bulut Ortamındaki Kişisel Veriler için Kişisel verilerin yok edilmesi yöntemi şu şekildedir;
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
c.Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Vakfımız, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Anonimleştirilmesi yöntemleri şu şekildedir;
a)Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirme yöntemleridir.
b)Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlayan yöntemlerle mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.
c)Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler
Anonim hale getirilmiş veri kümelerinde kayıtlardaki bazı değerlerin tekil senaryolarla bir araya gelmesi sonucunda, kayıtlardaki kişilerin kimliklerinin tespit edilmesi veya Kişisel Verilerine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmektedir.
11. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
11.1.Kişisel Veri Sahiplerinin Hakları
Kişisel veri sahipleri aşağıda belirtilen haklara sahiptirler;
11.2.Kişisel Veri Sahiplerinin Haklarını Kullanması
Veri sahiplerinin KVK Kanunu’nun 13’üncü maddesinin 1’inci fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini, aşağıdaki yöntemlerle Vakfımıza iletmesi gerekli ve yeterlidir;
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname aslı ibraz edilmelidir.
Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.
Söz konusu başvurular ücretsizdir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulca belirlenen tarifedeki ücret alınabilir.
12. BİTLİS EĞİTİM VE TANITMA VAKFI’NIN BAŞVURULARA CEVAP VERMESİ
12.1. BETAV’ın Başvurulara Cevap Verme Süresi Ve Usulü
Kişisel veri sahibinin, bu bölümün 12.2. başlıklı kısmında yer alan usule uygun olarak talebini Vakfımıza iletmesi durumunda Vakfımız talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi sonuçlandıracaktır.
İlgili kişi tarafından yapılan talepler veri sorumlusu temsilcisi tarafından kabul veya gerekçesi açıklanarak reddedilir ve yazılı veya elektronik ortamda cevap bildirilir. Başvurunun kabul edilmesi halinde BETAV tarafından gereği yerine getirilir ve BETAV’ın hatasından kaynaklanması halinde alınan ücret ilgili kişiye iade edilir.
Kişisel verilerinin işlenmesi/ değiştirilmesi/ silinmesi talebine ilişkin bazı durumlarda hukuki yükümlülüklerden dolayı veya KVKK’nın 5. ve 6. maddeleri uyarınca belirlenmiş diğer nedenler doğrultusunda talebe olumlu yanıt verilmemektedir. Bu durumda verilecek ret cevabında sebepleri ayrıntılı bir şekilde gerekçelendirilerek hukuki dayanağı bildirilecektir.
Başvurunun BETAV tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; ilgili kişinin cevabı öğrendiği tarihten itibaren 30 gün ve her durumda başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunma hakkı bulunmaktadır.
12.2. BETAV’ın Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
BETAV başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Vakfımız kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek için, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
12.3. BETAV’ın Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Vakfımız aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir;
13.KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
13.1. Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
Vakfımız güvenliğin sağlanması amacıyla, binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.
13.2. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
Vakfımız, bina ve tesislerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir.
BETAV, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır. Vakfımız tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Ayrıca, BETAV, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
BETAV tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda BETAV çalışanının erişimi bulunmaktadır.
KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
13.3. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
BETAV tarafından, güvenliğin sağlanması ve işbu Politika’da belirtilen amaçlarla, binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Vakıf binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Vakfımız nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
14. BİTLİS EĞİTİM VE TANITMA VAKFI, KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Vakfımız tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesinin ve Kişisel Verilerin Korunması ve İşlenmesi Standardı’nın yürürlüğünün sağlanması amacıyla yönetim yapısı kurulmuştur.
Vakfımız bünyesinde işbu Politika ve bu Politika’a bağlı ve ilişkili diğer Politikaları yönetmek üzere Vakıf üst yönetiminin kararı gereğince Kişisel Verilerin Korunması
Komitesi (“Komite”) kurulmuştur.
Bu Komite’nin görevleri şu şekildedir;
EK-1. KİŞİSEL VERİ İŞLEME AMAÇLARI
EK-2. KİŞİSEL VERİ SAHİPLERİ
KİŞİSEL VERİ SAHİBİ KATEGORİSİ |
AÇIKLAMASI |
Öğrenci/Kullanıcı |
E-Bursum ile veya Vakfımız ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Vakfımızın sunmuş olduğu hizmeti kullanan veya kullanmış olan gerçek kişiler |
Aday Öğrenci |
E-Bursum aracılığıyla ya da diğer başvuru yollarıyla burs başvurusunda bulunmuş gerçek kişiler |
Ziyaretçi |
Vakfımızın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
Çalışan |
Vakfımız bünyesinde çalışan gerçek kişiler |
Aday Öğrenci Velisi |
E-Bursum aracılığıyla ya da diğer başvuru yollarıyla burs başvurusunda bulunmuş gerçek kişilerin velileri |
Veli |
Vakfımız bünyesinde burs alan öğrencilerin velileri |
Kefil |
E bursum aracığıyla burs almış öğrencinin geri ödeme yükümlülüğünü kabul etmiş kişi |
EK-3. KİŞİSEL VERİ KATEGORİLERİ
KİŞİSEL VERİ KATEGORİZASYONU |
AÇIKLAMALAR |
Kimlik Bilgisi |
Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus bilgileri, doğum yeri, doğum tarihi, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi v.b. bilgiler |
İletişim Bilgisi |
İletişim bilgileri; telefon numarası , adres, e-mail adresi, faks numarası gibi bilgiler |
İşlem Güvenliği Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen IP adresi, (sistem giriş bilgileri) log in credentials, E-Bursum’un hizmet verirken eriştikleri kaynakların loglanması gibi kişisel veriler |
Müşteri İşlem Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler; Kişiyle ilişkilendirilen müşteri no, müşteri gelir bilgisi, müşteri meslek bilgisi, araç plakası, araçla ilgili bilgiler, eğitim bilgisi gibi |
Fiziksel Mekan Güvenliği |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi |
Finansal Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; vakfın kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, vergi dairesi verisi, malvarlığı verisi, gelir bilgisi gibi veriler |
Özel Nitelikli Kişisel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; 6698 Sayılı Kanunun 6ıncı maddesinde belirtilen veriler; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Aile Bireyleri ve Yakını Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Kurumla çalışma ilişkisi içerisinde olan gerçek kişilerin ayrıca öğrencilerin veya aday öğrencilerin aile bireyleri ve yakını bilgisi için temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri; kişisel veri sahibinin eş ve çocuklarının ad ve soyadı, yakının telefon numarası gibi. |
Görsel ve İşitsel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları, ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Talep/Şikayet Yönetimi Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Vakfımıza veya E-Bursum’a yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
EK-4. ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Vakfımız, veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.
Aktarımda bulunulan kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir. Bu kişi ve Kurumlar;
a- Ekined Eğitim Bilişim Danışmanlık İç ve Dış Ticaret Sanayi Limited Şirketi (“E-Bursum.com”)
b- Gerçek kişiler veya özel hukuk tüzel kişileri
c- Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları,
VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI |
TANIMI |
İŞLENEN VERİLERİN AKTARIM AMACI |
Ekined Eğitim Bilişim Danışmanlık İç ve Dış Ticaret Sanayi Limited Şirketi (“E-Bursum.com”) |
Vakfımızın faaliyetleri çerçevesinde birlikte öğrencilerin ve aday öğrencilerin burs başvuru işlemlerini gerçekleştirmek, burs kazanan öğrencilerin işlemlerini yerine getirmek gibi amaçlarla anlaştığı şirketi tanımlamaktadır. |
Vakfımızın faaliyetleri çerçevesinde öğrencilerin ve aday öğrencilerin başvuru işlemlerinin ve burs kazanan öğrencilerin işlemlerinin yerine getirilmesini temin etmek amacıyla sınırlı olarak. |
Gerçek veya Özel Hukuk Tüzel Kişileri |
İlgili mevzuat hükümlerine göre Vakfımızdan bilgi ve belge almaya yetkili gerçek veya özel hukuk tüzel kişileri |
İlgili gerçek kişilerin ve özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak. |
Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları |
İlgili mevzuat hükümlerine göre Vakfımızdan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları. |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak. |
EK-5 VERİ KONUSU KİŞİ GRUPLARI İLE BU KİŞİLERE AİT VERİ KATEGORİLERİNİN İLİŞKİLENDİRİLMESİ
KİŞİSEL VERİ KATEGORİZASYONU |
İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ KATEGORİSİ |
Kimlik Bilgisi |
|
İletişim Bilgisi |
|
İşlem Güvenliği Bilgisi |
|
Müşteri İşlem Bilgisi |
|
Fiziksel Mekan Güvenliği |
|
Finansal Bilgi |
|
Özel Nitelikli Kişisel Veri |
|
Aile Bireyleri ve Yakını Bilgisi |
|
Görsel ve İşitsel Veri |
|
Talep/Şikayet Yönetimi Bilgisi |
|
Tarihte önemli bir kültür ve eğitim şehri olan Bitlis son yüzyıl başından itibaren yaşanan savaşlar, istikrarsızlıklar ve halen devam eden göçlerle nüfusunun önemli bir bölümünü, kültürel ve iktisadi canlılığını yitirmiştir.
Haseki Sultan mah. Cevdetpaşa Cad. No.77-85 Fındıkzade/Fatih/İSTANBUL
+90 (212) 635 35 13
+90 (212) 587 35 15
+90 (212) 635 11 17
istanbul@betav.org.tr