Avrupa Konseyi bünyesinde hazırlanarak 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, ülkemiz tarafından 28 Ocak 1981 yılında imzalanmış olmasına karşın, uzun süre onaylanmamıştır. Avrupa Birliği kriterlerine uyum çerçevesinde uzun yıllar çalışılarak hazırlanmış olan Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
Avrupa Birliği yasalarına uyum çerçevesinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlamaktadır. KVKK’ nın yürürlüğe girmesi ile birlikte bireylerin kişisel verileri, yasal düzenleme ile koruma altına alınmıştır. Kanun içerik olarak, kişisel verilerin tanımlanması ve sınıflandırılması, kişisel verilerin işlenmesi, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerinin belirlenmesi, şikâyet başvuru usulleri gibi hususları düzenlemektedir.
Kişisel Verilerin Korunması Kanunu’nun “Kapsam” başlıklı 2. maddesinde Kanun’un kapsamı düzenlenmiştir. Buna göre Kişisel Verilerin Korunması Kanunu “kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Kanunun gerekçesinde de belirtildiği gibi, Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Kanunun uygulaması bakımından kamu ve özel sektör ayrımı yapılmamış olup, düzenlenen usul ve esaslar her iki sektör bakımından da uygulama alanı bulmaktadır.
KVKK 7. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince ilgili mevzuata uygun olarak işlenen verilerin, işlenme amacının ortadan kalkması ile resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
KVKK 12. Madde gereğince üçüncü şahısların da, işbu Politika ve KVKK hükümleri çerçevesinde verileri hukuka uygun olarak işleme, muhafaza etme ve erişme yükümlülükleri vardır ve aykırı durumlarda sorumludur. Üniversite bu nedenle, üçüncü kişilere bu şartların sağlanması ve kendisine denetim yapma yetkisinin verilmesini içeren taahhütler hazırlar.
Bu bağlamda Üniversite bu yükümlülüğü yerine getirmek üzere farklı sistemler kurmuş, tüm personelini KVKK çerçevesinde bu yükümlülük hakkında bilgilendirmiş, sistemlerin denetimini yapmak üzere ilgili personeli belirlemiş ve Üniversitenin Kalite Web Sitesinde yayınlanmak üzere prosedürlerini oluşturmuştur.
Üniversite’nin ilgili departmanları tarafından yapılan verilerin işleme faaliyetleri kapsamında “Kişisel Veri Envanteri” hazırlanmıştır. ISO 27001 belgesi için gerekli eğitimlere başlanmış, verilerin toplanmasından silinmesine kadar olan tüm süreçler gerekli idari yapı, donanım ve yazılım ile altyapısı oluşturulmuştur. Kişisel Veri Sorumlusu Ekibi tüm takiplerden, güncellemelerden, denetimlerden ve raporlamalardan sorumludur.
Tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri saklayan ve işleyen herkes Kanun, Yönetmelik ve bu Politikadaki gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür; ancak verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, bilgi sistemlerinden sorumlu birimler bu veriyi saklayacaktır. İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, verinin türü ve içinde yer aldığı sistemler ile dikkate alınarak bilgi sistemleri bölümlerince yapılacaktır. Bilgi İşlem Koordinatörlüğü bilgi sistemleri üzerinden silinen ancak kontrol dışı veri tabanında kalan kişisel verilerin kanuna aykırı bir şekilde kullanılmayacağını beyan ve taahhüt eder.
Üniversite, gerekli olacak tüm doküman ve evrakları düzenleyerek her bir personeline ulaştıracak ve gerekli eğitim seminerlerini düzenleyip katılım belgelerini özlük dosyalarına koyacaktır.
Üniversite, kişisel veri içeren her türlü belgeyi hukuka uygun olarak işlenmesi için KVKK çerçevesindeki yükümlülüklere uygun hareket edileceği, verilerin ifşa edilmeyeceği, verilere ilişkin gizlilik yükümlülüğünün Üniversite ile personel arasındaki iş akdinin sona ermesinden sonra dahi devam edeceği, tüm bu yükümlülüklere uyulmadığı takdirde iş akdinin feshine kadar gidebileceği bir yaptırımın uygulanacağı işbu Politika ile kayıt altına almış ve personelini bilgilendirmiştir.