1. AMAÇ ve KAPSAM Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanuna dayalı olarak çıkarılmış olan 30224 sayılı Resmî Gazete’ de 28.10.2017 tarihinde yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. ve 6. maddeleri gereği kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelikte belirtilen sair yükümlülüklerin yerine getirilmesi için belirlenen usul kuralları ve sorumlulukları belirlemektir. Bu politika tüm verileri, üniversite personelini, üniversite yöneticilerini ve kişisel veri paylaşımı söz konusu olan tüm üçüncü şahısları, dış hizmet sağlayıcıları ve hukuki ilişkiye girilen gerçek ve tüzel kişileri kapsamaktadır. 2. TANIMLAR Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. Kişisel Verilerin Silinmesi: Verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Kişisel Verilerin Yok Edilmesi: Verilerin hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. 3. KVK KOMİTESİNİN GÖREV VE YETKİLERİ Kişisel Verileri Koruma Komitesi’nin görev ve yetkileri işbu politikanın ilgili birimlere duyurulmasının ve gerekli olan hususların yerine getirilmesinin takibini yapmaktır. Kişisel Verileri Koruma Komitesi; verilerin korunmasına ilişkin tüm mevzuat değişikliklerini, kurulun düzenleyici işlemleri ile kararlarını, mahkeme kararlarını veya süreç, uygulama ve sistemlerdeki değişiklikleri takip eder ve ilgili birimlere bildirir. Gerekiyorsa ilgili birimlerin iş süreçlerinin güncellenmesini sağlar. 4. VERİLERİN İŞLENME ŞARTLARININ ORTADAN KALKMASI DURUMUNDA YAPILACAKLAR 4.1. Kanun’un 5. ve 6. maddesinde yer alan kişisel verilerin işlenme şartlarının ve amacının tamamının ortadan kalkması, açık rızanın geri alınmış olması, aynı maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, ilgili birim tarafından, yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında, uygulanacak olan yöntemin gerekçesi ile birlikte kişisel veriler silinir, yok edilir veya anonim hale getirilir. Kesinleşmiş bir mahkeme kararı var ise, bu mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır. 4.2. Tüm kullanıcılar tarafından işlemeyle ilgili şartların ortadan kalkıp kalmadığını en geç altı aylık periyodlar içerisinde veriyi işlene veya saklayan tüm kullanıcılar, kullandıkları veri kayıt ortamlarında gözden geçirecektir. Veri sahibinin başvurusu ya da kurulun- mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bağlı kalmaksızın kullandıkları veri kayıt ortamlarında bu kontrolden geçirmeyi yapacaklardır. 4.3 Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi uhdesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir.Tereddütlü durumlarda komiteden ve ilgili birimden görüş alınarak, işlem yapılacaktır. Merkezi Bilgi Sistemlerinde yer alan çok paydaşlı verilerin imhasına yönelik karar alınması gerektiğinde, Kişisel Verileri Koruma Komitesinin görüşü alınarak ve söz konusu kişisel verinin saklanmasına veya silinmesine, yok edilmesine veya anonim hale getirilmesine karar verilecektir. 4.4. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle yapılan bütün işlemler kayıt altına alınır ve bu kayıtlar, hukukî yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. 4.5. Yönetmeliğin 7. maddesinin 4. fıkrası gereğince veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yönetmeleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. 4.6. Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi gereğince alınması gereken teknik ve idari tedbirlere, mevzuat hükümlerine, kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur. 4.7 Kişisel veri sahibi, kanunun 13. maddesine istinaden kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığı ilgili birim tarafından incelenir. İşleme şartlarının tamamı ortadan kalkmışsa; verileri silinir, yok edilir veya anonim hale getirilir. Veri İmha Prosedüründe belirlenmek üzere ilgili kişinin talebi; başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır ve ilgili kişiye ilgili birim aracılığıyla bilgi verilir. İşleme şartlarının tamamı ortadan kalkmış ve veriler üçüncü kişilere aktarılmışsa, ilgili birim bu durumu derhal üçüncü kişiye bildirir ve üçüncü kişiden yönetmelik gereğince gerekli olan işlemlerin yapılmasını temin eder. 4.8. Kanunun 13. maddesinin 3. fıkrası gereğince veri işleme şartlarının tamamının ortadan kalkmadığı durumlarda, veri sahiplerinin verilerinin silinmesi veya yok edilmesine yönelik talepleri gerekçesi açıklanarak reddedilebilir. Ret cevabı en geç 30 gün içerisinde yazılı olarak ya da elektronik ortamda talebi yapan kişiye bildirilir. 4.9. Kişisel verilerin silinmesi ya da yok edilmesine yönelik taleplerin değerlendirilmesi ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla yapılabilir. 5. POLİTİKANIN YÜRÜRLÜĞE KONULMASI, İHLAL DURUMLARI ve YAPTIRIMLAR 5.1. Bu politika tüm birimler, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için yürürlüğe girdiği an itibari ile bağlayıcıdır. 5.2. Politikanın gereklerinin yerine getirilip getirilmediği birim yöneticilerinin sorumluluğundadır. Politikaya aykırılık halinde konu derhal ilgili çalışanın yöneticisi tarafından bir üst yöneticiye bildirilecektir. Aykırılığın önemli boyutta olması halinde ise üst yönetici tarafından derhal Kişisel Verileri Koruma Komitesine bilgi verilecektir. 5.3. Politikaya aykırı davranan çalışan hakkında gerekli idari işlem yapılacaktır. 5.4. Politikanın yerine getirilmesi için; YÖK’ ün öngördüğü tedbirler ve PCI/DSS standartları da dahil olmak üzere tüm güvenlik önlemleri alınmaktadır. 6. KİŞİSEL VERİLERİN SAKLANMASI ve İMHA SÜREÇLERİNDE YER ALACAK KİŞİLER ve SORUMLULUKLARI Tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları, kişisel verileri saklayan ve işleyen herkes kanun, yönetmelik ve bu politikadaki gerekleri yerine getirmekten sorumludur. Her birim/departman kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür. Ancak verinin iş biriminin kontrolü ve yetkisi dışında sadece bilgi sistemlerinde bulunması durumunda, bilgi sistemlerinden sorumlu birimler bu veriyi saklayacaktır. İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına, yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, verinin türü ve içinde yer aldığı sistemler ile dikkate alınarak bilgi sistemleri birimleri tarafından yapılacaktır. 7. VERİLERİ SAKLAMA VE İMHA SÜRELERİ Aşağıda bulunan Ek Tablo 1, Verileri Saklama ve İmha Sürelerini gösterir. Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde saklama ve imha süreleri dikkate alınır. Tabloda kişisel veri envanterinde yer alan süreçler, tereddüt halinde Kişisel Verileri Koruma Komitesinin görüşleri de alınarak güncellenmektedir. 8. PERİYODİK İMHA SÜRELERİ Kişisel Verileri Periyodik İmha Süresi ilgili birimler tarafından tespit ve tayin edilir ancak her hâlükârda bu süre 6 (altı) ayı geçemez. 9. YÜRÜRLÜK 9.1. Politika, yayınlandığı tarihten itibaren yürürlüğe girer. 9.2. Politikanın duyurulmasından ve gerekli güncellemelerin yapılmasından Kişisel Verileri Koruma Komitesi sorumludur. EK TABLO 1: VERİLERİ SAKLAMA ve İMHA SÜRELERİ Aksi kesinleşmiş bir mahkeme kararı veya ihtiyati tedbir kararı olmadıkça politikanın 4. maddesi dikkate alınarak kişisel veriler tabloda belirtilen süreler boyunca saklanacak, daha sonra imha edilecektir. Borçlar Kanunu 146. madde gereğince zamanaşımı süresi 10 yıl Tüm ilgili mevzuat gereği Tüm ilgili mevzuatta belirtilen süreler Kişisel verinin bir suça konu veya ilişkili olması durumunda, TCK 66. ve 68. maddeler gereğince Dava ve Ceza zamanaşımı süreleri