Kişisel Verilerin Koruması Kanunu

HASAN KALYONCU ÜNİVERSİTESİ BİLGİ GÜVENLİĞİ YÖNERGESİ

  1. Amaç

İşbu Bilgi Güvenliği Yönergesi (“Yönerge”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumlusu sıfatını haiz Hasan Kalyoncu Üniversitesi (“Kurum”) nezdinde işlenen kişisel veri niteliğindeki verilerin korunması için bilgi güvenliği kapsamında uyulması gereken usul ve esasların belirlenmesi amacıyla düzenlenmiştir.
Yönerge, Senato/Rektörlük tarafından yürürlüğe sokulur ve gerektiğinde güncellenir. Yönerge, Kurum’un Senato/Rektörlük tarafından yetkilendirilen Kişisel Veri Koruma Komisyonu (“Komisyon”) tarafından uygulanır.

  1. Bilgi Güvenliği

Bilgi güvenliği, Kurum’daki işlerin sürekliliğinin sağlanması, Kurum’un faaliyetlerinde meydana gelebilecek aksaklıkların engellenmesi veya azaltılması ve bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
a) Gizlilik
Bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanmakta olup, başka bir deyişle bilgiye yetkisiz kişilerce ulaşılmasını veya bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesini hedefler.
b) Bütünlük
Bilginin, kasten veya ihmal ile yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı, bilginin içeriğinin korunarak bozulmamış olmasını hedefler.
c)Kullanılabilirlik
Bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olmasını hedefler. Bu unsur, herhangi bir sorun halinde bile bilginin erişilebilir olmasını gerektirmekte olup, bu erişim, kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesine göre, her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

  1. Yönerge’nin Kapsamı

İşbu Yönerge, Kurum bilgi işlem altyapısını kullanmakta olan tüm birimleri kapsar. 

  1. Uygulama

Kurum yönetimi, Kurum’un iş faaliyetlerinin en az kesinti ile devam etmesini ve kişisel verilerin hukuka uygun işlenmesini sağlamak ve herhangi bir kişisel veri ihlalini önlemek için bilgi işlem hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziki ve dijital verilerin bilgi güvenliğini sağlamayı hedefler.
Söz konusu hedef doğrultusunda Komisyon, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlemek amacıyla hangi yazılım ve servislerin çalıştığını; güvenlik yazılımı mesajları; erişim kontrolü kayıtları ile diğer raporlama araçlarını düzenli olarak kontrol eder. Zafiyet taramaları ve sızma testlerinin yapılması sonucu ortaya çıkan güvenlik açıklarına dair testlerin sonuçlarını değerlendirerek gerekli idari ve teknik önlemleri alır. İstenmeyen olaylar yaşanması durumunda Kurum, söz konusu olay hakkındaki delilleri toplayarak güvenli bir şekilde saklanmasını sağlar.
Kurum, yukarıdakiteknik ve idari tedbirler kapsamında çalışanlar ve öğrencilerin uyması için standartlar ve kurallar belirlemekte olup, bunlar aşağıdaki gibidir.
a) E-Posta Kullanma Kuralları

  • Kurum’un elektronik posta sistemi, kullanıcının şahsi sosyal medya (facebook, twitter, instagram vb.) hesapları ve/veya herhangi bir kişisel uygulama için ve/veya kişisel amaçlar ile kullanılamaz.
  • Kötü amaçlı, spam, sahte vs. nitelikteki zararlı elektronik postalara yanıt yazılmamalı, bu elektronik postalara iliştirilmiş her türlü çalıştırılabilir dosya içeren elektronik postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
  • Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen elektronik postaların sahte elektronik posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın işbu elektronik postalar derhal silinmelidir.
  • Çalışanlar ve öğrenciler, Kurum’un elektronik posta sistemi aracılığıyla uygun olmayan içerikleri (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler.
  • Çalışanlar ve öğrenciler, elektronik posta ileti ve her türlü mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Elektronik posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır.
  • Kurum çalışanları ve öğrenciler, kurumsal elektronik postaların Kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görünmesi ve okunmasını engellemekten sorumludurlar.
  • Kaynağı bilinmeyen elektronik posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmeli olup, bu şekilde gelen elektronik postalar Bilgi İşlem departmanına bildirilmelidir.
  • Kullanıcılar kendilerine ait elektronik posta adresinin şifresinin güvenliğinden sorumludurlar. Şifrelerin kırıldığını fark ettikleri andan itibaren Kurum’un Bilgi İşlem departmanı ve Kişisel Verileri Koruma Komisyonu ile temasa geçip onlara durumu haber vermekle yükümlüdürler.
  • Kurum’dan ayrılan personel, kurumsal elektronik posta sistemini kullanmaya devam edemez. Elektronik posta adresine sahip kullanıcının birim değiştirme, işten ayrılma gibi herhangi bir sebeple önceden çalışmakta olduğu birim veya Kurum ile ilişkisinin sona ermesi durumunda elektronik posta sisteminde gerekli değişiklikler yetkililer tarafından Bilgi İşlem departmanına en kısa zamanda bildirilir ve yapılan bildirim üzerine ilgili hesap silinir, yok edilir veya ilgili personelin hesaba erişimi engellenerek yalnızca yetkili kişilerin ulaşacağı şekilde arşivlenir.

b) İnternet Kullanım Politikası

  • Hiçbir kullanıcı, Kurum’un tavsiye ettiği veri paylaşım yöntemi dışındaki bir veri paylaşım kanalını kullanamaz. (Örneğin; Bittorent, iMesh, eDonkey, Aimster vb. peer-to-peer bağlantı yollarını içeren programlar kullanılamaz.)
  • Kurum faaliyetleri kapsamında farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecek olması durumunda çalışanlar, bağlantılarının SSL ya da Bilgi İşlem departmanı tarafından belirlenecek olan daha güvenli bir yol ile gerçekleştirilmesinden sorumludur.
  • Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde mesajlaşma ve sohbet programları gibi mesajlaşma programları kullanılamaz.
  • Hiçbir kullanıcı özel amaçlı olarak internet üzerinden Multimedia Streaming (Video, müzik ve iletişim vb. için) yapamaz.
  • Kurum kapsamında yürütülen faaliyetler ile ilgili olmayan (müzik, video dosyaları) yüksek hacimli dosyalar göndermek, (upload) indirmek (download) veya böylesi dosyaları bilgisayarlarda saklamak yasaktır. Buna ek olarak, iş ile ilgisi olmayan ve kişilere ait görsel ve işitsel içerikler Kurum’un veri depolama sistemlerine aktarılamaz, bu sistemlere kaydedilemez veya bu sistemlerde tutulamaz. Böyle bir işlemden, kişinin kendisi sorumlu olacak olup herhangi bir kişisel veri ihlalinde Kurum sorumlu tutulamayacaktır.
  • İnternet üzerinden Kurum’un Bilgi İşlem departmanı tarafından onaylanmamış yazılımlar indirilemez ve Kurum sistemleri üzerine bu yazılımlar kurulamaz, kullanılamaz.
  • Kurum ağlarından ve bilgisayarlarından genel ahlak anlayışına aykırı internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır.
  • Bilgi İşlem departmanı, iş kaybının önlenmesi için çalışan ve öğrencilerin internet kullanımı hakkında gözlem yapabilir ve bu konuda istatistiksel amaçlarla kullanıcıların işlem hareketlerinin kaydını tutabilir. Gerekli durumlarda internet üzerinde kısıtlamalar yapabilir, çalışan ve öğrencilere uyarıda bulunabilir.
  • Kurum’a ilişkin sistemler üzerinden herhangi bir siyasi içerik ya da propaganda paylaşımı yapılamaz.

c) Genel Kullanım Politikası

  • Bilgisayar başından uzun süreli uzak kalınması durumunda bilgisayar kilitlenmeli ve 3. şahısların bilgi ve kişisel verilere erişimi engellenmelidir. Bilgisayarların, kullanılmama halinde, kilit ekranına geçiş süresi [5] dakika olup, bu sürenin sonunda bilgisayarlar kendiliğinden uyku moduna geçecektir.
  • Kurum verilerini içeren bir bilgisayarın veya taşıyıcının çalınması, kaybolması gibi durumlarda, bu durum derhal ve herhalde en geç [24] saat içinde Bilgi İşlem departmanına ve Komisyon’a bildirilmelidir.
  • Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek Kurum’a veya kişiye yönelik, elektronik bankacılık, hakaret veya siyasi içerikli mail, kullanıcı bilgileri ve bunun gibi saldırılardan kullanıcı sorumlu olacaktır.
  • Kurum bilgisayarları aracılığıyla yasadışı olaylara karışılmamalıdır.
  • Bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi gibi ağ güvenliğini veya ağ trafiğini bozacak (packet sniffing, packet spoofing, denial of service vb.) eylemlere girişilmemelidir.
  • Kurum bilgileri ve bunun kapsayabileceği kişisel veriler, yetkili kişiler dışında ve ilgili kişinin açık onayı olmaksızın üçüncü kişilere aktarılmamalıdır.
  • Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem departmanının onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.
  • Herhangi bir cihaz, yazılım veya veri, Kurum’un faaliyetleri kapsamında gerekli olmadığı sürece izinsiz olarak Kurum dışına çıkarılmamalıdır. [Gerekli olduğu takdirde ise, [Bilgi İşlem departmanı] bu hususta bilgilendirilecektir.]
  • Kurum’un kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları kullanmak yasaktır.
  • Bilgi İşlem departmanı, yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığını düzenli olarak kontrol eder ve kullanılmayan yazılım ile servislerin silinmesini sağlar. Kurum tarafından yasaklanmış veya herhangi bir sebeple silinerek kullanımdan kaldırılmış yazılım, donanım ve/veya servislerin çalışan ve öğrenciler tarafından Kurum bilgisayarları üzerinden kullanılması yasaktır.
  • Çalışan ve öğrenciler, kendilerine tahsis edilen ve Kurum çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki gerek kurumsal gerek kişisel verilerin güvenliğinden sorumludur. Bu doğrultuda, çalışanlar ve öğrenciler Kurum’un uygulamaya koyduğu politika, yönerge ve talimatlar doğrultusunda gerekli fiziki ve teknik önlemleri alır ve uygular.
  • Bilgi İşlem departmanı kullanıcıya haber vermeksizin, Kurum’un faaliyetlerinin ve verilerinin güvenliğini sağlamak amacıyla, yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir, gereken teknik veya idari tedbirleri uygulayabilir.
  • Kurum tarafından çalışanlara tahsis edilen cihazlarda ve bilgisayarlarda oyun ve eğlence amaçlı programlar kullanılamaz, çalıştırılamaz ve bu tarz program ve uygulamalar Kurum bilgisayarlarına kopyalanamaz.
  • Bilgisayarlar üzerinden Kurum’un faaliyetleri kapsamında gerekli olanlar haricinde dosya alışverişinde bulunulmamalıdır.
  • Kurum’da Bilgi İşlem departmanının bilgisi olmadan ağ sisteminde (Web Hosting, E-Posta Servisi vb.) sunucu niteliğinde olan bilgisayar ve cihaz bulundurulmamalıdır.
  • Bilgi İşlem departmanının bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmemelidir.
  • Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Lisanssız yazılımı Kurum tarafından kendisine tahsis edilen bilgisayarında barındıran çalışan veya Kurum bilgisayarını kullanan öğrenci veya çalışan, bu durumdan kendisi sorumludur.
  • Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde mutlaka şifre kullanım kurallarına göre hareket edilmelidir.
  • Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, problem hakkında ivedilikle Bilgi İşlem departmanına ve Kişisel Verileri Koruma Komisyonu’na haber verilmelidir.

d) Antivirüs Politikası

  • Antivirüs yazılımı yüklü olmayan bilgisayar, ağa bağlanmamalı ve hemen Bilgi İşlem departmanına konu ile ilgili olarak haber verilmelidir.
  • Zararlı programları (virüsler, solucanlar, truva atı, e-posta bombaları vb.) Kurum bünyesinde oluşturmak ve dağıtmak yasaktır.
  • Hiçbir kullanıcı, herhangi bir sebepten dolayı Kurum tarafından kurulumu yapılmış olan antivirüs programını sistemden kaldıramaz ve bilgisayara başka bir antivirüs yazılımını kuramaz.
  • Antivirüs yazılımlarını her daim güncel tutulacak olup, kullanıcıların söz konusu yazılımların güncelliğini etkileyecek işlemlerde bulunması yasaktır.
  1. Şifreleme

Şifreleme, bilgisayar ve her türlü veri kayıt cihazı güvenliği için önemli bir özellik olup, kullanıcı hesapları için ilk güvenlik katmanıdır.  Zayıf seçilmiş bir şifre, ağ güvenliğini tümüyle riske atabilir. Güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkındaki standartlar ve uyulması gereken kurallar aşağıda belirtilmiştir.
a) Şifre Kullanma Kuralları

  • Uluslararası kabul gören şifreleme programları kullanılmalıdır.
  • Kullanılan şifreler, kolayca kırılamayacak güce sahip olmalıdır.
  • Şifreler (elektronik posta ve bilgisayar veya veri kayıt cihazına giriş için kullanılan her türlü şifre) en az [6] ayda bir değiştirilmelidir.
  • Şifreler elektronik posta iletilerine veya herhangi bir elektronik forma yazılmamalı ve eklenmemeli, başkası ile paylaşılmamalı, fiziki ya da elektronik ortamlara yazılmamalıdır.
  • Herhangi bir kişiye telefonda veya herhangi bir iletişim aracıyla şifre verilmemelidir.
  • Şifreler, işten uzakta olunan zamanlarda dahi iş arkadaşlarıyla paylaşılmamalıdır.
  • Şifre [3] defa üst üste yanlış girildiğinde bilgisayar kilitlenmelidir.
  • Çoklu giriş yapılan bilgisayarlara giren personellere şifre kullanımı ve kişisel veri güvenliği hakkında uyarılar yapılmalıdır.
  • Mutlaka ekran kilidi kullanılmalı ve ekranın [5] dakika hareketsiz kalması halinde ekran kilidi devreye girmelidir.
  • Kurum bünyesinde kullanılan şifreler kurum dışında (bankacılık işlemleri vb.) herhangi bir şekilde kullanılmamalıdır.
  • Değişik sistemler için farklı şifreleme kullanılmalıdır (örneğin, Unix sistemler için farklı şifre, Windows sistemler için farklı şifre kullanılmalıdır).
  • Herhangi bir kimse şifre isteğinde bulunursa, kişi işbu Yönerge referans gösterilerek Bilgi İşlem departmanı ile Kişisel Verilerin Korunması Komisyonu’na yönlendirilmelidir.
  • Uygulamalarda ve browser’lardaki “şifre hatırlama” özellikleri seçilmemelidir.

b) Şifre Oluşturma Kuralları

  • Şifre; küçük ve büyük karakterler (a-z, A-Z) ile rakam ve semboller (0-9, !’^+%&/()=?_;* gibi) içermelidir.
  • Şifre en az sekiz karakterden oluşmalıdır.
  • Şifre oluşturulurken kolayca tahmin edilebilecek kombinasyonlardan kaçınılmalıdır.
  • Şifre kırma ve tahmin etme operasyonları belli aralıklar ile yapılabilir. Güvenlik taraması sonucunda şifreler tahmin edilirse veya kırılırsa kullanıcıdan şifresini değiştirmesi talep edilir.

c) Yasak İşlemler 

  • Herhangi bir kişiye telefonda şifre vermek.
  • Elektronik posta mesajlarında şifre belirtmek.
  • Üst yöneticiler ile şifre paylaşmak.
  • Başkaları önünde şifreler hakkında konuşmak.
  • Aile isimlerini şifre olarak kullanmak.
  • Herhangi bir form üzerinde şifre belirtmek.
  • Şifreleri aile bireyleri ile paylaşmak.
  • Şifreleri işten uzakta olunan zamanlarda iş arkadaşlarına bildirmek.

d) Uygulama Geliştirme Standartları

  • Uygulama geliştiricileri programları, veri bütünlüğünü bozma riskini minimize edecek nitelikte olup bireylerin (grupların değil) kimlik doğrulaması işlemini destekleyebilmelidir.
  • Uygulama geliştiricileri programları, şifreleri ‘text’ olarak veya kolay anlaşılabilir formda saklamamalıdır.
  • Uygulama geliştiricileri programlarının girdilerinin doğruluk ve uygunluk denetimini sağlamak amacıyla kontrol mekanizması yerleştirilmelidir.
  • Uygulama geliştiricileri programları ile kural yönetim sistemi desteklenmelidir. Örneğin; bir kullanıcı diğer bir kimsenin şifresini bilmeden fonksiyonlarına devam edebilmelidir.

e) Uzaktan Erişim ve Aktarım

  • Kurum’un bilgisayar ağına uzaktan erişimi tek yönlü şifreleme algoritması veya güçlü şifrelerle yapılmalıdır.
  • Uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
  • Kurum’un bilgisayar ağ bakım onarım gibi teknik sebeplerle uzaktan erişime veya dışarıdan personel erişimine açılacağı zaman kişisel veri koruma önlemleri alınmalıdır. Bu kapsamda kişisel veri içeren dokümanlar şifrelenerek bu dosyalara yetkisiz kişilerin erişimi engellenmelidir.
  • Bakım onarım gibi sebeplerle kişisel veri içeren cihazların üçüncü kişilere gönderilecek olması durumunda cihazlardaki veri saklama ortamları sökülerek güvenli bir yerde saklanmalıdır.
  • Kurum faaliyetleri kapsamında üçüncü kişilere aktarılacak kişisel veriler, dikkatli bir şekilde ve Kurum’un belirleyeceği gerekli tedbirler alınarak gönderilmelidir.
  1. Yedekleme ve Bulutta Depolama
  • Kurum, çalışan ve öğrencilerin Kurum faaliyetleri kapsamında kullandığı elektronik cihazlardaki verileri kötü amaçlı yazılımlara karşı yedeklemekte olup, herhangi bir şekilde bir veri kaybı durumunda yedeklenen veriler faaliyete geçirilecektir.
  • Yedeklenen verilere yalnızca sistem yöneticilerinin erişim yetkisi olup, yetkisiz kişilerce yedeklenmiş verilere erişilmesi yasaktır.
  • Kişisel veri içeren fiziksel ortamdaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazlar ek güvenlik önlemlerinin olduğu başka bir odaya alınmalı, kullanılmadığı zaman kilit altında tutulmalı ve kullanım halinde oda giriş çıkış kayıtları tutulmalıdır. Bu fiziksel güvenlik önlemlerine ek olarak yedeklenen elektronik ortam ve cihazlardaki veri setler, ağ dışında muhafaza edilerek yedeklenen verilerin siber güvenliği de sağlanmaktadır.
  • Bulutta depolanan kişisel verilerin içeriği detaylıca belirlenmeli, senkronizasyonu sağlanmalı ve bu veriler, kriptografik yöntemlerle şifrelenerek güvenli bir ortamda yedeklenmelidir.
  • Bulut bilişim hizmet ilişkisi sona erdiğinde; bulutta depolanan kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarları ve bunların tüm kopyaları yok edilmelidir.
  1. Kişisel Veri İçeren Ortamların Güvenliği

Kurumyerleşkesi içinde ve dışında yer alan ve Kurum bünyesinde kişisel veri içeren fiziksel ortamlar (kağıt vb.) için fiziksel güvenlik önlemleri alınmalı, elektronik ortam ve cihazlar için ise ağ bileşenleri arasında erişimin sınırlandırılması veya bileşenlerin ayrılması yoluyla kişisel verilerin güvenliği sağlanmalıdır. Fiziksel güvenlik önlemleri, Kurum’un Dosya ve Arşiv Talimatı, Kişisel Verilerin Korunması ve İşlenmesi Politikası, Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Kişisel Verileri Saklama ve İmha Politikasında belirtilmektedir.

  1. Sunucu Güvenliği
  • Kurum bünyesindeki bütün dahili sunucuların yönetiminden sistem yöneticileri sorumludur. Sunucu konfigürasyonları sadece bu kişiler tarafından yapılacaktır.
  • Bütün sunucular ve mobil cihazlar Kurum’un cihaz envanterinde kayıtlı olmalıdır. Envanter en az aşağıdaki bilgileri içermelidir:
  1. Sunucuların yeri ve sorumlu kişi.
  2. Donanım ve işletim sistemi.
  • Ana görevi ve üzerinde çalışan uygulamalar.
  1. İşletim sistemi versiyonları.
  • Kurum bünyesinde izin verilen bilgi işlem sistemleri haricinde yabancı bir mobil cihaz ya da veri taşıyıcı takılamaz, kullanılamaz.
  • Bütün bilgiler tek bir merkezde güncel olarak tutulmalıdır.

a) Genel Konfigürasyon Kuralları  

  • İşletim sistemi konfigürasyonları Bilgi İşlem departmanının talimatlarına göre yapılacaktır.
  • Kullanılmayan servisler ve uygulamalar kapatılacaktır.
  • Sunucu üzerinde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının ve anti-virüs vb. koruma amaçlı yazılımların sürekli güncellenmesi sağlanmalıdır. Mümkünse, anti virüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmalı, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmalıdır.
  • Uygulama erişimleri için standart güvenlik prensipleri çalıştırılmamalı ve gereksiz servisler açılmamalıdır.

Sistem yöneticileri gerekli olmadığı durumlar dışında “Administrator” ve “root” gibi genel kullanıcı hesapları kullanmamalı, gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmalıdır.

  • Ayrıcalıklı bağlantılar teknik olarak mümkünse güvenli kanal (SSH veya IPSec VPN gibi şifrelenmiş ağ) üzerinden yapılmalıdır.
  • Sunucular fiziksel olarak erişim kontrollü sistem odalarında bulunmalıdırlar.
  • Genel yönetici hesapları yeniden adlandırılmalıdır. Gerekli olduğunda önce kendi hesapları ile log-on olup, daha sonra genel yönetici hesaplarına geçiş yapmalıdırlar.

b) Gözlemleme

  • Kritik sistemlerde oluşan bütün güvenlikle ilgili olaylar loglanmalıdır ve aşağıdaki şekilde saklanmalıdır:
  • Güvenlikle ilgili loglar sorumlu kişi tarafından değerlendirilecek ve gerekli tedbirler alınacaktır. Güvenlik ile ilgili olaylar, aşağıdakiler dahil ancak bunlarla sınırlı olmamak kaydıyla şu şekillerde olabilir:
  1. Port tarama atakları.
  2. Yetkisiz kişilerin ayrıcalıklı hesaplara erişmeye çalışması.
  • Sunucuda meydana gelen mevcut uygulama ile alakalı olmayan anormal olaylar.

c) Uygunluk

  • Denetimler, Komisyon tarafından yapılacak ve/veya yaptırılacak olup, bu denetimlerin sonucu [3] aylık periyodik aralıklarla Kurum Yönetimine yazılı olarak bildirilecektir.
  • Denetimler Bilgi İşlem Departmanı tarafından yönetilecektir.
  • Denetimlerde organizasyonun işleyişine zarar verilmemesi için maksimum gayret gösterilecektir.

d) İşletim

  • Sunucular elektrik ve ağ altyapısı ile sıcaklık ve nem değerleri düzenlenmiş ortamlarda işletilmelidir.
  • Sunucuların yazılım ve donanım bakımları yılda bir yetkili uzmanlar tarafından yapılmalıdır.
  • Sistem odalarına yetkisiz girişler engellenmelidir. Sistem odalarına giriş ve çıkışlar erişim kontrollü olmalıdır.
  1. Kimlik Doğrulama ve Yetkilendirme

Bilgi sistemlerinde kimlik doğrulama ve yetkilendirme konusunda alınması gereken önlemler, uyulması gereken kurallar ve standartlar şunlardır:

  • Kurum sistemlerine erişecek tüm kullanıcıların kurumsal kimlikleri doğrultusunda hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişeceği belirlenecektir.
  • Kurum sistemlerine erişmesi gereken kurum dışı kullanıcılara yönelik ilgili profiller ve kimlik doğrulama yöntemleri tanımlanacaktır.
  • Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenmelidir.
  • Tüm kurumsal sistemler üzerindeki kullanım hakları (kullanıcıların kendi sistemlerine yönelik olarak birbirlerine verdikleri haklar dahil) periyodik olarak gözden geçirilmeli ve gereksinimler ve gerekli minimum yetkinin verilmesi prensibi doğrultusunda revize edilmelidir.
  • Erişim ve yetki seviyelerinin sürekli güncelliği temin edilmelidir.
  • Kullanıcılar, Kurum adına kullanımları için tahsis edilmiş sistemlerin güvenliğinden sorumludurlar.
  • Kullanıcılar kendilerine verilen erişim şifrelerini gizlemeli ve kimseyle paylaşmamalıdır.
  • Sistemlere log-in olan kullanıcıların yetki aşımına yönelik hareketleri izlenmeli ve yetki ihlalleri kontrol edilmelidir.
  • Kullanıcılara erişim hakları yazılı olarak bildirilmeli ve erişim haklarını ihlal eden kullanıcılar için yaptırım uygulanmalıdır.
  • Kullanıcı hareketlerini izleyebilmek üzere her kullanıcıya kendisine ait bir kullanıcı hesabı açılmalıdır.
  1. Yönerge’nin Uygulanması

İşbu Yönerge, Komisyon tarafından uygulanır.

HASAN KALYONCU ÜNİVERSİTESİ KİŞİSEL VERİLERE İLİŞKİN ACİL DURUMLAR YÖNERGESİ

  1. Amaç

İşbu Kişisel Verilere İlişkin Acil Durumlar Yönergesi (“Yönerge”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumlusu sıfatını haiz Hasan Kalyoncu Üniversitesi (“Kurum”) nezdinde işlenen kişisel veri niteliğindeki veriler ile ilgili acil durumlarda uyulması gereken usul ve esasların belirlenmesi amacıyla düzenlenmiştir.
Acil durumlar; Kurum nezdinde tutulan ve işlenen kişisel verilerin saldırıya uğraması, sistemlerin hacklenmesi, içeriden dışarıya bilgi sızdırıldığına ilişkin ciddi endişelerin mevcut olması ve bunun gibi halleri ifade etmektedir.
Yönerge, Mütevelli Heyeti tarafından yürürlüğe sokulur ve gerektiğinde güncellenir.

  1. Acil Eylem Planı

KVKK uyarınca hukuka uygun neden ve yöntemlerle elde edilen kişisel veri niteliğindeki verilerin korunması kapsamında veri güvenliği konusunda görev yapacak Kişisel Verileri Koruma Komisyonu (“Komisyon”), yukarıda belirtilen acil durumlardan biri ile karşılaştığında derhal bütün sisteme müdahale yetkisine sahiptir. Acil durumun çözülmesi için, gerek Kurum içinde gerekse Kurum dışında bulunan resmi ya da yetkin kişi ya da kuruluşlarla işbirliği yapabilir.

  1. Sisteme Müdahele

Kurum, Kişisel Verilerin Korunması ve İşlenmesi Politikası uyarınca bilgi işlem sistemine giriş konusunda yetki kısıtlamalarını yapmış olup, yetkisiz girişleri önlemek için gerekli tedbirleri almıştır.
Kurumun bilgi işlem sistemlerine dışarıdan ya da içeriden bir müdahale ile karşılaşıldığında Komisyon adına Bilgi İşlem Müdürlüğü her türlü gerekli tedbiri alabilecek olup, gerektiğinde sistemin kapatılması da dahil yetki kısıtlamalarına gidebilir. Bilgi İşlem Müdürlüğü, karşılaşılan acil durumu, tehlikeyi, almış olduğu ve sonrasında alınması gereken tüm önlemleri derhal Komisyon’u toplayarak aktarır.
Bilgi İşlem Müdürlüğü ve Komisyon, dışarıdan ya da içeriden sisteme müdahale eden veya etmeye çalışan kişilerin kimlik tespiti için gerekli aksiyonları alır ve işlemleri yapar. Komisyon, söz konusu kişilerin eylemleri ve kimlikleri hakkında derhal Kurumun  [Rektör/Genel Sekreterliği] bilgilendirir ve danışmanlık aldığı hukuk bürosu ile paylaşır.

  1. Fiziki Müdahale

Kurum, Kişisel Verilerin Korunması ve İşlenmesi Politikası uyarınca dosyaların bulunduğu belirli oda, dolap vb. yerlerine giriş konusunda yetki kısıtlamalarını yapmış olup, yetkisiz girişleri önlemek için gerekli tedbirleri almıştır.
Kurum içinden ya da dışından fiziki müdahalenin ve yetkisiz erişimin tespiti halinde, bunu farkeden herhangi bir Kurum çalışanı, Kurum güvenlik amirliği ve kolluk güçlerine derhal haber verir. Söz konusu kişi, eğer kurum çalışanı ise hakkında soruşturma açılır.

  1. Verilerin Dışarıya Sızması

KVKK kapsamındaki kişisel verilerin Kurum bünyesinden dışarıya sızdığına ilişkin bir şüphe ortaya çıkar ise, bu husus derhal Komisyon’a bildirilir ve Komisyon, inceleme yaparak gerekli her türlü tedbiri alır veya alınmasını sağlar. Gerektiği hallerde, Kurumun bilgi işlem sistemi derhal sızma testine tabi tutulur.
Verilerin dışarıya sızdığı tespit edilirse, söz konusu verilerin ne şekilde ve nasıl çıktığı belirlenir. KVKK kapsamında ihlal oluşturacak bir sızma söz konusu ise, bu durum derhal Kişisel Verileri Koruma Kurumu’na bildirilir.

  1. Komisyon’un Toplantıya Çağrılması

Komisyon, ihlalin ve acil durumun niteliğine göre gerekli her türlü önlemi almaya yetkili olup, yetkisi dışındaki işlemler hakkında da Kurum [Rektör/Genel Sekreter] derhal bilgi verir. Komisyon, ihlalin meydana getirdiği ya da getireceği riskler ve Kuruma vermesi muhtemel zararlar hakkında derhal analiz yaptırır ve zararın telafisi ve azaltılması için bir eylem planı hazırlar ve bu planın onaylanması için [Rektör/ Genel Sekreter] sunar.

  1. Kamuoyu Bilgilendirmeleri

Komite, kamuoyundan ya da verisi ihlal edilenlerden gelecek şikâyet ve başvurularda kullanmak üzere bir kurum dili geliştirir ve kurumun en az imaj kaybı ve en az zarar görerek acil durumdan çıkması için gerekli önlemleri alır. Veri ihlali halinde dahi Komisyon, ihlalin ve zararın boyutlarını kurum içinde dahi olsa kimse ile paylaşmaz ve bunun bir kurum sırrı olduğu bilinciyle hareket eder.

  1. Raporlama

Komisyon, meydana gelen her bir acil durumu [Rektör/Genel Sekreter] derhal bildirecek olup; bunun dışında her [3 ayda bir] meydana gelen acil durumlar, alınan ve alınacak tedbirler ve bunların sonuçlarını [Rektör / Genel Sekreter] raporlama yapacak ve varsa önerilerini bildirecektir.
Bunun yanı sıra; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Komisyon, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirilmek üzere Rektör’e bildirecektir.

  1. Yönerge’nin Uygulanması

İşbu Yönerge, Komisyon tarafından uygulanır.

HASAN KALYONCU ÜNİVERSİTESİ KİŞİSEL VERİLERİ KORUMA KOMİSYONU’NUN GÖREV VE YETKİLERİNE İLİŞKİN YÖNERGE

  1. Amaç

İşbu Kişisel Verileri Koruma Komisyonu’nun Görev ve Yetkilerine İlişkin Yönerge (“Yönerge”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumlusu sıfatını haiz Hasan Kalyoncu Üniversitesi (“HKÜ”) nezdinde tutulan ve işlenen kişisel veri niteliğindeki verileri, veri güvenliği kapsamında koruması için atanan sorumluların oluşturduğu Kişisel Verileri Koruma Komisyonu’nun (“Komisyon”) görev ve yetkilerinin belirlenmesi amacıyla düzenlenmiştir.
Yönerge, Yönetim Kurulu tarafından yürürlüğe sokulur ve gerektiğinde güncellenir.

  1. Komisyon’un Oluşturulması

KVKK kapsamında çıkarılan 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik (“Yönetmelik”) madde 11 uyarınca tüzel kişilerde veri sorumlusu tüzel kişinin kendisi olup, Türkiye’de yerleşik olan tüzel kişilerin KVKK kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, KVKK’nın uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilecek olup, HKÜ, ilgili madde uyarınca Komisyon’u oluşturan sorumluları görevlendirmiştir.
HKÜ nezdinde Komisyon; aşağıdaki sayılan kişilerden oluşmaktadır:

  1. Mustafa ÖZTÜRK (Başkan)
  2. Özgül YÜKSEKBİLGİLİ (Üye)
  • Mehmet ARARAT (Üye)
  1. Harun KÜÇÜK (Üye)
  2. Gizem AKBAL (Üye)

Bu görevlendirme KVKK hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmayacaktır.

  1. İrtibat Kişisi

İrtibat kişisi, KVKK uyarınca Türkiye’de yerleşik olan tüzel kişi veri sorumlusunun yükümlülükleriyle ilgili olarak, Kişisel Verilerin Korunması Kurumu ile kurulacak iletişim için veri sorumlusu tarafından Veri Sorumluları Sicili’ne kayıt esnasında bildirilen gerçek kişiyi ifade eder. İrtibat kişisi; KVKK ve Yönetmelik hükümlerine göre temsile yetkili olmayıp, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.
Buna göre, Komisyon içinden bir kişiyi Veri Sorumluları Sicili’ne kaydettirilecek irtibat kişisi tayin edecek olup, işbu Yönerge altında HKÜ’nün irtibat kişisi Gizem AKBAL’dir.

  1. Komisyon’un Görev ve Yetkileri

Komisyon; başta HKÜ nezdinde bulunan kişisel verilerin hukuka uygunluk nedenlerinden birine uygun olarak elde edilmesi, tutulması, korunması ve aktarılması, silinmesi, yok edilmesi ile ilgili bütün tedbirleri alma olmak üzere;

  1. Kişisel Verileri Koruma Kurumu tarafından yapılan tebligat veya yazışmaları HKÜ adına tebellüğ veya kabul etme,
  2. Kişisel Verileri Koruma Kurumu tarafından HKÜ’ye yöneltilen talepleri HKÜ’ye iletme; HKÜ’den gelecek cevabı da Kişisel Verileri Koruma Kurumu’na iletme,
  • Kişisel Verileri Koruma Kurulu tarafından başkaca bir esasın belirlenmemiş olması halinde ilgili kişilerin KVKK madde 13 uyarınca HKÜ’ye yönelteceği başvuruları HKÜ adına alma ve HKÜ’ye iletme,
  1. Kişisel Verileri Koruma Kurulu tarafından başkaca bir esasın belirlenmemiş olması halinde KVKK madde 13 uyarınca HKÜ’nün cevabını iletme,
  2. Kişisel verilerle ilgili ortaya çıkabilecek olan acil durumları Kişisel Verilere İlişkin Acil Durumlar Yönerge’sine uygun olarak çözme ve gerekli tedbirleri alma,
  3. KVKK madde 13 kapsamında ilgili kişilerden gelebilecek olan başvuruları alma, inceleme, süresinde cevap verme ve talepleri karşılama,
  • HKÜ içinde bulunan bütün çalışanları, kişisel verilerin korunması konusunda düzenli aralıklar ile uyarma, bilgilendirme yazıları hazırlama ve uyarılara rağmen kişisel verilerle ilgili verilen görevleri yerine getirmeyen kişilerle ilgili [Genel Müdür’e] bildirimde bulunma,
  • HKÜ adına Veri Sorumluları Sicili’ne ilişkin tüm iş ve işlemleri yapma,
  1. Resmî kurumlardan gelen bilgi ve belge talepleri mevzuata uygunluğu veya mahkeme kararına dayanması halinde karşılama,
  2. HKÜ’nün kurulmasından bugüne kadar, HKÜ nezninde bulunan bütün kişisel verilerin hukuka uygunluğunu kontrol etme ve bunlardan HKÜ düzenlemeleri ve KVKK uyarınca bulundurulması hukuka aykırılık teşkil eden kişisel verileri silme,
  3. Gerek resmî kurumlar gerekse HKÜ Yönetim Kurulu tarafından kişisel veriler ile ilgili olarak çıkarılan tüm düzenlemeleri takip etme ve uygulama, ve
  • HKÜ bünyesinde çalışan tüm çalışanların KVKK ve HKÜ’nün çeşitli politika ve yönergeleri kapsamında öngörülen yükümlülüklere uyup uymadığının denetlenmesi,
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurumu’na bildirilmek üzere Genel Müdür’e bildirilmesi

görev ve yetkilerine sahiptir.
Komisyon’un yukarıda sayılan görev ve yetkileri, bunlarla sınırlı olmayıp, Yönetim Kurulu tarafından ekleme veya çıkarmalar yapılabilecektir.

  1. Raporlama

Komisyon;

  1. [Yılda bir kez] Şirket içinde yaptığı denetim sonucunu,
  2. Her [3 ayda bir] gelen başvurular ve verilen cevapların özetini,
  • Her [3 ayda bir] meydana gelen acil durumlar, alınan ve alınacak tedbirler ve bunların sonuçlarını,

ve varsa bu hususlarla ilgili önerilerini [Genel Müdür/Yönetim Kurulu’na] raporlayacaktır.

  1. Komisyon’un Sorumluluğu

Komisyon, KVKK, ikincil mevzuat ve HKÜ’nün kendi politika ve yönergelerine aykırı hareket etmesi ve görevlerini ihmal etmesi halinde doğacak zararlardan sorumlu olur.

  1. Yönerge’nin Uygulanması

İşbu Yönerge, Komisyon tarafından uygulanır.

HASAN KALYONCU ÜNİVERSİTESİ KİŞİSEL VERİLERE İLİŞKİN YAPILAN BAŞVURULARDA İZLENECEK YÖNTEM HAKKINDA YÖNERGE

  1. Amaç

İşbu Kişisel Verilere İlişkin Yapılan Başvurularda İzlenecek Yöntem Hakkında Yönerge (“Yönerge”), ilgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 11’de düzenlenen haklarını kullanma amacıyla madde 13’te belirtildiği şekilde KVKK uyarınca veri sorumlusu sıfatını haiz Hasan Kalyoncu Üniversitesi’ne (“Kurum”) yaptığı başvurulara ve bu kapsamda ortaya çıkan sorunlara ilişkin çözümlerin ve politikaların belirlenmesi amacıyla düzenlenmiş Yönerge, Senato tarafından yürürlüğe sokulur ve gerektiğinde güncellenir.

  1. Kapsam

KVKK madde 11 kapsamında ilgili kişi; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, KVKK madde 7 çerçevesinde kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltildiğinin veya KVKK madde 7 kapsamında kişisel verilerin silindiğinin ve yok edildiğinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
KVKK madde 13 uyarınca; ilgili kişi söz konusu haklarını kullanmak istediğini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

  1. Başvuru

Kurum, KVKK uyarınca hukuka uygun neden ve yöntemlerle elde ettiği kişisel veri niteliğindeki verilerin korunması kapsamında veri güvenliği konusunda görev yapacak Kişisel Verileri Koruma Komisyonu’nu (“Komisyon”) oluşturmuş olup; Kuruma KVKK madde 13 kapsamında yapılan her türlü başvuru Komisyon tarafından derhal incelemeye alınacaktır.
İlgili kişiler, Kurum tarafından ilgili kişilerin kullanımı için hazırlanmış bulunan başvuru formunu aşağıdaki şekillerde gönderir:

  1. Kurum’un Havalimanı yolu üzeri 8. Km Şahinbey/Gaziantepadresine şahsen (başvuru yapanın bizzat gelerek kimliği ile birlikte başvuru formunu doldurması) gelinmesi,
  2. Kurum’un Havalimanı yolu üzeri 8. Km Şahinbey/Gaziantepadresine noter veya iadeli taahhütlü posta aracılığıyla gönderilmesi, veya
  • Kurum’un info@hku.edu.trkayıtlı elektronik posta adresine güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresinin kullanılarak gönderilmesi.

Başvuruda; ilgili kişinin aşağıdaki bilgilerinin yer alması zorunludur:

  1. Ad, soyad ve imza
  2. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası (yabancı kimlik numarası)
  • Tebligata esas yerleşim yeri veya iş yeri adresi
  1. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası
  2. Talep konusu

Kurumumuza yukarıda belirtilen yollar üzerinden iletilmiş olan başvurularda Komisyon, herhangi bir eksiklik veya yanlışlık tespit eder ise, bu eksikliklerin ve eksiklik veya yanlışlıkların giderilmesini en çok [5] güniçinde ilgili kişiden isteyecek olup, ilgili eksiklik veya yanlışlık giderildiğinde derhal başvuruyu cevaplandırmak üzere incelemeye alacaktır.
Belirtilen yollar dışında iletilen başvurulara cevaben, Komisyon, başvurunun yukarıda belirtilen yollar ile yapılması gerektiği yazılı olarak belirtecektir.

  1. Başvuru İnceleme Süresi

Tam ve eksiksiz doldurulan bir başvuru formunu alan Komisyon, formun ulaştığı tarihten itibaren en geç 30 (otuz)gün içinde ilgili kişiye yazılı cevabını hazırlayacaktır.
Posta ile gönderilen başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih; diğer yöntemlerle yapılan başvurularda ise başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihi olarak esas alınacaktır.

  1. Başvuru Cevaplarının İçeriği

Kurum, 30356 sayılı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
Komisyon, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.
Başvuru cevabında, yapılan başvurunun özeti ve kişinin başvuru formunda KVKK madde 11 kapsamında kullanmak istediğini belirttiği hak uyarınca detaylı bilgiye yer verilir. Bu cevabın, Kurum’un bilgilerini, başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu ve Kurumun başvuruya ilişkin açıklamalarını içermesi zorunludur.
Başvuruya ilişkin açıklamalarda, kişiye ait kişisel verinin Kurum kayıtlarında bulunup bulunmadığı, üçüncü kişilere aktarılıp aktarılmadığı ve nasıl işlendiği açıklanır. Başvuru sahibinin verilerinin hangi üçüncü kişilere aktarıldığı sorusu varsa bu da cevaplanır.
Başvuru sahibinin eksik veya yanlış işlenen kişisel verilerinin düzeltilmesini talep etmesi halinde, bu talep hakkında kendisine bilgi verilir ve yerine getirilip getirilmediği kendisine bildirilir.
Başvuru sahibinin verilerinin silinmesi talebi varsa, silinip silinmediği, silinme talebi karşılanmayacak ise neden karşılanmadığı gerekçeleri ile açıklanır. 

  1. Başvuru Cevabının Gönderim Şekli

Komisyontarafından hazırlanan cevap yazısı, başvuru sahibinin formda belirttiği şekilde gönderilecektir. Gönderim şekli, başvuru formunun ekindeki ‘Başvuru Sahibinin Beyanı” başlıklı yazıda belirtilmiş olup, aşağıdaki gibidir:

  1. İlgili kişinin adresine postalanması
  2. Elektronik ortamdan ilgili kişinin elektronik posta adresine gönderilmesi
  • Başvuru sahibinin şahsen elden teslim alması

Başvuru sahibi, Başvuru Sahibinin Beyanı’nda elden teslim alma seçeneğini işaretlemiş ise, vekaleten teslim alınması durumunda noter tasdikli vekaletname veya noter tasdikli yetki belgesi olması gerekmektedir. Bu gereklilik aile yakınları için de geçerlidir. 

  1. Başvuru Cevabının Maliyeti

İlgili kişinin başvurusuna verilecek cevaptan sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.
Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

  1. Şikayet

Başvurunun reddedilmesi, ilgili kişi tarafından verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, Kurum’un cevabını öğrendiği tarihten itibaren 30 (otuz)ve her hâlde başvuru tarihinden itibaren 60 (altmış) güniçinde Kişisel Verilerin Korunması Kurulu’na şikâyette bulunabilecektir. Bu nedenle gelen başvuruların özenle incelenerek süresinde cevaplandırılması gerekmektedir.
9.Yönetime Bildirim
Herhangi bir ilgili kişinin kişisel verisinin KVKK uyarınca hukuka uygunluk nedenleri bulunmadan elde edildiği, işlendiği veya üçüncü kişilere aktarıldığı tespit edildiği takdirde, bu durum Komisyontarafından derhal yazılı şekilde ve mevcut ilgili belgeler ile [Rektör/Genel Sekretere] bildirilecektir.
Aynı zamanda, ilgili kişi ile temasa geçilerek zararın oluşup oluşmadığı incelenecek ve nasıl telafi edilebileceği sorgulanacaktır. [Rektör/Genel Sekreter] ile mutabık kalınarak gerektiği takdirde, şifahi bir özür beyanı ve dostane bir çözüm aranacaktır.
Komisyon, her [3 ayda bir]gelen başvurular ve verilen cevaplarla ilgili, [Rektöre ] raporlama yapacak ve varsa önerilerini bildirecektir.

KVKK Kitapçığı

www.hku.edu.tr'yi kullanarak Gizlilik ve Veri Güvenliği Politikamızı ve Çerez Politikamızı kabul etmektesiniz.