Gizlilik Politikası

FAKÜLTE YENİ NESİL KÜTÜPHANE KAFE LİMİTED ŞİRKETİ

KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI (GİZLİLİK POLİTİKASI)

1. Amaç

Fakülte Yeni Nesil Kütüphane Kafe Limited Şirketi, (“Fakülte”) Türkiye’nin farklı bölgelerindeki şubeleri ve franchiseları ile öğrencilere ve profesyonellere sessiz ve sesli çalışma ortamlarıyla birlikte kafe imkanı de sağlayan, bünyesindeki “fdeneme” ve “fdeneme.com” marka ve hizmetleriyle öğrencilerin sınavlarına deneme sınavları aracılığıyla hazırlığına yardımcı olan modern bir kütüphane işletmesidir.

Bu amaçtan hareketle, bu Kişisel Veri İşleme, Saklama ve İmha Politikası’yla (“Gizlilik Politikası”) birlikte Fakülte nezdinde işlenen ve işlenecek tüm kişisel verilerin bu politikada belirlenen kurallar dahilinde işlenmesinin gerçekleştirilerek Fakülte’nin hem KVKK hem de GDPR nezdinde uyumlu bir şekilde faaliyetlerine devam etmesi ve bu kapsamda olabilecek risklerin minimize edilmesi hedeflenmekte; bu Kişisel verilerin; KVKK, GDPR ve uluslararası anlaşmalar ile bunların ikincil mevzuatlarına uyumlu bir şekilde işlenmesi ve korunmasını sağlamak için izlenecek yöntem ve ilkeler düzenlenmektedir.

2. Kapsam

Fakülte, anayasal bir hak olarak düzenlenen kişisel verilerin korunması ve hukuksal güvence altına alınması konularında, sorumluluklarının farkındadır ve Fakülte nezdinde işlenen tüm kişisel verilerin güvenli bir şekilde işlenmesine önem vermektedir.

Gizlilik Politikası, Fakülte’nin veri sorumlusu ve/veya veri işleyen olarak dahil olduğu tüm süreçlerde uygulanacaktır. Fakülte çalışanları ile birlikte ortak bilgi paylaşımı olan diğer üçüncü kişi ve şirketler de de aynı kapsamda değerlendirilecektir.

Bu Gizlilik Politikası, Fakülte tarafından, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde, ilgili detaylı politika ve prosedürler ve ekli belgeler ile birlikte uygulanmaktadır.

3. Tanımlar

Açık Rıza : Kişisel verilerin işlenmesine ilişkin, bilgilendirilmeye dayanan, özgür iradeyle açıklanan ve ilgili kişi tarafından verilen rıza

Anayasa : 9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası

GDPR : General Data Protection Regulation (EU) 2016/679

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü̈ bilgi

Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi ve Yok Edilmesi:

Anonimleştirme; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemi

Silinme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Yok edilme; kişisel verilerin hiç̧ kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

KVK Kurulu : Kişisel Verilerin Korunması Kurulu

KVK Kurumu : Kişisel Verilerin Korunması Kurumu

KVKK : 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Fakülte : Veri sorumlusu ve/veya veri işleyen olarak hareket eden olan Fakülte Yeni Nesil Kütüphane Kafe Limited Şirketi

Veri İşleyen : Veri sorumlusunun organizasyonu dışında, veri sorumlusundan aldığı yetki ve talimat doğrultusunda gerçek kişilere ait kişisel verileri işleyen gerçek ve/veya tüzel kişiler

Veri Sahibi ve/veya

İlgili Kişi : Fakülte tarafından kişisel verisi işlenen tüm gerçek kişiler

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu yukarıda belirtilen Veri sorumluları

Periyodik İmha : Kanunda yer alan kişisel verilerin islenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

4. Politikanın Uygulanması

Bu Gizlilik Politikası, içerdiği şartlara ek olarak belirlenen veya en azından bu politika ile aynı standartlarda kişisel verilerin korunmasını sağlayan Fakülte’nin farklı politika, prosedür ve metinlerindeki veri koruma şartlarını geçersiz kılmaz.

Bu Gizlilik Politikası, ek şartlar içermesi veya kişisel verilerin korunması için daha yüksek standart talep etmesi durumunda Fakülte’nin farklı politikalarındaki ilgili veri koruma şartlarını geçersiz kılar.

Fakülte’nin, veri işleme ve veri güvenliği ile bağlantılı diğer metinleri aşağıdaki gibidir. İşbu Gizlilik Politikası’ndaki tanım ve kısaltmalar uygun oldukları ölçüde bu belge ve metinler için de geçerlidir.

Diğer Bağlantılı Belgeler

  1. Aydınlatma Metinleri
    1. Kişisel Verilerin Korunması Aydınlatma Metni (fdeneme.com)
    2. Kişisel Verilerin Korunması Aydınlatma Metni (Deneme Uygulama Merkezi)
    3. Kişisel Verilerin Korunması Aydınlatma Metni (fakulteynk.com)
    4. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan)
    5. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan Adayı)
  2. Gizlilik ve Kabul Metinleri
  3. Veri Sahibi Başvuru Formu
  4. Deneme Uygulama Merkezi Kuralları
  5. Web Siteleri Kullanıcı Sözleşmeleri

Kişisel verilerin işlenmesi ve korunması sürecinde yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacaktır. Mevzuat hükümleri ile Gizlilik Politikası hükümleri arasında çelişki bulunması halinde Fakülte, güncel mevzuat hükümlerinin geçerli olacağını kabul etmektedir.

Gizlilik Politikası, Fakülte hizmetlerinin ilgili mevzuat tarafından ortaya konulan kurallara göre düzenlenmesinden oluşturulmuştur.

Veri sorumlusu olarak Fakülte;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilerin hukuka aykırı olarak aktarılmasını önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin güvenliği sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Verilerin korunması ile ilgili olarak Fakülte’nin yükümlülüklerinin ana kaynağı KVKK, GDPR ve bağlantılı ikincil mevzuatlardır.

5. Kişisel Verilerin Korunmasına Yönelik Hususlar ve İşlenen Kişisel Veriler

Fakülte Bünyesinde işlenen kişisel verilerin tespiti amacıyla Fakülte tarafından Kişisel Veri İşleme Envanteri hazırlanmıştır.

Fakülte bünyesinde envanterde belirtilenler dışında başkaca verilerin işlenmesi esasen yasaktır. Ancak Fakülte’nin faaliyetleri için yeni veri grubunun işlenmesinin zorunlu ve/veya gerekli olması durumunda yeni veri grubu önceden envanterde gerekli ekleme yapılarak işlenebilir.

Envanterde Fakülte tarafından işlenen veriler faaliyet bazında kategorilere ayırılmıştır. Bu kapsamda Fakülte bünyesinde veri işleme yapılan faaliyetler; kullanıcı olarak websitelerine kayıt olmanız, üyelik sözleşmesinin kurulması, Fakülte’nin kütüphanelerinden üyelik satın almanız, fdeneme.com websitesi üzerinden satın aldığınız jetonlarla birlikte Deneme Uygulama Merkezleri’nde gerçekleştirilecek Deneme Sınavı’na katılım hakkının elde edilmesi, satın alınan pakete göre Sınavza üyeliğinin oluşturulması, ticari elektronik ileti izni vermeniz durumunda e-posta adresinize ticari elektronik iletilerin gönderilmesinden ibarettir.

Buna ek olarak, Fakülte bünyesinde halihazırda çalışanlar ve çalışan adaylarıyla iş sözleşmelerinin kurulabilmesi ve ifası, avukatlık ve muhasebe gibi destek hizmetlerinin gerçekleştirilmesi sebepleriyle işlenebilmektedir.

a. İş Sözleşmesinin Kurulması ve İfası ile İşe Alım

Bu kısımdaki veriler kütüphanemizin ziyaretçi ve kullanıcılarını yahut deneme sınavı katılımcılarını veya web sitelerine üye olanları değil sadece Fakülte’de çalışan kişileri kapsamaktadır.

İş sözleşmesinin kurulması ve ifası faaliyeti kapsamında Fakülte veri sorumlusu olarak çalışanların; kimlik, iletişim, işitsel ve görsel kayıtlar, özlük, finansal ve sağlık verilerini işlemektedir.

b. Üyelik Sözleşmesinin Kurulması ve Kütüphane Üyeliğinin Temini

Web sitelerinin kullanılabilmesi için kullanıcılar ile Fakülte arasında üyelik sözleşmesinin kurulması gerekmektedir. Bu kapsamda Fakülte tarafından veri sorumlusu olarak kullanıcıların ad, soyad bilgisi, telefon numarası bilgisi, e-posta bilgisi işlenmektedir.

Fakülte’nin kütüphanelerine giriş yapmak için üyelik satın alınması durumunda sözleşmesel ilişkinin kurulabilmesi için ad soyad bilgisi, telefon numarası bilgisi, e-posta bilgisi verileri işlenmektedir.

c. Deneme Sınavlarına Katılımın Sağlanması

Deneme sınavlarına katılım sağlanabilmesi için katılımcının ad soyad bilgisi, telefon numarası bilgisi, e-posta bilgisi, Türkiye Cumhuriyeti Kimlik Numarası bilgisi, sınav sonucu bilgisi, sesli ve görüntülü video kaydı bilgisi işlenebilmektedir.

Taşınır ve taşınmaz ile insan güvenliğinin sağlanabilmesi için Deneme Uygulama Merkezleri’nde sesli ve görüntülü kayıt alınmaktadır. Deneme Uygulama Merkezleri, Fakülte’den bağımsız işletme ve şirketler olabilir. Konuya ilişkin aydınlatma metnine fdeneme.com web sitesinden erişebilirsiniz.

Kullanıcının satın aldığı paketin niteliğine göre kullanıcıya Sınavza üyeliği tahsis edilebilmektedir. Bu durumda, ad soyad bilgisi, telefon numarası bilgisi, e-posta bilgisi, Türkiye Cumhuriyeti Kimlik Numarası bilgisi, sınav sonucu bilgisi Sınavza/Doğru Cevap Eğitim Kurumları tarafından işlenebilir.

ç. Destek Hizmetleri

Destek hizmetleri kapsamında destek alınan üçüncü kişilerin (avukat, danışman, muhasebeci vb) kimlik, iletişim ve finansal verileri işlenmektedir.

5.2. Aydınlatmaya Dayalı Veri İşleme

Fakülte, yürürlükteki kanunlar doğrultusunda veri sahiplerini, kişisel verilerinin işlenmesi ve aktarılması ile ilgili olarak aydınlatmaktadır.

Bu kapsamda Fakülte tarafından verisi işlenen tüm kişi gruplarına yönelik olarak aydınlatma metinleri hazırlanmıştır. Bu aydınlatma metinleri KVKK’nın 10. maddesine, GDPR’ın              13. maddesine ve KVK Kurumu’nun yayınlamış olduğu “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”ne uygun olarak hazırlanmıştır.

Hazırlanan bu Aydınlatma Metinleri veri sahiplerinin görebilecekleri yerlerde uygun bir şekilde ilan edilmeli veya veri sahiplerine tebliğ edilmelidir.

Yeni bir kişi grubunun oluşması ihtimalinde veri işlemeye başlamadan önce ilk olarak yeni kişi grubuna yönelik olarak bir aydınlatma metni hazırlanmalı ve bu kişiler de mevzuata uygun bir şekilde aydınlatılmalıdır.

5.3. Veri Minimizasyonu, Özel Nitelikli Kişisel Verilerin Korunması ve Açık Rıza

Fakülte veri minimizasyonu ilkesi kapsamında faaliyetleri için zorunlu, gerekli ve/veya önemli olan verileri işlemekte bunlar dışında kalan verileri işlemeyerek, derhal imha etmektedir.

Fakülte, ana faaliyetleri kapsamında kişilerin özel nitelikli kişisel verilerini işlememeye azami özen göstermektedir.

Çalışanlar ve çalışan adaylarının özel nitelikli kişisel verileri, iş sözleşmesinin kurulması ve özlük dosyasının hazırlanması için işlenmekte, bunun dışında hiçbir veri işlemeye tabii tutulmamaktadır. Bu bağlamda, çalışanlar konuya ilişkin olarak aydınlatılmış, çalışanlardan açık rıza alınmıştır.

5.4. Veri Güvenliğine İlişkin Tedbirler

Fakülte, kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir analiz yapmış ve işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

5.4.1. Veri Güvenliğine İlişkin İdari Tedbirler

  • Fakülte, kişisel veriye erişimi olan personeli ile veri güvenliğine ilişkin olarak taahhütnameler imzalatmaktadır ve bu çalışanlardan bu hükümlere uymasını istemektedir. Ayrıca çalışanlara yönelik olarak gerekli eğitim ve bilgilendirmeler de verilmektedir.
  • Çalışanların ve diğer hizmet veren kişilerin online veya fiziksel olarak hangi verilere erişebilme yetkisinin bulunduğu bir yetki matrisi hazırlanmıştır.
  • Veri işleme, bilgi güvenliği konularını da içeren bir disiplin yönetmeliği hazırlanmış ve yürürlüğe konulmuştur.
  • Erişim yetkisi olmayan verilere erişmeye çalışan, verileri bozan, ifşa eden çalışanlara ilişkin disiplin yönetmeliği hükümleri uygulama alanı bulmaktadır.
  • Fakülte ile arasında akdedilmiş olan hizmet sözleşmesi uyarınca, “Veri İşleyen” olarak nitelendirilen kişiler verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda bilgilendirilmektedir. Bu kişiler ile gizlilik taahhütnameleri imzalanmıştır ve ileride imzalanacak sözleşmelerde de veri gizliliğine ilişkin hükümler eklenecek veya sözleşmenin diğer tarafı ile gizlilik taahhütnamesi imzalanacaktır.
  • Fakülte akdetmiş olduğu sözleşmeler KVKK açısından incelenmiş ve işbu sözleşmelerde gerekli görülen değişiklikler yapılmıştır.

5.4.2 Veri Güvenliğine İlişkin Teknik Tedbirler

  • Fakülte tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir.
  • Teknik hususlar konusunda dışarıdan hizmet alınmaktadır.
  • Teknolojik gelişmelere uygun şekilde teknik önlemler alınmakta, alınan önlemler periyodik olarak kontrol edilmekte, güncellenmekte ve yenilenmektedir.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
  • Veriler sadece Şirket merkezinde bulunan bilişim sistemi araçlarında saklanmaktadır
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için yedekleme programları kullanılmaktadır.
  • Saklanma alanlarına yönelik güvenlik sistemleri kullanılmakta, alınan teknik önlemler periyodik olarak iç kontroller gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözümler üretilmektedir.
  • Herhangi bir kişisel veri güvenliği ihlaline karşı tedbirli olmak adına kriz ve itibar yönetimi görüşülmüş, bu kapsamda KVK Kurulu ve ilgili kişiyi bilgilendirme süreçleri işbu Politika dahilinde tasarlanmıştır.

5.5. Kişisel Verilerin İşlenmesine İlişkin Uyulacak İlkeler

Fakülte, KVKK’nın 4. ve GDPR’ın 5. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir:

5.5.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Fakülte; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Fakülte, kişisel verilerin işlenmesinde orantılılık ilkesinin gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında işlememekte ve kullanmamaktadır.

5.5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Fakülte; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu kapsamda, işbu politika uyarınca veriler periyodik olarak ve aşağıda 9.3. numaralı başlıkta detayları belirtildiği üzere yılda iki kez olmak üzere imha edilmektedir.

5.5.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Fakülte, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Fakülte, kişisel verileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Fakülte tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmakta olup, veri konusu kişi grupları bu doğrultuda aydınlatılmaktadır.

5.5.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Fakülte, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca Fakülte, verileri sadece işleme amacının gerçekleştirilmesi için zorunlu olan personelin ve bazı istisnai durumlarda veri işleyenlerin kullanımına açmakta, bunun dışındaki, veri işleme amacı nedeniyle veriye erişimi zorunlu olmayan kişiler verilere erişememektedir.

5.5.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Fakülte, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Fakülte öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Fakülte tarafından imha edilmektedir.

6. Kişisel Verilerin Aktarılması

6.1. Yurtiçinde Kişisel Verilerin Aktarımı

Fakülte, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır.

Fakülte tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Şu kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilir. Bu kapsamda gerekli açık rızalar temin edilmektedir.

Ayrıca, Kanunun 5. ve 6. maddelerinde öngörülen durumlarda ilgilinin rızası olmaksızın da aktarım mümkündür. Fakülte, kişisel verileri Kanunda ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak aktarmakta ve Veri İşleyenler ile gizlilik taahhütleri imzalayarak onların da veri güvenliği ile ilgili olarak idari ve teknik tedbirleri almasını sağlamaktadır.

Fakülte’ye bağlı fdeneme.com websitesinden satın alınan deneme paketinin içeriğinde Sınavza üyeliği de bulunuyorsa veriler doğrudan Sınavza tarafından toplanmakta olup Fakülte tarafından herhangi bir aktarım yapılmamaktadır.

6.2. Yurtdışına Kişisel Verilerin Aktarımı

Yurtdışına veri aktarımı bulunmamaktadır.

6.3. Aktarım Yapılan Kurum ve Kuruluşlar

Kamu tüzel kişileri ile ilgili mevzuatları kapsamında talep ettikleri bilgiler KVKK 8. maddesi uyarınca paylaşılır.

Yukarıda belirtilen amaçlarla, kişisel veriler, ilgili sözleşmeler kapsamında hizmet alınan, iş birliği içinde olunan, gerçek ve tüzel kişilere ve yetkili kamu kurum ve kuruluşlarına aktarılmaktadır.

7. Veri Sahiplerinin Hakları

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle Fakülte’ye mevzuatta belirtilen istisna haricinde ücretsiz olarak iletebileceklerdir.

Konuyla ilgili; ilgili kişiler aydınlatma metinleri vasıtasıyla bilgilendirilmektedir. Bu kapsamda bir başvuru gelmesi durumunda 30 gün içerisinde ilgili danışman ve avukatlar ile de görüşülerek başvuru cevaplanmalıdır.

İlgili kişi tarafından yapılan başvuruyu gerekli şirket içi mercilere bildirmeyen, görev tanımı gereğini yerine getirmeyen kişiler Disiplin Yönetmeliği kapsamında cezalandırılabilecektir.

8. Kişisel Veri İhlali ve KVK Kurulu’na Bildirim

Fakülte tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Fakülte bu durumu derhal danışman ve avukatlara bildirecektir.

Gerçekleşen ihlalin, Fakülte tarafından 3 gün içerisinde ilgilisine ve KVK Kurulu’na bildirim yapılması gerekmektedir.

Bir ihlali fark eden ancak gerekli şirket içi mercilere bildirmeyen, gizlilik taahhütnamelerinin ve Fakülte’ye karşı veri güvenliğine ilişkin diğer yükümlülüklerinin gereğini yerine getirmeyen kişiler Disiplin Yönetmeliği kapsamında cezalandırılabilecektir.

9. Kişisel Verilerin Saklanması ve İmhası

9.1. İlkeler

Fakülte tarafından kişisel verilerin saklanması ve imhası süreçlerinde aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Fakülte tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Fakülte tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Fakülte tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Fakülte’ye başvurulması halinde;

    • İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır ve
    • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

9.2. Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, Fakülte tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

    • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
    • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
    • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Fakülte’nin meşru menfaatleri için saklanmasının zorunlu olması,
    • Kişisel verilerin Fakülte’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
    • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
    • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Fakülte tarafından resen yahut talep üzerine ilk periyodik imha süreci ile silinir, yok edilir veya anonim hale getirilir:

    • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
    • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
    • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
    • İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
    • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
    • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

9.3. Saklama ve İmha Süreleri

Fakülte tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

    • Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.
    • Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
      • Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Fakülte nezdindeki önem derecesine göre belirlenir.
      • Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Fakülte meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
      • Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Fakülte tarafından tespit edilen saklama sürelerine, Fakülte tarafından hazırlanan envanterlerden ve bu Gizlilik Politikası’nın eki niteliğinde olan Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo’dan ulaşılabilir. Saklama süresi dolan kişisel veriler, 6 (altı) aylık periyotlarla işbu Gizlilik Politikası’nda yer verilen usullere uygun olarak silinir veya yok edilir.

Her yıl iki kere periyodik imha işlemi gerçekleştirilir. İlk periyodik imha işlemleri her yılın haziran ayında, ikinci periyodik imha işlemleri ise her yılın Aralık ayında gerçekleştirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler tutanak ile kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

9.4. Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller

9.4.1. Sunucularda Yer Alan Kişisel Veriler

Fakülte şirket merkezinde bulunan sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

9.4.2. Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya imha işi yapan şirketlere teslim edilerek geri döndürülemeyecek şekilde yok edilir.

10. Yürürlük

Fakülte tarafından hazırlanan işbu Gizlilik Politikası Fakülte tarafından alınan karar uyarınca ekleriyle birlikte yürürlüğe girmiştir.  İşbu Gizlilik Politikası tüm çalışanlara duyurulacaktır ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

Çalışanların Gizlilik Politikası’nın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

Politikaya aykırı davranan çalışan hakkında, İşyeri Disiplin Yönetmeliği uyarınca işlem yapılacaktır.

KVKK, GDPR ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

Politikanın Ekleri:

  1. Aydınlatma Metinleri
    1. Kişisel Verilerin Korunması Aydınlatma Metni (fdeneme.com)
    2. Kişisel Verilerin Korunması Aydınlatma Metni (fakulteynk.com)
    3. Kişisel Verilerin Korunması Aydınlatma Metni (Deneme Uygulama Merkezi Ziyaretçisi)
    4. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan)
    5. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan Adayı)
  2. Kişisel Veri Sahibi Başvuru Formu
  3. Kişisel Verileri Saklama ve İmha Süreçlerini Gösteren Tablo