BÖLÜM 1
Amaç, Kapsam, Dayanak

Amaç
MADDE 1 – (1) Bu yönergenin amacı; 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na, Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak, KVK-Kanun ve Yönetmelik kapsamında Üniversite’de kişisel veri saklama ve imha süreçlerinin yürütülmesi, gerekli tedbirlerin alınması ve yönergeler gereğince uygulanacak prosedürlerin yerine getirilmesi amacıyla, veri sorumlusu Kurum sıfatıyla Üniversite’ de kurulacak olan Kişisel Verileri Koruma Komisyonu’nun kuruluş, görev, yetki ve çalışma usul ve esaslarını düzenlemektir.

Kapsam
MADDE 2 – (1) Bu Yönerge Komisyon’un ve üyelerinin ilgili sorumluluk, çalışma ve faaliyetlerini kapsar.

Dayanak
MADDE 3 – (1) Bu Yönerge; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile İlgili Mevzuat hükümlerine dayanılarak hazırlanmıştır.

BÖLÜM 2
Tanımlar

Tanımlar
MADDE 4 – (1) Bu yönergede geçen; 

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, 

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, 

c) Üniversite: Harran Üniversitesi’ni, 

d) Yönerge: Kişisel Verileri Koruma Komisyonu Yönergesini 

e) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (Bu yönerge kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Verileri de kapsar.), 

f) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, 

g) Kişisel veri sahibi: Kişisel verileri Üniversite tarafından veya Üniversite adına işleme sokulan gerçek kişiyi, 

h) Komisyon: Harran Üniversitesi Kişisel Verileri Koruma Komisyonu’nu, 

i) Kurul: Kişisel Verileri Koruma Kurulunu, 

j) KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı, 

k) KVKK / KVK-Kanun: 7 Nisan 2016 tarihli 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu, 

l) Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri, 

m) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişiyi 

n) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, 

o) Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri İlgilisi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formunu, 

p) Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiliktir. Bu yönergede Harran Üniversitesi tüzel kişiliğini, 

r) Veri sorumlusu irtibat kişisi: İrtibat kişisi, veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK uyarınca Veri sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişiyi, 

s) Yönetmelik: Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i, 

ş) Ziyaretçi: Üniversite’nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Üniversite’nin internet sitelerini ziyaret eden gerçek kişileri, ifade eder.

BÖLÜM 3
Komisyonun Oluşumu

KİŞİSEL VERİLERİ KORUMA KOMİSYONU
MADDE 5 – (1) Komisyon, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Üniversitenin Rektörü tarafından atanır. Komisyon; Üniversite KVK mevzuatı kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevlidir. 

(2) Komisyon Başkanı Rektör Yardımcısıdır. Komisyon Üyelerinin görev dağılımları, komisyondan üye çıkarılması veya atanması Komisyon Başkanının önerisi ile Rektör tarafından gerçekleştirilir. 

(3) Genel Sekreter, Hukuk Müşaviri, Daire Başkanları, Harran Üniversitesi Hastanesi Müdürü ve Kurumsal İletişim Koordinatörü komisyonun doğal üyeleri olup, hukuk alanında yetkin 1 (bir) öğretim üyesi, Enstitü-Fakülte-YO-MYO’lar ile ilgili yetkin bir idari personel ve bilgi işlem alanında yetkin bir mühendis görevlendirilir. Gerektiğinde komisyon üye sayısı artırılabilir

VERİ SORUMLUSU İRTİBAT KİŞİSİ
MADDE 6 – (1) Üniversitenin veri sorumlusu irtibat kişisi, Komisyon başkan tarafından Üniversite’nin Kurum ile olan ilişkilerini yürütmek üzere yetkilendirileceği gerçek kişidir.

Komisyon
MADDE 7 – (1) Üyelerin komisyon içerisindeki görevleri aşağıdaki şekildedir: 

a) Rektör Yardımcısı: Komisyonun görev ve sorumluluklarının yerine getirilmesinden, koordinasyonundan, toplanmasından, komisyon kararlarının yürütülmesinin sağlanmasından, yönetişim ve iletişiminden sorumludur. 

b) Genel Sekreter: Komisyon Başkanının görevlerinin yerine getirilmesinde Başkana yardımcı olmak ve Komisyon Başkanının bulunmadığı hallerde Komisyona Başkanlık etmekle yükümlüdür. Ayrıca idari birimlerin tamamı ile ilgili KVKK uyum ve denetiminden sorumludur. 

c) Hukuk Müşaviri / Avukat: Üniversitede KVKK ile ilgili oluşabilecek talepler ve ihlallerle ilgili hukuki işlemleri yürütür. Kurul kararlarının takibini yapar ve değişiklik durumunda komisyon başkanını bilgilendirir.

d) Bilgi İşlem Daire Başkanı: KVK Kanunu’na uyum sağlanabilmesi için gerekli teknik tedbirleri değerlendirir varsa gereksinimleri belirler ve Komisyona raporlar. Kendi Birimiyle ilgili KVK Kanunu’na uyum ve denetiminden sorumludur. 

e) Bilgi İşlem Alanında Yetkin Mühendis: KVK Kanunu’na ilişkin kişisel veri envanter programının kullanılması ve eğitimlerinin düzeni olarak yapılmasından sorumludur. 

f) Daire Başkanları/Diğer Üyeler: Kurum ile ilgili KVK Kanunu’na uyum ve denetiminden sorumludur

BÖLÜM 4
Görev ve Sorumluluklar

KOMİSYONLARIN GÖREVLERİ
MADDE 8 – (1) Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden Komisyon sorumludur. Bu kapsamda gerekli prosedür Komisyon tarafından oluşturulur ve anılan prosedürün uygulanmasını sağlar. Kişisel verilere ilişkin mevzuatta bir değişiklik meydana gelirse, yeni düzenlemelere uyum için Üniversite içi faaliyetlerin yapılmasını sağlar. 

(2) Komisyon, kişisel verilerin envanterini hazırlar. (KVKK m.16/3) Kişisel verilerin envanterini periyodik olarak günceller. (KVKK m.16/4) Kişisel verilerin envanterini sicile bildirir ve güncel tutulmasını sağlar. (KVKK m.16/4) Sicil ile yazışmaları yapar ve yazışmaları saklar. (KVKK m.16) 

(3) Komisyon, kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder. KVK kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Hosting hizmeti verenler, e posta hizmeti verenler vb.) (KVKK m.8) 

(4) Komisyon, kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir. (Örnek: Bordo ve özlük işleri takip eden Personel Daire Başkanlığı, İdari ve Mali İşler Daire Başkanlığı, Ziyaretçi bilgileri alan kapı güvenlik personelleri, vb.)

KOMİSYONUN SORUMLULUKLARI
MADDE 9 – - (1) Komisyon, Harran Üniversitesi içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak Harran Üniversitesi içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Komisyon, kişisel verilerin korunması kapsamında belirli periyotlarda denetimlerin yapılmasını sağlar. (Bu denetimler dış hizmet alımı yöntemiyle veya komisyon tarafından oluşturulabilecek bu konuda eğitim almış yeterlilik sertifikalarına sahip bir ekip ile gerçekleştirilebilir.) KVK ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumun hem de risklerin görüşülmesini sağlar. Komisyon; İlk toplantıda Kurul tarafından o güne kadar yayınlanmış olan kurul kararlarını gözden geçirir ve gerekli çalışmalar karara bağlanır. İlgili Kurul Kararlarına “https://kvkk.gov.tr" internet sitesinden arama yapılarak ulaşılabilir. Komisyon, yapılan toplantı katılımcıları ve kararlarını elektronik veya ıslak imza ile alarak dosyalar. KVK ile ilgili birimleri periyodik olarak portaldan / kurumsal e posta / duyuru ile bilgilendirir. 

(2) Komisyon, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla Üniversite çalışanlarının bilgilendirilmesini sağlar. Üniversite’de kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur. 

(3) Komisyon, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür. 

(4) Komisyon kişisel verilerin elde edilmesi sırasında; 

a) Veri sorumlusunun kimliğinin duyurulmasını sağlar. (KVKK m.10) 

b) Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem de öğrencilere duyurulmasını sağlar. (KVKK m.4/2.c) 

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını açıklar. (KVKK m.10/1.c) 

ç) Kişisel veri toplama yöntemini ve hukuki sebebini açıklar. (KVKK m.10/1.ç) 

(5) Komisyon kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler, uygulatır ve denetler. (KVKK m.5/1) 

(6) Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder. (KVKK m.6) 

(7) Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar. Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin olur. (KVKK m.9/2 ve 9/3) 

(8) Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınıp alınmayacağı belirlenir. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: (KVKK m.5/2) 

a) Kanunlarda açıkça öngörülmesi, 

b) Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, 

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, 

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, 

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, 

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, 

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, 

(9) Kişisel veri hem yurtdışına aktarılacak hem de açık rıza alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine eder. (KVKK m.9/2) 

(10) Açık rıza alınması gereken hallerde veriyi paylaşacak kişi, bu veriyi paylaşacağı yerin, amacının yazılı ve onaylı olması durumunda veriyi paylaşabilir. Paylaşılacak veriyle ilgili kişinin kendisinin rızasının alınıp alınmadığı kontrol edilir ve belgelendirilir. Hukuk Müşavirliği ve veri sorumlusu onayı alındıktan sonra paylaşılmasını sağlatır. 

(11) Her durumda hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır. 

(12) Komisyon, kişisel veri sahiplerinin başvurularını değerlendirir ve başvurulara cevap için birim içerisinde koordinasyonu sağlar. Üst komisyon ile iletişim halinde olunması gereken durumlarda gerekli koordinasyonu ve iletişimi sağlar. 

(13) Komisyon, kişisel veri sahibinin başvurması halinde veri sorumlusu irtibat kişisi tarafından aşağıdaki kişi haklarının yerine getirilmesini en geç otuz gün içinde sağlar: (KVKK m.13/2) 

a) Kişinin kendi kişisel verisinin işlenip işlenmediğini bildirme, (KVKK m.11/1.a) 

b) Kişisel verileri işlenmişse buna ilişkin bilgi verme, (KVKK m.11/1.b) 

c) Kişisel verisinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını bildirme, (KVKK m.11/1.c) 

ç) Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bildirme, (KVKK m.11/1.ç ve 

d) Kişisel verilerin eksik veya yanlış işlenmesi durumunda, bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.d) 

e) Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.e) 

f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma (KVKK m.11/1.g) 

g) Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma. (KVKK m.11/1.ğ, KVKK m.12/1.a) 

(14) Komisyon, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVKK’na ve yönergelere uyumu yönünde bir eksikliğin veya riskin tespit edilmesi halinde giderilmesi için gerekli önlemleri alır. Bu kapsamda Komisyon, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar. 

(15) Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (KVKK m.4/2.d) 

(16) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11/2 maddesi uyarınca, altı ayı geçmeyecek periyotlarda, işlenen kişisel verileri denetleyerek silinmesi, imha edilmesi veya anonim hale getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini sağlar. 

(17) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere kanuni süreler içerisinde saklanmasını sağlar. 

(18) Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (KVKK m.7) 

a) İşlenmesini gerektiren sebeplerin ortadan kalkması halinde, 

b) Süresi dolması halinde, 

c) Veri ilgilisinin talebi halinde. 

(19) Komisyon, Üniversite’nin çalışanları tarafından kendisine raporlanan KVK Düzenlemelerine ve Yönergelerde belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale yönelik KVK Düzenlemelerine ve Yönergelere uygun şekilde eylem planı oluşturur. Komisyon konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Kişisel Veri Sahibine veya Kurum’a yapılacak bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür. 

(20) Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (KVKK m.15/3) 

(21) Şikâyet durumunda veya herhangi bir nedenle Kurulun tespit ettiği hukuka aykırılıklarla ilgili Kurulun tebliğlerini takip eder ve Kurulun bu konudaki kararının otuz gün içerisinde yerine getirilmesini sağlar. (KVKK m.15/5)

BÖLÜM 5
Çeşitli Hükümler

Yürürlük
MADDE 10 – (1) Bu Yönerge, Harran Üniversitesi Senato'da kabul edildiği tarihte yürürlüğe girer.

Yürütme
MADDE 11 – (1) Bu Yönerge hükümlerini, Harran Üniversitesi Rektörü yürütür.