T.C.
HARRAN ÜNİVERSİTESİ
KİŞİSEL VERİLERİ KORUMA KOMİSYONU YÖNERGESİ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak
AMAÇ
MADDE 1- (1) Bu yönergenin amacı; 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanan
6698 sayılı Kişisel Verilerin Korunması Kanunu’na, Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim
2017 tarihli 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak, KVK-Kanun ve Yönetmelik kapsamında Üniversite’de
kişisel veri saklama ve imha süreçlerinin yürütülmesi, gerekli tedbirlerin alınması ve yönergeler gereğince
uygulanacak prosedürlerin yerine getirilmesi amacıyla, veri sorumlusu Kurum sıfatıyla Üniversite’ de kurulacak
olan Kişisel Verileri Koruma Komisyonu’nun kuruluş, görev, yetki ve çalışma usul ve esaslarını düzenlemektir.
KAPSAM
MADDE 2- (1) Bu Yönerge Komisyon’un ve üyelerinin ilgili sorumluluk, çalışma ve faaliyetlerini
kapsar.
DAYANAK
MADDE 3- (1) Bu Yönerge; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile İlgili Mevzuat
hükümlerine dayanılarak hazırlanmıştır.
İKİNCİ BÖLÜM
Tanımlar
TANIMLAR
MADDE 4- (1) Bu yönergede geçen;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Üniversite: Harran Üniversitesi’ni,
d) Yönerge: Kişisel Verileri Koruma Komisyonu Yönergesini
e) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (Bu yönerge
kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Verileri de kapsar.),
f) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
g) Kişisel veri sahibi: Kişisel verileri Üniversite tarafından veya Üniversite adına işleme sokulan
gerçek kişiyi,
h) Komisyon: Harran Üniversitesi Kişisel Verileri Koruma Komisyonu’nu,
i) Kurul: Kişisel Verileri Koruma Kurulunu,
j) KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin
korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu
kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası
anlaşmaları ve diğer her türlü mevzuatı,
k) KVKK / KVK-Kanun: 7 Nisan 2016 tarihli 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı
Kişisel Verilerin Korunması Kanununu,
l) Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti
ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,
m) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek
veya tüzel kişiyi
n) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
o) Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu
içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun
çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış,
ilgili kişi (Kişisel Veri İlgilisi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru
formunu,
p) Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiliktir. Bu yönergede Harran
Üniversitesi tüzel kişiliğini,
r) Veri sorumlusu irtibat kişisi: İrtibat kişisi, veri sorumlusunu Kanun ve Yönetmelik hükümlerine
göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği
taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK uyarınca Veri sorumlusunun ilgili
kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişiyi,
s) Yönetmelik: Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28 Ekim 2017 tarihli 30224 sayılı
Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik’i,
ş) Ziyaretçi: Üniversite’nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya
Üniversite’nin internet sitelerini ziyaret eden gerçek kişileri,
ifade eder.
ÜÇÜNCÜ BÖLÜM
Komisyonun Oluşumu
KİŞİSEL VERİLERİ KORUMA KOMİSYONU
MADDE 5-(1) Komisyon, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek,
Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere
Üniversitenin Rektörü tarafından atanır. Komisyon; Üniversite KVK mevzuatı kapsamında denetim, uyumluluk
ve sürdürülebilir etkinliği sağlamakla görevlidir.
(2) Komisyon Başkanı Rektör Yardımcısıdır. Komisyon Üyelerinin görev dağılımları, komisyondan
üye çıkarılması veya atanması Komisyon Başkanının önerisi ile Rektör tarafından gerçekleştirilir.
(3) Genel Sekreter, Hukuk Müşaviri, Daire Başkanları, Harran Üniversitesi Hastanesi Müdürü ve
Kurumsal İletişim Koordinatörü komisyonun doğal üyeleri olup, hukuk alanında yetkin 1 (bir) öğretim üyesi,
Enstitü-Fakülte-YO-MYO’lar ile ilgili yetkin bir idari personel ve bilgi işlem alanında yetkin bir mühendis
görevlendirilir. Gerektiğinde komisyon üye sayısı artırılabilir
VERİ SORUMLUSU İRTİBAT KİŞİSİ
MADDE 6- (1) Üniversitenin veri sorumlusu irtibat kişisi, Komisyon başkan tarafından
Üniversite’nin Kurum ile olan ilişkilerini yürütmek üzere yetkilendirileceği gerçek kişidir.
KOMİSYON
MADDE 7- (1) Üyelerin komisyon içerisindeki görevleri aşağıdaki şekildedir:
a) Rektör Yardımcısı: Komisyonun görev ve sorumluluklarının yerine getirilmesinden,
koordinasyonundan, toplanmasından, komisyon kararlarının yürütülmesinin sağlanmasından,
yönetişim ve iletişiminden sorumludur.
b) Genel Sekreter: Komisyon Başkanının görevlerinin yerine getirilmesinde Başkana yardımcı olmak
ve Komisyon Başkanının bulunmadığı hallerde Komisyona Başkanlık etmekle yükümlüdür. Ayrıca
idari birimlerin tamamı ile ilgili KVKK uyum ve denetiminden sorumludur.
c) Hukuk Müşaviri / Avukat: Üniversitede KVKK ile ilgili oluşabilecek talepler ve ihlallerle ilgili
hukuki işlemleri yürütür. Kurul kararlarının takibini yapar ve değişiklik durumunda komisyon
başkanını bilgilendirir.
d) Bilgi İşlem Daire Başkanı: KVK Kanunu’na uyum sağlanabilmesi için gerekli teknik tedbirleri
değerlendirir varsa gereksinimleri belirler ve Komisyona raporlar. Kendi Birimiyle ilgili KVK
Kanunu’na uyum ve denetiminden sorumludur.
e) Bilgi İşlem Alanında Yetkin Mühendis: KVK Kanunu’na ilişkin kişisel veri envanter programının
kullanılması ve eğitimlerinin düzeni olarak yapılmasından sorumludur.
f) Daire Başkanları/Diğer Üyeler: Kurum ile ilgili KVK Kanunu’na uyum ve denetiminden
sorumludur.
DÖRDÜNCÜ BÖLÜM
Görev ve Sorumluluklar
KOMİSYONLARIN GÖREVLERİ
MADDE 8- (1) Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme
ve anonim hale getirme süreçlerinin işletilmesinden Komisyon sorumludur. Bu kapsamda gerekli prosedür
Komisyon tarafından oluşturulur ve anılan prosedürün uygulanmasını sağlar. Kişisel verilere ilişkin mevzuatta
bir değişiklik meydana gelirse, yeni düzenlemelere uyum için Üniversite içi faaliyetlerin yapılmasını sağlar.
(2) Komisyon, kişisel verilerin envanterini hazırlar. (KVKK m.16/3) Kişisel verilerin envanterini periyodik
olarak günceller. (KVKK m.16/4) Kişisel verilerin envanterini sicile bildirir ve güncel tutulmasını sağlar.
(KVKK m.16/4) Sicil ile yazışmaları yapar ve yazışmaları saklar. (KVKK m.16)
(3) Komisyon, kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder. KVK
kapsamında uyumluluğunu teyit eder. Üçüncü tarafları denetletir. (Hosting hizmeti verenler, e posta hizmeti
verenler vb.) (KVKK m.8)
(4) Komisyon, kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir. (Örnek: Bordo ve özlük
işleri takip eden Personel Daire Başkanlığı, İdari ve Mali İşler Daire Başkanlığı, Ziyaretçi bilgileri alan kapı
güvenlik personelleri, vb.)
KOMİSYONUN SORUMLULUKLARI
MADDE 9- (1) Komisyon, Harran Üniversitesi içerisinde bulunan tüm kişisel verilerin korunmasına
yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli
prosedürleri hazırlayarak Harran Üniversitesi içerisinde duyurmak ve bunlara uyulmasını sağlamak ve
denetlemekle yükümlüdür. Komisyon, kişisel verilerin korunması kapsamında belirli periyotlarda denetimlerin
yapılmasını sağlar. (Bu denetimler dış hizmet alımı yöntemiyle veya komisyon tarafından oluşturulabilecek bu
konuda eğitim almış yeterlilik sertifikalarına sahip bir ekip ile gerçekleştirilebilir.) KVK ile ilgili, üst yönetimi
periyodik olarak toplayarak hem mevcut durumun hem de risklerin görüşülmesini sağlar. Komisyon; İlk
toplantıda Kurul tarafından o güne kadar yayınlanmış olan kurul kararlarını gözden geçirir ve gerekli çalışmalar
karara bağlanır. İlgili Kurul Kararlarına “https://kvkk.gov.tr" internet sitesinden arama yapılarak ulaşılabilir.
Komisyon, yapılan toplantı katılımcıları ve kararlarını elektronik veya ıslak imza ile alarak dosyalar. KVK ile
ilgili birimleri periyodik olarak portaldan / kurumsal e posta / duyuru ile bilgilendirir.
(2) Komisyon, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi
amacıyla Üniversite çalışanlarının bilgilendirilmesini sağlar. Üniversite’de kişisel verilere erişmesi gereken
çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur.
(3) Komisyon, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini
ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür.
(4) Komisyon kişisel verilerin elde edilmesi sırasında;
a) Veri sorumlusunun kimliğinin duyurulmasını sağlar. (KVKK m.10)
b) Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir
ve hem çalışan hem de öğrencilere duyurulmasını sağlar. (KVKK m.4/2.c)
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını açıklar. (KVKK m.10/1.c)
ç) Kişisel veri toplama yöntemini ve hukuki sebebini açıklar. (KVKK m.10/1.ç)
(5) Komisyon kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler, uygulatır ve denetler.
(KVKK m.5/1)
(6) Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti eder.
(KVKK m.6)
(7) Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka
açık rızasının alınmasını sağlar. Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin
olur. (KVKK m.9/2 ve 9/3)
(8) Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri
sahibinden açık rıza alınıp alınmayacağı belirlenir. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık
rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: (KVKK m.5/2)
a) Kanunlarda açıkça öngörülmesi,
b) Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için
zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması,
(9) Kişisel veri hem yurtdışına aktarılacak hem de açık rıza alınmamış ise; verinin aktarılacağı yerde yeterli
korumanın olması veya yeterli koruma olmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda
paylaşılmasını koordine eder. (KVKK m.9/2)
(10) Açık rıza alınması gereken hallerde veriyi paylaşacak kişi, bu veriyi paylaşacağı yerin, amacının yazılı ve
onaylı olması durumunda veriyi paylaşabilir. Paylaşılacak veriyle ilgili kişinin kendisinin rızasının alınıp
alınmadığı kontrol edilir ve belgelendirilir. Hukuk Müşavirliği ve veri sorumlusu onayı alındıktan sonra
paylaşılmasını sağlatır.
(11) Her durumda hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa
uygun olduklarını kayıt altına alır.
(12) Komisyon, kişisel veri sahiplerinin başvurularını değerlendirir ve başvurulara cevap için birim içerisinde
koordinasyonu sağlar. Üst komisyon ile iletişim halinde olunması gereken durumlarda gerekli koordinasyonu
ve iletişimi sağlar.
(13) Komisyon, kişisel veri sahibinin başvurması halinde veri sorumlusu irtibat kişisi tarafından aşağıdaki kişi
haklarının yerine getirilmesini en geç otuz gün içinde sağlar: (KVKK m.13/2)
a) Kişinin kendi kişisel verisinin işlenip işlenmediğini bildirme, (KVKK m.11/1.a)
b) Kişisel verileri işlenmişse buna ilişkin bilgi verme, (KVKK m.11/1.b)
c) Kişisel verisinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını bildirme,
(KVKK m.11/1.c)
ç) Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bildirme, (KVKK m.11/1.ç ve
d) Kişisel verilerin eksik veya yanlış işlenmesi durumunda, bunların düzeltilme taleplerini alma ve
işlem tamamlandığında geri dönüş yapma, (KVKK m.11/1.d)
e) Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş
yapma, (KVKK m.11/1.e)
f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi
aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma
(KVKK m.11/1.g)
g) Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip
etme ve sonuçlandırma. (KVKK m.11/1.ğ, KVKK m.12/1.a)
(14) Komisyon, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin KVKK’na ve
yönergelere uyumu yönünde bir eksikliğin veya riskin tespit edilmesi halinde giderilmesi için gerekli önlemleri
alır. Bu kapsamda Komisyon, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar.
(15) Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler.
(KVKK m.4/2.d)
(16) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11/2
maddesi uyarınca, altı ayı geçmeyecek periyotlarda, işlenen kişisel verileri denetleyerek silinmesi, imha
edilmesi veya anonim hale getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesini sağlar.
(17) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt
altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere kanuni süreler
içerisinde saklanmasını sağlar.
(18) Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya
anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (KVKK m.7)
a) İşlenmesini gerektiren sebeplerin ortadan kalkması halinde,
b) Süresi dolması halinde,
c) Veri ilgilisinin talebi halinde.
(19) Komisyon, Üniversite’nin çalışanları tarafından kendisine raporlanan KVK Düzenlemelerine ve
Yönergelerde belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale
yönelik KVK Düzenlemelerine ve Yönergelere uygun şekilde eylem planı oluşturur. Komisyon konuya ilişkin
yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Kişisel Veri Sahibine veya Kurum’a yapılacak
bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür.
(20) Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme
yapılmasına imkân sağlatır. (KVKK m.15/3)
(21) Şikâyet durumunda veya herhangi bir nedenle Kurulun tespit ettiği hukuka aykırılıklarla ilgili Kurulun
tebliğlerini takip eder ve Kurulun bu konudaki kararının otuz gün içerisinde yerine getirilmesini sağlar. (KVKK
m.15/5)
BEŞİNCİ BÖLÜM
Çeşitli Hükümler
YÜRÜRLÜK
MADDE 10- (1) Bu Yönerge, Harran Üniversitesi Senato'da kabul edildiği tarihte yürürlüğe girer.
YÜRÜTME
MADDE 11- (1) Bu Yönerge hükümlerini, Harran Üniversitesi Rektörü yürütür.