6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kurum mensuplarının kişisel verilerinin kaydedilmesi, muhafaza edilmesi ve 3.şahıslarla paylaşılmasını düzenlemektedir. Bu kanun çerçevesinde KOÜ Teknopark tarafından ilgili kanun kapsamında hazırlanan bilgilendirme notu aşağıdadır.
KOCAELİ ÜNİVERSİTESİ TEKNOPARK A.Ş
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
AYDINLATMA METNİ
Şirketimiz Kocaeli Üniversitesi Teknopark A.Ş. (bundan böyle ‘’KOÜ Teknopark’’ olarak ifade edilecektir) 4691 sayılı ‘’Teknoloji Geliştirme Bölgeleri Kanunu’’ kapsamında Teknoloji Geliştirme Bölgesinin (bundan böyle ‘’TGB’’ olarak ifade edilecektir) yönetiminden ve işletmesinden sorumlu olan yönetici şirket konumundaki tüzel kişiliktir. KOÜ Teknopark aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘’KVK Kanunu’’ olarak ifade edilecektir) kapsamında veri sorumlusudur. Kişisel veri sahipleri ise, kişisel verileri aşağıda belirtilen amaçlar dahilinde 4691 sayılı Teknoloji Geliştirme Bölgeleri Kanunu, Teknoloji Geliştirme Bölgeleri Uygulama Yönetmeliği, 6698 sayılı KVK Kanunu ve KOÜ Teknopark’ın tabi olduğu sair mevzuat hükümleri gereğince kişisel verileri toplanan, işlenen ve aktarılan kişilerdir.
KOÜ Teknopark, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir. Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu’na ve ilgili yönetmeliklere uygun olmak suretiyle işlenmekte ve muhafaza edilmektedir.
1- Kişisel Verilerin Toplanması, İşlenmesi ve İşlenme Amaçları:
2- Kişisel Verilerin İşlenmesi İlkeleri:
Kişisel veriler, 6698 sayılı KVK Kanunu’nun 4. 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak,
3- Kişisel Verilerin Aktarılması İlkeleri:
KOÜ Teknopark veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu dokumanda belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir. Bu kişi ve Kurumlar;
KOÜ Teknopark, tabi olduğu 4691 sayılı Teknoloji Geliştirme Bölgeleri Kanunu ve Uygulama Yönetmeliği kapsamında Teknoloji Geliştirme Bölgesinde faaliyet gösteren firma çalışanlarının kişisel verilerini T.C. Sanayi ve Teknoloji Bakanlığı’na aktarmaktadır. Aynı zamanda Üniversitelerin girişimcilik ve yenilikçilik performanslarına göre sıralandığı Girişimci ve Yenilikçi Üniversite Endeksi dahilinde Türkiye Bilimsel ve Teknolojik Araştırma Kurulu ve Kocaeli Üniversitesi ile KVK Kanununun ilgili maddelerine uygun olarak paylaşımda bulunmaktadır.
4- Kişisel Verilerin Korunmasına İlişkin Yükümlülükler:
KOÜ Teknopark, KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, KOÜ Teknopark bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
Başlıca alınan teknik tedbirler aşağıda sıralanmaktadır:
Başlıca alınan idari tedbirler aşağıda sıralanmaktadır:
5- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine İlişkin İlkeler:
Veri işlenmesini gerektiren sebeplerin ortadan kalkması halinde KOÜ Teknopark tarafından doğrudan doğruya ya da ilgilisinin talebi üzerine kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi gerçekleştirilecektir.
Kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu’nun 7. Maddesinde belirtildiği üzere, ‘‘Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik’’ kapsamında yasal süreler veya şirket içi politikalar kapsamında belirtilen süreleri sonunda silinecek, imha edilecek ya da anonim hale getirilecektir.
Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır. KOÜ Teknopark tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile; silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
I. Verileri silme yöntemleri olarak;
II. Kişisel verilerin yok edilmesi ve imha edilmesi yükümlülüğü kapsamında;
Periyodik imha sürecinin takibi konusunda Şirketimiz verileri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri almakla yükümlüdür. Şirketimiz periyodik imhanın gerçekleşeceği zaman aralığını belirleyecektirler. İşbu süre her halükârda 6 ayı geçmeyecektir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir. Kişisel veri sahipleri Şirketimize başvurarak kişisel verilerinin silinmesini veya yok edilmesini talep edebilecektir. Bu gibi hallerde, Şirketimiz tarafından kişisel verileri işleme şartlarının ortadan kalkmasından itibaren en geç 30 gün içinde kişisel veri sahibinin talebi sonuca bağlanacak ve kişiye bilgi verilecektir. Kişisel verileri işleme şartlarının tamamen ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmış ise, Şirketimiz durumu üçüncü kişiye bildirecektir. Kişisel veri işleme şartları tamamen ortadan kalkmamışsa, Şirketimiz gerekçesini açıklamak şartıyla talebi ret edebilir ve en geç otuz gün içinde kişisel veri sahibine durumu bildirecektir.
III. Anonim hale getirme ancak ve ancak muhtemel bütün ilişki ortadan kalktığı vakit mümkün olacaktır. Şirketimiz ellerindeki verinin özelliklerini de dikkate alacak şekilde veri kümesindeki kişisel verileri başka veriler ile eşleştirilse dahi hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilmeyecek hale getirecektir. Bu gibi özelliklerin engellenmesi ve kaybedilmesi sonucunda birine işaret etmeyen veriler anonim hale gelmiş sayılacaklardır. Anonim hale getirme yöntemleri kısaca;
İşbu yöntemlerden biri seçilirken mutlaka verinin niteliği, büyüklüğü, çeşitliliği, fizikli ortamlarda bulunma yapısı, sağlanmak istenen fayda, verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, kullanıcıların ilgili veriye erişim yetki kontrolü, verinin anonim hale getirilmesinde harcanacak çabanın anlamlı olması gibi özelliklerin veri sorumlusu tarafından dikkate alınacaktır.
Anonim hale getirilmiş verilerin tersine işlem ile anonimleştirmenin bozulmasına dair riskler bulunmaktadır. Bu tip bilinçli olarak yürütülen işlemlere “anonimliğin bozulmasına yönelik saldırılar” denilmektedir. Kamuya açılmış veriye erişimi olan genel bir kullanıcı; yazılım, istatistik, veri madenciliği konularında uzmanlaşmış bir profesyonel, akademisyen veya araştırmacı; kuruluş, şirket, organizasyon içinde çalışan veya sistemlere erişim hakkı olan bir kullanıcı; anonim hale getirilmiş veriyi kullanarak çalışan ancak diğer bazı verilere veya sistemlere erişimi olan kullanıcı; açıklanmış /paylaşılmış veri kümesinde yer aldığını bildiği bir kişinin yakını, aile üyesi veya arkadaşı gibi profillerin şayet bir saldırısı gerçekleşecek olursa ortaya üç (3) sonuç çıkar. Kişinin kimliği tamamen ortaya çıkabilir. Kişiye ait bir bilgi kısmen ortaya çıkabilir yahut varsayımsal olarak kişiye ait bir bilgi ortaya çıkabileceğinden bu kapsamda riskin araştırılması akabinde anonimliğin bozulmasını engelleyici önlemler alınacaktır.
6- Kişisel Veri Sahibinin KVK Kanunu’nun 11. Maddesinde Sayılan Hakları:
Kişisel verilerin elde edilmesi sırasında ilgili kişiler, kendileriyle ilgili kişisel veri işlenip işlenmediğini, işlenmişse bunların neler olduğunu, kişisel verilerin hangi amaçla işleneceğini ve bunların amaçlarına uygun olarak kullanılıp kullanılmadıklarını işlenen kişisel verilerin kimlere aktarıldığını başvuru formu ile [email protected] e-posta adresine gönderecekleri bir e-posta ve ayrıca Yönetimin bulunduğunu Kocaeli Üniversitesi Teknoloji Geliştirme Bölgesi Vatan Caddesi No: 83 41275 Yeniköy – Başiskele / KOCAELİ adresine KOÜ Teknopark A.Ş. Yönetim başlıklı iadeli taahhütlü posta, noter vasıtasıyla veya elden teslim yöntemi ile gönderecekleri başvuru dilekçesi ile öğrenme hakkına sahiptirler.
Kişisel veri sahipleri gönderecekleri gerek başvuru formlarını gerekse de dilekçelerini, KOÜ Teknopark’ın kişisel veri sahiplerinin kimlik tespitini yapabilmesi için KOÜ Teknopark’a ibraz etmiş oldukları kimlik belgelerini de ekleyerek gönderirler.
Kişisel verilerin eksik ve yanlış işlendiğini tespit eden ilgili kişiler her zaman toplanan kişisel verilerin düzeltilmesini, 6698 sayılı Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini ve sayılan bu işlemlerin kişisel verilerin aktarıldığı 3. kişilere bildirilmesini isteyebilirler. İlgili kişiler, kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkması durumunda itiraz edebilirler.
İşbu doküman ile tarafımızla paylaşılmasına açık rıza göstermiş olduğunuz kişisel verilerinizin, hukuka uygun olarak toplanmasına, saklanmasına, işlenmesine, kullanılmasına, aktarılmasına yukarıda sayılan amaçlar gereğince ve ilgili kamu kurum /kuruluşları ve bu kapsamda üçüncü kişilere aktarımına açık, yazılı rızanız ile izin vermiş bulunmaktasınız. İşbu dokümanda belirtilen hükümleri, tüzel kişi firma olarak kabul etmeniz halinde, bünyenizdeki kişisel veri sahibi çalışanlarınızdan, danışmanlarınızdan ve/veya sair gerçek kişilerin kişisel verilerini tarafımızla paylaşmadan evvel, kişisel veri sahiplerinden kişisel verilerinin yukarıda sayılan amaçlar gereğince toplanmasına, kaydedilmesine, işlenmesine, saklanmasına, kullanılmasına, aktarılmasına ve bu kapsamda aynı amaçlara yönelik olarak yurtiçi ve yurtdışındaki iştirakler ile ilgili kurum ve kuruluşlarla paylaşılması konusunda yazılı açık rızalarını içerecek şekilde izin aldığınızı kabul, beyan ve taahhüt etmektesiniz.
Aşağıda sıralanan hallerde, kişisel verilerin işlenmesi ve aktarılması ile ilgili olarak ayrıca açık rızanız ile izin vermenize gerek bulunmamaktadır: