Boğaziçi Üniversiteliler Derneği (BURA)
Kişisel Verileri Saklama ve İmha Politikası
1. GİRİŞ
1.1. AMAÇ
İşbu Kişisel Verileri Saklama ve İmha Politikası, Boğaziçi Üniversiteliler Derneği (“BURA Derneği”) tarafından kişisel verileri işlenen kişileri bilgilendirmek ve BURA Derneği tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler hakkında usul ve esasları belirlemektir.
BURA Derneği, çalışanlarına, üyelerine, iletişim ağında bulunan gerçek ve tüzel kişiler hakkında işlemiş olduğu tüm kişisel verileri T.C. Anayasası, uluslararası sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuatlara uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin ve etkili bir şekilde kullanmasının sağlanmasını taahhüt eder.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, BURA Derneği tarafından hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
1.2. KAPSAM
İşbu Politika çalışanlar, ziyaretçiler, üyeler, resmi dernek üyeleri, gönüllüler, aboneler, yönetim kurulu üyeleri, bursiyer, bursiyer adayları ve sair üçüncü kişiler dâhil gerçek kişilerin BURA Derneği tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.
Politika, BURA Derneği tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.
1.3. KISALTMALAR ve TANIMLAR
• Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
• Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
• Çalışan: Boğaziçi Üniversiteliler Derneği personeli.
• Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
• Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
• Hizmet Sağlayıcı: Boğaziçi Üniversiteliler Derneği ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
• İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
• İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
• İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
• Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
• Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
• Kurul: Kişisel Verileri Koruma Kurulu.
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biometrik ve genetik verileri.
• Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
• Politika: Kişisel Verileri Saklama ve İmha Politikası Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
• Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
• Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
• Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
2. KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
Veri sahiplerine ilişkin kişisel veriler BURA Derneği tarafından aşağıdaki listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır:
Elektronik Ortamlar
• CRM
• Fonzip
• Google Drive
• Bulut Sistemleri
• Microsoft Sistemleri
Fiziki Ortamlar
• Klasörler
• Arşivler
• Birim Dolapları
3. KİŞİSEL VERİLERİN SAKLANMASI VE SİLİNMESİNE DAİR ALINAN TEDBİRLER
BURA Derneği, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
3.1. Teknik Tedbirler
• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmakta ve elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• İhtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
3.2. İdari Tedbirler:
• BURA Derneği tarafından, derneğin faaliyetlerine ilişkin yapılan üçüncü taraflarla yapılan sözleşmelerde gizlilik hükümleri eklenmektedir.
• BURA Derneği, yürüttüğü faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Kişisel veri işlemeye başlamadan önce BURA Derneği tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• BURA Derneği, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için Kanun ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün BURA Derneği ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiştir.
• Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonrada devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• BURA Derneği, tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Gerekli hallerde kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında eğitimleri verir.
• BURA Derneği, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
4. KİŞİSEL VERİLERİN AKTARIMI
Dernek tarafından, faaliyetlerin ve operasyonların eksiksiz ve başarılı bir şekilde yönetilebilmesi açısından üçüncü kişilerle işbirliği içerisinde bazı çalışmalar yapılmaktadır. Bu çalışmalar kapsamında kişisel veriler;
• Dernekler Bilgi Sistemi (DERBİS),
• Hizmet alınan anlaşmalı bilişim teknolojisi firmasına,
• Hizmet alınan hukuk bürosuna,
• Dernek organizasyonlarını ve faaliyetlerini gerçekleştirmek için hizmet alınan tedarikçi firmalara,
• Derneğin yurt içindeki ve yurt dışındaki çözüm ortaklarına,
• Derneğin yurt içindeki ve yurt dışındaki resmi üyeliklerine aktarılabilmektedir.
• Dernek tarafından kişisel verilerinizin yurt içindeki ve yurt dışındaki üçüncü kişilere aktarılmasının tek amacı dernek faaliyetlerinin ve operasyonlarının eksiksiz bir biçimde yürütülmesi ve yönetilmesidir. Kişisel verileriniz, farklı bir amaç doğrultusunda üçüncü kişilere aktarılmamaktadır. Kişisel verilerini yurt dışına yalnızca açık rızanızın olması durumunda aktarılmaktadır.
5. KİŞİSEL VERİ İMHA TEKNİKLERİ
Kişisel veriler; İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, Dernek tarafından resen veya ilgili kişinin başvurması halinde ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
5.1. Kişisel Verilerin Silinmesi
Kişisel veriler, Dernek tarafından aşağıdaki yöntemlerle silinir;
• Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için Dernek bilişim teknolojileri birimi sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
• Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
• Fiziksel Ortamlarda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için sorumlu birim yöneticisi tarafından çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
• Taşınabilir Diskler ve Medya Aygıtlarında Bulunan Kişisel Veriler: Sistem yönetici tarafından şifreleme ve akabinde silme işlemi uygulanır.
5.2. Kişisel Verilerin Yok Edilmesi
• Sunucularda Yer Alan Kişisel Veriler: Sistem yöneticisi tarafından bir daha erişilemeyecek şekilde yok edilir.
• Elektronik Ortamlarda Yer Alan Kişisel Veriler: Sistem yöneticisi tarafından bir daha erişilemeyecek şekilde yok edilir.
• Fiziksel Ortamlarda Yer Alan Kişisel Veriler: Saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
• Taşınabilir Diskler ve Medya Aygıtlarında Bulunan Kişisel Veriler: Saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle (de-manyetizma usulü) üzerindeki veriler okunamaz hale getirilir.
5.3. Kişisel Verilen Anonimleştirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilen başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.
BURA Derneği bünyesinde işlenen kişisel veriler; Değişkenleri Çıkartma, Kayıtları Çıkartma, Bölgesel Gizleme, Genelleştirme, Alt ve Üst Sınır Kodlama, Global Kodlama, Örnekleme, Gürültü Ekleme, Veri Değiş Tokuşu gibi yöntemler kullanılarak anonimleştirilme işlemleri yapılır.
6. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN BİRİMLER
İlgili Kişiler tarafından BURA Derneği’ne yapılan saklama ve imha talepleri Dernek Yönetim Kurulu tarafından değerlendirilir ve 30 gün içerisinde karara bağlanır.
7. SAKLAMA ve İMHA SÜRELERİ
İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle BURA Derneği’ne iletir. BURA Derneği Yönetim Kurulu, başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır.
Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir. BURA Derneği, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde BURA Derneği tarafından gereği yerine getirilir.
İlgili kişi, BURA Derneği’ne başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Dernek talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. BURA Derneği, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa BURA Derneği bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep BURA Derneği tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
8. PERİYODİK İMHA VE DENETİM
8 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca periyodik denetim için asgari süre 6 ay olarak belirlenmiştir. Buna göre Dernek tarafından her yılın Haziran ve Aralık aylarında periyodik denetim ve imha işlemleri gerçekleştirilecektir.
9. POLİTİKANIN YÜRÜLÜĞÜ VE YÜRÜLÜKTEN KALDIRILMASI
İş bu politika, Dernek Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girer. Revize edildiğine, değiştirildiğine ve yürürlükten kaldırıldığına dair bir Yönetim Kurulu kararı tesis edilene kadar yürürlükte kalır.