Maya Okulları KVKK Politikaları
KİŞİSEL VERİ İŞLEME, KORUMA ve GİZLİLİK POLİTİKASI
MAYA OKULLARI, hukuk düzeninin toplumsal hayatın temel taşlarından biri olduğu gerçeği nedeniyle, kurulduğu tarihten bu yana genel hukuk kurallarına uymakta ve kişilerin hak ve menfaatini gözetmek için azami gayret göstermektedir. MAYA OKULLARI Kişisel Verilerin İşlenmesi, Korunması ve Gizlik Politikası (“MAYA OKULLARI KVK Politikası”) ile MAYA OKULLARI faaliyetlerinin kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda MAYA OKULLARI’nın yerine getirmesi gerekenler ortaya konulmaktadır.
Yerleşkelerimizce MAYA OKULLARI KVK Politikası düzenlemelerinin uygulanması ile MAYA OKULLARI’nın benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.
MAYA OKULLARI KVK Politikası, KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından rehber olarak hazırlanmıştır. MAYA OKULLARI veliler, öğrenciler, çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup MAYA OKULLARI’nın sahip olduğu ya da MAYA OKULLARI’nca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Mevzuatta ve aynı zamanda MAYA OKULLARI KVK Politikası’nda kullanılan terimler aşağıda yer almaktadır.
- Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
- Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
- Kişisel Veri Sahibi /İlgili Kişi: Kişisel verisi işlenen gerçek kişi. Örneğin; Veliler ve çalışanlar.
- Açık Rıza : Belirli bir konuya ilişkin, önceden yapılmış bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
- KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- Kişisel Verileri Koruma Kurulu.
- KVK Kurumu : Kişisel Verileri Koruma Kurumu.
MAYA OKULLARI KVK Politikası’na uygun hazırlanan prosedür, standart ve eğitim faaliyetlerinin MAYA OKULLARI bünyesinde uygulanmasında, Hukuk Müşavirliği tavsiye kaynağı ve rehber olacaktır. MAYA OKULLARI genelindeki tüm personel, veliler, ziyaretçiler ve ilgili üçüncü kişiler, MAYA OKULLARI KVK Politikası’na uymak ve risklerin / tehlikenin önlenmesinde Hukuk Müşavirliği ile iş birliği yapmakla yükümlüdürler.
MAYA OKULLARI’nın tüm personelli MAYA OKULLARI KVK Politikası’na uyulmasını gözetmekle sorumludur.
1. MAYA OKULLARI TARAFINDAN BENİMSENEN TEMEL İLKELER
MAYA OKULLARI, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmektedir:
- Kişisel veri, kişiye ait ve kişinin belirlenesini sağlayan her türlü bilgiyi içermektedir ve bu sebeple korunması veri sahibi yönünden üstün yarar teşkil etmektedir. Veri sahibinin; hangi verilerinin hangi amaçla işlendiğini, verilerin aktarılıp aktarılmadığını bilme hakkına öncelikle özen gösterilmesinin bir yükümlülük olduğu bilinciyle hareket edilmelidir.
- Veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütür.
- İşlenen kişisel verilerin doğru ve gerektiğinde güncel olması sağlanmalı ve verilerin hatalı olması halinde bunların düzeltilmesi/ güncellenmesi sağlanmalıdır.
- Kişisel veriler sadece belirli, açık ve meşru amaçlar için ve işleme amacının gerektirdiği kadar işlenir. İleride kullanılma varsayımıyla fazla veri işlenmemeli, veri sahibinin hakları ile işlemenin amacı birlikte göz önünde bulundurulmalıdır.
- İşlenen kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Özellikle Türk Ceza Kanunu’nun 138. maddesi ve KVK Kanunu’nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet edilir. MAYA OKULLARI, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri siler, yok eder veya anonim hale getirir.
2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN KVKK’NA UYGUN YERİNE GETİRİLMESİ
Kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket etmelidirler. Veri işleme faaliyetinde sırayla aşağıdaki aşamalar takip edilir;
- Veri sahibi aydınlatılmalıdır. Aydınlatma, veri işlemek için açık rıza alınması gereken durumlarda rıza ( imza) alınmadan önce, açık rıza (imza) alınması gerekmeyen durumlarda veri işlemeye başlamadan önce yapılmalı ve hangi verilerin neden işleneceği açıklanmalıdır. Kamera görüntüsü alınmak suretiyle veri işlenmesi durumunda, gerekli yerlere yazılı uyarı levhaları konulmalıdır.
- Veri işlenme şartlarının mevcut olup olmadığının tespiti yapılmalıdır, şartların bulunmaması durumunda kişisel veri işleme faaliyetini gerçekleştirmemelidirler. Şu durumlarda veri işleme şartlarının varlığı kabul edilir ve rıza almaya gerek yoktur:
- Kanunlarda açıkça öngörülmesi ( örneğin SGK’ya bildirim zorunluluğu nedeniyle çalışanın kimlik bilgisinin alınması zorunludur).
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ( örneğin satın alma yapılan ürünün bedelini ödemek için satıcı kişinin ad soyadı ve banka hesap bilgilerinin alınması zorunludur).
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel veri işlenebilir.
- Yukarıdaki haller dışında veya “özel nitelikli veri” işlenmesi sırasında AÇIK RIZA ALINMALIDIR.
- İşlenecek veri miktarını “ gerektiği kadarla” sınırlamak ve her işleme amacı için gerektiğinden fazla veri işlememek gereklidir.
- MAYA OKULLARI personeli, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile MAYA OKULLARI KVK Politikası’nda ortaya konulan kurallara uymalıdırlar.
Bu açıklamalar kapsamında MAYA OKULLARI’nda, KVK Kanunu Madde 5 ve Madde 6’da belirtilen kişisel veri işleme şartları ve amaçları dâhilinde ve aşağıda belirtilen amaçlar dahilinde gerçekleştirilecektir;Veli, öğrenci ve iş ortakları verileri;
- Sözleşmesel ilişki nedeniyle veri işleme; Veli/Öğrenciye (Veli/Öğrenci ve potansiyel Veli/Öğrenciler) veya iş ortağına (iş ortağının tüzel kişi olması halinde iş ortağı yetkilisine) ait Kişisel Veri ayrıca rıza alınmasına gerek olmaksızın, sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme öncesinde ve sözleşmeye başlama aşamasında kişisel veriler; teklif hazırlamak, satın alma formu hazırlamak ya da Kişisel Veri Sahibinin sözleşmenin uygulanmasıyla ilgili taleplerini karşılamak amacıyla işlenebilir.
- MAYA OKULLARI’nın hukuki yükümlülüğü veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemeleri; Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla, ayrıca rıza alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
- MAYA OKULLARI’nın meşru menfaatine uygun olarak veri işlenmesi; Kişisel veriler, MAYA OKULLARI’nın meşru bir menfaati için gerekli olduğunda da ayrıca rıza alınmasına gerek olmaksızın işlenebilir. Meşru menfaatler genellikle yasal (örn. alacakların tahsil edilmesi) ya da ekonomik (örn. sözleşme ihlallerinden kaçınma) menfaatlerdir.
Personel verileri;
- İş ilişkisi için Kişisel Verilerin işlenmesi; Kişisel Veriler, iş sözleşmesinin kurulması, uygulanması ve sonlandırılması için gerekli olması halinde ayrıca rıza alınmadan işlenmektedir. İş ilişkisi başlatılırken adayların Kişisel Verileri işlenmektedir. Eğer aday reddedilirse, adaya ait bilgiler aday daha sonraki bir seçim aşaması için uygun veri saklama süresi kadar muhafaza edilmekte bu sürenin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
- Kanunda açıkça öngörülmesi veya MAYA OKULLARIin hukuki yükümlülüğü sebebiyle yapılan veri işlemeleri; Çalışana ait Kişisel Veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca rıza alınmasına gerek olmaksızın işlenebilir.
- Meşru menfaate uygun olarak verilerin işlenmesi; Çalışana ait Kişisel Veriler, MAYA OKULLARIin meşru bir menfaatinin gerektiğinde de ayrıca rıza alınmadan işlenebilmektedir. (örn. yasal hakların dosyalanması, uygulanması ya da savunulması ya da MAYA OKULLARI’nın değerlendirilmesi). Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel veriler meşru menfaat amaçları için işleme alınmamaktadır. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmektedir. Çalışanlara ait verilerin MAYA OKULLARI’nın meşru menfaatine dayanarak işlendiğinde, işlemenin ölçülü olup olmadığı incelenmektedir. MAYA OKULLARIin bu kontrol önlemini almasındaki meşru menfaatinin ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmekte olup ve sadece ölçülü olması halinde uygulanmaktadır.
Ziyaretçi Verileri ;
Ziyaretçi Verileri, kamera kayıtları ve ziyaretçi defterlerine kayıt edilmek suretiyle, Veli / Öğrenci ve personelin güvenliğini sağlama yükümlülüğü ( sözleşmesel ve yasal yükümlülük) sebebiyle, mekanda güvenlik ve düzenin sağlanması ve ileride doğması muhtemel hukuki durumlarda delil olması amacıyla ( MAYA OKULLARI’nın meşru menfaati uyarınca) ayrıca rıza alınmasına gerek olmaksızın işlenebilir. Kamera kaydının alındığı uyarısı gerekli yerlere yazılmalıdır.
3. KİŞİSEL VERİ AKTARIMININ KVKK’NA UYGUN YERİNE GETİRİLMESİ
MAYA OKULLARI tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri hariç olmak üzere diğer veriler aşağıdaki durumlarda aktarılabilir:
- Kanunlarda açıkça öngörülmesi ( örneğin SGK mevzuatı nedeniyle çalışanın kimlik bilgisinin SGK’ya bildirimi zorunludur).
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ( örneğin satın alması yapılan ürünün bedelini ödemek için satıcı kişinin ad soyadı ve hesap bilgilerinin bankaya bölümüne aktarımı zorunludur).
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel veri aktarılabilir ( örneğin öğrencinin kullandığı ilaçlar veya varsa hastalıklarına dair verilerin gerekli durumlarda sağlık personeline aktarımı zorunludur).
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
MAYA OKULLARI, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdırlar. Bu kapsamda idari ve teknik tedbirler alınmalı, MAYA OKULLARI bünyesinde denetim sistemi kurulmalı ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda süreç işletilmelidir.
- Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler şunlardır:
- Kişisel verilerin korunmasına ilişkin olarak çalışanlarını eğitir ve bilinçlendirir.
- Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenir. Bu kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşlarında bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınır.
- Okullar tarafından gerçekleştirilen süreçler detaylı olarak incelenir, süreç kapsamında yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilir. Bu kapsamda, yürütülen veri işleme faaliyetlerinin KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar belirlenir.
- Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan Teknik Tedbirler şunlardır:
- Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınınmış olup, alınan önlemler gelişmelere paralel olarak güncellenmeli ve iyileştirilmelidir.
- Teknik konularda, uzman personel istihdam edilir.
- Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır.
- Güvenliği temin edecek yazılım ve sistemleri güncellenir.
- Personeller tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili MAYA OKULLARI çalışanı ile sınırlandırılır.
- Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütmesi
MAYA OKULLARI tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği İç Denetim Birimleri tarafından denetlenir. Denetim Yönetim Kurulu görüşünü alarak dış kaynaklı denetim firmalarına da yaptırabilir. Gerçekleştirilen denetim faaliyetlerinin sonuçları, Genel Müdür ve ilgili fonksiyon yöneticilerine raporlanır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi, süreç sahiplerinin asli sorumluluğundadır. Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler ilgili birimce yürütülür.
- Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler
MAYA OKULLARI, işlemekte oldukları kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybetmeksizin durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirmelidirler. Eş zamanlı olarak Maya Veri İhlal Bildirim Prosedürü uygulanmalıdır.
5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER
MAYA OKULLARI, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdırlar.
- Veri Sorumluları Sicili (VERBİS) ne Kayıt Yükümlülüğü:.Kayıt başvurusunda Veri Sorumluları Sicili’ne sunulması gereken bilgiler aşağıda yer almaktadır:
- Veri sorumlusu ve varsa temsilcisinin kimlik bilgileri ve adresleri,
- Kişisel verilerin işlenme amacı,
- Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri hakkında bilgiler,
- Kişisel verilerin aktarılabileceği kişi veya kişi grupları,
- Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süresi,
- İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler.
- Veri Sahibini Aydınlatma Yükümlülüğü :Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- KVK Kanunu’nun 11. maddesinde sayılan veri sahibinin hakları
- Kişisel Verileri Hukuka Uygun Olarak Toplama ve Aktarma Yükümlülüğü:Veri sahibine hangi verilerinin hangi amaçla işlendiği ve verilerin aktarılıp aktarılmadığı açıklanmalı, toplanan veriler hukuka ve dürüstlük kuralına uygun olarak işlenmelidir. Kişisel veriler sadece belirli, açık ve meşru amaçlar için ve işleme amacının gerektirdiği kadar işlenmeli ve doğru ve güncel olması sağlanmalıdır. İşlenmiş verinin işleme sebebi ortadan kalkmış ise verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurmalıdırlar.
- Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü:Veri sahibinin herhangi bir hak kaybı yaşamaması için, MAYA OKULLARI; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınmalıdır. Veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimleri yapmak veya yaptırmakla yükümlüdür.
- KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü:MAYA OKULLARI kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.
- Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü :MAYA OKULLARI veri sorumlusu sıfatıyla, veri sahiplerinin kişisel verilerine ilişkin yazılı taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar.
Kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Verilerde düzeltme veya silinme/yok edilme halinde, kişisel verilerin aktarıldığı üçüncü kişilere durumun bildirilmesini isteme,
- Verilerde düzeltme veya silinme/yok edilme halinde, kişisel verilerin aktarıldığı üçüncü kişilere durumun bildirilmesini isteme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme etmek.
Politika dokümanı, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da VERİ SORUMLUSU İRTİBAT KİŞİSİ TARAFINDAN dosyasında saklanır.
Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. Bu Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Yönetim Kurulu tarafından Genel Müdüre yetki verilmiştir. Genel Müdür onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir. İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları ilgili yönetmeliklere eklenmek şeklinde düzenlenecektir. MAYA OKULLARI KVK Politikası internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
KİŞİSEL VERİ SAKLAMA - İMHA POLİTİKASI
MAYA OKULLARI Kişisel Verilerin Saklama-İmha Politikası (“MAYA OKULLARI KVK Politikası”) gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. MAYA OKULLARI veliler, öğrenciler, çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup MAYA OKULLARI’nın sahip olduğu ya da MAYA OKULLARI’nca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Mevzuatta ve aynı zamanda MAYA OKULLARI KVK Politikası’nda kullanılan terimler aşağıda yer almaktadır.
- Kişisel Veri:Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
- Özel Nitelikli Kişisel Veri:Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
- Kişisel Veri Sahibi/İlgili Kişi:Kişisel verisi işlenen gerçek kişi. Örneğin; Veliler ve çalışanlar.
- Açık Rıza:Belirli bir konuya ilişkin, önceden yapılmış bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Kişisel verilerin işlenmesi:Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Veri işleyen:Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- İmha:Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
- Anonim Hale Getirme:Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
- Kayıt ortamı:Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
- Alıcı grubu:Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
- KVK Kanunu:7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- KVK Kurulu:Kişisel Verileri Koruma Kurulu.
- KVK Kurumu:Kişisel Verileri Koruma Kurumu.
MAYA OKULLARI’nın tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımları şu şekildedir:
- Genel Müdür : Çalışanların politikaya uygun hareket etmesinden sorumludur.
- Bilgi işlem uzmanı : Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
- Diğer birim personelleri: Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.
Kişisel veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır:
- Elektronik olmayan ortamlar
- Kağıt
- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
- Yazılı, basılı, görsel ortamlar
- Elektronik ortamlar
- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları, Maya24, VCloud.)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
- Kişisel bilgisayarlar (Masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
- Yazıcı, tarayıcı, fotokopi makinesi
MAYA OKULLARI tarafından; veliler, öğrenciler, çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.
- Saklamayı Gerekli Kılan Hukuki sebepler:MAYA OKULLARI tarafından kişisel veriler;
- 5580 sayılı Özel Öğretim Kurumları Kanunu
- 6102 sayılı Türk Ticaret Kanunu
- 6098 sayılı Türk Borçlar Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4857 sayılı İş Kanunu,
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- Vergi mevzuatı ile bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
- Saklamayı Gerektiren İşleme Amaçları:MAYA OKULLARI, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır.
- İnsan kaynakları süreçlerini yürütmek.
- Kurumsal iletişimi sağlamak.
- Kurum güvenliğini sağlamak,
- İstatistiksel çalışmalar yapabilmek.
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
- Yasal raporlamalar yapmak.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
- Kişisel Verilerin Güvenliğinin Sağlanması
MAYA OKULLARI, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almaktadır. Bu kapsamda ;
- Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler şunlardır:
- Kişisel verilerin korunmasına ilişkin olarak çalışanlarını eğitmekte ve bilinçlendirmektedir.
- Kurum tarafından yürütülen faaliyetlere ilişkin çalışanların sözleşmelerine gizlilik şartı eklenmiştir.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü İK yönetmeliğinde hazırlanmış ve personele sözleşmelerinin ekinde “ EL KİTABI” olarak teslim edilmiştir.
- Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmiştir. Bu kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşlarında bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmaktadır.
- Kişisel veri içeren fiziksel ortamların güvenliği sağlanmaktadır.
- Kurum içi denetim yapılmaktadır.
- Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan Teknik Tedbirler şunlardır:
- Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncellenmekte ve iyileştirilmektedir.
- Teknik konularda, uzman personel istihdam edilmektedir.
- Personeller tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmaktadır.
- Sunucu bilgisayar ve veri depolama sistemlerinin teknik yönetim faaliyetlerinin yerine getirilmesini sağlamak, bu kapsamda;
- Maya Okulları’nın teknik altyapısı dahilinde kullanılan sunucu sistem donanımlarının ve bunların üstünde servis veren MS Windows işletim sistemlerinin, kullanıcı ihtiyaçlarını belirleme, tedarik, kurulum, konfigürasyon, patching, kapasite planlama, performans ayarlamaları, operasyon, yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim ve dokümantasyon fonksiyonlarının yerine getirilmesi,
- Sunucu kullanıcı aktivasyon/de-aktivasyon, konfigürasyon ve yetkilendirme çalışmalarının yerine getirilmesi,
- Sunucular üstünde sanallaştırma ve sanallaştırma performans optimizasyonu çalışmalarının yerine getirilmesi,
- Sunuculara entegre olarak çalışan veya SAN/NAS yapısında olan depolama sistemlerinin günlük monitör edilme işlemlerinin yerine getirilmesi, doluluk/kapasite planlarının yapılması, yedekleme/yedekten geri dönme işlemlerinin yerine getirilmesi,
- Sunucu ve depolama sistemlerinin yazılım ve donanımlarının sistem entegrasyonu, test, kalite kontrolü̈ çalışmalarının yerine getirilmesi, devreye alınan donanım, işletim sistemi veya uygulama modüllerinin sağlıklı olarak hizmet verdiğinin sürekli kontrol edilmesi, düzeltme/geliştirme/iyileştirme/verimlilik artırma gibi bakım ve işletim faaliyetlerinin yerine getirilmesi,
- Sunucu sistemlerinin ve bu sistemler üzerinde çalışan tüm servislerin günlük monitör edilme işlemlerinin yerine getirilmesi, tüm sunucu donanım ve servislerinin çalışır durumda olduğunun kontrolü̈, normal-dışı kapanan sunucu veya servisler için koruyucu ve düzeltici önlemlerin alınması, sistem log’larının konfigürasyon ve kontrol çalışmalarının yerine getirilmesi,
- Sunucu donanımları, işletim sistemleri, depolama sistemleri ve uygulama yazılımlarıyla ilgili, temel seviyedeki son kullanıcı kullanım kılavuzlarının hazırlanması ve güncellenmesi, son kullanıcı eğitimlerinin verilmesi,
- Sunucu sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması,
- Sunucu donanımları ve işletim sistemleri alanındaki yeni teknolojilerin takip edilmesi ve kurumun altyapısına uyarlanması işlemlerini yürütülmektedir.
- E-posta sistemleri, Web Sunucuları, SMTP, POP, IMAP, LDAP, FTP, SNMP, DNS, gibi temel uygulama ve protokollerin teknik yönetim faaliyetlerinin yerine getirmek, bu kapsamda;
- Maya Okulları’nın teknik altyapısı dahilinde kullanılan e-posta sunucu sisteminin kullanıcı aktivasyon/de-aktivasyon/yönlendirme, konfigürasyon, patching, kapasite planlama, performans ayarlamaları, yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim, operasyon ve dokümantasyon fonksiyonlarının yerine getirilmesi,
- E-posta sistemlerinin altyapısında hizmet veren SMTP, POP, IMAP protokollerinin yönetim/konfigürasyon ve dokümantasyon fonksiyonlarının yerine getirilmesi,
- Sistem kullanıcılarının yönetimi ve LDAP protokolünün konfigürasyonu/yönetimi/ yedeklenmesi/yetkilendirilmesi çalışmalarının yerine getirilmesi,
- FTP alanı açma, DNS domain/sub-domain tanımlama, vb. gibi operasyonel çalışmaların yerine getirilmesi,
- E-posta, LDAP, FTP, DNS, vb. tanımlaması gerektiren son-kullanıcı taleplerinin, Maya Okulları’nın ilgili prosedür/politika ve standartlara uygun olarak yerine getirilmesinin sağlanması; standart dışı, LDAP, E-mail, sub-domain tanımlamalarının ve veri kirliliğinin önüne geçilmesi için gerekli tedbirlerin alınması ve uygulanması,
- Uygulama sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması,
- E-posta sunucuları ve uygulamaları alanındaki yeni teknolojilerin takip edilmesi ve kurumun altyapısına uyarlanması işlerini yürütülmektedir.
- Veritabanı yönetim sistemlerinin, teknik yönetim faaliyetlerini yerine getirmek, bu kapsamda;
- Maya Okulları’nın teknik altyapısı dahilinde kullanılan Oracle/MS-SQL/MYSQL, vb. tüm veritabanı yönetim sistemlerinin kullanıcı ihtiyaçlarını belirleme, tedarik, kurulum, konfigürasyon, patching, kapasite planlama, performans ayarlamaları, operasyon, yedekleme, yedeklerden geri dönme, vb. gibi teknik yönetim ve dokümantasyon fonksiyonlarının yerine getirilmesi,
- Veritabanı SQL scripting çalışmalarının yerine getirilmesi,
- Veritabanı kullanıcı aktivasyon/de-aktivasyon, konfigürasyon ve yetkilendirme çalışmalarının yerine getirilmesi,
- Maya Okulları dahilindeki tüm sistemlerin veri yapılarının birbirleriyle entegrasyonu, test, kalite kontrolü̈ çalışmalarının yerine getirilmesi, veri bütünlüğünün sağlanması. Veri duplikasyonunun önüne geçecek önlemlerin alınması, veri altyapısının sağlıklı olarak hizmet verdiğinin sürekli kontrol edilmesi, düzeltme/geliştirme/iyileştirme/verimlilik artırma gibi bakım ve işletim faaliyetlerinin yerine getirilmesi,
- Veritabanı yönetim sistemlerinin en yetkili erişim şifrelerinin yönetilmesi ve güvenliğinin sağlanması işlemlerini yürütülmektedir.
- Kişisel Verilerin Saklama Süreleri
Sözleşmeler Sözleşmenin sona ermesini takiben 10 yıl Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar 10 yıl Ticari Elektronik Mail Onay Kayıtları Onayın geri alındığı tarihten itibaren 1 Yıl Aday Veli ve Öğrencilere İlişkin Kişisel Veriler Son görüşme tarihinden itibaren 2 Yıl Veli ve Öğrencilere İlişkin Kişisel Veriler Hukuki ilişki son erdikten sonra 10 Yıl Tedarikçilere İlişkin Kişisel Veriler Hukuki ilişki son erdikten sonra 10 Yıl SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) İş İlişkisinin sona ermesinden itibaren 10 Yıl İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) İş İlişkisinin sona ermesinden itibaren 5 Yıl İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) İş İlişkisinin sona ermesinden itibaren 15 Yıl İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması İş İlişkisinin sona ermesinden itibaren 10 Yıl İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) 5 Yıl Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları İş İlişkisinin sona ermesinden itibaren 10 Yıl Vergisel Kayıtlara İlişkin Kişisel Veriler 5 Yıl Fatura /Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler 5 Yıl Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler 10 Yıl CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) 3 Ay Ziyaretçi /Seminer/ Toplantı Katılımcıların Kaydı Etkinliğin Sona ermesinden İtibaren 2 Yıl Kurum İletişim Faaliyetleri Faaliyetin Sona Ermesinden İtibaren 10 Yıl İnsan Kaynakları Süreçleri Faaliyetin Sona Ermesinden İtibaren 10 Yıl Kişisel Verileri Koruma Kurulu İşlemleri 10 yıl
- Kişisel Verilerin Hukuka Uygun İşlenmesini, Aktarılmasını Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınan İdari Tedbirler şunlardır:
- İmhayı Gerektiren Sebepler:Kişisel veriler aşağıdaki durumlarda MAYA OKULLARI tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,
- İmha Teknikleri:İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, MAYA OKULLARI tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir
- Kişisel Verilerin Silinmesi
- Sunucularda Yer Alan Kişisel Veriler; Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
- Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
- Fiziksel Ortamda Yer Alan Kişisel Veriler: Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
- Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
- Kişisel Verilerin Yok Edilmesi
- Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
- Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
- Kişisel Verilerin Silinmesi
- İmha Süreci ve Süreleri
- MAYA OKULLARI’nda saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi IT Koordinatörlüğü tarafından yerine getirilir.
- Kurul tarafından aksine bir karar alınmadıkça, MAYA OKULLARI’nda saklama süreleri sona eren kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçilir. İlgili kişinin talebi ile kişisel verilerin imhası halinde halinde, uygun yöntemi gerekçesini açıklanmak suretiyle, uygun yöntem seçilir ve uygulanır.
- Periyodik imha süresi:Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesi gereğince MAYA OKULLARI’nda her yıl Ocak ve Temmuz aylarında periyodik imha işlemi gerçekleştirilir.
Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir. - Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
- Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri:İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden MAYA OKULLARI’na başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa;en geç otuz gün içinde, talebe konu kişisel veriler silinir, yok edilir veya anonim hale getirilir ve ilgili kişiye bilgi verilir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa,ilgili kişinin talebi üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği kapsamında gerekli işlemlerin yapılması temin edilir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa;en geç otuz gün içinde, gerekçesi açıklanarak reddedilir ve cevabı ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir
Politika dökümanı, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da VERİ SORUMLUSU İRTİBAT KİŞİSİ TARAFINDAN dosyasında saklanır.
Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. Bu Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Yönetim Kurulu tarafından Genel Müdüre yetki verilmiştir. Genel Müdür onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir. İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları ilgili yönetmeliklere eklenmek şeklinde düzenlenecektir. MAYA OKULLARI KVK Politikası internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.Accordion Content
KİŞİSEL VERİLERİN İŞLENMESİNE DAİR BİLGİLENDİRME
MAYA OKULLARI markasıyla faaliyet sürdüren MAYA-GEN EĞİTİM YAYINCILIK BİLG. İNŞ. GIDA TURZ.LTD.ŞTİ, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında “veri sorumlusu” sıfatına sahiptir. KVKK 10. madde uyarınca gerçekleştirilen kişisel veri işleme faaliyetleri hakkında bilgilendirilmesi amacıyla işbu metin hazırlanmıştır.
Kişisel verileriniz faaliyetlerimizi yürütmek amacıyla Şirket’imiz tarafından farklı kanallarla ve mevzuata ve Şirket politikalarına uyumun sağlanması hukuki sebeplerine dayanılarak toplanmaktadır. Kişisel verileriniz, KVKK tarafından öngörülen temel ilkelere uygun olarak, KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işbu Aydınlatma Metninde belirtilen amaçlarla da işlenebilmekte ve aktarılabilmektedir. Bu kapsamda aşağıdaki kişisel veriler işlenmektedir.
Kimlik bilgisi ( ad-soyad, doğum yeri, doğum tarihi, yaş, T.C. Kimlik numarası vb), iletişim bilgisi (e-mail adresi, telefon numarası, cep telefonu numarası, adres), Şirketimiz ve ilgili tarafların teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler (örn. kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren Internet sitesi şifre ve parola gibi bilgiler), Şirketimizin ticari, teknik ve idari risklerini yönetebilmek için işlenen kişisel veriler (örn. IP adresi, Mac ID vb. kayıtlar) ve ödemeye ilişkin finansal bilgiler ile sağlık kayıtları kişisel veri kapsamında işlenmektedir.
Toplanan kişisel verileriniz, KVKK tarafından öngörülen temel ilkelere uygun olarak ve KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde,
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- İnsan kaynakları süreçlerini yürütmek.
- Kurumsal iletişimi sağlamak.
- Kurum güvenliğini sağlamak,
- İstatistiksel çalışmalar yapabilmek.
- Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
- Yasal raporlamalar yapmak.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü
amacıyla işlenmektedir.
Kişisel veriler, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplanmaktadır. İlgili mevzuatın ilgili kişiden açık rıza alınmaksızın işlenmesine (aktarımlar dahil) imkan verdiği haller dışındaki her türlü kişisel veri işlemleri için izin alındığını ve izinsiz işlenme yapılmadığını belirtmek isteriz.
Toplanan kişisel verileriniz; KVKK tarafından öngörülen temel ilkelere uygun olarak ve KVKK’nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde, Kurumumuz tarafından aşağıda yer alan amaçlarla; iş ortaklarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına ve özel kişilere aktarılabilmektedir:
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- İlgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
- Kurumumuzun verdiği hizmetlerin, iş stratejilerinin planlanması ve icrası,
- Kurumumuz ve Kurumumuz ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temini,
- Finans, muhasebe işlerinin ve hukuk işlerinin takibi .
KVKK kapsamında kişisel verilerin saklanması için herhangi bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Şirketimiz, söz konusu ilkeye uygun bir şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir değerlendirme yapmaktadır. Bu doğrultuda Şirketimiz, asgari olarak yasal yükümlülüklerinin gerektirdiği süre ile ve her halükârda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır. Şirketimiz, bahsi geçen sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel verileri Kanun’a uygun bir şekilde anonimleştirmekte, silmekte veya yok etmektedir. Kanun kapsamında anonimleştirme “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmış olup Şirketimiz anonimleştirme faaliyetleri yürürlükteki mevzuata uygun bir şekilde gerçekleştirilmektedir.
KVKK 11. Madde uyarınca veri sahibi olarak;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Verilerde düzeltme veya silinme/yok edilme halinde, kişisel verilerin aktarıldığı üçüncü kişilere durumun bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahipsiniz.
KVKK’un uygulanmasıyla ilgili taleplerinizi yazılı olarak şahsen veya noter kanalıyla veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen diğer yöntemlerle Kurumumuza iletmeniz gerekmektedir. Kurumumuz başvuruda yer alan talepleri, talebin ulaştığı tarihten itibaren ve talebin niteliğine göre en kısa sürede, en geç otuz gün içinde sonuçlandırılacak ve yazılı olarak veya elektronik ortamda size bildirilecektir. Şirketimizin taleplere ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından belirlenen (varsa) ücret tarifesi üzerinden ücret talep etme hakkı saklıdır. Yukarıda sıralanan haklarınıza yönelik başvurularınızı, internet adresinde yer alan KVKK Başvuru Formu’nu kullanarak iletebilirsiniz.
Bilgilerinizin Korunması
Kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel verilerin muhafazasını sağlamak amacıyla gerekli önlemleri bilgi ve işlemin mahiyetine göre Kurumumuz veya ilgili kuruluşça sistemlerde ve internet altyapısında, teknolojik imkanlar ve maliyet unsurları dahilinde, uygun teknik ve idari yöntemler ile alınmıştır. Kurumumuz KVKK 12.madde kapsamında iç denetimleri yapmaktadır. Veri işleyen personellerimize KVKK kapsamında gerekli bilgilendirme yapılmış olup, kişisel verilerin korunması hususunda farkındalık yaratılmaya yönelik çalışmalar yapılmaktadır. Bununla beraber, V-Cloud, K12net, e-okul ve diğer dijital eğitim platformlarına söz konusu bilgiler kullanılarak veri sahibinin cihazından girildiğinden, veli/vasi tarafında da korunmaları ve ilgisiz kişilerce erişilememesi için, virüs ve benzeri zararlı uygulamalara ilişkin olanlar dahil, gerekli tedbirlerin alınması sorumluluğu veli/vasi’ye aittir.
Tüm MAYA ailesine saygıyla duyurulur.