Veri Güvenliği Politikası

İMİ EĞİTİM KURUMLARI A.Ş

KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

1. Amaç

Bu “Kişisel Verilerin Korunması Politikası” (Politika) metninin amacı, İMİ EĞİTİM KURUMLARI A.Ş.’nin sahibi olduğu, işlettiği  İMİ Koleji ve bağlı okulları ile işletmelerde (Şirket), 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) ve ilgili mevzuata uygun olarak yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin güvenli işlenmesi, korunması ve imhası ile ilgili yol ve yöntemleri belirlemektir.

2. Politikanın Kapsamı

Bu politika metni, Şirketin gerçek kişilere ait işlenen kişisel verileri, kategorilerini, kullanılış ve işleniş biçimlerini, koruma ve imha edilme koşullarını belirleme ile, kişisel veri sahiplerinin (İlgili kişi) haklarının korunmasında ilişkin izlenecek yol ve yöntemleri kapsar.

3. Kişisel Verilerin İşlenme Amacı

Şirket, faaliyetleri kapsamında ihtiyacı olan kişisel veriler ile, gereken özel nitelikli kişisel verileri aşağıdaki amaçlarla işler :           

  1. Öğrenciyi tanıma ve eğitim öğretim sürecinde takip etme
  2. Öğrenci, veli ve mezunlarla ilgili her türlü iş, işlem ve ilişkileri düzenleme ve yürütme
  3. Akademik ve sosyal etkinlikleri, planlama, yönetme ve işletme
  4. Akademik ve sosyal etkinliklerde çekilen ses ve görüntü kayıtları ile web sitesi ve sosyal medya hesaplarında bilgi aktarımı ve tanıtım
  5. İş ortakları ve tedarikçilerle ilgili işleri yürütme, yasal yükümlülükleri yerine getirme
  6. İletişim, bilgi güvenliği denetimi, finans ve muhasebe işlerini takip etme
  7. İnsan kaynakları politikaları ve uygulamalarını planlama ve yürütme
  8. Çalışanlar ve hissedarlarla ilgili yasal yükümlülükleri yerine getirme
  9. İş yerinde düzen, kontrol, güvenlik, yönetim ve uyumu sağlama
  10. Mevzuat gereği ilgili ve veya yetkili kişi ve kurumların taleplerini karşılama

 4. Kişisel Verileri İşlenen Kişiler (İlgili Kişi)

 Şirketimizin, bağlı okullarının ve işletmelerinin faaliyetleri kapsamında şu kişilerin kişisel verileri işlenebilir. 

  1. Eğitim-öğretim faaliyetinden yararlanan “Öğrenci”
  2. Kayıt aşamasında olan “Öğrenci Adayı”
  3. Öğrencinin ve öğrenci adayının “Velisi”
  4. Öğrencinin “Aile Üyeleri ve Yakınları”nın
  5. Şirkette her kademede tam ya da kısmi gün görev alan “Çalışanlar”
  6. İş başvurusu yapan “Çalışan Adayı”
  7. Bir sözleşme gereği belirli bir işi Şirket ile birlikte yapan “İş Ortağı”
  8. Etkinliklere katılım sağlayan “Etkinlik Katılımcısı”
  9. Herhangi bir amaçla ziyarete gelen “Ziyaretçi”
  10. Mal ve hizmet sunan “Tedarikçi”
  11. Eğitim-öğrenim programını tamamlamış “Mezun”
  12. Şirket “Hissedar”ları ve “Yönetim Kurulu Üyeleri”
  13. Yukarıda yer verilen veri sahibi kategorileri dışında kalan “Üçüncü Kişiler”

 5. Veri Toplama Yöntemi

 Şirket kişisel verileri “öğrenci kayıt sözleşmesi, öğrenci bilgi formu, iş sözleşmesi, hizmet sözleşmesi, aday öğrenci ve aday çalışan formu gibi kağıt üzeri yazılı belgeler ile, Milli Eğitim Bakanlığı (MEB) e-okul portalı gibi elektronik ortamda girilerek ulaşılan belgelerden alarak, ender olarak da sözlü iletişim, elektronik posta, faks, telefon, posta, kurye gibi iletişim araçlarıyla, hem otomatik olmayan, hem de kısmi otomatik olan yöntemlerle toplar.

 6. Kişisel Verilerin İşlenmesi ve Aktarılması

 Şirket, kişisel verileri bu politika metninin 3.Maddesinde belirtilen amaçlar doğrultusunda işler, bunun  yanında, bilgi talebinde bulunabilecek MEB, SGK, Vergi Daireleri ile adli, tıbbi, mali merciler gibi yetkili kurum ve kuruluşlara aktarabilir. Buna göre Şirkette; 

  1. Tüm kişisel veriler işlenirken Kanunun 4.Maddesinde belirtilen ilkeler gözönüne alınır.
  2. Kişisel veriler Kanunun 5. Maddesinde,  özel nitelikli kişisel veriler ise 6.Maddesinde belirtildiği çerçevede işlenir
  3. Kişisel verilerin yurtiçinde aktarımı Kanunun 8.Maddesinde belirtildiği çerçevede yapılır
  4. Kişisel verilerin yurtdışına aktarımı Kanunun 9.Maddesinde belirtildiği çerçevede yapılır 

7. Kişisel Verilerin Korunması

Kanunun amacı ve hükmü çerçevesinde Şirket, kişisel verilerin işlenme süreleri boyunca verisi işlenen ilgili kişiye zarar vermeyecek şekilde kullanımı ve korunması için gerekli idari ve teknik önlemleri alır

8. İdari Önlemler

a. Aydınlatma Metni

Şirket, işlediği hangi kişisel verileri, ne amaçla, hangi yasal dayanaklarla, hangi yol ve yöntemlerle işlediği, verileri nasıl ve ne sürelerle koruduğu ve imha ettiği, ilgili kişinin hakları bilgilerini içeren bir “Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni”ni  web sitesinde ve K12.Net okul portalında yayınlayarak kişisel verileri işlenebilecek kişilerin ilgisine ve bilgisine sunar. Faaliyet, hizmet veya tedarik sözleşmelerine ilgili madde olarak koyar.

b. Kişisel Veri İşleme Envanteri

Şirket, kişisel veri işleme faaliyetleri süreçleri ve akışını gösterecek bir tablo halinde, kişisel veri işleme amaçları, hukuki dayanakları, veri kategorisi, aktarılan alıcı grubu ve veriyi koruma süresini, yurtdışına aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri de açıklayan bir “Kişisel Veri İşleme Envanteri - KVİE”oluşturur.

c. Çalışanların Eğitimi

Şirket, çalışanlarının kişisel verilerin korunması hakkındaki ilgili mevzuat ve uygulama ile ilgili farkındalıklarını artırmak amacıyla düzenli olarak bilgilendirme ve eğitimler düzenler. Şirket bunun için bir uygulama prosedürü hazırlar.

d. Çalışanlarla Gizlilik Protokolü

Şirket ile çalışanlar arasında düzenlenen bir gizlilik protokolüyle, çalışanların kişisel verileri yasal çerçevede işleme ve koruma yükümlülüklerinin farkında olmaları sağlanır. MEB mevzuatının engel olmadığı koşullarda çalışanla yapılan iş sözleşmelerinde KVKK ile ilgili hükümler yer alır.

e. Gizlilik İhlali Disiplin Yönetmeliği

Şirket, kişisel veri gizliliğinin çalışanlarca ihlali durumunda uygulanmak üzere bir Disiplin Yönetmeliğini yürürlüğe koyar.

f. Tedarikçi Gizlilik Protokolü

Kurum dışından bir hizmet alınması gereken durumlarda, kişisel veri işleyen kurum ve kişiler, “Veri İşleyen için Gizlilik Taahhüdü” ile bilgilendirilir. Yapılan sözleşmelerde KVKK ile ilgili hükümler yer alır.

g. Koruma ve Gizlilik İhlalinin  Bildirilmesi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Şirket, gerekli önlemlerin alınabilmesi açısından bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirir. Bunun için bir uygulama prosedürü hazırlanır.

h. Ortam Fiziki Güvenliği

Şirket, kâğıt ortamında işlenen kişisel verileri kapısı kilitli, gerektiğinde şifre ile korunan dolaplarda ve odalarda saklar. Anılan dolap ve odaların anahtar ve şifreleri sadece veri sorumlusunca erişim yetkisi verilmiş yetkili kişilerde bulunur. Söz konusu fiziksel ortamlar yangın, sel gibi dış tehlikelere karşı  korunaklı olup, giriş/çıkışlar 7/24 kamera kaydı ile izlenir.

i. Denetim

Şirket, Kişisel veri güvenliği konusunda Kanuna uygun hareket edilmesini sağlamak amacıyla kurum içinde gerekli denetimleri yapar. Bunun için bir uygulama prosedürü hazırlar

j. VERBİS’e Kayıt

Şirket, faaliyetlerinin gerektirdiği ölçüde, kişisel verilerin korunması ile ilgili yasal koşullara uygun düzenlemeler, protokoller, prosedürler, tablolar, sözleşmeler, yönetmelikler ile, gerekli tüm idari ve teknik önlemleri aldıktan sonra Kişisel Verileri koruma Kurulu “Veri Sorumluları Sicili - VERBİS” Sistemine kayıt olur.

9. Teknik Önlemler

a. Erişim Yetki ve Kontrol Matrisi

Şirket, yazılı kağıt ortamında ve elektronik ortamda bulunan hangi kişisel verilere, hangi yetki verilen kişilerin ne yolla erişilebileceğini, hangi dosyalarda kimlerin düzenleme yapabileceğini veya verileri silebileceğini gösteren bir Erişim Yetki ve Kontrol Matrisi oluşturur.

b. Erişim Kayıtları

Şirkette kişisel verilerin işlendiği kişisel bilgisayarlar kullanıcısı dışında kişilerin erişimine kapalıdır. Elektronik erişim kaydı tutulmaz.

Kişisel bilgilerin erişim yetkisi olan kişilere yazılı kağıt ortamında ulaştırılması kullanıcı tarafından elden yapılır. Erişim kayıtları için bir uygulama prosedürü hazırlanır

c. Bilgi Sistem Yazılım ve Yama Güncellemeleri

Şirkette, bilgi sistem yazılım ve yama güncellemeleri otomatik olarak yapılır. Güncellemeler priyodik olarak bilgi işlem sorumlusu tarafından kontrol edilir.

d. Bilgisayara Giriş Güvenliği ve Şifreleme

Şirkette bilgisayarlarda giriş ve çalışma güvenliği kullanıcıya özel  şifreyle ve ekran koruyucu uygulaması ile sağlanır. Şifre belirleme için bir uygulama prosedürü hazırlanır

e. Yedekleme

Şirkette kağıda yazılı kişisel veri içeren belgeler dosyalarında, kilitli dolap ve odalarda, yangın ve sele karşı fiziki güvenlik önlemleri alınmış olarak bulunur. Ayrıca yedekleme yapılmaz. Dijital ortamdaki olası veri kaybı durumunda verinin kopyasını bulundurmak için düzenli veri yedeklemesi yapılır. Yedekleme bireysel kullanıcı tarafından USB Belleğe kaydedilerek yine kapalı dolap ve odalarda fiziki güvenlik önlemleri alınmış olarak saklanır. Yedekleme için bir uygulama prosedürü hazırlanır

f. Sistem Odası Fiziki Güvenliği

Şirkette sistem odası ile kişisel verilerin kaydedildiği kullanıcı bilgisayarların bulunduğu bölmeler yangın, sel gibi dış tehlikelere karşı  korunaklı olup, giriş/çıkışlar 7/24 kamera kaydı ile izlenir. Erişim yalnızca veri sorumlusunca yetkilendirilmiş kişilerce sağlanır

g. Güvenlik Duvarı

Şirkette bilgisayar ağının güvenliği için ana sunucuda güvenlik duvarı bulunur ve sürekli aktif ve güncel tutulur.

h. Zararlı Yazılım  ve Atak Önleme (Antivirüs)

Şirkette, internet servisi  dış sağlayıcı Doruk Net sunucuları üzerinden alınır. Şirket bilgisayar ağı dış internet servis sağlayıcının antivirüs ve spam güvenlik yazılımları ile korunmaktadır.  Kişisel verilerin işlendiği kişisel bilgisayarlarda ise ayrıca güvenlik duvarı, atak önleme, ağ geçidi, virüs tarama/engelleme içeren yazılımlar kurulur, aktif ve güncel tutulur.

i. Ağ Erişim Kontrolu

Şirkette kişisel verilerin işlendiği kişisel bilgisayarlar, ağ üzerinde ayrı güvenlik yazılımları ile korunur. Dışarıdan erişime kapalı tutulur. Ağ erişim kontrolü uygulanmaz.

10. Kişisel Verileri Saklama, Silme, Yok Etme, Anonimleştirme

Şirket, kişisel verileri işlenmesini gerektiren sebepler ortadan kalkana kadar saklar. Yasal saklama veya yargı süreleri sonuna kadar tutulma zorunluluğu dışında sebeplerin ortadan kalkmasıyla da, ya da ilgili kişinin talebi hallerinde kişisel verileri siler, yok eder veya anonimleştirir. Şirket, bunun için bir prosedür hazırlar..

11. Veri Sahibinin Hakları

  1. Şirket kişisel veri sahibinin Kanun çerçevesindeki haklarını,  yayınladığı “Aydınlatma Metni” ile ilgili kişinin bilgisine sunar.
  2. Şirket, kişisel verilerinin işlenmesi, saklanması veya imhası konusunda bilgi edinmek isteyen ya da şikayeti olan ilgili kişiler için “İlgili Kişi Başvuru Formu ve Esasları”nı web sayfası ve K12.Net okul portalında yayınlar.

12. Kişisel Verilerin Korunması Politikasında Yapılacak Değişiklikler

Şirket,  faaliyetlerinin gerektirmesi veya yasal gereklilik olduğunda bu politikada değişiklikler yapabilir. Söz konusu değişikliklerin yer aldığı yeni poliitika metni, Şirket web sayfasında yayınlanmasıyla geçerlik kazanır.

Toder
Türkiye Özel Okullar Derneği
Özdebir
Özder
Cambbridge
© Copyright 2016 | İMİ Koleji | Tüm Hakları Saklıdır.
Yazılım Mavipiksel