Bilgi Teknolojileri

Bilgi güvenliği, bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya yönelik tüm politika, süreç ve teknolojileri kapsar. Amaç, verilerin yetkisiz erişim, değiştirme, ifşa etme veya yok edilme gibi tehditlere karşı korunmasını sağlamaktır. Bu süreçte hem teknik önlemler hem de fiziksel güvenlik tedbirleri uygulanır. Ayrıca, kullanıcıların bilinçlendirilmesi ve güvenlik farkındalığının artırılması da kritik bir rol oynar.

Yetkisiz erişim, kullanım, ifşa, değiştirme veya yok etme gibi durumlar nedeniyle bilginin gizliliği, bütünlüğü ya da erişilebilirliğinin tehlikeye girmesine yol açabilecek her türlü olaydır. Yazıcıda unutulan bilgi içeren evrak, bulunmuş kimlik/kredi kartı, “hediye/burs kazandınız” gibi kişisel bilgi talep eden sahte SMS/e-postalarda yer alan linklerin tıklanması gibi olaylar bilgi güvenliği olayı olarak değerlendirilir.

Bilgi Güvenliği Politikası, Özyeğin Üniversitesinin bilgi varlıklarını korumak ve bilgi güvenliği risklerini yönetmek için belirlediği kurallar, prosedürler, standartlar ve yönergelerin bir bütünüdür.

Çalışanlar; görevleri sırasında öğrendikleri üniversite, çalışan, öğrenci, tedarikçi vb. tüm bilgileri gizli tutmak, kişisel şifrelerini kimseyle paylaşmamak, Bilgi Güvenliği Ofisi tarafından yayınlanan duyuruları MyOzu üzerinden takip etmek, spam e-postaları bildirmek, veri minimizasyonu ilkesine uymak, kamuya açık wifi ağlarına bağlanmamak, cihanızın çalındığında kaybolduğunda vb durumlarda Solution Center üzerinden bilgi vermelidir.

KVKK, Kişisel Verilerin Korunması Kanunu”nu ifade eder. Bu kanun, kişisel verilerin işlenmesiyle ilgili standartları belirler ve bu verilerin korunmasını sağlar. Kişisel veriler, bireylerin kimlikleriyle ilişkilendirilebilen her türlü bilgiyi içerir ve kimlik, iletişim bilgileri, biyometrik ve sağlık bilgileri gibi çeşitli bilgileri kapsar.

Aydınlatma metni, veri işleme öncesinde veri sahibine; verilerinin amacı, aktarım yerleri, hukuki dayanağı, toplama yöntemi ve haklarının bildirildiği metindir. Açık rıza ise belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Örneğin; Öğrenci Kayıt Sürecine İlişkin Aydınlatma Metni, kayıt anında toplanan kimlik bilgileri, iletişim bilgileri, eğitim bilgileri ve ödeme bilgileri gibi kişisel verilerin hangi amaçlarla işlendiğini ve ilgili mevzuat çerçevesinde hangi kurum ve kuruluşlarla paylaşıldığını açıklar.

Kişisel veriler, hassasiyet düzeylerine ve kullanım amaçlarına göre belirli kategorilere ayrılır. Bu sınıflandırma, verilerin korunması için alınacak güvenlik önlemlerinin belirlenmesine yardımcı olur. Örneğin:

• İletişim bilgileri: Öğrenci/çalışan e-posta adresi, telefon numarası
• Kimlik bilgileri: Öğrenci/çalışan adı soyadı, kimlik bilgileri
• Finansal bilgiler: Banka hesap numarası, kart bilgileri
• Özel nitelikli kişisel veriler: Adli sicil, kan grubu, alerji, sağlık bilgileri

KVKK tarafından belirlenen kişisel verilerin işlenmesine ilişkin genel ilkelere ve yasal düzenlemelere aykırı uygulamaları ifade eder. Kişisel verilerin rıza olmadan işlenmesi, gereklilikten fazla işlenmesi, yeterince korunmaması, hukuka aykırı olarak aktarımı, güncel olmaması, imha edilmemesi buna verilecek örneklerdir.

Sağlık bilgileri, biyometrik veriler, ceza kayıtları gibi kişilerin mahremiyetine zarar verebilecek veriler “özel nitelikli kişisel veri olarak adlandırılır. Üniversitemizde bu veriler yalnızca ilgili süreç için toplanır, maskeleme, şifreleme ve yetki kısıtlaması gibi ek güvenlik önlemleriyle korunur. Çalışan veya öğrencilere ait bu bilgiler süreç amacı dışında kullanılmaz, yetkisiz kişilerle paylaşılmaz.

Kişisel veriler, aşağıdaki ilkelere uygun olarak işlenir:

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel verilerin silinmesini veya yok edilmesini isteme,
• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Toplanan kişisel verilerin yalnızca ilgili sürecin gerektirdiği ölçüde ve amaçla sınırlı olması ilkesidir. Çalışanlar ve öğrenciler, veri toplama kanalları aracılığıyla yalnızca gerekli bilgilerin talep edilmesine, fazla veya süreçle ilgisiz verilerin toplanmamasına, gereksiz kopyaların oluşturulup paylaşılmamasına dikkat etmeli ve fazla veri toplandığını tespit ettiklerinde Solution Center aracılığıyla Bilgi Güvenliği Ofisi’ne bilgi vermelidir