Bilgi Güvenliği

Kişisel Verilerin Korunması

Koç Üniversitesi olarak, dijital dönüşümün merkezinde yer alan verinin güvenliğini sağlamak, akademik özgürlüğün ve kurumsal sürdürülebilirliğin teminatı olarak görülmektedir. Araştırma verilerinden kişisel bilgilere kadar ürettiğimiz ve işlediğimiz her türlü bilgi, üniversitemizin stratejik varlığıdır. Bu doğrultuda, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve uluslararası bilgi güvenliği standartları çerçevesinde; bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı taahhüt ediyoruz.

Sıkça Sorulan Sorular

1. KVKK nedir ve üniversite için neden önemlidir?
2. Hangi bilgiler "Kişisel Veri" sayılır?
3. "Özel Nitelikli Kişisel Veri" nedir?
4. Bir kullanıcı olarak temel sorumluluklarım nelerdir?
5. Kişisel verileri nerede ve ne kadar süreyle saklamalıyız?
6. Bir veri ihlali şüphesinde ne yapmalıyım?
7. Verileri nasıl sınıflandırıyoruz?

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin temel haklarını korumayı amaçlayan ve verilerin işlenmesini disipline eden yasal bir çerçevedir. Koç Üniversitesi, “Veri Sorumlusu” sıfatıyla, KVKK ve ilgili tüm mevzuata tam uyumla yükümlüdür.

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Ad-soyadın yanı sıra; diğer kimlik bilgileri, finansal bilgiler, özlük bilgileri, KU NetID, e-posta adresi, araç plakası, kampüs giriş logları, IP adresi gibi veriler de bu kapsama girer. Bir veriden yola çıkarak “o kişinin kim olduğu” anlaşılıyorsa, o veri kişisel veri olarak kabul edilmektedir.

KVKK uyarınca öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyetine neden olabilecek nitelikteki verilerdir. Kanun’da sınırlı sayıda sayılan; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler bu gruba girer. Bu verilerin işlenmesi çok daha sıkı şartlara bağlıdır.

Üniversite politikaları gereğince, veriye erişim yetkisi olan herkes aşağıdaki güvenlik kurallarına uymakla yükümlüdür:

  • Kimlik Doğrulama Bilgilerinin Gizliliği: Kullanıcı kodunuzu (KU NetID) ve şifrenizi, yöneticiniz veya Bilgi Teknolojileri çalışanları dahil olmak üzere hiç kimseyle paylaşmayınız. Şifrenizi kağıtlara yazarak görünür yerlere (ekran kenarı, masa üstü vb.) iliştirmeyiniz.
  • Temiz Masa ve Temiz Ekran: Çalışma alanınızdan kısa süreliğine ayrılsanız dahi bilgisayar oturumunuzu kilitleyiniz. Hassas veri içeren evrakları ve diğer fiziksel materyalleri masa üzerinde veya yazıcılarda korumasız ve açık halde bırakmayınız; kilitli çekmecelerde muhafaza ediniz.
  • Donanım ve Yazılım Güvenliği: Üniversiteye ait bilgisayarlara lisanssız veya kaynağı belirsiz yazılımlar yüklemeye çalışmayınız. İşletim sistemi ve antivirüs güncellemelerinin yapıldığından emin olunuz.
  • Yetkisiz Erişim ve Paylaşım: Yetkiniz olmayan verilere erişmeye çalışmayınız. Erişim yetkiniz olan verileri ise (özellikle kişisel ve özel nitelikli kişisel verileri) yetkisi olmayan üçüncü şahıslarla sözlü, yazılı veya e-posta yoluyla paylaşmayınız.
  • Veri İmhası: Artık ihtiyaç duyulmayan kağıt ortamındaki hassas verileri kağıt kırpma makinesi ile imha ediniz; çöpe atmayınız.
Veriler sonsuza dek saklanamaz. İşleme amacı ortadan kalktığında veya yasal süre dolduğunda verilerin “Koç Üniversitesi Saklama ve İmha Politikası”na uygun olarak güvenli şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi yasal zorunluluktur.
Kişisel verilerin saklanmasında ve işlenmesinde, yalnızca üniversitenin kurumsal anlaşması olan güvenli bulut alanları (Kurumsal OneDrive / Google Workspace) kullanılmalıdır. Kaynağı belirsiz, kişisel bulut hesaplarında veya WeTransfer gibi geçici paylaşım sitelerinde “Hizmete Özel”, “Gizli” ve “Çok Gizli” veri barındırılması yasaktır.

Yanlış kişiye e-posta gönderimi, laptop/telefon çalınması, şifre ifşası veya sistemde yetkisiz bir işlem fark ettiğinizde panik yapmadan ve zaman kaybetmeden IT ile iletişime geçmelisiniz. Yasal süresi içinde (72 saat) kuruma bildirim yapılması gerekebileceğinden, hızlı aksiyon almak hayati önem taşır.

Veri güvenliği ve yönetimi açısından veriler hassasiyet derecesine göre aşağıdaki kategorilere ayrılmıştır:

  • Public (Genel): Halka açık olan, herkes tarafından bilinmesinde sakınca olmayan verilerdir.
  • Restricted (Hizmete Özel): Sadece Üniversite içinde veya gerektiğinde Gizlilik Sözleşmesi (NDA) imzalanmış hizmet sağlayıcılarla paylaşılan, dışarıya paylaşımı onaylanmamış verilerdir. Bu verilerin yetkisiz ifşası veya kaybı itibar kaybına veya uyumsuzluğa yol açabilir. (Örn: Proje dokümanları, firma ile paylaşılan projeye özel bilgiler, kurum içi toplantı programları, genel duyurular, telefon rehberleri, çalışan listeleri, prosedürler, operasyonel veriler, ad-soyad ve IP adresi içeren dokümanlar).
  • Confidential (Gizli): Yetkisiz kişilerle paylaşılması veya kaybolması durumunda; ulusal çıkarları veya güvenliği; ya da Üniversite’nin operasyonlarını, imajını veya gelirlerini ciddi şekilde etkileyebilecek veya aksatabilecek verilerdir. Ayrıca 6698 Sayılı KVKK kapsamında “Özel Nitelikli Kişisel Veri” olarak tanımlanan veriler de bu kategoriye girer. (Örn: Şifreler, iş planları, maaş bilgileri, sözleşmeler, teklifler, maliyet raporları, hassas tasarım çalışmaları, hasta bilgileri, satış verileri, stratejik planlar, personel özlük dosyaları, kredi kartı bilgileri, ulusal ve uluslararası araştırma verileri).
  • Top Secret (Çok Gizli): Sadece sınırlı sayıda kişi tarafından bilinmesi gereken; yetkisiz kişilerle paylaşılması veya kaybolması durumunda Üniversite’nin varlığını ve operasyonlarını ciddi ve olumsuz yönde etkileyebilecek, potansiyel olarak ulusal veya uluslararası risklere, ulusal güvenlik veya savunma tehditlerine ya da uluslararası anlaşmazlıklara yol açabilecek verilerdir. (Örn: Ulusal güvenlik veya savunma sanayi projelerinde kullanılmak üzere tasarlanan yazılımlar/çizimler, yatırım planları ve stratejileri, sektörde büyük değişikliklere yol açabilecek veya rekabet koşullarını değiştirebilecek keşifler veya metodolojiler).

İlgili Dokümanlar ve Araçlar

Üniversitemizin bilgi güvenliği standartlarına, veri imha süreçlerine ve kullanıcı yükümlülüklerine dair detaylı prosedürlere ve KVKK talep sistemine aşağıdaki bağlantılardan ulaşabilirsiniz.

Bilgi Teknolojileri Direktörlüğü Politika ve Prosedürleri

KVKK Track-it Uygulaması

İletişim ve Destek

Sorularınız, görüşleriniz veya güvenlik ihlali bildirimleriniz için Bilgi Teknolojileri Servis Masası ile iletişime geçebilirsiniz.

İlgili İçerik

İlgili İçerik