İMİ EĞİTİM KURUMLARI A.Ş
KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI
1. Amaç
Bu “Kişisel Verilerin Korunması Politikası” (Politika) metninin amacı, İMİ EĞİTİM KURUMLARI A.Ş.’nin sahibi olduğu, işlettiği İMİ Koleji ve bağlı okulları ile işletmelerde (Şirket), 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) ve ilgili mevzuata uygun olarak yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin güvenli işlenmesi, korunması ve imhası ile ilgili yol ve yöntemleri belirlemektir.
2. Politikanın Kapsamı
Bu politika metni, Şirketin gerçek kişilere ait işlenen kişisel verileri, kategorilerini, kullanılış ve işleniş biçimlerini, koruma ve imha edilme koşullarını belirleme ile, kişisel veri sahiplerinin (İlgili kişi) haklarının korunmasında ilişkin izlenecek yol ve yöntemleri kapsar.
3. Kişisel Verilerin İşlenme Amacı
Şirket, faaliyetleri kapsamında ihtiyacı olan kişisel veriler ile, gereken özel nitelikli kişisel verileri aşağıdaki amaçlarla işler :
4. Kişisel Verileri İşlenen Kişiler (İlgili Kişi)
Şirketimizin, bağlı okullarının ve işletmelerinin faaliyetleri kapsamında şu kişilerin kişisel verileri işlenebilir.
5. Veri Toplama Yöntemi
Şirket kişisel verileri “öğrenci kayıt sözleşmesi, öğrenci bilgi formu, iş sözleşmesi, hizmet sözleşmesi, aday öğrenci ve aday çalışan formu gibi kağıt üzeri yazılı belgeler ile, Milli Eğitim Bakanlığı (MEB) e-okul portalı gibi elektronik ortamda girilerek ulaşılan belgelerden alarak, ender olarak da sözlü iletişim, elektronik posta, faks, telefon, posta, kurye gibi iletişim araçlarıyla, hem otomatik olmayan, hem de kısmi otomatik olan yöntemlerle toplar.
6. Kişisel Verilerin İşlenmesi ve Aktarılması
Şirket, kişisel verileri bu politika metninin 3.Maddesinde belirtilen amaçlar doğrultusunda işler, bunun yanında, bilgi talebinde bulunabilecek MEB, SGK, Vergi Daireleri ile adli, tıbbi, mali merciler gibi yetkili kurum ve kuruluşlara aktarabilir. Buna göre Şirkette;
7. Kişisel Verilerin Korunması
Kanunun amacı ve hükmü çerçevesinde Şirket, kişisel verilerin işlenme süreleri boyunca verisi işlenen ilgili kişiye zarar vermeyecek şekilde kullanımı ve korunması için gerekli idari ve teknik önlemleri alır
8. İdari Önlemler
a. Aydınlatma Metni
Şirket, işlediği hangi kişisel verileri, ne amaçla, hangi yasal dayanaklarla, hangi yol ve yöntemlerle işlediği, verileri nasıl ve ne sürelerle koruduğu ve imha ettiği, ilgili kişinin hakları bilgilerini içeren bir “Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni”ni web sitesinde ve K12.Net okul portalında yayınlayarak kişisel verileri işlenebilecek kişilerin ilgisine ve bilgisine sunar. Faaliyet, hizmet veya tedarik sözleşmelerine ilgili madde olarak koyar.
b. Kişisel Veri İşleme Envanteri
Şirket, kişisel veri işleme faaliyetleri süreçleri ve akışını gösterecek bir tablo halinde, kişisel veri işleme amaçları, hukuki dayanakları, veri kategorisi, aktarılan alıcı grubu ve veriyi koruma süresini, yurtdışına aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri de açıklayan bir “Kişisel Veri İşleme Envanteri – KVİE”oluşturur.
c. Çalışanların Eğitimi
Şirket, çalışanlarının kişisel verilerin korunması hakkındaki ilgili mevzuat ve uygulama ile ilgili farkındalıklarını artırmak amacıyla düzenli olarak bilgilendirme ve eğitimler düzenler. Şirket bunun için bir uygulama prosedürü hazırlar.
d. Çalışanlarla Gizlilik Protokolü
Şirket ile çalışanlar arasında düzenlenen bir gizlilik protokolüyle, çalışanların kişisel verileri yasal çerçevede işleme ve koruma yükümlülüklerinin farkında olmaları sağlanır. MEB mevzuatının engel olmadığı koşullarda çalışanla yapılan iş sözleşmelerinde KVKK ile ilgili hükümler yer alır.
e. Gizlilik İhlali Disiplin Yönetmeliği
Şirket, kişisel veri gizliliğinin çalışanlarca ihlali durumunda uygulanmak üzere bir Disiplin Yönetmeliğini yürürlüğe koyar.
f. Tedarikçi Gizlilik Protokolü
Kurum dışından bir hizmet alınması gereken durumlarda, kişisel veri işleyen kurum ve kişiler, “Veri İşleyen için Gizlilik Taahhüdü” ile bilgilendirilir. Yapılan sözleşmelerde KVKK ile ilgili hükümler yer alır.
g. Koruma ve Gizlilik İhlalinin Bildirilmesi
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Şirket, gerekli önlemlerin alınabilmesi açısından bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirir. Bunun için bir uygulama prosedürü hazırlanır.
h. Ortam Fiziki Güvenliği
Şirket, kâğıt ortamında işlenen kişisel verileri kapısı kilitli, gerektiğinde şifre ile korunan dolaplarda ve odalarda saklar. Anılan dolap ve odaların anahtar ve şifreleri sadece veri sorumlusunca erişim yetkisi verilmiş yetkili kişilerde bulunur. Söz konusu fiziksel ortamlar yangın, sel gibi dış tehlikelere karşı korunaklı olup, giriş/çıkışlar 7/24 kamera kaydı ile izlenir.
i. Denetim
Şirket, Kişisel veri güvenliği konusunda Kanuna uygun hareket edilmesini sağlamak amacıyla kurum içinde gerekli denetimleri yapar. Bunun için bir uygulama prosedürü hazırlar
j. VERBİS’e Kayıt
Şirket, faaliyetlerinin gerektirdiği ölçüde, kişisel verilerin korunması ile ilgili yasal koşullara uygun düzenlemeler, protokoller, prosedürler, tablolar, sözleşmeler, yönetmelikler ile, gerekli tüm idari ve teknik önlemleri aldıktan sonra Kişisel Verileri koruma Kurulu “Veri Sorumluları Sicili – VERBİS” Sistemine kayıt olur.
9. Teknik Önlemler
a. Erişim Yetki ve Kontrol Matrisi
Şirket, yazılı kağıt ortamında ve elektronik ortamda bulunan hangi kişisel verilere, hangi yetki verilen kişilerin ne yolla erişilebileceğini, hangi dosyalarda kimlerin düzenleme yapabileceğini veya verileri silebileceğini gösteren bir Erişim Yetki ve Kontrol Matrisi oluşturur.
b. Erişim Kayıtları
Şirkette kişisel verilerin işlendiği kişisel bilgisayarlar kullanıcısı dışında kişilerin erişimine kapalıdır. Elektronik erişim kaydı tutulmaz.
Kişisel bilgilerin erişim yetkisi olan kişilere yazılı kağıt ortamında ulaştırılması kullanıcı tarafından elden yapılır. Erişim kayıtları için bir uygulama prosedürü hazırlanır
c. Bilgi Sistem Yazılım ve Yama Güncellemeleri
Şirkette, bilgi sistem yazılım ve yama güncellemeleri otomatik olarak yapılır. Güncellemeler priyodik olarak bilgi işlem sorumlusu tarafından kontrol edilir.
d. Bilgisayara Giriş Güvenliği ve Şifreleme
Şirkette bilgisayarlarda giriş ve çalışma güvenliği kullanıcıya özel şifreyle ve ekran koruyucu uygulaması ile sağlanır. Şifre belirleme için bir uygulama prosedürü hazırlanır
e. Yedekleme
Şirkette kağıda yazılı kişisel veri içeren belgeler dosyalarında, kilitli dolap ve odalarda, yangın ve sele karşı fiziki güvenlik önlemleri alınmış olarak bulunur. Ayrıca yedekleme yapılmaz. Dijital ortamdaki olası veri kaybı durumunda verinin kopyasını bulundurmak için düzenli veri yedeklemesi yapılır. Yedekleme bireysel kullanıcı tarafından USB Belleğe kaydedilerek yine kapalı dolap ve odalarda fiziki güvenlik önlemleri alınmış olarak saklanır. Yedekleme için bir uygulama prosedürü hazırlanır
f. Sistem Odası Fiziki Güvenliği
Şirkette sistem odası ile kişisel verilerin kaydedildiği kullanıcı bilgisayarların bulunduğu bölmeler yangın, sel gibi dış tehlikelere karşı korunaklı olup, giriş/çıkışlar 7/24 kamera kaydı ile izlenir. Erişim yalnızca veri sorumlusunca yetkilendirilmiş kişilerce sağlanır
g. Güvenlik Duvarı
Şirkette bilgisayar ağının güvenliği için ana sunucuda güvenlik duvarı bulunur ve sürekli aktif ve güncel tutulur.
h. Zararlı Yazılım ve Atak Önleme (Antivirüs)
Şirkette, internet servisi dış sağlayıcı Doruk Net sunucuları üzerinden alınır. Şirket bilgisayar ağı dış internet servis sağlayıcının antivirüs ve spam güvenlik yazılımları ile korunmaktadır. Kişisel verilerin işlendiği kişisel bilgisayarlarda ise ayrıca güvenlik duvarı, atak önleme, ağ geçidi, virüs tarama/engelleme içeren yazılımlar kurulur, aktif ve güncel tutulur.
i. Ağ Erişim Kontrolu
Şirkette kişisel verilerin işlendiği kişisel bilgisayarlar, ağ üzerinde ayrı güvenlik yazılımları ile korunur. Dışarıdan erişime kapalı tutulur. Ağ erişim kontrolü uygulanmaz.
10. Kişisel Verileri Saklama, Silme, Yok Etme, Anonimleştirme
Şirket, kişisel verileri işlenmesini gerektiren sebepler ortadan kalkana kadar saklar. Yasal saklama veya yargı süreleri sonuna kadar tutulma zorunluluğu dışında sebeplerin ortadan kalkmasıyla da, ya da ilgili kişinin talebi hallerinde kişisel verileri siler, yok eder veya anonimleştirir. Şirket, bunun için bir prosedür hazırlar..
11. Veri Sahibinin Hakları
12. Kişisel Verilerin Korunması Politikasında Yapılacak Değişiklikler
Şirket, faaliyetlerinin gerektirmesi veya yasal gereklilik olduğunda bu politikada değişiklikler yapabilir. Söz konusu değişikliklerin yer aldığı yeni poliitika metni, Şirket web sayfasında yayınlanmasıyla geçerlik kazanır.
2015 yılında eğitim hayatına başlayan; Anaokulu, İlkokul, Ortaokul, Anadolu Lisesi ve Fen ve Teknoloji Lisesi ile Muğla ilinin ve bölgenin tanınmış, eğitim kalitesi yüksek, başarılı ve prestijli okullarından biri olan İMİ Kolejini yakından tanımak ister misiniz? Aday öğrenci formunu doldurun sizi arayalım.
Copyright © 2024 | All Rights Reserved.