Erasmus+ ve Avrupa Dayanışma Programlarında veri işleyen olmak yararlanıcı için ne anlama gelmektedir?

1-Yönergelere göre hareket etmek: Kişisel verileri yalnızca https://ec.europa.eu/erasmus-esc-personal-data Türkçesi için; https://www.ua.gov.tr/anasayfa/icerikler/ab-kisisel-veri-politikasi/) adresindeki gizlilik beyanında açıklanan amaçları yerine getirmek için işleyebilirsiniz. Verileri kendi amaçlarınız için işlemeniz halinde, işleyen rolünüzden çıkıp söz konusu işlemenin veri sorumlusu durumuna geleceksiniz. Ana aktörlerin tanımı bu belgenin ilerleyen sayfalarında sunulmaktadır.

2-Sözleşmeyle bağlanmış olmak: Erasmus+ veya Avrupa Dayanışma Programları Ulusal Ajansı ile veri işleyen olarak yükümlülüklerinizi tanımlayan bir hibe sözleşmeniz bulunmaktadır. Bu sözleşme, 2018/1725 sayılı AB Tüzüğünün, veri işleyenin yükümlülüklerini açıklayan 29. maddesi ile aynı doğrultuda, sizin bir veri işleyen olarak rolünüze ilişkin yasal çerçeveyi oluşturmaktadır.

3-Alt işleyen kullanmak: Veri sorumlusundan yazılı bir yetkilendirme almadan başka bir veri işleyen görevlendiremezsiniz. Bu konu hakkında daha fazla bilgi için lütfen veri sorumlunuza başvurun. Veri sorumlusunun irtibat bilgilerini gizlilik beyanında bulabilirsiniz. Lütfen Türkiye Ulusal Ajansını bu yazışmalarda bilgiye ekleyin.

4-Veri güvenliğini uygulamak: Kişisel verilerin güvenliğini sağlamak için, sehven ya da hukuka aykırı imha veya kayıp, değiştirme, yetkisiz erişim veya ifşa durumlarına karşı koruma da dâhil olmak üzere, işleme riskine uygun teknik ve idari önlemleri uygulamalısınız. (Aşağıdaki güvenlik kontrol listesine bakınız.)

5-Kişisel veri ihlallerini bildirmek: Kişisel veri ihlaliyle karşılaşmanız durumunda, usule aykırı bir gecikme olmadan veri sorumlusuna bildirme zorunluluğunuz bulunmaktadır. Ayrıca, veri sorumlusuna, ihlal hakkında tüm gerekli bilgileri sağlayarak, ihlali kontrol altına almak için hâlihazırda atılan adımları bildirerek ve veri sahiplerine yönelik olası sonuçları değerlendirerek, kişisel veri ihlallerine ilişkin yükümlülüklerini yerine getirme hususunda yardım etmeniz gerekmektedir. Veri sorumlusunun irtibat bilgilerini gizlilik bildiriminde bulabilirsiniz. Lütfen Türkiye Ulusal Ajansını bu yazışmalarda bilgiye ekleyin.

6-Olası veri koruma ihlallerini bildirmek: Veri işlemenin amaç veya yöntemlerinin 2018/1725 sayılı AB Tüzüğünün veya yerel veri koruma mevzuatın ihlaline yol açacak olması durumunda, veri sorumlusunu derhâl bilgilendirme zorunluluğunuz bulunmaktadır.

7-Hesap verebilirlik: Veri koruma politikaları (kuruluşunuzda kişisel verinin kullanımını, izlenmesini ve yönetimini standardize etme politikaları) oluşturma ve uygulama, işleme faaliyetlerinizin belgelendirilmesini (işleme faaliyeti kategorilerinin kaydı için hazırlanan ekteki şablon örneğine bakınız) sağlama gibi hesap verebilirlik yükümlülüklerine uyma zorunluluğunuz bulunmaktadır.

8-Uluslararası aktarımı kısıtlamak: Veri koruma mevzuatı kişisel verilerin 3. ülkelere aktarılması konusunda oldukça kati kurallar koymaktadır. Veri sorumlusunun, Erasmus+ veya Avrupa Dayanışma Programı Ulusal Ajansı ile yapılan hibe sözleşmesinde tanımlanan aktarımların dışında kalan, AB/AEA dışındaki tüm aktarımları yetkilendirmiş olmasını ve aktarımın uluslararası veri aktarımına ilişkin mevzuatı hükümlerine uygun olmasını sağlamanız gerekmektedir. Bu, veriyi Avrupa Komisyonu bilişim teknolojileri (BT) araçlarının desteği olmadan AB/AEA dışındaki diğer kuruluşlara doğrudan aktardığınız veya bu kuruluşlara Avrupa Komisyonu BT araçlarına erişim verdiğiniz durumlarda geçerlidir. Bu konu hakkında daha fazla bilgi için veri sorumlunuza başvurun. Veri sorumlusunun irtibat bilgilerini gizlilik bildiriminde bulabilirsiniz. Lütfen Türkiye Ulusal Ajansını bu yazışmalarda bilgiye ekleyin.

Bu çerçevede yararlanıcılar, aşağıdaki güvenlik kontrol listesini sağladıklarından emin olmalıdırlar.

Güvenlik Kontrol Listesi

  • Verilerin işlendiği sistemler ve hizmetler için gizlilik, bütünlük, erişilebilirlik ve dayanıklılık gerekliliklerini anlıyoruz.

    • Gizlilik, önlemleri, hassas bilgileri yetkisiz erişim girişimlerine karşı korumak için tasarlanmıştır.
    • Bütünlük, bütün yaşam döngüsü boyunca verilerin tutarlılığını, doğruluğunu ve güvenilirliğini sürdürmeyi içerir. Veri, aktarım esnasında değiştirilmemelidir ve verilerin yetkisiz kişilerce (örneğin, mahremiyetin ihlali durumunda) değiştirilememesini sağlamak için adımlar atmalısınız.
    • Erişilebilirlik, bilginin yetkili taraflarca tutarlı bir şekilde ve kolaylıkla erişilebilir olması gerektiği anlamına gelir. Bu gereklilik, verileri tutan ve görüntüleyen donanım, teknik altyapı ve sistemlerin uygun bir şekilde sağlanması demektir.
    • Dayanıklılık, kurum/kuruluşunuzun bir kesinti esnasında çalışmaya devam etme ve sistemlerini “zamanında” işe yarar hale geri getirme becerisini ifade eder.
    • Kontrolümüz altındaki verilere kimin erişim sağladığını biliyoruz ve yetkili kişiler listesini düzenli olarak kontrol ediyoruz – bu hem Avrupa Komisyonunun sağladığı BT araçları hem de bizim kullandığımız BT araçları için geçerlidir. Bu kişiler uygun bir yasal gizlilik yükümlülüğüne tabidir.

     

    • Verileri yalnızca güvenli aktarım protokolleri aracılığıyla aktarıyoruz (örneğin, güvenli internet tarayıcı bağlantıları kullanılabilirken şifrelenmemesi halinde e-postalar kullanılmaz).

     

    • Avrupa Komisyonunun BT araçlarından verileri dışarı aktarırken yalnızca yetkili personelin erişimini sağlayarak verileri güvenli yerlerde depoluyoruz (iyi örnekler: kullanıcı parolası ile korunan bilgisayarın yerel sürücüsü, erişim kontrolü olan ağ sürücüsü (dosya sunucusu); kötü örnekler: halka açık bilgisayarın yerel sürücüsü, bir USB sürücüsü, bulut depolama – kurum/kuruluşunuzun güvenlik politikası izin vermediği sürece).

     

    • Sınırlı veri saklama süresinin farkındayız ve bu süre sona erdiğinde Avrupa Komisyonu tarafından sağlanan BT araçları dışında gizlilik beyanında tanımlanan amaçlarla ilgili olan kişisel verileri işlemeyi sonlandırıyoruz.

    Erasmus+ ve Avrupa Dayanışma Programlarında kişisel verilerin işlenmesinde yer alan ana aktörler kimlerdir?

    https://ec.europa.eu/erasmus-esc-personal-data adresindeki gizlilik beyanında açıklanan işleme faaliyetleri için:

    • Avrupa Komisyonu, Eğitim ve Kültür Genel Müdürlüğü veri sorumlusu olarak hareket eder.
    • Erasmus+ ve Avrupa Dayanışma Programları Ulusal Ajansları veri işleyen olarak hareket eder.
    • Erasmus+ ve Avrupa Dayanışma Programları Ulusal Ajanslarıyla hibe sözleşmeleri imzalayan ve bu sözleşmelerden gelen haklar ve yükümlülükleri üstlenen kurum/kuruluşlar ve kişiler veri işleyen (alt işleyen olarak da adlandırılır) rolünü üstlenir.