Üniversitelerde Kişisel Verilerin Saklanması

Üniversite birimlerinde kişisel verilerin ne kadar süre saklandığı ve saklama koşulları için dikkate alınan yazılı politikaların olup olmadığı PDB ve KDB katılımcılarına sorulmuş ve elde edilen bulgular Tablo 5 üzerinde gösterilmiştir. Tablo 5 üzerinde ayrıca PDB katılımcılarından elde edilen üniversitelerde e-imza kullanımına ilişkin bilgilere de yer verilmiştir. Personel kayıtlarının saklanmasına ilişkin soruyu yanıtlamayan bir PDB katılımcısı ile e-imza kullanımına ilişkin soruyu yanıtlamayan iki PDB katılımcısı tablo üzerindeki hesaplamalarda dikkate alınmamıştır.

Tablo 5 Üniversitelerde verilerin saklanması ve güncellenmesine ilişkin politikalar

Evet Hayır DD

N % N % N %

Kullanıcı kayıtlarının ne kadar süre ile saklanacağı yazılı olarak belirlenmiş midir? (KDB)

4 26,7 11 73,3 - -

Personel kayıtlarının ne kadar süre ile saklanacağı yazılı olarak belirlenmiş midir? (PDB)

12 85,7 2 14,3 1 -

Belge güvenliği için elektronik imza

kullanılıyor mu? (PDB) ^{3 23,1 10 76,9 2 -}

PDB ve KDB katılımcılarına yöneltilen kayıtların saklama sürelerine ilişkin sorulara verilen yanıtlarda büyük farklılık bulunmaktadır. PDB katılımcılarının %85,7’si kayıtların saklama sürelerinin belirlenmiş olduğunu ifade etmektedirler. KDB katılımcılarının yanıtlarında bu oranın %26,7 seviyesinde olduğu görülmektedir. PDB katılımcıları saklama sürelerine ilişkin olarak vermiş oldukları yanıtları arşiv hizmetlerine yönelik hukuksal düzenlemelere dayandırmaktadırlar. Bu nedenle PDB katılımcılarından verilerin saklanma sürelerine yönelik olarak 99, 100 ya da 101 yıl yanıtları alınmıştır. Ancak görüşme esnasında iki PDB katılımcısı, vakıf üniversitesi olarak bu konuda kendilerini sorumlu hissettikleri ya da takip ettikleri bir hukuksal düzenleme bulunmadığını belirtmişlerdir. KDB katılımcıları ise kullanıcı kayıtlarının saklanmasına ilişkin bir hukuksal dayanaklarının bulunmadığını belirtmektedirler. Bu nedenle, kayıtların ne kadar süreyle saklanacağının yazılı olarak belirlendiğini ifade eden dört KDB katılımcısı, bu sürenin kendileri tarafından belirlendiğini ifade etmişlerdir. Bu

sürelerin; personelin ilişik kestiği tarih, 1 yıl ya da 5 yıl olarak belirlendiği ifade edilmiştir.

PDB katılımcılarına elektronik imza kullanım durumu sorulmuş ve sadece üç üniversitede (%23,1) elektronik imza kullanımının uygulandığı bilgisi alınmıştır. Katılımcılar bu üç üniversitede sertifika sürelerinin sınırsız olduğunu belirtmektedirler. Görüşme esnasında elektronik imzanın kullanıldığını ifade eden katılımcılar tarafından, konuya ilişkin hukuksal düzenlemeler ve hedeflenen güvenlik hakkında bilgilendirilmedikleri belirtilmiştir. Elektronik imza kullanan katılımcılar, üniversiteden ayrılan personelin daha önce imzalamış olduğu e-belgeler ile ilişkisinin ne olacağı ve imzanın arşiv formatında güncellenerek uzun süre korunması gereken dokümanların “arşiv imza” ile korunmasına yönelik bir uygulama planı bulunmadığını da ifade etmektedirler. Bu katılımcılardan biri, sistem erişim yetkilerinin birimler için de ayrıca tanımlandığını ve böylece üniversite ile ilişiği kesilen personelin yetkisiz erişim sağlamasının engellendiğini belirtmektedir.

Üniversitelerde kişisel verilerin hangi birimler tarafından saklandığını tespit edebilmek amacıyla, verileri merkezi olarak saklama sorumluluğu bulunan BİDB’ye hangi birimlerin verilerinin BİDB sunucularında saklandığı sorulmuş ve elde edilen bulgular Şekil 3 üzerinde gösterilmiştir. BİDB sunucularında saklanana bilgilere ilişkin soru tüm BİDB katılımcıları tarafından yanıtlanmıştır. PDB ve KDB katılımcılarına da verilerini hangi ortamlarda, nerede ve nasıl sakladıkları sorulmuş ve yanıtlar Şekil 4 üzerinde her iki daire başkanlığı için ayrı ayrı gösterilmiştir. KDB katılımcılarının tamamı soruyu cevaplandırırken, PDB katılımcılarından biri cevaplandırmamıştır. Bu soru ile üniversite birimleri arasındaki elektronik ya da yazılı-basılı belge kullanım ve saklama oranlarının da görülmesi sağlanmıştır. Katılımcıların Şekil 3 ve Şekil 4’te yer alan birim ve kayıtlara ilişkin birden fazla seçeneği işaretlemelerine olanak sağlanmıştır.

Şekil 3 BİDB sorumluluğundaki sunucularda merkezi olarak saklanan veriler

BİDB katılımcıları, Şekil 3’te yer alan birimlere ait verilerin üniversite BİDB sorumluluğundaki sunucularda tutulduğunu belirtmektedirler. Bunun yanı sıra iki BİDB katılımcısı (%13,3), bilimsel araştırma projeleri, patent çalışmaları ve kimlik paylaşım sistemi gibi önemli miktarda kişisel bilgi içeren dosyaların da merkezi olarak BİDB sorumluluğundaki sunucularda bulunduğuna dikkat çekmektedir. BİDB katılımcıları bu soruyu yanıtlarken, verilerin saklama sorumluluğu ile işleme ve paylaşımına ilişkin sorumlulukların çoğu zaman yanlış algılandığı ve üniversitedeki diğer birimlerin tüm sorumluluğun BİDB’de olduğunu düşündüklerini belirtmişlerdir.

Şekil 4 Personel ve kullanıcı kayıtlarının saklandığı ortamlar

Şekil 4 üzerinde yer alan verilerin elde edilmesi için PDB ve KDB katılımcılarına yöneltilen sorularda PDB katılımcılarına personel kayıtları, KDB katılımcılarına ise kullanıcı kayıtlarının saklanma koşulları sorulmuştur. Elde edilen bulgular, her iki daire

%0 %10 %20 %30 %40 %50 %60 %70 %80 %90%100 Diğer

Bilgi merkezi tarafından işlenen kullanıcı bilgileri ve veri tabanı erişim kayıtları

PDB tarafından işlenen personel bilgileri Üniversite web sayfasına yapılan erişimlere ilişkin kayıtlar BİDB tarafından işlenen kullanıcı bilgileri kapsamında elde

edilen veriler %13,3 %86,7 %93,3 %100,0 %100,0 %0 %20 %40 %60 %80 %100 Diğer

Şifresiz/korumasız klasör ya da dolaplarda Şifreli/korumalı dolaplarda PDB ya da KDB içinde bulunan sunucu bilgisayarda Merkezi olarak BİDB içinde bulunan sunucu

bilgisayarda %14,3 %78,6 %21,4 %78,6 %6,7 %6,7 %13,3 %33,3 %66,7 KDB PDB

başkanlığının da birden fazla ortamda elektronik ve yazılı-basılı bilgilerin bulunduğunu göstermektedir. Araştırmanın konusunu oluşturan ve Şekil 4’te yer alan PDB ve KDB birimlerinde elektronik ortamda işlenen kişisel verilerin %72’sindan fazlası BİDB sorumluluğunda bulunan veri tabanlarında saklanmaktadır. Üç PDB katılımcısı (%21,4) ile beş KDB katılımcısı (%33,3), BİDB ile birlikte ya da sadece kendi birimleri içinde yer alan ve sorumluluklarının bulunduğu sunucular üzerinde verilerini sakladıklarını belirtmektedirler. PDB katılımcılarının %78,6’sı yazılı-basılı belgeleri şifreli ya da korumalı dolaplarda sakladıklarını belirtirken; KDB katılımcılarının şifreli ya da korumalı dolap kullanım oranı %13,3’ü geçmemektedir. KDB katılımcılarının yazılı-basılı belgeler için belirtmiş olduğu şifresiz ya da korumasız dolap kullanım oranının da (%14,3) düşük olması dikkat çekicidir. Görüşme esnasında KDB katılımcıları bilgi ve belgelerinin tamamen elektronik ortamda saklandığını ve bu nedenle diğer saklama ortamlarına yazılı-basılı belge için sınırlı olarak ihtiyaç duyduklarını belirtmişlerdir. PDB katılımcılarının merkezi olarak BİDB sorumluluğunda saklanan verilere ilişkin vermiş oldukları yanıt ile Şekil 3’te gösterilen BİDB’nin vermiş olduğu yanıtların tutarlı olduğu görülmektedir. Üç BİDB ile PDB katılımcısından kaynaklanan farklılığın biri soruya yanıt verilmemiş olması, diğer ikisi ise PDB katılımcılarının veri tabanı dışındaki kayıtları bu kapsamda değerlendirmemelerinden kaynaklanmaktadır. Şekil 3’te yer alan BİDB katılımcılarının yanıtları ile KDB katılımcılarının yanıtlarındaki farklılık ise, üç katılımcının kendileri tarafından kaydedilmemiş ve diğer sistemler üzerinden (öğrenci/personel bilgi sistemi vd.) almış oldukları kullanıcı bilgilerini, kendi verileri olarak değerlendirmemelerinden kaynaklanmaktadır. Elde edilen verilerin vakıf ve devlet üniversiteleri arasındaki dağılımına bakıldığında, verilerin güvenli ortamlarda saklanmasına ilişkin önlemlerin alınması konusunda vakıf ve devlet üniversiteleri arasında fark bulunmadığı görülmektedir.

Üniversitelerde personel verilerini doğrudan elde eden ve işleyen birimlerden biri olması nedeniyle, PDB katılımcılarına bu verileri hangi sıklıkta güncelledikleri de sorulmuştur. PDB katılımcılarının tamamı personel bilgilerinde değişme olduğunda bilgilerin güncellendiğini belirtirken, %85,7’si aynı zamanda ilişik kesme gibi işlemlerin yapılması esnasında da kayıtların güncellendiğini ya da gözden geçirildiğini belirtmişlerdir. Bununla beraber iki katılımcı, bilgilerin güncellenmesi için periyodik olarak personelden

talepte bulunulduğunu belirtmektedir. Ancak diğer katılımcılar personel sayısının çok fazla olması nedeniyle bu tür uygulamanın mümkün olamayacağını belirtmektedirler. Görüşme esnasında üç PDB katılımcısı personele ait kişisel bilgilere dışarıdan ya da üniversite içinden yetkisiz erişim yapılarak verilerin değiştirilebileceği endişesini taşıdıklarını ifade etmiştir. İç ve dış tehdit olarak algılanan bu unsurlar arasında yazılımları geliştiren firmalar ve üniversite BİDB personeli de bulunmaktadır. İki PDB katılımcısı ise bu konuda almış oldukları teknik önlemler ve yapılan her işlem için detaylı kayıt tutma yöntemleriyle bu riski en düşük seviyeye indirdiklerini ya da tamamen ortadan kaldırdıklarını ifade etmektedir.