KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

1.AMAÇ

 

İşbu politika amacı 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmeliklerine uygun olarak Diyarbakır Ticaret Borsası (‘Borsa”) Kişisel Verileri İşlenmeye ve Korumaya ilişkin yükümlülüklerinde Borsa içerisinde ve/veya Borsa tarafından uyulması gereken yöntem ve esasları belirlemektedir.

 

2.KAPSAM           

 

 

İşbu politika Borsanın işlemekte olduğu Kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

 

Bu Kişisel Verilerin saklanmasıyla ilgili olarak bu politika tarafından düzenlenen kurallar müşteri, tedarikçi, çalışan veya diğer gerçek şahıslarla ilgili basılı, elektronik veya diğer ortamlardaki tüm kişisel verileri kapsar.

3.TANIMLAR

 

İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;

 

“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder

 

“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.

 

“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.

 

“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

 

“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Sahibine KVKK Madde 10 kapsamında bilgi vermesine ilişkin yükümlülüğünü ifade eder.

 

“VeriEnvanteri”BorsanınKişiselVeriİşlemefaaliyetlerineyönelikolarakKişiselVeriİşlemesüreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifadeeder.

‘’Kurum’’ Kişisel Verileri Koruma Kurumu’nu ifade eder.

 

“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.

 

“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve İşleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.

 

‘’VERBIS’’ Veri Sicil Bilgi Sistemini ifade eder.

 

“Veri Sorumlusu İrtibat Kişisi” VERBIS kayıt yükümlülüğü kapsamında Borsa’ın Kurum ile olan ilişkilerini yürüten ve Borsa tarafından oluşturulmuş KVK Çalışma Grubunu  ifade eder.

 

‘’Veri            Sahipleri’’       KişiselVerileri            Borsa   tarafından        veya    Borsa   adına   işlenen Çalışan/Tedarikçi/Müşteri tüm gerçek kişileri ifadeeder.

4.KİŞİSEL VERİLERİNİŞLENMESİ

 

Kişisel Veriler Borsa tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

4.1.Açık Rıza

 

Kişisel Veriler, Veri Sahiplerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahiplerinin Açık Rıza vermesi halindeişlenir.

 

Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Sahiplerine haklarıbildirilir.

 

Veri Sahibinin Açık Rızası, ispatlanabilir şekilde Borsa tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafazaedilir.

 

Veri Sorumlusu tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde Açık Rıza’nın alınmasınıve alınan Açık Rıza’nın muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları Veri Sorumlusunun ve Veri Sorumlusu İrtibat Kişisi talimatlarına, işbu Prosedüre ve bu Prosedür eklerine uymaklayükümlüdür.

4.2.Kişisel Verilerin Açık Rıza Alınmaksızınİşlenmesi

 

KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2), Borsa Veri Sahibinin Açık Rızasını almaksızın Kişisel Verileri KVKK sınırları çerçevesinde işleyebilir. Bu kapsamda:

 

KanunlardaaçıkçaöngörülmesihalindeKişiselVerilerBorsatarafındanAçık Rıza olmaksızınişlenebilir.

 

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Sahibinin kendisinin ya da Veri Sahibi dışındaki bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler Borsa tarafından Açık Rıza olmaksızın işlenebilir.

 

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması halinde Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Borsa tarafından işlenebilir.

 

 

Kişisel Verilerin İşlenmesi Borsanın hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadanBorsa tarafından işlenebilir.

 

Veri Sahibi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Borsa tarafındanişlenebilir.

 

Kişisel Verilerin İşlenmesi bir hakkın tesisi, kullanılması veya korunmasıiçin zorunluiseKişiselVerilerAçıkRızaalınmaksızınBorsatarafındanişlenebilir.

 

Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Borsanın meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Borsa tarafından Açık Rıza olmaksızınişlenebilir.

5.KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ

 

Borsa, Kişisel Veri İşleme amaçları doğrultusunda gerekli önlemleri alarak Kişisel Verileri yurtiçinde ve/veya yurtdışında bulunan üçüncü bir gerçek ya da tüzel kişiye KVK Düzenlemelerine uygun şekilde aktarabilir. Bu durumda Borsa, Kişisel Veri aktardığı üçüncü kişilerindeprosedüreuymasınısağlar.Bukapsamdaüçüncükişiileakdedilensözleşmelere gerekli koruyucu düzenlemeler eklenir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu politikada yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu İrtibat Kişisi tarafından iletilenmaddedeKişiselVerilerinaktarıldığıüçüncükişinindeğişikliktalepetmesihalindedurum derhal çalışan tarafından Veri Sorumlusu İrtibat Kişisinebildirir.

5.1.Türkiye’de Bulunan Üçüncü Kişilere Kişisel VeriAktarımı

 

Kişisel Veriler, KVKK Madde 5.2’de ve yeterli önlemler alınmak kaydıyla Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri SahibininAçıkRızasıalınmakşartıile(KVKKMadde5.1veMadde6.2)Türkiye’de bulunan üçüncü kişilere Borsa tarafındanaktarılabilir.

 

Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan  Veri Yöneticisi olarak Borsa  sorumludur.

5.2.Yurt Dışında Bulunan Üçüncü Kişilere Kişisel VeriAktarımı

 

KişiselVeriler,KVKKMadde5.2veMadde6.3’debelirlenenistisnaihallerdeAçık Rıza olmaksızın yahut diğer hallerde Veri Sahibinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) yurt dışında bulunan üçüncü kişilere, Borsa tarafından aktarılabilir.

 

Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığıgerekir:

 

Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsündeolması

 

Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Borsanın ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.

 

Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Veri Yöneticisi olarak Borsa  sorumludur..

6.BORSANIN AYDINLATMAYÜKÜMLÜLÜĞÜ

 

Borsa, KVKK’ nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Sahiplerini aydınlatır. Bu kapsamda Borsa, Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Sahiplerine yapılacak olan bildirim sırasıyla şu unsurlarıiçerir:

 

  • Veri Sorumlusunun ve varsa temsilcisininkimliği,

  • Kişisel Verilerin hangi amaçlaişleneceği,
  • İşlenen Kişisel Verilerin kimlere ve hangi amaçlaaktarılabileceği,
  • Kişisel Veri toplamanın yöntemi ve hukukisebebi,
  • Veri Sahiplerinin KVKK Madde 11’de sayılanhakları.

 

Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini sağlamaktan ilgili süreci takip eden Borsa çalışanısorumludur.

7.KİŞİSEL VERİLERİNSAKLANMASI

 

Veri Sahiplerine ait kişisel veriler, Borsa tarafından özellikle Ticari faaliyetlerin sürdürülebilmesi,hukukiyükümlülüklerinyerinegetirilebilmesi,  çalışanhaklarının veyanhaklarınınplanlanmasıveifasıile müşteriilişkilerininyönetilebilmesiamacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesindesaklanmaktadır.

 

Saklamayı gerektiren sebepler aşağıdakigibidir:

 

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniylesaklanması,

  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıylasaklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Borsa’nın meşru menfaatleri için saklanmasının zorunluolması,
  • Kişisel  verilerin       Borsa’nın  herhangi  bir  hukuki  yükümlülüğünü  yerine  getirmesi amacıylasaklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkçaöngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasınınbulunması.

 

Kişisel Veriler, Borsa bünyesinde ilgili yasal saklama/zamanaşımı süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Prosedürde belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlananveyasalsaklamasüresi/zamanaşımısonaerenKişiselVerilerise,KVKK’ nın7’nci maddesi uyarınca Borsa tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

8.VERİ SAHİPLERİNİNHAKLARI

 

Borsa Kişisel Verisini elinde bulundurduğu Veri Sahibinin aşağıda belirtilen kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevapverir:

 

  • Borsa tarafından Kişisel Veri İşlenip İşlenmediğiöğrenme,

  • Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talepetme,
  • Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığınıöğrenme,
  • Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileribilme,
  • Kişisel Verilerin Borsa tarafından eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesiniisteme,
  • Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin İşlenmesini gerektiren sebeplerin ortadan kalkması halinde Borsa tarafından Kişisel Verilerin Silmesini veya yok edilmesiniisteme,
  • Borsa tarafından Kişisel Verilerin düzeltilmesi, Silinmesi ya da Yok Edilmesi halinde bu işlemlerin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesidurumundaVeriÖznesininaleyhinebirsonucunortayaçıkmasıhalinde bu sonuca itiraz etme,
  • Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara uğraması hâlinde zararın giderilmesini talepetme.

 

Veri Sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Borsa’ya iletmeleri durumunda Borsa talebin niteliğine göre talebi en geç otuz gün içinde cevaplar vesonuçlandırır.

9.VERİ YÖNETİMİ, GÜVENLİĞİ VE İRTİBATKİŞİSİ

 

Borsa, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli KVK Politikalarının uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak ve Borsanın VERBIS kayıt yükümlülüğünü yerine getirmek üzere Veri Sorumlusu İrtibat Kişisi Borsamız Kişisel Veriler KVK Çalışma kuruludur.

 

YapılanbilgilendirmelersonucundaVeriİrtibatKişisi, KVKDüzenlemeleribaştaolmaküzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak Veri Sahibi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu İrtibat Kişisi, Kurum ile yapılan yazışma ve iletişimiyürütür.

 

BorsaKişiselVerileringüvenliğininyeterincesağlanmadığışüphesindeolmasıyahutböyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu İrtibat Kişisinebildirir.

 

BorsaiçerisindeişlenenKişiselVerilerintamamıBorsatarafından“GizliBilgi”olarakkabul edilir.

 

Kişisel Verilerin konuya ilişkin politikalara uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlarsorumludur.

 

KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda Borsa ek güvenlik önlemlerine başvura bilir.

 

KVKK