Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

1. AMAÇ

İşbu politikanın amacı 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmeliklerine uygun olarak Diyarbakır Ticaret Borsası (‘Borsa”) Özel Nitelikli Kişisel Verileri İşlenmeye ve Korumaya ilişkin yükümlülüklerinde Borsa içerisinde ve/veya Borsa tarafından uyulması gereken yöntem ve esasları belirlemektedir.

2. KAPSAM

İşbu politika Borsanın işlemekte olduğu Özel Nitelikli Kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

Bu Kişisel Verilerin saklanmasıyla ilgili olarak bu politika tarafından düzenlenen kurallar müşteri, tedarikçi, çalışan veya diğer gerçek şahıslarla ilgili basılı, elektronik veya diğer ortamlardaki tüm kişisel verileri kapsar.

3. TANIMLAR

İşbu Politika de geçen tanımlar aşağıdaki anlamları ihtiva eder;

“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder

‘’Özel Nitelikli Kişisel Veri’’ Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.

“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.

“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Sahibine KVKK Madde 10 kapsamında bilgi vermesine ilişkin yükümlülüğünü ifade eder.

“VeriEnvanteri”BorsanınKişiselVeriİşlemefaaliyetlerineyönelikolarakKişiselVeriİşlemesüreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifadeeder.

‘’Kurum’’ Kişisel Verileri Koruma Kurumu’nu ifade eder.

“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.

“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve İşleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.

‘’VERBIS’’ Veri Sicil Bilgi Sistemini ifade eder.

“Veri Sorumlusu İrtibat Kişisi” VERBIS kayıt yükümlülüğü kapsamında Borsa’nın Kurum ile olan ilişkilerini yürüten ve Borsa tarafından atanan kişiyi ifade eder.

‘’Veri Sahipleri’’ Kişisel Verileri Borsa tarafından veya Borsa adına işlenen Çalışan/Tedarikçi/Müşteri tüm gerçek kişileri ifadeeder.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

· Özel Nitelikli Kişisel Veriler yalnızca Veri Sahibinin Açık Rızasının bulunması yahut,cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halindeişlenebilir.

· Sağlık ve cinsel hayata ilişkin Kişisel Veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: Borsanın anlaşmalı olduğu iş sağlı hekimi) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza almaksızınişlenebilir.

· Borsa, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik eğitimler verecektir ve bu çalışanlarla yapılan iş sözleşmelerinde sır saklama yükümlülüğü ve gizlilik hükümlerine yer verilir. Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını net olarak tanımlanır. Bu kapsamda periyodik olarak yetki kontrollerigerçekleştirilir.

· Borsa,Görevdeğişikliğiolanyadaiştenayrılançalışanlarınbualandakiyetkileriniderhal kaldırır ve ilgili çalışana tahsis edilen envanteri derhal gerialır.

· Özel Nitelikli Kişisel Verilerin elektronik ortamlara aktarılması durumunda, Özel Nitelikli KişiselVerilerinişlendiği,muhafazaedildiğive/veyaerişildiğielektronikortamlarileilgili olarak Borsa, Özel Nitelikli Kişisel Verileri sınırlı erişimle, parolalı, güvenli yöntemler kullanarak muhafaza eder.

· Borsa, Özel Nitelikli Kişisel Verilere bir yazılım aracılığıyla erişildiğinde bu yazılıma ait kullanıcı yetkilendirmelerini yapar, bu yazılımların güvenlik testlerini düzenli olarak yapar/yaptırır, test sonuçlarını kayıt altına alır ve Özel Nitelikli Kişisel Verilere uzaktan erişimi ancak VPN aracılığıyla ve kimlik doğrulama sistemi ilesağlar.

· Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Borsa, Özel Nitelikli KişiselVerilerinbulunduğuortamınniteliğinegöreyeterligüvenlikönlemlerini(elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alır. Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engeller ve kısıtlı, parolalı güvenli erişim sağlar.

· Özel Nitelikli Kişisel Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması gerekiyorsa, Borsa sunucular arasında VPN kurarak aktarımıgerçekleştirir.

· Yukarıdaki düzenlemelere ek olarak, Borsa, Veri Sorumlusu İrtibat Kişisi ve Borsa Çalışanları Özel Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareketedecektir.

· ÖzelNitelikliKişiselVerilerinİşlenmesinigerektirenherdurumda,ilgiliçalışantarafından Veri Sorumlusu İrtibat Kişisibilgilendirilir.

5. Özel Nitelikli Kişisel Verilerin Korunması İçin Alınan Tedbirler

5.1.İdari Tedbirler

· Borsa, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli Gizlilik konusunda düzenli eğitimler vermektedir.

· Borsa, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.

· Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.

· Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. Borsa, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.

· Borsa tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır.

· Ayrıca özel nitelikli kişisel veriler bakımından Kişisel Verileri Koruma Kurulu tarafında belirlenen önlemler ile, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de alınmaktadır.

· Borsamızın genel prensibi, kanundan kaynaklanan sebepler olmadıkça özel nitelikli kişisel veri işlememektedir.

· Gerekli olmayan özel nitelikli kişisel veriler silinmekte veya karartılmaktadır.

· Buna istinaden, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli kurallar işbu politikada belirlenmiştir;

5.2.Özel Nitelikli Kişisel Verilerin İşlenmesinde Yer Alan Çalışanlara Yönelik Tedbirler

· Kanun ve buna bağlı yönetmelikle ile özel nitelikli kişisel veri güvenliği konularında düzenli eğitimler verilmektedir.

· Gizlilik sözleşmeleri imzalanmaktadır.

· Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve yetki süreçleri YETKİ MATRİSİ ile tanımlanmıştır.

· Periyodik olarak yetki kontrolü yapılmaktadır.

· Göre değişikliği olan ya da işten ayrılan çalışanların bu alanlarındaki yetkileri derhal kaldırılmaktadır.

· Çalışana envanter tahsis edilmiş ise derhal geri alınmaktadır.

5.3.Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Elektronik Ortamlar İçin

· Elektronik ortama özel veri aktarılmamaktadır..

· Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.

· Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir.

· Verilere yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmesi yapılmaktadır.

· Gerekli güvenlik testleri yaptırılarak, test sonuçları kayıt alınmaktadır.

· Verilere uzaktan erişim olması halinde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.

5.4.Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Fiziksel Ortamlar için

· Özel nitelikli kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

· Özel nitelikli kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

· Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Önlemler

· E-posta yolu ile aktarılması halinde kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılmaktadır.

· Taşınır bellek, CD, DVD gibi ortamlar yoluyla aktarılması halinde - gerekli durumlarda- kriptografik yöntemlerle şifrelenmekte, ve kriptografik anahtar farklı ortamda tutulmaktadır.

· Farklı fiziksel ortamlardaki sunucular arasında aktarma yapılırken, sunucular arasında VPN kurularak veya SFTP yöntemiyle aktarım yapılmaktadır.

· Kağıt ortamında aktarım yapılırken evrakın çalınması, kaybolması, yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve belgeler “gizlilik dereceli belgeler” formatında kapalı zarfta gönderilmektedir.

5.5.Özel Nitelikli Kişisel Verilerin Saklanması ve İmhası

· Özel nitelikli kişisel veriler, Borsa tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:

· Veri sahibinin açık rızasının elde edilmiş olması

· Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması

· Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması

· Borsa tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’ sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:

· Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması

· Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması

· Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması

· Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması

· Veri sahibinin Borsa usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Borsa tarafından haklı görülmesi ve olumlu sonuçlandırılması

· Borsanın veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

· Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar Borsa Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.

6. Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Önlemler