VERİLERİN AKTARILMASI POLİTİKASI

 

 

1.AMAÇ

İşbu Kişisel Veri Aktarım Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8 ve 9. maddeleri sonucu ve uyarınca oluşturulacak olan “ilgili yönetmelik” içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişisel hakkında uygulanacak ve BORSA içerisinde ve/veya BORSA tarafından uyulması gereken esasları belirleyecektir.

2.KAPSAM

İşbu Politika, BORSA birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerini kapsar. Bu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır. Yeni mevzuatlar ile belirlenmesi durumunda, BORSA kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde politikasını güncelleyerek mevzuat gerekliliklerine uyacaktır. İşbu Politika’ nın   BORSA tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, BORSA uygulayacağı adımları, gerek görülmesi durumunda Hukuk Müşavirliğine  Üst Yönetime danışarak, yeniden belirleyecektir.

3.TANIMLAR

İşbu Politika de geçen tanımlar aşağıdaki anlamları ihtiva eder;

 

“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder

 

‘’Özel Nitelikli Kişisel Veri’’ Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

 

“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.

 

“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.

 

“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

 

“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Sahibine KVKK Madde 10 kapsamında bilgi vermesine ilişkin yükümlülüğünü ifade eder.

 

“VeriEnvanteri”BorsanınKişiselVeriİşlemefaaliyetlerineyönelikolarakKişiselVeriİşlemesüreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifadeeder.

 

‘’Kurum’’ Kişisel Verileri Koruma Kurumu’nu ifade eder.

 

“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.

 

“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve İşleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.

 

‘’VERBIS’’ Veri Sicil Bilgi Sistemini ifade eder.

 

“Veri Sorumlusu İrtibat Kişisi” VERBIS kayıt yükümlülüğü kapsamında Borsa’nın Kurum ile olan ilişkilerini yürüten ve Borsa tarafından atanan kişiyi ifade eder.

‘’Veri   Sahipleri’’       Kişisel  VerileriBorsa   tarafından        veya     Borsa   adına    işlenen Çalışan/Tedarikçi/Müşteri tüm gerçek kişileri ifadeeder.

 

4.Veri aktarımı Yapılabilecek Merciler

Diyarbakır Ticaret Borsası, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak (bkz. Bölüm 2/Başlık 2.1.5) politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan ilgili mercilere aktarabilir.

 

  • İlgili Bakanlıklar, İl Valiliği, Adli Merciler ve İlgili Bakanlığa bağlı taşra teşkilatları ve bunlara bağlı Teftiş Kurulu Başkanlıklarına
  • Türkiye Odalar ve Borsalar Birliği ve Odalar ve Borsalar Birliği Emekli Sandığı Vakfı, sosyal Güvenlik Kurumu ve Bankalar

               

  • Tarım İl ve İlçe Müdürlükleri

İlçe Tarım Müdürlükleri gerek resmi yazı ile ve gerekse borsamız web sayfasındaki portaldan otomatik olarak alım satım tescil işlemlerine ilişkin veri sorgulaması yapabilmektedir.

 

  • İştiraklerimiz,  

(Yasal mevzuatlar çerçevesinde üyelerinin menfaatleri doğrultusunda yapılan çalışmalarda kullanılmak üzere her türlü ticari ve organizasyonel çalışmaların yürütülmesini sağlamak amacıyla aktarım )

 

 

  • Kurum Üst Yönetim veYetkililerine

(İlgili mevzuat hükümlerine göre Borsanın menfaatleri doğrultusunda  temsil faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak aktarım yapılması

 

  • Hukuken yetkili özel hukukkişilerine

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği bilginin sınırlı olarak aktarımı yapılmaktadır.)

 

 

 

İşbu Politika

 

5. Kişisel Verilerin Fiziksel Ortamda Aktarılması

 

Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’ nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır.

 

BORSA çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika’ ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür.

 

Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8. maddenin 2. fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır.

 

Kişisel Veri içeren fiziki dokümanlar aktarılırken işlenemez. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVKK Çalışma Grubu’nun bilgisi ve onayı dahilinde yapılabilir. Gönderen taraf, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVKK Çalışma Grubu’ndaki ilgili kişiye durumu aktarır.

 

Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden alıcıya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir. Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Yönetmelik’te belirtilen güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde KVKK Çalışma Grubu’nun bilgisine başvurulacaktır.

6.Kişisel Verilerin Elektronik Ortamda Aktarılması

Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’ nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. BORSA çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ ya bağlı kalmak zorundadır.

 

Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür. Elektronik ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir.

 

Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır. Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır. Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Çalışma Grubu bilgilendirilmelidir.

  1. Elektronik Posta Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin sahibi Birim Müdürü elektronik postanın alıcıları arasında yer almalıdır. Birim Müdürü bilgisi dahilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır. Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVKK Çalışma Grubu’na bilgi vererek onay almalıdır. 
  2. Taşınabilir Medya Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır. Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya mutlaka şifrelenmelidir. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir. Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz. Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında BORSA’ nın anlaşmalı olduğu kurye hizmeti kullanılmalıdır, aktarımda kargo hizmeti kullanılamaz 
  3. Bulut Paylaşımı Bulut paylaşım, kişisel verilerin gönderici tarafından online bir depolama alanına yüklendiği alıcının ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır. Bulut paylaşım ile kişisel veri aktaran çalışan, her bir aktarım öncesinde BORSA Bilgi Teknolojileri Departmanı ile en güvenli yöntem konusunda kişisel veri sahibi birim müdürü ile birlikte bilgi paylaşımında bulunmalıdır. Bulut paylaşım ile kişisel veri paylaşılacağı tüm durumlarda BORSA Bilgi Teknolojileri bölümü ’nün bilgilendirilmesi zorunludur. Bulut paylaşım ile ilgili en güvenli yöntem her aktarımdan önce tekrar kontrol edilmelidir. Bulut paylaşım yöntemi ile paylaşılan veri şifrelenmiş olmalıdır. Şifre, gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca BORSA donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını BORSA donanımları ve ağını kullanmadan yapmasına izin verilmez
  4. Ağ Üzerinden Paylaşım Kişisel veriler, BORSA’ ın ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye veya kriptografik protokollerin uygulanmasına uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubu’na bilgi verilir ve yalnızca Grup’un onayı olduğu durumlarda aktarım gerçekleştirilir. Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.

7.POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

Yönetmelik’in Kurum tarafından oluşturulmasının ardından BORSA bu Politika ‘da varsa gerekli değişiklikleri yapacaktır. Yönetmelik’te yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde BORSA tarafından işbu Politika ’da değişiklik yapılabilir. BORSA Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politikayı eposta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.

 

 

 

 

 

 

 

 

KVKK

ULUSAL KIRMIZI ET KONSEYİ

ULUSLARARASI FİYATLAR