KVKK POLİTİKASI
AMAÇ
Bu Politika ile üyelerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, işbirliği içinde olduğumuz şirket ve kurum çalışanlarının, tedarikçilerimizin, ortak faaliyetler yürüttüğümüz diğer kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunması amaçlanmıştır.
KAPSAM
Bu politika; üye, çalışan, çalışan adayı, ziyaretçi, tedarikçilerin, işbirliği içinde olduğumuz şirket ve kurum çalışanlarının, ortak faaliyetler yürüttüğümüz diğer kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin korunması, işlenmesi, aktarılması ve imhası ile ilgili faaliyetleri kapsamaktadır.
TANIMLAR
- Açık Rıza:Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Anonim Hâle Getirme:Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- İlgili Kişi:Kişisel verisi işlenen gerçek kişiyi,
- Kişisel Veri:Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Kurul: Kişisel Verileri Koruma Kurulunu,
- Kurum: Kişisel Verileri Koruma Kurumunu,
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
Bu dokümanda yer almayan tanımlar için Kanun, Yönetmelik ve Tebliğlerdeki tanımlar geçerlidir.
KİŞİSEL VERİLERİN İŞLENMESİ
GENEL İLKELER
Burdur Ticaret Borsası’nda; kişisel veriler,“Kişisel Verilerin Korunması Kanunu”ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenir.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyuma özen gösterilir:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
KİŞİSEL VERİLERİN İŞLENME VE SAKLANMA ŞARTLARI
Burdur Ticaret Borsası’nda, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Ancak aşağıdaki şartlardan birinin varlığı hâlinde“Kişisel Verilerin Korunması Kanunu”kapsamında, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
“Kişisel Verilerin Korunması Kanunu”na göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Burdur Ticaret Borsası’nda özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemler alınarak işlenir.
İŞLENEN VE SAKLANAN KİŞİSEL VERİLER
| Veri Kategorisi | Açıklama |
| Kimlik | Adı-Soyadı, Anne-Baba Adı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Bilgileri, TC Kimlik No, Pasaport gibi bilgiler |
| İletişim | Adres, E-Posta Adresi, İletişim Adresi, Kayıtlı Elektronik Posta Adresi (KEP), Telefon No, Faks gibi bilgiler |
| Özlük | Bordro Bilgileri, Disiplin Bilgileri, İşe Giriş Çıkış Kayıtları, Özgeçmiş Bilgileri, Yıllık İzin, |
| Hukuki İşlem | Adli Makamlarla Yazışmalar, Dava Dosyaları |
| İşlem Güvenliği | IP Adresi |
| Müşteri/Tedarikçi İşlem | Fatura, İrsaliye, Çek ve Senet Bilgileri, Banka Dekontları, Kredi Kartı Bilgileri |
| Fiziksel Mekan Güvenliği | Çalışan Giriş Çıkış Kayıtları, Kamera Kayıtları |
| Finans | Banka Bilgileri |
| Mesleki Deneyim | Diploma Bilgileri, Gidilen Kurslar, Meslek İçi Eğitim Bilgileri, Sertifikalar, |
| Görsel ve İşitsel Kayıtlar | Fotoğraflar |
| Sağlık Bilgileri (Özel Nitelikli) | Kan Grubu, Sağlık Raporları, Engellilik Durumuna Ait Bilgiler |
| Ceza Mahkumiyeti ve Güvenlik Tedbirleri (Özel Nitelikli) | Adli Sicil Kaydı, İcra Davası Bilgileri |
KİŞİSEL VERİLERİN İŞLENME VE SAKLANMA AMACI
| 1 | Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
| 2 | Bilgi Güvenliği Süreçlerinin Yürütülmesi |
| 3 | Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi |
| 4 | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi |
| 5 | Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
| 6 | Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi |
| 7 | Denetim / Etik Faaliyetlerinin Yürütülmesi |
| 8 | Eğitim Faaliyetlerinin Yürütülmesi |
| 9 | Erişim Yetkilerinin Yürütülmesi |
| 10 | Faaliyetlerin Mevzuata Uygun Yürütülmesi |
| 11 | Finans Ve Muhasebe İşlerinin Yürütülmesi |
| 12 | Fiziksel Mekan Güvenliğinin Temini |
| 13 | Görevlendirme Süreçlerinin Yürütülmesi |
| 14 | Hukuk İşlerinin Takibi Ve Yürütülmesi |
| 15 | İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi |
| 16 | İletişim Faaliyetlerinin Yürütülmesi |
| 17 | İnsan Kaynakları Süreçlerinin Planlanması |
| 18 | İş Faaliyetlerinin Yürütülmesi / Denetimi |
| 19 | İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
| 20 | İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi |
| 21 | İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi |
| 22 | Lojistik Faaliyetlerinin Yürütülmesi |
| 23 | Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
| 24 | Müşteri (Üye) İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
| 25 | Müşteri (Üye) Memnuniyetine Yönelik Aktivitelerin Yürütülmesi |
| 26 | Organizasyon Ve Etkinlik Yönetimi |
| 27 | Performans Değerlendirme Süreçlerinin Yürütülmesi |
| 28 | Risk Yönetimi Süreçlerinin Yürütülmesi |
| 29 | Sözleşme Süreçlerinin Yürütülmesi |
| 30 | Stratejik Planlama Faaliyetlerinin Yürütülmesi |
| 31 | Talep / Şikayetlerin Takibi |
| 32 | Ücret Politikasının Yürütülmesi |
| 33 | Yatırım Süreçlerinin Yürütülmesi |
| 34 | Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi |
| 35 | Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi |
| 36 | Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi |
| 37 | Diğer (Faaliyet Raporlarının Hazırlanması, Sosyal Medya Haber ve Duyuruları, Faaliyet Duyuruları, Basın Haber Bülten ve Duyuruları, WEB Sitesi Haber ve Duyuruları) |
KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASININ HUKUKİ SEBEBİ
Burdur Ticaret Borsası, faaliyetleri çerçevesinde işlenen kişisel verileri, ilgili mevzuatta öngörülen süre kadar muhafaza eder.
Bu kapsamda kişisel veriler;
- “Kişisel Verilerin Korunması Kanunu”,
- “Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu”
- “Türk Borçlar Kanunu”,
- “Sermaye Piyasası Kanunu”
- “Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu”,
- “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”,
- “İş Sağlığı ve Güvenliği Kanunu”,
- “İş Kanunu”,
- “Vergi Usul Kanunu”
- “Türk Ticaret Kanunu”
- “İcra ve İflas Kanunu”
- “Amme Alacaklarının Tahsili Hakkında Kanun”
- “Tarım Ürünleri Lisanslı Depoculuk Kanunu”
- Ve diğer ilgili kanunlar ile bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
çerçevesinde öngörülen saklama süreleri kadar saklanır.
KİŞİSEL VERİLERİN KAYIT ORTAMI
Kişisel veriler aşağıdaki tabloda belirtilen ortamlarda kanunlara uygun şekilde saklanır.
| Elektronik Ortam | Elektronik Olmayan Ortam |
| Sunucular | Kağıt |
| Yazılımlar (Ofis Yazılımları, Muhasebe Yazılımları, Antivirüs Yazılımı vb.) | Manuel kayıt formları (Faaliyet Katılım Takip, Anket vb.) |
| Kişisel Bilgisayarlar (Masaüstü, Dizüstü) | Yazılı, Basılı Ortamlar |
| Mobil Cihazlar (Tablet, Cep Telefonu) | |
| Optik Diskler (CD, DVD vb.) | |
| Çıkarılabilir Diskler (USB Bellek, Harici Disk, Hafıza Kartı vb.) | |
| Yazıcı, Tarayıcı |
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- “Kişisel Verilerin Korunması Kanunu”nun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Burdur Ticaret Borsası tarafından kabul edilmesi,
- Burdur Ticaret Borsası’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Burdur Ticaret Borsası tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler de göz önünde bulundurulur.
Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin faaliyetler “Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” kapsamında yerine getirilir.
Silme/İmha işlemi yılsonunda Burdur Ticaret Borsası Yönetim Kurulu kararı doğrultusunda verilerin silinmesi ve imhasından sorumlu personel tarafından gerçekleştirilir.
Kişisel Veriler saklama süresinin bitiminden sonraki ilk imha periyodunda silinir/imha edilir.
| Veri Kayıt Ortamı | Silme ve İmha Yöntemi |
| Sunucularda Yer Alan Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için bilgi işlem sorumlusu tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgi işlem sorumlusu hariç diğer kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu personel hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır ya da kâğıt kırpma makinelerinde kırpılarak ya da yakılarak geri döndürülemeyecek şekilde yok edilir. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgi işlem sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece bilgi işlem sorumlusuna verilerek güvenli ortamlarda saklanır. Saklama ortamının tekrar kullanılması gerekliliği durumunda daha önceki verilere erişimi engelleyecek şekilde tedbirler alınır. |
| Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
KİŞİSEL VERİLERİN AKTARILMASI
“Kişisel Verilerin Korunması Kanunu” Madde 8’e göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz.
Kişisel veriler; kişisel veri sahibinin açık rızası aranmaksızın işlenebildiği hallerde açık rıza aranmaksızın üçüncü kişilere de aktarılabilir. Aynı şekilde yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler de, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Burdur Ticaret Borsası tarafından işlenen kişisel veriler “Kişisel Verilerin İşlenme Amacı” başlığında tanımlanan amaçların yerine getirilmesi kapsamında;
- İlgili kanun ve diğer mevzuat hükümlerinin izin verdiği kurum veya kuruluşlara;
- Kişisel Verileri Koruma Kurumu, Hazine ve Maliye Bakanlığı, Ticaret Bakanlığı, Aile Çalışma ve Sosyal Politikalar Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu gibi kamu tüzel kişilerine;
- Bağlı ortaklıklarımıza ve/veya doğrudan/dolaylı yurtiçi/yurt dışı iştiraklerimize;
- Burdur Ticaret Borsası olarak faaliyetlerimizi yürütmek üzere sözleşme ile hizmet aldığımız, işbirliği yaptığımız, her türlü kişisel verilerinizin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerinin önlenmesi gibi işyeri güvenliği tedbirlerinin alınmasında bizimle müşterek ve müteselsil sorumlu olan, yurtiçi/yurt dışı kuruluşlar ve tedarikçilerimize;
“Kişisel Verilerin Korunması Kanunu”nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları ile sınırlı olarak aktarılabilir.
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Burdur Ticaret Borsası tarafından işlenen kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
“Kişisel Verilerin Korunması Kanunu”5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
HAKLAR VE YÜKÜMLÜLÜKLER
AYDINLATMA YÜKÜMLÜLÜĞÜ
Burdur Ticaret Borsası, “Kişisel Verilerin Korunması Kanunu” kapsamında verisi işlenen kişileri; işlediği veriler, ne amaçla işlediği, ne kadar süre ile sakladığı, üçüncü taraflara aktarım ve hakları konusunda Aydınlatma Metni ile bilgilendirir.
Aydınlatma Metni ile bilgilendirilen gerçek kişilerin Açık Rızası; Açık Rıza Beyanı Formu ile kayıt altına alınır.
Aydınlatma Metni yıllık olarak gözden geçirilerek kişisel verilerin işlenmesine yönelik değişikliklere uygun olarak revize edilir. Ayrıca yasa ve yönetmeliklerde oluşan değişiklikler ya da uygulama değişikliklerinde de yıllık periyot beklenmeden Aydınlatma Metni gözden geçirilerek revize edilir.
Aydınlatma Metni Burdur Ticaret Borsası web sitesi üzerinden de paylaşılır.
İLGİLİ KİŞİNİN HAKLARI
İlgili Kişiler, Burdur Ticaret Borsası’na başvurmak suretiyle kişisel verilerinin;
- İşlenip işlenmediğini öğrenme,
- İşlenmişse bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanıp kullanılmadığını öğrenme,
- Yurt içinde/yurt dışında aktarıldığı 3. Kişileri bilme,
- Eksik/yanlış işlenmişse düzeltilmesini isteme,
- “Kişisel Verilerin Korunması Kanunu”nun 7. Maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme,
- (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı taraflara bildirilmesini isteme,
- Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işlenmesi sebebiyle zarara uğrama halinde zararının giderilmesini talep etme hakkına sahiptir.
İlgili Kişiler; “Kişisel Verilerin Korunması Kanunu”nun 13. maddesinin 1. fıkrası gereğince, yukarıda belirtilen haklarını kullanmak ile ilgili talebini, yazılı veya KEP üzerinden elektronik imzalı olarak Burdur Ticaret Borsası’na iletebilir.
Yukarıda belirtilen hakları kullanmak için kimliği tespit edici gerekli bilgiler ile açıklamaları içeren talep; “Kişisel Veri Başvuru Formu”nu doldurarak, formun imzalı bir nüshası ile Burdur Ticaret Borsası ÖZGÜR MAHALLESİ OTOTAMİRCİLER 5. SOKAK NO: 1/7/3 MERKEZ BURDUR adresine kimliği tespit edici belgeler ile bizzat elden, noter kanalıyla veya burdurtb@hs01.kep.tr adresine güvenli elektronik imzalı olarak iletilebilir.
VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
Burdur Ticaret Borsası;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.
Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte gerekli tedbirleri alır, uygulanmasını sağlar ve denetler.
Kanun hükümlerinin uygulanıp uygulanmadığına ilişkin denetimler yıllık olarak yapılır, uygunsuzluklar tespit edilmesi durumunda gereken düzeltme faaliyetlerini yürütür. Denetimler konusunda, gerekli olması durumunda, dışarıdan hizmet alımı gerçekleştirilir.
Burdur Ticaret Borsası faaliyetleri kapsamında işlenen veriler, veri işleyenler tarafından Kanun hükümlerine aykırı olarak başkasına açıklanamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük veri işleyenlerin görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Burdur Ticaret Borsası bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri Güvenliğinin sağlanması amacıyla; operasyonel bazda kişisel veri envanteri ve uygulanan koruma yöntemleri belirlenir. Koruma Yöntemlerinin belirlenmesi ve değerlendirilmesi amacıyla Risk ve Tehdit Belirleme çalışmaları yürütülerek varsa açıklıkların giderilmesine yönelik yöntemler geliştirilir.
Kişisel Veri Envanteri, Uygulanan Koruma Yöntemleri ile Risk ve Tehditlerin durumu yıllık denetim ve değerlendirmelerle gözden geçirilir ve revize edilir. Ayrıca bilgi güvenliğini etkileyecek bir durumun söz konusu olması halinde de bu denetimler yıllık periyodun tamamlanması beklenmeden gerçekleştirilerek tedbirler alınır.
İDARİ TEDBİRLER
Kişisel Verilerin korunmasına yönelik aşağıdaki idari tedbirler uygulanmaktadır.
| No | Açıklama |
| 1 | Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
| 2 | Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
| 3 | Çalışanlar için yetki matrisi oluşturulmuştur. |
| 4 | Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
| 5 | Gizlilik taahhütnameleri yapılmaktadır. |
| 6 | İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir |
| 7 | Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. |
| 8 | Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
| 9 | Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
| 10 | Kişisel veri güvenliğinin takibi yapılmaktadır. |
| 11 | Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
| 12 | Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
| 13 | Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
| 14 | Kişisel veriler mümkün olduğunca azaltılmaktadır. |
| 15 | Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. |
| 16 | Mevcut risk ve tehditler belirlenmiştir. |
| 17 | Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
| 18 | Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
| 19 | Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
TEKNİK TEDBİRLER
Kişisel Verilerin korunmasına yönelik aşağıdaki teknik tedbirler uygulanmaktadır.
| NO | Açıklama |
| 1 | Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
| 2 | Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
| 3 | Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
| 4 | Erişim logları düzenli olarak tutulmaktadır. |
| 5 | Gerektiğinde veri maskeleme önlemi uygulanmaktadır. |
| 6 | Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
| 7 | Güncel anti-virüs sistemleri kullanılmaktadır. |
| 8 | Güvenlik duvarları kullanılmaktadır. |
| 9 | Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
| 10 | Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
| 11 | Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
| 12 | Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. |
| 13 | Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. |
| 14 | Şifreleme yapılmaktadır. |
| 15 | Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır. |
BAŞVURU VE ŞİKAYET
Burdur Ticaret Borsası’NA BAŞVURU
AMAÇ
Bu Politika ile üyelerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, işbirliği içinde olduğumuz şirket ve kurum çalışanlarının, tedarikçilerimizin, ortak faaliyetler yürüttüğümüz diğer kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunması amaçlanmıştır.
KAPSAM
Bu politika; üye, çalışan, çalışan adayı, ziyaretçi, tedarikçilerin, işbirliği içinde olduğumuz şirket ve kurum çalışanlarının, ortak faaliyetler yürüttüğümüz diğer kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin korunması, işlenmesi, aktarılması ve imhası ile ilgili faaliyetleri kapsamaktadır.
TANIMLAR
- Açık Rıza:Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Kurul: Kişisel Verileri Koruma Kurulunu,
- Kurum: Kişisel Verileri Koruma Kurumunu,
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
Bu dokümanda yer almayan tanımlar için Kanun, Yönetmelik ve Tebliğlerdeki tanımlar geçerlidir.
KİŞİSEL VERİLERİN İŞLENMESİ
GENEL İLKELER
Burdur Ticaret Borsası’nda; kişisel veriler,“Kişisel Verilerin Korunması Kanunu”ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenir.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyuma özen gösterilir:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
KİŞİSEL VERİLERİN İŞLENME VE SAKLANMA ŞARTLARI
Burdur Ticaret Borsası’nda, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Ancak aşağıdaki şartlardan birinin varlığı hâlinde “Kişisel Verilerin Korunması Kanunu” kapsamında, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
“Kişisel Verilerin Korunması Kanunu”na göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Burdur Ticaret Borsası’nda özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemler alınarak işlenir.
İŞLENEN VE SAKLANAN KİŞİSEL VERİLER
| Veri Kategorisi | Açıklama |
| Kimlik | Adı-Soyadı, Anne-Baba Adı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Bilgileri, TC Kimlik No, Pasaport gibi bilgiler |
| İletişim | Adres, E-Posta Adresi, İletişim Adresi, Kayıtlı Elektronik Posta Adresi (KEP), Telefon No, Faks gibi bilgiler |
| Özlük | Bordro Bilgileri, Disiplin Bilgileri, İşe Giriş Çıkış Kayıtları, Özgeçmiş Bilgileri, Yıllık İzin, |
| Hukuki İşlem | Adli Makamlarla Yazışmalar, Dava Dosyaları |
| İşlem Güvenliği | IP Adresi |
| Müşteri/Tedarikçi İşlem | Fatura, İrsaliye, Çek ve Senet Bilgileri, Banka Dekontları, Kredi Kartı Bilgileri |
| Fiziksel Mekan Güvenliği | Çalışan Giriş Çıkış Kayıtları, Kamera Kayıtları |
| Finans | Banka Bilgileri |
| Mesleki Deneyim | Diploma Bilgileri, Gidilen Kurslar, Meslek İçi Eğitim Bilgileri, Sertifikalar, |
| Görsel ve İşitsel Kayıtlar | Fotoğraflar |
| Sağlık Bilgileri (Özel Nitelikli) | Kan Grubu, Sağlık Raporları, Engellilik Durumuna Ait Bilgiler |
| Ceza Mahkumiyeti ve Güvenlik Tedbirleri (Özel Nitelikli) | Adli Sicil Kaydı, İcra Davası Bilgileri |
KİŞİSEL VERİLERİN İŞLENME VE SAKLANMA AMACI
| 1 | Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
| 2 | Bilgi Güvenliği Süreçlerinin Yürütülmesi |
| 3 | Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi |
| 4 | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi |
| 5 | Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
| 6 | Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi |
| 7 | Denetim / Etik Faaliyetlerinin Yürütülmesi |
| 8 | Eğitim Faaliyetlerinin Yürütülmesi |
| 9 | Erişim Yetkilerinin Yürütülmesi |
| 10 | Faaliyetlerin Mevzuata Uygun Yürütülmesi |
| 11 | Finans Ve Muhasebe İşlerinin Yürütülmesi |
| 12 | Fiziksel Mekan Güvenliğinin Temini |
| 13 | Görevlendirme Süreçlerinin Yürütülmesi |
| 14 | Hukuk İşlerinin Takibi Ve Yürütülmesi |
| 15 | İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi |
| 16 | İletişim Faaliyetlerinin Yürütülmesi |
| 17 | İnsan Kaynakları Süreçlerinin Planlanması |
| 18 | İş Faaliyetlerinin Yürütülmesi / Denetimi |
| 19 | İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
| 20 | İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi |
| 21 | İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi |
| 22 | Lojistik Faaliyetlerinin Yürütülmesi |
| 23 | Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
| 24 | Müşteri (Üye) İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
| 25 | Müşteri (Üye) Memnuniyetine Yönelik Aktivitelerin Yürütülmesi |
| 26 | Organizasyon Ve Etkinlik Yönetimi |
| 27 | Performans Değerlendirme Süreçlerinin Yürütülmesi |
| 28 | Risk Yönetimi Süreçlerinin Yürütülmesi |
| 29 | Sözleşme Süreçlerinin Yürütülmesi |
| 30 | Stratejik Planlama Faaliyetlerinin Yürütülmesi |
| 31 | Talep / Şikayetlerin Takibi |
| 32 | Ücret Politikasının Yürütülmesi |
| 33 | Yatırım Süreçlerinin Yürütülmesi |
| 34 | Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi |
| 35 | Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi |
| 36 | Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi |
| 37 | Diğer (Faaliyet Raporlarının Hazırlanması, Sosyal Medya Haber ve Duyuruları, Faaliyet Duyuruları, Basın Haber Bülten ve Duyuruları, WEB Sitesi Haber ve Duyuruları) |
KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASININ HUKUKİ SEBEBİ
Burdur Ticaret Borsası, faaliyetleri çerçevesinde işlenen kişisel verileri, ilgili mevzuatta öngörülen süre kadar muhafaza eder.
Bu kapsamda kişisel veriler;
- “Kişisel Verilerin Korunması Kanunu”,
- “Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu”
- “Türk Borçlar Kanunu”,
- “Sermaye Piyasası Kanunu”
- “Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu”,
- “İnternet Ortamında Yapılan Yayınların Düzenlenmes ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”,
- “İş Sağlığı ve Güvenliği Kanunu”,
- “İş Kanunu”,
- “Vergi Usul Kanunu”
- “Türk Ticaret Kanunu”
- “İcra ve İflas Kanunu”
- “Amme Alacaklarının Tahsili Hakkında Kanun”
- “Tarım Ürünleri Lisanslı Depoculuk Kanunu”
- Ve diğer ilgili kanunlar ile bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanır.
KİŞİSEL VERİLERİN KAYIT ORTAMI
Kişisel veriler aşağıdaki tabloda belirtilen ortamlarda kanunlara uygun şekilde saklanır.
| Elektronik Ortam | Elektronik Olmayan Ortam |
| Sunucular | Kağıt |
| Yazılımlar (Ofis Yazılımları, Muhasebe Yazılımları, Antivirüs Yazılımı vb.) | Manuel kayıt formları (Faaliyet Katılım Takip, Anket vb.) |
| Kişisel Bilgisayarlar (Masaüstü, Dizüstü) | Yazılı, Basılı Ortamlar |
| Mobil Cihazlar (Tablet, Cep Telefonu) | |
| Optik Diskler (CD, DVD vb.) | |
| Çıkarılabilir Diskler (USB Bellek, Harici Disk, Hafıza Kartı vb.) | |
| Yazıcı, Tarayıcı |
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- “Kişisel Verilerin Korunması Kanunu”nun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Burdur Ticaret Borsası tarafından kabul edilmesi,
- Burdur Ticaret Borsası’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında,Burdur Ticaret Borsası tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler de göz önünde bulundurulur.
Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin faaliyetler “Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” kapsamında yerine getirilir.
Silme/İmha işlemi yılsonunda Burdur Ticaret Borsası Yönetim Kurulu kararı doğrultusunda verilerin silinmesi ve imhasından sorumlu personel tarafından gerçekleştirilir.
Kişisel Veriler saklama süresinin bitiminden sonraki ilk imha periyodunda silinir/imha edilir.
| Veri Kayıt Ortamı | Silme ve İmha Yöntemi |
| Sunucularda Yer Alan Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için bilgi işlem sorumlusu tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
| Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgi işlem sorumlusu hariç diğer kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
| Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu personel hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır ya da kâğıt kırpma makinelerinde kırpılarak ya da yakılarak geri döndürülemeyecek şekilde yok edilir. |
| Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgi işlem sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece bilgi işlem sorumlusuna verilerek güvenli ortamlarda saklanır. Saklama ortamının tekrar kullanılması gerekliliği durumunda daha önceki verilere erişimi engelleyecek şekilde tedbirler alınır. |
| Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
KİŞİSEL VERİLERİN AKTARILMASI
“Kişisel Verilerin Korunması Kanunu” Madde 8’e göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz.
Kişisel veriler; kişisel veri sahibinin açık rızası aranmaksızın işlenebildiği hallerde açık rıza aranmaksızın üçüncü kişilere de aktarılabilir. Aynı şekilde yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler de, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Burdur Ticaret Borsası tarafından işlenen kişisel veriler “Kişisel Verilerin İşlenme Amacı” başlığında tanımlanan amaçların yerine getirilmesi kapsamında;
- İlgili kanun ve diğer mevzuat hükümlerinin izin verdiği kurum veya kuruluşlara;
- Kişisel Verileri Koruma Kurumu, Hazine ve Maliye Bakanlığı, Ticaret Bakanlığı, Aile Çalışma ve Sosyal Politikalar Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu gibi kamu tüzel kişilerine;
- Bağlı ortaklıklarımıza ve/veya doğrudan/dolaylı yurtiçi/yurt dışı iştiraklerimize;
- Burdur Ticaret Borsası olarak faaliyetlerimizi yürütmek üzere sözleşme ile hizmet aldığımız, işbirliği yaptığımız, her türlü kişisel verilerinizin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerinin önlenmesi gibi işyeri güvenliği tedbirlerinin alınmasında bizimle müşterek ve müteselsil sorumlu olan, yurtiçi/yurt dışı kuruluşlar ve tedarikçilerimize;
“Kişisel Verilerin Korunması Kanunu”nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları ile sınırlı olarak aktarılabilir.
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Burdur Ticaret Borsası tarafından işlenen kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
“Kişisel Verilerin Korunması Kanunu” 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
HAKLAR VE YÜKÜMLÜLÜKLER
AYDINLATMA YÜKÜMLÜLÜĞÜ
Burdur Ticaret Borsası, “Kişisel Verilerin Korunması Kanunu” kapsamında verisi işlenen kişileri; işlediği veriler, ne amaçla işlediği, ne kadar süre ile sakladığı, üçüncü taraflara aktarım ve hakları konusunda Aydınlatma Metni ile bilgilendirir.
Aydınlatma Metni ile bilgilendirilen gerçek kişilerin Açık Rızası; Açık Rıza Beyanı Formu ile kayıt altına alınır.
Aydınlatma Metni yıllık olarak gözden geçirilerek kişisel verilerin işlenmesine yönelik değişikliklere uygun olarak revize edilir. Ayrıca yasa ve yönetmeliklerde oluşan değişiklikler ya da uygulama değişikliklerinde de yıllık periyot beklenmeden Aydınlatma Metni gözden geçirilerek revize edilir.
Aydınlatma Metni Burdur Ticaret Borsası web sitesi üzerinden de paylaşılır.
İLGİLİ KİŞİNİN HAKLARI
İlgili Kişiler, Burdur Ticaret Borsası’na başvurmak suretiyle kişisel verilerinin;
- İşlenip işlenmediğini öğrenme,
- İşlenmişse bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanıp kullanılmadığını öğrenme,
- Yurt içinde/yurt dışında aktarıldığı 3. Kişileri bilme,
- Eksik/yanlış işlenmişse düzeltilmesini isteme,
- “Kişisel Verilerin Korunması Kanunu”nun 7. Maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme,
- (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı taraflara bildirilmesini isteme,
- Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işlenmesi sebebiyle zarara uğrama halinde zararının giderilmesini talep etme hakkına sahiptir.
İlgili Kişiler; “Kişisel Verilerin Korunması Kanunu”nun 13. maddesinin 1. fıkrası gereğince, yukarıda belirtilen haklarını kullanmak ile ilgili talebini, yazılı veya KEP üzerinden elektronik imzalı olarak Burdur Ticaret Borsası’na iletebilir.
Yukarıda belirtilen hakları kullanmak için kimliği tespit edici gerekli bilgiler ile açıklamaları içeren talep; “Kişisel Veri Başvuru Formu”nu doldurarak, formun imzalı bir nüshası ile Burdur Ticaret Borsası ÖZGÜR MAHALLESİ OTOTAMİRCİLER 5. SOKAK NO: 1/7/3 MERKEZ BURDUR adresine kimliği tespit edici belgeler ile bizzat elden, noter kanalıyla veya burdurtb@hs01.kep.tr adresine güvenli elektronik imzalı olarak iletilebilir.
VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
Burdur Ticaret Borsası;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.
Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte gerekli tedbirleri alır, uygulanmasını sağlar ve denetler.
Kanun hükümlerinin uygulanıp uygulanmadığına ilişkin denetimler yıllık olarak yapılır, uygunsuzluklar tespit edilmesi durumunda gereken düzeltme faaliyetlerini yürütür. Denetimler konusunda, gerekli olması durumunda, dışarıdan hizmet alımı gerçekleştirilir.
Burdur Ticaret Borsası faaliyetleri kapsamında işlenen veriler, veri işleyenler tarafından Kanun hükümlerine aykırı olarak başkasına açıklanamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük veri işleyenlerin görevden ayrılmalarından sonra da devam eder.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,Burdur Ticaret Borsası bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri Güvenliğinin sağlanması amacıyla; operasyonel bazda kişisel veri envanteri ve uygulanan koruma yöntemleri belirlenir. Koruma Yöntemlerinin belirlenmesi ve değerlendirilmesi amacıyla Risk ve Tehdit Belirleme çalışmaları yürütülerek varsa açıklıkların giderilmesine yönelik yöntemler geliştirilir.
Kişisel Veri Envanteri, Uygulanan Koruma Yöntemleri ile Risk ve Tehditlerin durumu yıllık denetim ve değerlendirmelerle gözden geçirilir ve revize edilir. Ayrıca bilgi güvenliğini etkileyecek bir durumun söz konusu olması halinde de bu denetimler yıllık periyodun tamamlanması beklenmeden gerçekleştirilerek tedbirler alınır.
İDARİ TEDBİRLER
Kişisel Verilerin korunmasına yönelik aşağıdaki idari tedbirler uygulanmaktadır.
| No | Açıklama |
| 1 | Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
| 2 | Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
| 3 | Çalışanlar için yetki matrisi oluşturulmuştur. |
| 4 | Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
| 5 | Gizlilik taahhütnameleri yapılmaktadır. |
| 6 | İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir |
| 7 | Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. |
| 8 | Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
| 9 | Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
| 10 | Kişisel veri güvenliğinin takibi yapılmaktadır. |
| 11 | Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
| 12 | Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
| 13 | Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
| 14 | Kişisel veriler mümkün olduğunca azaltılmaktadır. |
| 15 | Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. |
| 16 | Mevcut risk ve tehditler belirlenmiştir. |
| 17 | Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
| 18 | Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
| 19 | Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
TEKNİK TEDBİRLER
Kişisel Verilerin korunmasına yönelik aşağıdaki teknik tedbirler uygulanmaktadır.
| NO | Açıklama |
| 1 | Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
| 2 | Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
| 3 | Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
| 4 | Erişim logları düzenli olarak tutulmaktadır. |
| 5 | Gerektiğinde veri maskeleme önlemi uygulanmaktadır. |
| 6 | Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
| 7 | Güncel anti-virüs sistemleri kullanılmaktadır. |
| 8 | Güvenlik duvarları kullanılmaktadır. |
| 9 | Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
| 10 | Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
| 11 | Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
| 12 | Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. |
| 13 | Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. |
| 14 | Şifreleme yapılmaktadır. |
| 15 | Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır. |
BAŞVURU VE ŞİKAYET
Burdur Ticaret Borsası’NA BAŞVURU
İlgili kişi, “Kişisel Verilerin Korunması Kanunu” uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Burdur Ticaret Borsası’na iletir.
Burdur Ticaret Borsası başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Burdur Ticaret Borsası talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Burdur Ticaret Borsası tarafından gereği yerine getirilir. Başvurunun Burdur Ticaret Borsası hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
KURULA BAŞVURU
Başvurunun Burdur Ticaret Borsası tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, Burdur Ticaret Borsası’nın cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Burdur Ticaret Borsası’na başvuru yolu tüketilmeden Kurula şikâyet yoluna gidilemez.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
İlgili kişi, “Kişisel Verilerin Korunması Kanunu” uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle Burdur Ticaret Borsası’na iletir.
Burdur Ticaret Borsası başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Burdur Ticaret Borsası talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Burdur Ticaret Borsası tarafından gereği yerine getirilir. Başvurunun Burdur Ticaret Borsası hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
KURULA BAŞVURU
Başvurunun Burdur Ticaret Borsası tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, Burdur Ticaret Borsası’nın cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Burdur Ticaret Borsası’na başvuru yolu tüketilmeden Kurula şikâyet yoluna gidilemez.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.