SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. Giriş

• İşbu kişisel verileri saklama ve imha politikası (“Politika”) SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. nezdinde gerçekleştirilmekte olan kişisel verileri saklama ve imha faaliyetlerinin genel çerçevesini belirlemektedir.
• Kişisel verilerin saklanması ve imhasına ilişkin esas ve usuller 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 28 Ekim 2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve diğer ikincil mevzuat çerçevesinde düzenlenmektedir.
• Bu Politika çerçevesinde herhangi bir sorunuz olması veya işbu Politika’ya uygun hareket edilmediğine ilişkin herhangi bir şüpheniz olması veya Kişisel Verileri Koruma Kanunu ve/veya iş bu politika kapsamında talep ve bildirimleriniz olması halinde halinde "www.sademymm.com.tr" adresinde yer alan “KVKK Başvuru Formu” ile bizlere ulaşabilirsiniz.

2. Kapsam

• SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. mevcut, eski veya potansiyel müşterilere, tedarikçilere, Şirket ortaklarına, çalışanlara, çalışan adaylarına ve stajyerlere ve/veya veli/vasisine ait kişisel veriler de dâhil olmak üzere çeşitli türde kişisel veriyi toplamakta, işlemekte ve saklamaktadır.
• Bu kişisel veriler kağıt üzerinde olabileceği gibi aynı zamanda sunucular, veri tabanları, internet siteleri, bulut çözümleri, e-posta sistemleri, güvenlik kopyaları ve/veya SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.’nin veri işleyenlerine ait saklama ve işleme ortamları da dahil olmak üzere diğer ortamlar vasıtası ile elektronik olarak işlenebilmektedir.
• Kişisel veriler sadece SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından gerçekleştirilen işleme amaçları için gerekli olması halinde ilgili mevzuat çerçevesinde düzenlenmekte olan gerekli idari ve teknik tedbirlerin alınması sureti ile saklanmaktadır. Kişisel verilerin saklanması ve sonunda silinmesi, işbu Politika’da düzenlenmekte olan usul ve esaslar ile temel kurallara uygun bir şekilde gerçekleştirilmektedir.
• Verilerin gereğinden fazla saklanmasının önlenebilmesi adına kişisel veriler devamlı olarak gözden geçirilmekte ve silinmesi adına belirli süre sınırları belirlenmiş bulunmaktadır. İlgili bilgiye ihtiyaç duyulmaması halinde, işbu bilgi silinmekte veya ilgili kişinin kimliği belirlenemeyecek şekilde anonim hale getirilmektedir. İşbu Politika’nın 6. maddesi uyarınca saklama süresi dolmadan da kişisel veriler silinebilecektir.
• Verinin ne kadar süre ile saklanabileceği genellikle verinin kullanım amacı ve işleme amacı olan SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.’nin ticari yükümlülükleri, diğer yasal yükümlülükler, resmi yükümlülükler veya kabul edilmiş ticari/hukuki/endüstri uygulamalarına bağlıdır.
• Kişisel verilere erişim de aynı zamanda ilgili veriye erişimin ilgili işleme amacının gerçekleştirilmesi için gerekli olan SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. çalışanları (veya işleyen sıfatıyla erişim yetkisi verilmiş olan üçüncü kişiler) ile sınırlandırılmaktadır.

3. Tanımlar

Kişisel verilere ilişkin önemli olan bir takım hukuki terimlere ait tanımlar aşağıdaki gibidir:

 

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle ilgili kişiler tarafından açıklanan rıza.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale gelmesi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
İmha	Kişisel verilerin her türlü ortamdan silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye (“ilgili kişi”) ilişkin ad, soyad, T.C. Kimlik Numarası, konum bilgileri gibi her türlü bilgi.
KVKK	24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Yönetmelik	28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

4. Kişisel Verilerin Saklanması ve İşlenmesi

• Veri işleme amacı ve yasal dayanağı veri işleme faaliyetlerinin SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. nezdinde hangi alan ve departmanlarca gerçekleştirildiğine göre değişiklik arz edecektir. Aynı husus ilgili kişisel veriler için gerekli veri işleme ve saklama süreleri için de geçerlidir.
• Kişisel verilerin saklanmasına ilişkin genel çerçeve ve seçili SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.’nin departmanları ve ticari alanlarına bağlı olarak belirlenmiş olan saklama sürelerine ilişkin açıklamalara aşağıda yer verilmiştir.
• Bir İlgili Kişi’nin silme hakkının kullanılması yönünde talepte bulunması ve KVKK çerçevesinde ilgili talebin yerine getirilmesinin zorunlu olması halinde, ilgili talep SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından yerine getirilecektir. Böyle bir durumda işlenmekte olan kişisel veriye ilişkin detaylı bir incelemenin gerçekleştirilmesi gerekmektedir.
• Kişisel verilerin silinmesinden önce verilerin işlenmesi ve saklanmasının yasal dayanağı göz önünde bulundurulmalıdır.

5. Kişisel Verilerin Saklanmasını Gerektiren Yasal Sebepler

SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından işlenen kişisel veriler, yasal olarak öngörülmesi halinde daha uzun bir süre için muhafaza edilebilir. Bu kapsamda;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 6098 sayılı Türk Borçlar Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
• 4857 sayılı İş Kanunu
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri de göz önünde bulundurulmaktadır.
6. Saklamayı Gerektiren İşleme Amaçları
SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar;
• İş sözleşmesinin ifası için gerekli amacın yerine getirilmesi,
• Çalışanların izin onayı, bakiye izinlerin görüntülenmesi, izin düzenlemelerinin yapılması,
• Çalışanların işten çıkış işlemlerinin yapılması,
• Bordro işlemlerinin yapılmasının sağlanması,
• Çalışanlara maaş ödemelerinin yapılması,
• İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirilmesi,
• Personel özlük dosyasının oluşturulması,
• SGK bildirimleri, İŞKUR bildirimleri, teşvik ve yasal yükümlülük bilgilendirmesinin yapılması,
• Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması,
• Çalışanların giriş çıkış kayıtlarının kontrolünün yapılması,
• İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin bilgi verilmesi ve ödeme yapılması,
• İş kazasının yasal bildirimlerinin yapılması,
• İş sağlığı ve güvenliği işlemlerinin yapılması,
• Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması,
• Mahkeme kararlarının yerine getirilmesi,
• Çalışanlara masraf ödemelerinin yapılması,
• Çalışanlarla iletişimin sağlanması,
• Kendisine araç tahsis edilen veya kullandırılan çalışanın araba kullanmaya ehil olduğunun, ehliyetini herhangi bir nedenle kaybetmediğinin teyit edilmesi,
• Çalışana araç tedarik edilmesi ve park yeri ayarlanmasının sağlanması,
• Kartvizit basımının sağlanması,
• Elektronik posta hizmeti alınan firma/firmalara çalışan verilerinin girilerek çalışanın iş e-postasının oluşturulması,
• Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması,
• Kutlama amaçlı iletişimin sağlanması,
• Görev değişikliği, geçici görevlendirme ve/ veya çalışanların bölüm değişikliğine ilişkin prosedürlerin kayıt altına alınması
• Bilgi Güvenliği Süreçlerinin yürütülmesi,
• Erişim yetkilerinin ve görevlendirme sürecinin yürütülmesi,
• İş Süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi.
• Mevcut ve ileride çıkabilecek hukuki uyuşmazlıkların çözümlenmesi,
• SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.’nin kabul ettiği kural ve politikalarda meydana gelen değişikliklerin bildirilmesi veya sizi ilgilendiren diğer bildirimlerin yapılması ile size sunduğumuz faaliyetlerinin gerçekleştirilebilmesini teminen sözleşmeye ve kanuna aykırılıkların soruşturulması, tespiti, önlenmesi ve ilgili idari veya adli makamlara bilgi verilmesi,
• Ürün ve hizmetlerden kişisel veri sahiplerinin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,
• Fatura işlemlerinin yürütülmesi, ödeme alınması ve iade işlemlerinin yapılması.

7. İmhayı Gerektiren Nedenler
Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesi veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• KVKK madde 11 tahtında ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından kabul edilmesi,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında re’sen ve/veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

8. Saklama ve İmha Süreleri:

8.1. Saklama Süreleri:

 

Kimlik (Ad soyad, Anne - baba adı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, TC kimlik no v.b.)	Sözleşmenin sona ermesinden itibaren 10 yıl
İletişim (Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.)	Sözleşmenin sona ermesinden itibaren 10 yıl
Özlük (Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, fotoğraf v.b.)	Sözleşmenin sona ermesinden itibaren 10 yıl
Hukuki İşlem (Adli makamlarla yazışmalardaki bilgiler, Dava ve icra dosyasındaki bilgiler v.b.)	10 Yıl
Müşteri İşlem (Fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, talep bilgisi v.b.)	10 Yıl
İşlem Güvenliği (IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.)	1 Yıl
Mesleki Deneyim (Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.)	Sözleşmenin sona ermesinden itibaren 10 yıl
Sağlık Bilgileri (İstirahat raporları, çalışabilir raporu, hamilelik durumu, doğum izni bilgileri, kan grubu vb.)	Sözleşmenin sona ermesinden itibaren 10 yıl
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (Adli sicil kaydı, ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler v.b.)	Sözleşmenin sona ermesinden itibaren 10 yıl

 

8.2. İmha Süreleri :

SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından işlenen kişisel veriler yukarıda belirtilen saklama süresinin bitimini takip eden makul süre içerisinde imha edilecektir.

9- TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından y teknik ve idari tedbirler alınır.

9.1. Teknik Tedbirler

SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.

9.2. İdari Tedbirler

SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Veri işleyen hizmet sağlayıcılarının farkındalığı sağlanmaktadır.

10- KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş. tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

10.1. Kişisel Verilerin Silinmesi

Kişisel veriler aşağıdaki tabloda yer verilen yöntemlerle silinir.

 

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

10.2. Kişisel Verilerin Yok Edilmesi

Kişisel veriler, aşağıdaki tabloda yer verilen yöntemlerle yok edilir.

 

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik/Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

 

10.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

11- Değişiklik ve güncellemeler

İşbu Politika’da ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenerek SADEM YEMİNLİ MALİ MÜŞAVİRLİK A.Ş.’ne ait www.sademymm.com.tr adresli internet sitesinde ilan edilir.