FİKİRLİ YEMİNLİ MALİ MÜŞAVİRLİK LİMİTED ŞİRKETİ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI

İÇİNDEKİLER

[1. GİRİŞ VE POLİTİKA'NIN HAZIRLANMA AMACI [3](#giriş-ve-politikanin-hazirlanma-amaci)](#giriş-ve-politikanin-hazirlanma-amaci)

[2. ÖZEL NİTELİKLİ KİŞİSEL VERİNİN TANIMI VE KAPSAMI [3](#özel-nitelikli-kişisel-verinin-tanimi-ve-kapsami)](#özel-nitelikli-kişisel-verinin-tanimi-ve-kapsami)

[3. İŞLENEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER [4](#işlenen-özel-nitelikli-kişisel-veriler)](#işlenen-özel-nitelikli-kişisel-veriler)

[3.1. ÇALIŞAN ADAYLARININ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ [4](#çalişan-adaylarinin-özel-nitelikli-kişisel-verileri)](#çalişan-adaylarinin-özel-nitelikli-kişisel-verileri)

[3.2. ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ [4](#çalişanlarin-özel-nitelikli-kişisel-verileri)](#çalişanlarin-özel-nitelikli-kişisel-verileri)

[3.3. MÜŞTERİNİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ [5](#müşterinin-özel-nitelikli-kişisel-verileri)](#müşterinin-özel-nitelikli-kişisel-verileri)

[3.4. TEDARİKÇİLERİN HİSSEDARLARI VE ÇALIŞANLARININ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ [5](#tedarikçilerin-hissedarlari-çalişanlari-imza-yetkilileri-danişmanlari-muhasebecilerine-ilişkin-özel-nitelikli-kişisel-verileri)](#tedarikçilerin-hissedarlari-çalişanlari-imza-yetkilileri-danişmanlari-muhasebecilerine-ilişkin-özel-nitelikli-kişisel-verileri)

[4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEDBİRLER [6](#özel-nitelikli-kişisel-verilerin-işlenmesine-ilişkin-tedbirler)](#özel-nitelikli-kişisel-verilerin-işlenmesine-ilişkin-tedbirler)

[5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZA EDİLDİĞİ ORTAMLARA YÖNELİK İLKELER [6](#özel-nitelikli-kişisel-verilerin-muhafaza-edildiği-ortamlara-yönelik-ilkeler)](#özel-nitelikli-kişisel-verilerin-muhafaza-edildiği-ortamlara-yönelik-ilkeler)

[5.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ VE/VEYA ERİŞİLDİĞİ ORTAMLAR, ELEKTRONİK ORTAM İSE; [7](#özel-nitelikli-kişisel-verilerin-işlendiği-muhafaza-edildiği-veveya-erişildiği-ortamlar-elektronik-ortam-ise)](#özel-nitelikli-kişisel-verilerin-işlendiği-muhafaza-edildiği-veveya-erişildiği-ortamlar-elektronik-ortam-ise)

[5.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ VE/VEYA ERİŞİLDİĞİ ORTAMLAR, FİZİKSEL ORTAM İSE; [7](#özel-nitelikli-kişisel-verilerin-işlendiği-muhafaza-edildiği-veveya-erişildiği-ortamlar-fiziksel-ortam-ise)](#özel-nitelikli-kişisel-verilerin-işlendiği-muhafaza-edildiği-veveya-erişildiği-ortamlar-fiziksel-ortam-ise)

[6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA YÖNELİK İLKELER [8](#özel-nitelikli-kişisel-verilerin-aktarilmasina-yönelik-ilkeler)](#özel-nitelikli-kişisel-verilerin-aktarilmasina-yönelik-ilkeler)

[6.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI [8](#özel-nitelikli-kişisel-verilerin-aktarilmasi)](#özel-nitelikli-kişisel-verilerin-aktarilmasi)

1. GİRİŞ VE POLİTİKA'NIN HAZIRLANMA AMACI {#giriş-ve-politikanin-hazirlanma-amaci .unnumbered}

Şirketimiz tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili diğer mevzuat kapsamında elde edilen kişisel verilerin gizliliği ve güvenliğinin öneminin farkındalığıyla, kanunda tanımlanan veri sorumlusu sıfatıyla KVKK'ya uyum için gerekliliklerin layıkıyla yerine getirilmesini ve uluslararası standartlarda bir veri koruma ve işleme politikası oluşturulmasını hedeflenmektedir.

Bu kapsamda şirketimiz bünyesinde Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler Konulu Kişisel Verileri Koruma Kurulu Kararı doğrultusunda işbu politika yürürlüğe girmiştir.

Fikirli Yeminli Mali Müşavirlik Limited Şirketi Özel Nitelikli Kişisel Verilerin Korunması Politikası ("Politika") ile Fikirli Yeminli Mali Müşavirlik Limited Şirketi ("Fikirli" / "Şirket") tarafından özel nitelikli kişisel verilerin korunması ve işlenmesinde benimsenen esaslar hukuka uygunluk, dürüstlük ve açıklık ilkeleri doğrultusunda ortaya konulmaktadır.

Politika'da ayrıca, Fikirli'nin özel nitelikli kişisel verilerin güvenliğine yönelik bilgi verilmektedir.

ÖZEL NİTELİKLİ KİŞİSEL VERİNİN TANIMI VE KAPSAMI

Kişisel Verileri Koruma Kanunu'nda özel nitelikli kişisel verilere ayrıca önem atfedilmiş ve detaylı olarak tanımlanarak koruma yükümlülükleri getirilmiştir.

Kişisel Verilerin Korunması Kanunu'nun Özel Nitelikli Kişisel Verilere ilişkin 6. Maddesi aşağıdaki gibidir:

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi veya paylaşılması yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

İŞLENEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Şirketimiz tarafından, özel nitelikli kişisel veri tanımına girmekte olan; fotoğraf, kan grubu, din bilgisi, kamera kayıtları, parmak izi, adli sicil bilgisi, kişisel sağlık verileri, bedensel ve ruhsal özellikleri, kan grubu gibi verileri toplanmakta, muhafaza edilmekte, aktarılmakta ve imha edilmektedir.

ÇALIŞAN ADAYLARININ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ

Şirketimizde, Çalışan Adayına ilişkin kişisel sağlık verileri, fotoğraf, kan grubu, askerlik bilgisi, kamera kayıtları, adli sicil bilgisi, kişisel sağlık verileri, bedensel ve ruhsal özellikleri, kan grubu bilgisi gibi özel nitelikli kişisel veriler işlenmektedir.

İşbu özel nitelikli kişisel veriler; açık pozisyon için özgeçmişlerin toplanması, uygun adaylarla görüşme organizasyonu, iş sözleşmesinin kurulabilmesi veya Aday'ın görüşülen pozisyondan farklı bir iş tanımı için uygun olması durumunda gelecekte uygun iş tanımları için değerlendirilebilmesi için yetkinlik değerlendirme yöntemleri ile mülakat gibi iş görüşmesi ve aday değerlendirme süreçlerinde işlenmektedir.

Kişisel sağlık verileri; adayın iş tanımına uygun olarak iş sözleşmesinin ifasını yerine getirmesine engel olabilecek bir husus olup olmadığını işe başlama anında veya sonrasında çalışma kabiliyetini ortadan kaldırabilecek fiziksel veya ruhsal bir engel olup olmadığını tespit edebilmek amacıyla gerekli olduğu ölçüde işlenmekte ve bu kapsamda aday tarafından açık rıza verilmesi halinde saklanmaktadır.

ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ

Şirketimizde taşeron çalışanlar da dâhil olmak üzere, Çalışan'a ilişkin fotoğraf, kan grubu, din bilgisi, kamera kayıtları, [parmak izi,] [yüz okuma, Covit -- 19 tedbirleri,] adli sicil bilgisi, kişisel sağlık verileri, bedensel ve ruhsal özellikleri, kan grubu özel nitelikli kişisel verilerdir.

İşbu özel nitelikli kişisel veriler;

1. İşe giriş, özlük dosyasının tutulması ve işten çıkış işlemleri için gerekli bilgi ve belgelerin toplanması, kaydı ve yasal bildirimlerin gerçekleştirilmesi ile bu bilgi ve belgelerin güncelliğinin sağlanması;

2. İş Kanunu kapsamında gözetim borcunun ifası;

3. Yasal zorunluluk nedeniyle yapılması gereken zorunlu SGK ve tercihe bağlı Bireysel Emeklilik Sigortası, Asgari Geçim İndirimi işlemlerinin yapılması,

4. İşe giren personel için rol ve sorumluluklarına uygun yetkilendirmelerinin yapılması, görevin ifası için gerekli araçların (cep telefonu, araç, bilgisayar vb.) tahsisi ve kullanımının denetlenmesi;

5. Yurtiçi ve yurtdışı çıkış işlemleri, vize başvuruları, konaklama, transfer ve uçak bileti işlemlerinin yapılması;

6. Seyahat, toplantı, tanıtım ve yönetim adına katılım sağlanan toplantı ve etkinlikler için gerekli kayıt ve işlemlerin yapılması;

7. Ürün ve hizmetin üretildiği veya kullanıma sunulduğu noktalardaki iş, bilgi ve tesis güvenliğinin sağlanması ile işçi sağlığının korunması amacıyla gerekli önlemlerin alınması ve uygulanması;

8. Sair tüm yasal yükümlülükler.

Kapsamında temin edilmektedir.

Kişisel sağlık verileri çalışanın açık rızası ile alınmıştır. Bu kişisel verilere İşyeri Hekimi, Şirket Yönetim Ekibi ve İdari İşler Yetkilisi dışında kimse ulaşamamaktadır.

MÜŞTERİNİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ

Şirketimizde, Müşteri'ye ilişkin kamera kayıtları, özel nitelikli kişisel verilerdir. İşbu özel nitelikli veriler müşterinin ziyarete gelmesi halinde sadece güvenlik amacıyla tutulmaktadır.

TEDARİKÇİLERİN HİSSEDARLARI, ÇALIŞANLARI, İMZA YETKİLİLERİ, DANIŞMANLARI, MUHASEBECİLERİNE İLİŞKİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ

Şirketimizde, tedarikçilere, onların çalışanlarına, hissedarlarına, imza yetkililerine, danışmanlarına, avukatlarına, muhsabecisine ve bunlarla sınırlı olmamak kaydıyla sözleşmenin kurulması ve ifası kapsamında tarafınızca paylaşılacak herhangi bir gerçek kişiye ilişkin ehliyette bulunan kan grubu, nüfus cüzdanında bulunan fotoğraf ve din bilgisi, bulunan kamera kayıtları ile elde edilen özel nitelikli kişisel veriler işlenmektedir.

İşbu özel nitelikli veriler;

1. Şirketimizin ticari olarak ve faaliyet alanlarında ihtiyaç duyduğu hizmetlerin alınması için görüşmeler yapılması, projeler hazırlanması, teklifler alınması, yetkililerle iletişimin sağlanması,

2. Şirketimizin faaliyet konularında ürün, yedek parça ve benzeri aksamın satın alınması amacıyla teklif toplama, satın alma işlemleri, sözleşmenin kurulması ve sözleşmesel taahhütlerin yerine getirilmesi,

3. Ödemelerin ve hesap mutabakatının yapılabilmesi için, cari hesap ve tedarikçi kayıtlarının oluşturulması ve ilgili sistemlere(CRM ve benzeri) kayıtların girilmesi,

4. Hesap mutabakatı ve ödemelerin yapılabilmesi için sebebiyle yazılı sözlü iletişim kurmak,

5. Güvenliğin sağlanabilmesi için bina, depo, tesis vb. giriş çıkış kayıtlarının ve kamera kayıtlarının tutulması,

6. Tedarikçi veya iş ortakları çalışanlarının kimlik bilgileri, SGK, kişisel sağlık verileri de dahil olmak üzere özlük dosyasının tutulması, iş sağlığı ve güvenliği gibi kanundan doğan tüm yükümlülüklerin yerine getirilmesi amacıyla,

7. Hukuken yetkili Kamu veya Özel Kurum ve Kuruluşlar, Noterlik, Mahkeme ve Savcılıklar'a bildirim zorunluluğu ve FİKİRLİ'nin her türlü yasal merci nezdinde yükümlülüklerin yerine getirilmesi,

8. Sair her türlü yasal zorunlulukları yerine getirmek amacıyla işlenmektedir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEDBİRLER

Kişisel verilerin bulunduğu arşive yalnızca o veriyi kullanması gerekli olan departman tarafından ve bunun haricinde bilgi teknolojileri güvenliği ilkeleri kapsamında ve yasal gereklilikler ölçüsünde IT departmanı tarafından erişim sağlanabilmektedir.

Buna ilişkin yetkili kişiler ve departmanlar belirlidir, ancak çalışanlarda bir değişiklik olması durumunda gerekli kontroller gerçekleştirilir, görev değişikliği olan veya sözleşme ilişkisi ortadan kalkan çalışanların yetki ve erişimi derhal ortadan kaldırılır.

Buna bağlı olarak aşağıda yer verilen hususlar şirketimizde uygulanmaktadır:

a. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında çalışanlara düzenli olarak eğitimler verilmektedir;

> Şirketimiz bünyesindeki özel nitelikli kişisel veri işleyen veya veri erişimine yetkili olan çalışanlarımız KVKK düzenlemeleri, ile özel nitelikli kişisel veri güvenliği konularında eğitim almış olup azami seviyede farkındalığa ulaşmışlardır.

b. Gizlilik sözleşmeleri yapılmaktadır;

c. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları net olarak tanımlanmış olup, periyodik olarak yetki kontrolleri gerçekleştirilmektedir,

d. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin veya bu envantere erişimini sağlayan araçların iade alınması sağlanmaktadır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZA EDİLDİĞİ ORTAMLARA YÖNELİK İLKELER

Şirketimizde özel nitelikli verilerin çoğunluğu elektronik ortamda tutulmaktadır. Bu Politika'da kullanılan şifreleme ifadesi, kişisel kullanıma tahsis edilmiş bir sayısal anahtar ile verilerin sadece anahtar sahibi tarafından erişilebilmesini sağlama yöntemleri için kullanılmaktadır. Bu verilerin tutulduğu temel ortama sadece Fikirli çalışanları erişebilmektedir. Bu ortamda [MAC]{.underline} ile veri alışverişi güvence altına alınmıştır.

Bu önlemlere ek olarak da bu sistem üzerinde erişim yönetimi sistemi bulunmaktadır. Bu veriler güvenlik duvarı sistemi ve anti-virus yazılımı ile güvende tutulmaktadır.

Bu ortamlara ait güvenlik sistemleri mevcut olup, güncellemeleri IT departmanı tarafından düzenli olarak yapılmaktadır.

Özel nitelikli kişisel verilerin muhafaza edildiği fiziksel ortamda ise yeterli güvenlik tedbirleri alınmış olup, giriş çıkışa yetkili kişiler belirlidir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ VE/VEYA ERİŞİLDİĞİ ORTAMLAR, ELEKTRONİK ORTAM İSE;

a. Verilerin Şifreleme yöntemleri kullanılarak muhafaza edilmesi

Kişisel verilerin işlendiği yerler disk bazında şifreleme yöntemleri devreye alınmış durumdadır.

b. Şifrelerin güvenli ve farklı ortamlarda tutulması

Şifrelenmiş kişisel verilere ulaşmak için kullanılan sayısal anahtarlar kişisel verilerle aynı ortamlarda bulundurulmaz, güvenli erişim denetimi altındaki sayısal ortamlarda muhafaza edilir.

c. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

Veriler üzerinde gerçekleşen hareketler sadece Fikirli kullanıcılar tarafından yapıldığından loglama sistemi tarafından kayıt altına alınır.

d. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

Verilerin bulunduğu ortamlar Güvenlik ve Sistem Departmanı tarafından kayıtlar ve zafiyet testleri incelenerek takip edilir. Güvenlik güncelleştirmeleri test ortamlarında yapılıp emin olduktan sonra bu sistemler üzerine uygulanır. Yapılan işlemler kayıt altına alınır.

e. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

Verilere erişim VPN üzerinden bağlanarak Active Directory kullanıcı doğrulaması yapılarak erişilir. Bu alana erişim sadece Sistem ve Yazılım Departmanı tarafından yapılmaktadır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ VE/VEYA ERİŞİLDİĞİ ORTAMLAR, FİZİKSEL ORTAM İSE;

a. Özel nitelikli kişisel verilerin bulunduğu İdari İşler, Yönetim ve İK bölümü ve bu verilerin yer aldığı dolaplar özel kapalı bir ofiste korunaklı olarak saklanmakta olup, yeterli güvenlik önlemleri ile (elektrik kaçağı, yangın, hırsızlık vb. durumlara karşı) korunmaktadır;

b. Bu ortamların fiziksel güvenliği sağlanmakta olup, kilit altındaki ofis ve dolaplara İdari İşler, Yönetim ve İK yetkilisi dışında yetkisiz giriş çıkışlar engellenmektedir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA YÖNELİK İLKELER

Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli [olarak]{.underline} kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılır.

Taşınabilir bellek, CD gibi ortamlarda kişisel verilerin taşınması yasaktır.

Verilerin fiziksel ortamda aktarım gerçekleşiyorsa evrakların çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmemesi için azami özen gösterilmektedir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

{#section .unnumbered}

Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmaktadır.

Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılmaması için gerekli tedbirler alınmaktadır.

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın "gizlilik dereceli belgeler" formatında gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.