Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Başvuru Formu

GREEN CHEMICALS KİMYASAL MADDELER SANAYİ TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA ŞİRKET İÇ POLİTİKASI

Tanımlar
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Çalışan	GREEN ile arasında bir hizmet sözleşmesi bulunan her bir gerçek kişiyi ifade eder.
Çalışan Adayı	GREEN’nin hali hazırda istihdam ettiği kişilerden olmayan ve Green’e özgeçmiş ve/veya iş başvurularında gönderilmesi mutad olan diğer evrakları, GREEN ile iş akdi yapmak maksadıyla herhangi bir şekilde, doğrudan veya aracılar vasıtasıyla gönderen tüm gerçek kişileri ifade eder.
Stajyer	GREEN de eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.
Tedarikçiler	GREEN’ye ürün veya hizmet sunan gerçek kişi tedarikçileri ifade eder.
Ortaklar	GREEN’nin tüm gerçek kişi hissedarlarını ifade eder.
İlgili Kişi	Kişisel verileri GREEN tarafından işlenen tüm gerçek kişileri ifade eder.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Özel Nitelikli Kişisel Veri	İlgili kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili veriler ile biyometrik ve genetik verileri ifade eder.
GREEN	İzmit Ticaret Odası nezdinde tescilli olan GREEN CHEMICALS KİMYASAL MADDELER SANAYİ TİCARET ANONİM ŞİRKETİ ifade eder.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. GREEN kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında “veri sorumlusu” dur.
Veri Güvenliği Sorumlusu	Şirket tarafından Veri Güvenli Sorumlusu sıfatıyla işbu Politikada yer alan fonksiyonları yerine getirmek üzere seçilen gerçek kişiyi ifade eder.
Şirket Yöneticileri	Şirketin organizasyon şeması uyarınca yönetim ve idare yetkisine sahip olan tüm gerçek kişileri ifade eder.
Kişisel Veri İşleme Envanteri	Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu ilişkilendirerek oluşturduğu ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri ifade eder.

AMAÇ
İşbu Kişisel Verilerin İşlenmesi Politikası (“Politika”) GREEN CHEMICALS KİMYASAL MADDELER SANAYİ TİCARET ANONİM ŞİRKETİ (“GREEN”) muhafaza ettiği kişisel verilere ilişkin uygulamalarının 6698s. Kişisel Verilerin Korunması Kanunu (“Kanun”) ve bu Kanuna dayanılarak yürürlüğe konulmuş olan ikincil mevzuata uygunluğunu, GREEN tarafından kişisel verileri işlenen tüm kişilerin Kanun kapsamında kişisel verileri üzerinde sahip oldukları hakların korunmasını temin etmek üzere hazırlanmış ve yürürlüğe konulmuştur.

Kişisel verilerinizin korunması GREEN’nin en önem verdiği öncelikleri arasındadır. GREEN, genel politikasının gereği olarak gerek Türk mevzuatında yer alan kişisel verilerin korunmasına ilişkin düzenlemelere tam uyum içerisinde hareket etmeyi prensip haline getirmiş olup bu konuda azami gayret göstermektedir. İşbu Politika, GREEN’nin bu prensibini hayata geçirebilmesi için Çalışanların, GREEN adına hareket eden gerçek ve tüzel kişilerin, GREEN’nin tedarikçilerinin, çözüm ortaklarının ve iş ortaklarının uyması gereken usul ve esasları içermektedir. İşbu Politika ile Şirketimiz tarafından gerçekleştirilen veri işleme, koruma ve silme, yok etme anonim hale getirme faaliyetlerinin Kanun’da yer alan düzenlemelere uyumu bakımından benimsenen temel ilkeleri açıklanmış olup kişisel veri sahiplerini kişisel verileri üzerinde Şirketimiz tarafından gerçekleştirilen faaliyetlere ilişkin usul ve esaslar hakkında bilgilendirilerek gerekli şeffaflığı sağlaması amaçlanmaktadır.

Şirketimiz, kişisel verilerin korunması kapsamında sorumluluğunun ve yükümlülüklerinin tam bilincinde olup kişisel verilerinizi işbu Politika kapsamında işlemekte ve korumaktadır.
POLİTİKANIN STATÜSÜ
İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası, Şirket çalışanlarının hizmet sözleşmelerinin bir parçasını oluşturur. Çalışanların işbu politikayı ihlal etmesi Çalışanlar hakkında disiplin soruşturması yapılması ve gerçekleştirilen ihlalin niteliği ve ağırlığına göre Çalışanların hizmet sözleşmelerinin haklı nedenle feshedilmesi ile sonuçlanabilir.

İLGİLİ KİŞİ KATEGORİLERİ

GREEN tarafından kişisel verileri işlenen ilgili kişi kategorileri, sistematik açıdan aşağıdaki gibi ayrılmaktadır. Aşağıda yer alan tabloda, ilgili kişi kategorilerini, ilgili kişilere ilişkin açıklamalar ve bu kişilerin hangi tür kişisel verilerinin işlendiği gösterilmektedir. Şu kadar ki, aşağıda yer alan tablo, GREEN’nin başkaca ilgili kişi kategorilerinin kişisel verilerini işleyemeyeceği veya aşağıdaki tabloda yer alan veri kategorilerinden başka kişisel veri kategorilerini işleyemeyeceği anlamına gelmemektedir. GREEN, Kanun, ikincil mevzuat ve işbu Politika hükümlerine uygun olmak kaydıyla, operasyonlarının gerektirdiği başkaca kişisel verileri işleme hakkını saklı tutmaktadır.

İlgili Kişi	Açıklaması	Veri Kategorisi
Çalışanlar	GREEN de çalışan gerçek kişileri ifade eder.	Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, telefon numarası, TC Kimlik Numarası, adli sicil kaydı, hastalık ve kaza raporları, din, kan grubu, kamera kaydı, IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri, adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler
Stajyerler	GREEN de eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.	Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, özgeçmiş, banka hesap bilgisi, telefon numarası, TC Kimlik Numarası, adli sicil kaydı, hastalık ve kaza raporları, din, kan grubu, kamera kaydı, IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri, adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler
Çalışan Adayları	Green’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini GREEN’nin incelemesine açmış olan gerçek kişiler	Özgeçmiş, eğitim bilgileri, mülakat notları kişilik testi sonuçları.
Şirket Ortakları	GREEN’nin gerçek kişi hissedarlarını ifade eder.	Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri.
Gerçek Kişi Tedarikçiler	GREEN’nin ticari faaliyetlerini yürütürken GREEN’nin emir ve talimatlarına uygun olarak sözleşme temelli olarak Green’e hizmet sunan gerçek kişiler.	Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait ad-soyad, adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri, vergi levhası.
Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları	GREEN’nin ticari faaliyetlerini yürütürken GREEN’nin emir ve talimatlarına uygun olarak sözleşme temelli olarak Green’e hizmet sunan taraf çalışanı, yetkilisi veya hissedarı olan gerçek kişileri ifade eder.	Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.
Gerçek Kişi Müşteriler	GREEN ürün veya hizmetlerinden faydalanan gerçek kişi müşterilere ait bilgiler	Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi tedarikçilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri, vergi levhası.
Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları	GREEN ürün veya hizmetlerinden faydalanan kurumsal müşterilerin gerçek kişi çalışan, yetkili veya hissedarlarına ait bilgiler	Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri, imza sirküleri.
İşbirliği İçerisinde Olduğumuz Gerçek Kişiler	GREEN ile iş ilişkisi içerisinde bulunan gerçek kişiler (alt işverenlik ilişkisi içerisinde üst işveren, ifa yardımcısı, iş ortağı, tedarikçi, program ortağı, şubeleri vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere)	Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri, vergi levhası.
İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri	GREEN ile iş ilişkisi içerisinde bulunan kurumların (alt işverenlik ilişkisi içerisinde üst işveren, ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler	Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri, imza sirküleri, vergi levhası.
Ziyaretçiler	GREEN’ı ziyarete gelen ve web sitesini ziyaret eden gerçek kişileri ifade eder.	Kamera kaydı, IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri

KİŞİSEL VERİLERİN KATEGORİZASYONU

İşbu Politika kapsamında belirlenen amaçlar ve şartlar dâhilinde GREEN tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri, kişisel veri kategorilerine ilişkin açıklamalar ve bu kişisel veri kategorileri içerisine giren kişisel veri tipleri aşağıdaki tabloda yer almaktadır:

Kişisel Veri Kategorileri	Veri Açıklaması	İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri
Kimlik Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan bilgiler	Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport gibi belgeler.
İletişim Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişiyle iletişim kurulması amacıyla kullanılan bilgiler	Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
Lokasyon Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, veri sahibinin konumunu tespit etmeye yarayan veriler	E-mail adresi, telefon numarası, cep telefonu numarası,adres v.b.
Özel Nitelikli Bilgiler	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri	Kan grubu, sağlık raporu, hastalık ve kaza raporları, sabıka kaydı, din, beden ölçüler.
Tedarikçi Bilgileri	Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN’nin ticari faaliyetlerini yürütürken GREEN’nin emir ve talimatlarına uygun olarak sözleşme temelli olarak Green’e hizmet sunan gerçek kişi tedarikçilere ve/veya kurumsal tedarikçilerin gerçek kişi çalışan, yetkili ve hissedarlarına ait kişisel veriler.	Ad-soyad, TC kimlik numarası, kayıtlı oldukları vergi dairesi, vergi numarası, adres, e-posta, telefon, imza, banka hesap bilgileri, vergi levhası, imza sirküleri.
Tedarikçi İşlem Bilgileri	Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN’nin ticari faaliyetlerini yürütürken GREEN’nin emir ve talimatlarına uygun olarak sözleşme temelli olarak Green’e hizmet sunan gerçek kişi tedarikçilere ve/veya kurumsal tedarikçilerin gerçek kişi çalışan, yetkili ve hissedarları tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler.	Teklif formu, fiyat bilgisi vb.
Müşteri Bilgileri	Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ürün ve hizmetlerimizden faydalanan gerçek kişi müşterilere ve/veya kurumsal müşterilerin gerçek kişi çalışan, yetkili ve hissedarlarına ait bilgiler.	Ad-soyad, TC kimlik numarası, kayıtlı oldukları vergi dairesi, vergi numarası, adres, e-posta, telefon, imza, banka hesap bilgileri, müşteri numarası, meslek bilgileri, vergi levhası, imza sirküleri.
Müşteri İşlem Bilgileri	Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ürün ve hizmetlerimizden faydalanan gerçek kişi müşteriler ve/veya kurumsal müşterilerin gerçek kişi çalışan, yetkili ve hissedarları tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler.	Talep ve talimatlar, sipariş bilgileri vb.
Aile Bireyleri ve Yakınları Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ilgili şirket ve veri sahibinin hukuki menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler	Kişisel veri sahibinin çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi ve profesyonel, eğitim bilgileri v.b. bilgiler
İşlem Güvenliği Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN ve ilgili tarafların teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler	Kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren bilgiler (örn. Internet sitesi şifre ve parola bilgileri)
Finansal Bilgi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler	Veri sahibinin yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, kredi kartı borcu, kredi tutarı, kredi ödemeleri, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi, banka hesap bilgileri, kredi kartı numarası, kredi kartı güvenlik kodu, son kullanma tarihi vb.
Hissedar Bilgisi	GREEN Hissedarlarına ait kişisel verileri ifade eder.	Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri, imza sirkülerleri.
Özlük Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, çalışanların özlük haklarının oluşmasına temel olan kişisel veriler.	Kanunen özlük dosyasına girmesi gereken her türlü bilgi ve belge (örn. Maaş miktarı, AGİ Formu, Sağlık Raporu, Sabıka Kaydı, İkametgah senedi, Askerlik Durum Belgesi, Diploma, Resim, Özgeçmiş, SGK primleri, bordrolar, İmza v.b.)
Çalışan Adayı Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait, başvuru değerlendirme sürecinde kullanılan kişisel veriler.	Özgeçmiş, mülakat notları, eğitim bilgileri, kişilik testleri sonuçları v.b.
Eğitim Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait eğitim, sertifika, yabancı dil vb. bilgileri.	Diploma, sertifika, yabancı dil sertifikaları vb.
Çalışan İşlem Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, çalışanların veya işle ilgili gerçekleştirdiği her türlü işleme ilişkin kişisel veriler	Çalışanın işe giriş-çıkış kayıtları, iş seyahatleri, katıldığı toplantılara ilişkin bilgiler, güvenlik sorgusu, mail trafikleri izleme bilgisi, IP adresleri, şirket kredi kartı harcama bilgisi v.b.
Çalışan Performans ve Kariyer Gelişim Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, çalışanların performanslarının ölçülmesi ve kariyer gelişimlerinin insan kaynakları politikaları kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler	Performans değerlendirme raporları, mülakat sonuçları, kariyer gelişimine yönelik eğitimler v.b.
Hukuki İşlem ve Uyum Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, hukuki alacak ve hakların tespiti ve takibi ile borç ve kanuni yükümlülüklerin ifası amacıyla işlenen kişisel veriler	Mahkeme ve idari merci kararları gibi belgelerde yer alan veriler
Denetim ve Teftiş Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN’nin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler	Denetim ve teftiş raporları, ilgili görüşme kayıtları ve benzeri kayıtlar
Fiziksel Mekan Güvenlik Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, GREEN’nin meşru menfaatleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler	Kamera kayıtları
Talep ve Şikayet Yönetim Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, Green’e yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.	Green’e yönelik her türlü talep ve şikayetler, bunlarla ilgili kayıt ve raporlar
Diğer Veriler	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, Anket yapılarak elde edilen müşteri memnuniyetinin değerlendirilmesine ilişkin kişisel veriler.	Ad-Soyad

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
1. Kişisel Verilerin Güvenliğinin Sağlanması
  Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
2. Özel Nitelikli Kişisel Verilerin Korunması
  Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
  
  GREEN tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, GREEN tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve GREEN bünyesinde gerekli denetimler sağlanmaktadır.
  
  Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 6.5 (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) bölümünde yer verilmiştir.
3. GREEN İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
  GREEN, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
  
  GREEN çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışılmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.

KİŞİSEL VERİLERİN İŞLENMESİ

GREEN yürürlükteki kanunlar ve bilgi güvenliği ile ilgili veri sahiplerini, kişisel verilerinin kullanımı ile ilgili olarak bilgilendirir/aydınlatır.

GREEN kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir risk analizi yapmakta ve KVKK 12. Maddesi uyarınca işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

Kişisel Verilerin İşlenmesinin Kapsamı
GREEN tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla veri sahibi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına gelir.

Kişisel Verilerin İşlenme Amaçları

GREEN tarafından herhangi bir şekilde elde edilen kişisel verilerin korunması, bunların işlenmesinin hukuka uygun olarak gerçekleştirilmesi ve bu kişisel verilere hukuka aykırı şekilde erişilmesinin engellenmesi Green ’nin kişisel verilere ilişkin olarak genel politikasını teşkil etmektedir. Green ’nin; İşbu Politika’nın 3. Maddesinde kategorize edilen İlgili Kişilere ilişkin Kişisel Verileri, aşağıda belirtilen amaçlar doğrultusunda işlemesi ve (durum gerektirdiğinde) üçüncü kişilere aktarması gerekmektedir.

Ana Amaçlar	Alt Amaçlar (İkincil Amaçlar)
GREEN Şirketinin Genel Yönetimi	Şirket Yönetim Faaliyetlerin Planlanması ve İcrası, Şirket İçi İletişim Faaliyetlerinin Planlanması ve İcrası, Şirketin Finansmanı ve/veya Muhasebe İşlerinin Takibi, Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası, Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi, Finansal ve İdari Planlamaların Yapılması
Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi	Personel Temin Süreçlerinin Yönetilmesi
Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi	Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası, Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası, Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi, Finans ve/veya Muhasebe İşlerinin Takibi, Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası, İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası, İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası, Etkinlik Yönetimi
Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası	Green ’nin Tarafı Olduğu Sözleşmeler ve/veya Mevzuattan Kaynaklı Yükümlülüklerini Yerine Getirmesi, Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası, Green ’nin Sunduğu Ürün ve/veya Hizmetlerin Usulune Uygun ve Düzgün Bir Şekilde Sunulması, İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi, Stratejik Planlama Faaliyetlerinin İcrası, İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası, Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası, Müşteri Talep ve/veya Şikayetlerinin Takibi, Şirketin Sunduğu Ürün ve/veya Hizmet Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası, Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası, Şirketin Sunduğu Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası, Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası, Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi, Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası, Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası, Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası, Hizmetlere ve Ürünlere Yönelik Tanıtım, Pazarlama, Promosyon ve Kampanya Faaliyetlerinin Yapılması,
GREEN İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcrası	GREEN Şirket Çalışanları İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, Çalışan Talep ve Şikayet Yönetimi, GREEN Ücret Yönetimine Ilişkin Analiz ve İyileştirme Faaliyetlerinin Planlanması, GREEN Çalışanlarına Yan Hak ve Menfaat Sağlanması Süreçlerinin Planlanması ve Destek Olunması, GREEN Çalışanlarının Ücret Yönetiminin Planlanması Faaliyetlerine Destek Olunması, GREEN Çalışanlarının Eğitim ve Kariyer Gelişimlerine İlişkin Süreçlerin Planlanması ve Destek Verilmesi, GREEN Çalışanlarının Memnuniyet ve Bağlılığının Artırılmasına Yönelik Süreçlerin Planlanması ve Yönetilmesi, GREEN Nezdinde Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası, GREEN Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası,GREEN Çalışan Memnuniyetinin ve/veya Bağlılığı Süreçlerinin Planlanması ve İcrası, İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası
GREEN Stratejik İnsan Kaynakları Planlanması, Yedekleme Süreçleri ve Organizasyonel Gelişim Faaliyetleri Konusunda Destek Olunması	GREEN Çalışanlarının Performans Değerlendirilmelerine İlişkin Süreçlerin Yönetilmesi, Green ’nin Gelişim ve Yedekleme Planlamaları Faaliyetleri, GREEN İçerisinde Personel ve Yöneticilerin Atama ve Terfi Süreçlerinin Yönetimine Destek Olunması
GREEN Denetim Faaliyetlerinin Planlanması ve İcrası	Green ’nin Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Denetim Faaliyetlerinin Planlanması ve İcrası
Green ’nin ve GREEN ’la İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temini	Hukuk İşlerinin Takibi, Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası, Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini, Şirket Operasyonlarının Güvenliğinin Temini, Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi, Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi, Verilerin Doğru ve Güncel Olmasının Sağlanması, Şirket Yerleşkesinin Güvenliğinin Temini, Şirket Denetim Faaliyetlerinin Planlanması ve İcrası, İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası

Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
Kişisel Verilerin toplanmasının, depolanmasının ve işlenmesinin 6698s. 23.04.2016 tarihli Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olabilmesi için veri toplamanın hukuka ve dürüstlük kuralına uygun olması gerekmektedir. Bu kapsamda GREEN, Kişisel Verilerin işlenmesine ilişkin olarak mevzuatta öngörülen aşağıdaki ilkeleri benimsemiştir.
- Doğruluk ve güncellik,
- Belirli, açık, meşru amaçlara istinat etme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
- İlgili kişilerin bilgi alma ve KVKK’da yer alan diğer haklarına saygı gösterme,
- İlgili kişilerin rızası olmaksızın üçüncü şahıslara aktarılmama, ve
- Gerektiğinden fazla muhafaza edilmeme,
- Gizlilik ve Veri Güvenliği,
- Hesap Verilebilirlik,
- Asgari Veri Muhafazası
GREEN adına kişisel verileri işleyen herkes (Çalışanlar, Şirket Yöneticileri, temsilciler, iş ortakları dâhil ve fakat bunlarla sınırlı olmaksızın) Kişisel Verilerin işlenmesinde her zaman işbu ilkelere uyumlu olarak davranmakla yükümlüdür.

GREEN, İlgili Kişilerin temel hak ve özgürlüklerine saygı göstermek ve KVKK ile ikincil mevzuatına uyum sağlamak amacıyla Kişisel Verilerin işlenmesi hususunda belirli prensipler dâhilinde hareket etmektedir. Bu kapsamda Kişisel Verilerin işlenmesi hususunda aşağıda sıralanan prensiplere uyum, işbu Politikanın temel taşlarını oluşturmaktadır:
1. Hukuka ve Dürüstlük Kuralına Uygun Olma
  GREEN adına veri işleyenler, veri işleme sırasında ilgili kişinin haklarına saygı göstermeli ve ilgili kişinin hakları korumalıdır. Kişisel verinin elde edilmesi ve işlenmesi hukuka, özellikle KVKK ve ikincil mevzuatına ve dürüstlük kuralına uygun şekilde gerçekleştirilmelidir. Bu kapsamda Kişisel Veriler, ancak ve ancak İlgili Kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rızası ile veya 6698s. Kanun madde 5 veya Türkiye Cumhuriyeti mevzuatının diğer hükümlerinde müsaade edildiği takdirde İlgili Kişinin rızası olmaksızın işlenebilir.
2. Belirli Amaçla Sınırlılık
  Kişisel veriler, KVKK’da yer alan istisnalar hariç, ancak ve ancak kişisel veriler elde edilirken ilgili kişinin rıza gösterdiği amaç için işlenebilir. Kişisel verilerin ilgili kişinin rıza gösterdiği amaçtan başka bir amaç için işlenmesinin gerekmesi halinde, KVKK’da yer alan istisnalar hariç, ilgili kişinin ayrıca rızası alınmalıdır.
  
  Kişisel Verilerin KVKK’da yer alan istisnalara dayanarak ilgili kişinin rızasına bakılmaksızın işlenmesi halinde ise Kişisel Veriler, rıza alınma yükümlülüğünü ortadan kaldıran hukuki sebebin meşru kıldığı ölçüde ve amaç dâhilinde işlenebilir.
  
  Kişisel Verilerin işlenmesine ilişkin olarak amaç yönünden getirilen bu sınırlama, işbu Politikanın uygulanmasının temelini oluşturur ve Çalışanların ve Green ’nin verdiği yetki ile Kişisel Veri işleyen diğer şahısların bu konuda azami dikkat ve ihtimamı göstermesi beklenmektedir.
3. Şeffaflık
  İlgili Kişi, Kişisel Verilerinin nasıl işlendiği/işleneceği konusunda bilgilendirilmelidir. Prensip olarak Kişisel Veriler, İlgili Kişinin kendisinden elde edilmeli ve bu veriler elde edilirken İlgili Kişi:
  - Veri Sorumlusunun GREEN olduğu ve temsilcisinin adı,
  - Kişisel Verilerin işlenmesinin amacı veya amaçları,
  - Kişisel Verilerin kimlere ve hangi amaçla veya amaçlarla aktarılabileceği,
  - Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
  - İlgili Kişinin KVKK 11 inci madde uyarınca sahip olduğu diğer haklar konularında bilgilendirilmelidir.
  İlgili Kişinin açık rızasına veya KVKK’daki diğer işleme şartlarına bağlı olarak ve İlgili Kişinin talep etmiş olup olmamasından bağımsız olarak Kişisel Veri işlendiği her durumda asgari olarak yukarıda beş bent halinde sayılı hususları içerecek şekilde yazılı ve/veya sözlü olarak aydınlatma yükümlülüğü yerine getirilmelidir.
  
  Kişisel Veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce değişen bu amaç için aydınlatma yükümlülüğü yerine getirilmelidir.
  
  Green ’nin farklı birimlerinde Kişisel Veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
  
  Kişisel Verilerin ilgili kişiden elde edilmemesi halinde Kişisel Verilerin elde edilmesinden itibaren en kısa süre içerisinde ilgili kişiye karşı yukarıdaki esaslara uygun şekilde aydınlatma yükümlülüğü yerine getirilmelidir.
4. Doğru ve Gerektiğinde Güncel Olma
  GREEN, elinde bulundurduğu Kişisel Verilerin doğru ve gerektiğinde güncel olmasını sağlamak için elinden geleni göstermeli ve buna ilişkin olarak İlgili Kişilerden gelebilecek geçerli ve makul bilgilendirmeleri mümkün olan en kısa süre içinde uygulamalıdır.
  
  GREEN, güncel olmadığı takdirde İlgili Kişilerin hak ve menfaatlerine zarar verebilecek Kişisel Verilerin güncel tutulması için azami gayreti göstermelidir.
5. Gerekli Olan Süre Kadar Muhafaza Etme
  Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, bu sürenin sonunda işbu Politika’da yer alan prensipler uyarınca silinmeli, anonimleştirilmeli veya imha edilmelidir.
6. Gizlilik ve Veri Güvenliği
  Kişisel veriler “gizli bilgi” olarak kabul edilmeli ve yetkisiz erişim, hukuka aykırı işleme veya dağıtım, veri kaybı, değiştirilmesi ve imha edilmesinin önlenmesi için gerekli ve uygun kurumsal ve teknik tedbirler alınmalıdır.
  
  Kişisel Verilerin muhafaza edildiği fiziksel ortamların üzerine, kırmızı renkte ve rahatça okunabilir bir büyüklükte “GİZLİDİR” ibaresi veya muadili ibareler konulmalıdır.
7. Hesap Verilebilirlik
  GREEN, Kişisel Verilerin işlenmesine ilişkin icra ettiği faaliyetlerin kaydını tutar ve bunları Kişisel Veri İşleme Envanterinde açıklar.
8. Asgari Veri Muhafazası
  GREEN, faaliyetlerini icra etmek, kanuni yükümlülüklerini yerine getirmek veya haklarını korumak için muhafazası gerekli olmayan Kişisel Verileri edinmemek, eğer edinmişse bu verileri imha etmek, silmek veya anonimleştirmek hususunda azami gayreti göstermek suretiyle elinde bulundurduğu Kişisel Veri miktarını, mümkün olduğu nispette, asgari düzeyde tutar.
  
  Kişisel veriler, hukuka uygun olarak toplandıkları amacın gerektirdiğinden daha uzun bir süre için muhafaza edilemez. Kişisel verilerin elde edilmeleri amacının ortadan kalkması halinde bu veriler, işbu Politika hükümlerine uygun olarak imha edilir. Green ’nin faaliyetlerini icra etmesi, kanuni yükümlülüklerini yerine getirmesi ve haklarını koruması için muhafazası gerekli olmayan veriler GREEN tarafından muhafaza edilmez. Bu bakımdan GREEN için gereksiz hale gelen Kişisel Veriler en kısa süre içerisinde, her halde en geç işbu Politika’da belirtilen süreler içinde ve işbu Politika’da belirtilen şekilde silinmeli, imha edilmeli veya anonimleştirilmelidir.
Kişisel Verilerin İşlenme Şartları
GREEN, Kanun’un 5. Maddesinde yer alan düzenlemeye uygun olarak, kural olarak, kişisel verileri, kişinin açık rızası olması halinde işlemektedir. Ancak Kanun’un 5. Maddesinin 2. Fıkrası uyarınca; Kanun Koyucu, açık rızanın olmadığı hallerde de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre; aşağıdaki bentlerde yazan diğer şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler GREEN tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

İşlenen verilerin özel nitelikli kişisel veri olması halinde uygulanacak şartlara Politika’nın 6.5 Bölümünde ayrıca değinilmektedir.
- Kişisel Veri Sahibinin Açık Rızasının Bulunması
  Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
  
  Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
- Kanunlarda Açıkça Öngörülmesi
  Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
- Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
  Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
  Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
- Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
  Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
  Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
- Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
  Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
  Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
  - Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
  - Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
2. Özel Nitelikli Kişisel Verilerin Korunması
  Kişisel Verileri Koruma Kanunu ile bir takım kişisel veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle işbu Politikada ayrıca belirtilmiştir.
  
  Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik; Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması yönünde gerekli önlemler alınmaktadır.
  
  Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.
  
  Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi yönünde gerekli önlemler alınmaktadır.
Kişisel Veri Sahibinin Aydınlatılması
GREEN, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda GREEN, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

VERİ GÜVENLİĞİ
1. Veri Güvenliği Kurallarına Uyum
  GREEN, Çalışanlarından veri güvenliğine ilişkin kurallarına tam uyum göstermesini beklemektedir. Veri güvenliğine ilişkin kuralların ihlali Çalışanlar hakkında disiplin soruşturması yapılması ve gerçekleştirilen ihlalin niteliği ve ağırlığına göre Çalışanların hizmet sözleşmelerinin haklı nedenle feshedilmesi ile sonuçlanabilir. GREEN Çalışanlarının, veri güvenliğine ilişkin olarak işbu Politika’da yer alan kurallara ve KVKK ile ikincil mevzuata aykırı davranmalarından dolayı Green ’nin uğrayabileceği zararlara ilişkin olarak Green ’nin tazminat talep hakkı saklıdır.
  
  Veri güvenliğine ilişkin kurallara uyum sağlanıp sağlanmadığı Şirket tarafından denetlenir ve tespit edilen her bir ihlal, güvenlik açığı olarak değerlendirilir ve bu durumda Şirket, iç politikalarına uygun şekilde, gerekli adımları atar.
2. Özel Nitelikli Olmayan Kişisel Verilerin Güvenliği
  GREEN, Kişisel Verilerin korunması için teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıdaki gibidir:
  1. Teknik Tedbirler
    - Kişisel Veriler, eğer elektronik veri olarak saklanmaları gerekmekte ise, Green ’nin merkezi veri tabanlarına ve/veya Green ’nin bilgisayarlarına kayıt edilmeli ve Veri Güvenliği Sorumlusunun izni olmaksızın hiçbir koşulda taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kayıt edilmemelidir. Kişisel Verilerin Veri Sorumlusunun yazılı izni ile taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kaydedilmiş olması halinde bu veriler Veri Güvenliği Sorumlusunun talimatı üzerine söz konusu taşınabilir harici veri depolama aygıtlarından silinmeli ve silme işleminin gerçekleştirildiği veri sorumlusuna yazılı ve imzalı olarak teyit edilmelidir.
    - Kişisel Verileri içeren elektronik ortamlara uygun kötü amaçlı yazılımlara karşı virüs koruma programları ve güvenlik duvarları kurulmalıdır.
    - Kişisel Verilerin muhafaza edildiği elektronik ortamlar en az üç ayda bir defa test edilmeli, test sonuçları loglanmalıdır.
    - Kişisel Verilerin muhafaza edildiği elektronik ortamlarda mevcut olan; ancak GREEN tarafından kullanılmayan yazılım ve servisler silinmelidir.
    - Kişisel Verilerin muhafaza edildiği elektronik ortamlara erişme yetkisi bulunan tüm kullanıcıların işlem hareketi kayıtları düzenli olarak tutulmalı ve arşivlenmelidir.
    - Kişisel Veriler bulut ortamlarında muhafaza edilecekse, bulut ortamlarında muhafaza edilecek kişisel verilerin yedeklenmeli, kriptografik yöntemlerle şifrelenmeli ve bulut ortamına şifrelendikten sonra aktarılmalıdır. Bulut bilişim hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tüm kopyaları imha edilmelidir.
    - Kişisel Verilerin muhafaza edildiği sistemin çökmesi, kötü niyetli, yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi sistem güvenliği ihlallerinde, bu hadiselere ilişkin deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
    - Sızma (Penetrasyon) testleri ile GREEN bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmalıdır.
    - Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmelidir.
    - Green ’nin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmalıdır.
    - Elektronik ortamda muhafaza edilen Kişisel Veriler her üç ayda bir defa yedeklenmelidir. Yedeklenen Kişisel Verilere erişim, yalnızca GREEN Yöneticilerine münhasır olmalı ve yedeği alınan veriler muhakkak ağ dışında muhafaza edilmelidir.
    - Elektronik ortamda muhafaza edilen Kişisel Verilerin kazara kaybolmasını engellemek için uygun bir yedekleme programı kullanılmalı ve yedeklenen Kişisel Verileri içeren dosyalar kriptografi yöntemi ile şifrelenmelidir.
    - Kişisel Verileri ihtiva eden elektronik cihazların tamirinin veya bakımının gerekmesi halinde, bu cihazlar tamir için gönderilmeden önce veri depolama ortamları sökülür ve Green ’nin yerleşkesinde emniyete alınır.
    - Kişisel Verilere erişim yetkisi yalnızca GREEN Yöneticilerine ait olmalıdır. Kişisel Verilere erişim yetkisi olan kimselerin kimliği halin icabına göre uygun kimlik doğrulama yöntemleri kullanılarak doğrulanmalıdır. Kimlik doğrulama yönteminin elektronik şifreler olması halinde, bu elektronik şifreler güçlü şifreler olmalıdır. Kullanıcılarının seçecekleri şifreler en az 6 karakterden oluşmalı, en az bir büyük harf, bir küçük harf bir de özel karakter (örneğin; &%@) içermelidir ve kullanıcılar şifrelerini kimse ile paylaşmamalıdır. Bu sistemlerin kaba kuvvet algoritması (BFA) veya benzeri siber saldırılardan korunması için şifre deneme sayısı sınırlı olmalı, belirli sayıda başarısız denemeden sonra söz konusu kullanıcının şifresi dondurulmalıdır.
    - Elektronik (e-mail ve diğer elektronik haberleşme yöntemleri dahil) veri transferleri şifreli olarak gerçekleştirilmelidir.
    - Kişisel Verilerin depolandığı elektronik depolama aygıtlarının güvenliğini sağlamak için söz konusu sistemlerin bakımları ve güvenlik güncelleştirmeleri düzenli olarak yapılmalı, yaptırılmalıdır.
    - Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, burisklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmalıdır.
    - Kişisel Verilerin depolandığı elektronik sistemlerin güvenliği, GREEN tarafından belirlenen periyotlarda test edilir ve Şirket tarafından gerekli görülmesi halinde, bu sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığı, GREEN Yöneticilerine raporlanır. Bu testlerin sonuçları Şirket tarafından kayıt altına alınır. Kişisel Verilerin depolandığı elektronik sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığının test edilmesinde iş birliği yapılacak üçüncü şahısların işbu Politika ve KVKK ile ikincil mevzuatına uymayı taahhüt etmesi şarttır.
    - Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmalıdır.
    - Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmalıdır.
    - GREEN, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almalıdır.
    - GREEN, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturmalıdır.
    - Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  2. İdari Tedbirler
    - Kişisel Verilere erişim, yalnızca Kişisel Verilere erişme yetkisi, GREEN Yöneticilerine münhasır olmalıdır.
    - Çalışanlara, işbu Politika ve KVKK uyarınca söz konusu olan yükümlülüklerine ilişkin olarak düzenli eğitimler verilmeli ve GREEN ile aralarındaki iş ilişkisi sona erdikten sonra dahi GREEN nezdindeki görevlerini ifa ederken öğrendikleri Kişisel Verileri üçüncü şahıslara açıklamama yükümlülüğü altında oldukları hatırlatılmalıdır.
    - Çalışanlara, Kişisel Verileri hukuka aykırı olarak açıklamalarını önlemek, özellikle kötü amaçlı yazılımlar vasıtasıyla veya dikkatsizlik ve tedbirsizlik ile Kişisel Verilerin hukuka aykırı olarak üçüncü şahısların eline geçmesini önlemek için farkındalık yaratıcı eğitimler verilmelidir.
    - Tüm Çalışanların, Kişisel Verilerin güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve Çalışanlara bu sorumlulukları yerine getirmeleri gerektiği hatırlatılmalıdır.
    - Kişisel Veriler, yalnızca gerekli olduğu hallerde kopyalanmalı ve gereklilik ortadan kalktığı takdirde kopyalar Kişisel Verileri Saklama ve İmha Politikasına uygun şekilde imha edilmelidir.
    - Kişisel Verilerin saklandığı fiziksel ortamlarda uygun güvenlik önlemleri alınmak suretiyle yetkisiz erişimlerin önüne geçilmelidir.
    - Üçüncü şahıslarla yapılan sözleşmelerde GREEN tarafından aktarılan Kişisel Verilerin gizli tutulması ve bu üçüncü kişilerin söz konusu Kişisel Verilere ilişkin olarak Green ’nin talimatlarına uygun hareket etmesine, Kişisel Verilerin muhafaza edilmesi için gerekli önlemleri almasına yönelik hükümler derç edilmelidir.
    - Kişisel Verilerin basılı kopyalarının üzerine kırmızı renkte ve rahatça görülebilir büyüklükte “Gizlidir” damgası vurulmalı ve bu evraklar Kişisel Verilerin depolanmasına tahsis edilmiş bir dolapta veya kasada kilitli olarak tutulmalı ve bu dolabın veya kasanın anahtarı ve şifre kombinasyonu yalnızca Veri Sorumlusunda bulunmalıdır.
    - Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevlerideğiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan elinde bulunan tüm Kişisel Verileri Green ’e iade eder.
    - Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleriimzalatılmalıdır.
    - Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmalıdır.
    - Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatmayükümlülüğü yerine getirilmektedir.
    - Kişisel veri işleme envanteri hazırlanmıştır.
    - Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
    - Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
  3. İnsan Faktörü
    Kişisel Verilerin güvenliğine ilişkin olarak insan faktöründen kaynaklanan riskleri azaltmak için Şirket, yürürlükteki mevzuata uygun şekilde, tüm Çalışan Adayları ve Çalışanları için geçmiş sorgulaması yapabilir. Çalışan Adaylarına ve Çalışanlara ilişkin olarak bu şekilde elde edilen bilgiler de işbu politikanın uygulanması bakımından Kişisel Veri sayılır.
    
    Çalışan ile Şirket arasındaki hizmet akdinin herhangi bir sebeple sona ermesi halinde Çalışan, elinde bulunan tüm Kişisel Verileri Şirkete iade etmekle ve bu Kişisel Verileri iade ettikten sonra elinde başka herhangi bir Kişisel Veri kalmadığını yazılı olarak taahhüt etmekle yükümlüdür. GREEN, Çalışanlarına, veri güvenliği ve kişisel verilerin korunmasına ilişkin olarak Şirket tarafından belirlenecek periyotlarda düzenli olarak eğitimler verir.
  4. Veri Güvenliği Sorumlusu
    GREEN, işbu Politikanın uygulanmasını gözetmesi için bir Veri Güvenliği Sorumlusu belirler. Veri Güvenliği Sorumlusu, Şirketin KVKK’nın ve ikincil mevzuatının uygulanmasından dolayı taşıdığı hukuki ve cezai sorumluluğu üstlenmeksizin işbu politikada kendisine verilen görevleri ifa eder ve genel olarak Şirketin KVKK ve ikincil mevzuat hükümlerine uygun şekilde faaliyet göstermesi için görüş ve önerilerini paylaşır.
3. Özel Nitelikli Kişisel Verilerin Güvenliği
  1. Teknik Tedbirler
    - Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.1 başlığında belirtilen tedbirler, 4.1.1 başlığında belirtilen teknik tedbirlere ek ve ilavedir.
    - Özel Nitelikli Kişisel Veriler, Özel Nitelikli Olmayan Kişisel Verilerden farklı ortamlarda muhafaza edilir.
    - Özel Nitelikli Kişisel Verilerin muhafaza edildiği ve/veya erişildiği elektronik ortamlarda Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir. Kullanılacak kriptografik yöntemin türünü ve niteliğini Veri Güvenliği Sorumlusu belirler.
    - Kriptografik anahtarlar farklı ve güvenli ortamlarda muhafaza edilir.
    - Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır.
    - Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır.
    - Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişilecekse bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır ve test sonuçları kayıt altına alınır.
    - Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
    - Özel Nitelikli Kişisel Veriler elektronik posta aracılığı ile aktarılacaksa şifreli olarak Green ’nin kurumsal elektronik posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
    - Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarlar farklı ortamlarda tutulur.
    - Özel Nitelikli Kişisel Veriler farklı fiziksel ortamlardaki sunucular arasında aktarılacak ise, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.
    - Özel Nitelikli Kişisel Veri’nin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
    - Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
    - Özel Nitelikli Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  2. İdari Tedbirler
    - Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.2 başlığında belirtilen tedbirler 4.1.2 başlığında belirtilen tedbirlere ek ve ilavedir.
    - GREEN Çalışanlarına, Özel Nitelikli Kişisel Verilerin hassasiyetine ve korunmasına ilişkin farkındalık yaratıcı eğitimler, GREEN Yöneticileri tarafından belirlenecek periyotlarda düzenli olarak verilir.
    - Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanlar ile bu verilerin korunmasına ilişkin gizlilik sözleşmeleri imzalanır.
    - Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, Özel Nitelikli Kişisel Verilere yetkisiz erişime ve bu verilerin kaybı riskine karşı yeterli önlemler alınır, özellikle, bu Özel Nitelikli Kişisel Verilerin muhafaza edildiği ortamlara yetkisiz giriş çıkış engellenir.
    - Özel Nitelikli Kişisel Verilerin kâğıt ortamı yolu ile aktarılması gerekirse, evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı evrak, üzerinde kırmızı renkte ve görülebilir bir büyüklükte “GİZLİDİR” damgası taşıyan, evrakı teslim almaya kimin yetkili olduğunu belirten ve aşağıdaki uyarı metnini içeren bir kapak sayfası ile aktarılır:
      “İşbu evrakta yalnızca muhatabını ilgilendiren, gizlilik yükümlüğü altında ve/veya kişiye veya kuruma özel GİZLİ BİLGİLER yer almaktadır. İşbu evrakı teslim almaya yetkili değilseniz, içeriğini ve varsa ekindeki dosyaları kimseye aktarmayınız veya kopyalamayınız. Böyle bir durumda lütfen evrakı derhal içeriği okunamayacak şekilde imha ediniz. Bu evrakın yetkisiz olarak çoğaltılması, gösterilmesi, teşhir edilmesi ve dağıtımı yasaktır ve bu yasak ihlal edildiği takdirde tarafınıza karşı yasal yollara başvurulacaktır.”
    - Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan, elinde bulunan tüm Özel Nitelikli Kişisel Verileri Green ’e iade eder.
4. Veri Güvenliği İhlalleri
  Çalışanlar, işbu Politikanın uygulanmasında herhangi bir ihlalin meydana gelmesi halinde durumu derhal Veri Güvenliği Sorumlusuna bildirmekle yükümlüdür. Veri güvenliği ihlali nedeniyle işlenen Kişisel Veriler kanuni olmayan yollarla başkaları tarafından elde edilmişse Şirket bu durumu en kısa süre içinde Kişisel Verileri kanuni olmayan yollarla başkaları tarafından elde edilen ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir.

KİŞİSEL VERİLERİN AKTARILMASI

Prensipler
Green ’nin İlgili Kişiler’e gerektiği gibi hizmet edebilmesi amaçlarına uygun olarak veri işleme kapsamında, İlgili Kişi’yle ve/veya İlgili Kişi’nin işaret ettiği üçüncü taraflarla ilgili verilerin aktarımı/paylaşımı gereklidir.

Kişisel veriler;
- GREEN tarafından sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması,
- GREEN ve GREEN ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini, [GREEN tarafından yürütülen iletişime yönelik idari operasyonlar, kuruma ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri, hukuki uyum süreci, denetim, muhasebe ve mali işler vb.],
- Green ’nin ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile Şirketin insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarına, tedarikçilere, GREEN yetkililerine, hissedarlara, kanunen yetkili kamu kurumları ve özel kişilere, KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
- GREEN hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir.
GREEN bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. GREEN bu Politika maddesinde belirtilen aktarma işlemi için istisnaları, Kanun’un 8. Maddesi 2. Fıkrasında belirtildiği üzere uygulamaktadır. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel Veriler, ilgili kişinin aydınlatılmış, belirli bir amaca özgü ve açık rızası olmaksızın üçüncü kişilere aktarılamaz. İlgili Kişinin rızası, İlgili Kişinin imzasını taşıyacak şekilde yazılı olarak alınır. Bu yazılı metinde 6.3.3 [Şeffaflık] numaralı başlığa uygun şekilde aydınlatma yükümlülüğü yerine getirilmelidir.

Kanun Kişisel Verilerin Aktarılması husususunda yurtiçi ve yurtdışında aktarımı ve Özel Nitelikli Kişisel Verilerin ve Özel Nitelikli Olmayan Kişisel Verilerin aktarımını farklı düzenlemelere tabi tutmaktadır.
Kişisel Verilerin Yurtiçinde Aktarılması
1. Özel Nitelikli Olmayan Kişisel Verilerin Yurtiçinde Aktarılması:
  Özel Nitelikli Olmayan Kişisel Verilerin ilgili kişinin rızası olmaksızın GREEN dışındaki üçüncü kişilere aktarılabileceği haller aşağıdaki gibidir:
  1. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, veya
  2. İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa, veya
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, veya
  4. Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, veya
  5. Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise, veya
  6. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, veya
  7. Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin’inmeşru menfaatleri için kişisel veri aktarımı zorunlu ise.
  Dolayısıyla, özel nitelikli olmayan Kişisel Veriler, yukarıda altı bent halinde sayılan koşullardan birinin veya birkaçının mevcudiyeti halinde ilgili kişinin rızasına bakılmaksızın aktarılabilir.
2. Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarımı
  Kanun’un 8. Maddesi uyarınca Özel Nitelikli Kişisel Veriler GREEN dışındaki üçüncü kişilere;
  - Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi, ve
  - Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi
  amaçlarına tabi olarak, her halükarda yeterli önlemlerin alınması sonrasında İlgili Kişi’nin rızasına bakılmaksızın üçüncü kişilere aktarılabilmektedir.
3. Kişisel Verilerin Yurtdışına Aktarımı
  GREEN , hukuka uygun amaçları doğrultusunda aşağıda sıralanan gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini üçüncü kişilere aktarabilmektedir:
  - Veri sahibinin açık rızasının bulunması halinde, veya
  - Veri sahibinin açık rızası bulunmadığı ancak Kanun’un 5.2. veya 6.3. maddelerindeki hallerden birinin varlığında aşağıda belirtilen şartların karşılandığı hallerde;
  Kişisel Verilerin aktarılacağı üçüncü kişilerin Kişisel Verileri gizli tutmasını ve KVKK ve ikincil mevzuatına uygun hareket etmesini sağlamak amacıyla bu kimselerle gizlilik sözleşmesi yapılmalı veya bu kimseler ile yapılan sözleşmelere veri güvenliğinin sağlanması hüküm ve etkisine sahip gizlilik maddeleri derç edilmelidir. Ayrıca, Kişisel Verilerin aktarılacağı üçüncü kişi Kişisel Verileri Koruma Kurulunun belirlediği yeterli korumayı sağlayan ülkelerden birinde değil ise Kişisel Verilerin aktarılmasından önce Kişisel Verileri Koruma Kurulu’nun izni alınmalıdır.
Aktarım Prosedürü
Çalışanlar veya GREEN adına hareket ederek Kişisel Veri aktarımı gerçekleştiren diğer kişiler, herhangi bir sebeple Kişisel Veri aktarılmasının gerekmesi halinde, Kişisel Verileri aktarmadan önce işbu Politikanın eki niteliğinde olan Kişisel Veri Aktarımı İzin Talep Formunu doldurduktan ve imzaladıktan sonra Veri Güvenliği Sorumlusuna teslim etmek suretiyle Veri Güvenliği Sorumlusunun iznini talep eder. Veri Güvenliği Sorumlusunun önceden izni alınmaksızın Kişisel Veri Aktarımı yapılamaz.

Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

GREEN, Kanun’un 8. ve 9. maddelerine uygun olarak işlenen kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

GREEN iş ve çözüm ortaklarına,
GREEN tedarikçilerine,
GREEN Hissedarlarına, Yetkililerine, Çalışanlarına,
Hukuken Yetkili kamu kurum ve kuruluşlarına,
Hukuken yetkili özel hukuk kişilerine,
Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere.

Yukarıda aktarımda bulunduğu belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmekte olup; GREEN tarafından gerçekleştirilen aktarımlarda Politika’ nın 7. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.

Veri Aktarımı Yapılabilecek Kişiler	Tanımı	Veri Aktarım Amacı
GREEN İş ve Çözüm Ortakları	Green ’nin ticari faaliyetlerini yürütürken GREEN ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, muhasebe, finans ve hukuk konularında destek alınması amacıyla iş ortaklığı kurduğu ve Green ’nin alt işveren olduğu alt işverenlik sözleşmelerinde üst işvereni ve şubeleri sıfatında bulunan tarafları tanımlamaktadır.	İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
GREEN Hissedarları, Yetkilileri, Çalışanları	İlgili mevzuat hükümlerine göre Green ’nin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlarımız, çalışanlarımız.	İlgili mevzuat hükümlerine göre Green ’nin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak
GREEN Tedarikçileri	Green ’nin ticari faaliyetlerini yürütürken Green ’nin emir ve talimatlarına uygun olarak sözleşme temelli olarak Green ’e hizmet sunan tarafları tanımlamaktadır.	Green ’nin tedarikçiden dış kaynaklı olarak temin ettiği ve Green ’nin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Green ’e sunulmasını sağlamak amacıyla sınırlı olarak.
Hukuken Yetkili Kamu Kurum ve Kuruluşları	İlgili mevzuat hükümlerine göre Green den bilgi ve belge almaya yetkili kamu kurum ve kuruluşları	İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Hukuken Yetkili Özel Hukuk Kişileri	İlgili mevzuat hükümlerine göre Green den bilgi ve belge almaya yetkili özel hukuk kişileri	İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

KURUM İÇİ DENETİMLER VE EĞİTİMLER
Veri Güvenliği Sorumlusu, en az üç ayda bir defa olmak ve Green ’nin kişisel verilerin korunmasına ilişkin politikalarına ve mevzuata uygun hareket ettiğini teyit etmek üzere kurum içi denetimler yapar, denetim neticesinde saptadığı aksaklıkları bir rapor haline getirir ve görüş ve önerilerini Şirket Yöneticileri ile paylaşır.

Çalışanların Kanun ve ikincil mevzuatının uygulanmasına ilişkin bilgilendirilmesi adına GREEN, en az üç ayda bir defa, gerek Kişisel Verilerin işlenmesine ilişkin esaslar gerekse de elektronik verilerin güvenliğinin sağlanmasına ilişkin hususlara ilişkin olarak eğitim verilmesini sağlar. Veri Güvenliği Sorumlusu bu eğitimlerin verilmesini organize eder.

KİŞİSEL VERİLERİN SİLİNMESİ, İMHASI VE ANONİMLEŞTİRİLMESİ

Green ’nin Kişisel Verileri Silme, İmha Etme veya Anonimleştirme Yükümlülüğü
Kişisel verilerin silinmesi, imhası ve anonimleştirilmesine ilişkin usul ve esaslar Kişisel Veri Saklama ve İmha Politikası’nda belirlenir. 6698s. Kanun’un 7 inci maddesi uyarınca GREEN, Kanun hükümlerine uygun şekilde işlenmiş olsa dahi, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya İlgili Kişinin talebi üzerine işlenmesini gerektiren sebeplerin ortadan kalktığı Kişisel Veriler silinir, yok edilir veya anonim hale getirilir.

GREEN, Hata: Başvuru kaynağı bulunamadı başlığı altında açıklanan Kişisel Verilerin silinmesi, imha edilmesi veya anonimleştirilmesi yöntemlerinden söz konusu Kişisel Verilerin niteliğini de dikkate alarak belirler ve uygular; şu kadar ki İlgili Kişinin Hata: Başvuru kaynağı bulunamadı numaralı başlıkta belirtildiği şekilde, Kişisel Verilerinin silinmesine, imha edilmesine veya anonimleştirilmesine ilişkin talebinde uygulanacak yöntemi belirtmesi halinde İlgili Kişinin bu belirlemesine uygun hareket edilir.

Muhafaza Süreleri

İlgili Kişi	Veri Kategorisi	Muhafaza Süresi
Çalışanlar	Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri	Hizmet akdi devam ettiği sürece ve hizmet akdinin sona ermesinden itibaren 10 yıl.
Çalışan Adayları	Özgeçmişler	İş başvurusunun olumsuz sonuçlanması durumunda 6 ay, olumlu sonuçlanması durumunda işten ayrılmasından itibaren 10 yıl.
Stajyerler	İsim, Soyisim, adres, e-posta adresi, telefon	10 yıl
Şirket Ortakları	Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri.	Ortaklık sıfatı devam ettiği sürece ve ortaklık sıfatının sona ermesinden itibaren 10 yıl.
Gerçek Kişi Tedarikçiler	Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.	10 yıl
Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları	Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.	10 yıl
Gerçek Kişi Müşteriler	Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi müşterilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri.	10 yıl
Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları	Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.	10 yıl
İşbirliği İçerisinde Olduğumuz Gerçek Kişiler	Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.	10 yıl
İşbirliği İçerisinde Olduğumuz Kurumsal Çalışanları, Hissedarları ve Yetkilileri	Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri	10 yıl
Çalışanlar, çalışan adayları, Ziyaretçiler, hissedarlar	Kamera Kayıtları	Kaydın alınmasından itibaren 6 ay
Çalışanlar, Stajyerler, Ziyaretçiler	IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri	Kaydın alınmasından itibaren 3 yıl

Kişisel Verilerin Silinmesi, İmha Edilmesi veya Anonimleştirilmesi Yöntemleri
1. Kişisel Verilerin Silinmesi
  GREEN, Kişisel Verileri belirli fiziksel ve elektronik ortamlarda muhafaza etmektedir. Bu istikamette, Kişisel Verilerin silinmesi hususunda, söz konusu Kişisel Verilerin muhafaza edildiği ortama uygun bir yöntem uygulanması icap etmektedir. Green ’nin, Kişisel Verilerin silinmesine ilişkin olarak, söz konusu Kişisel Verilerin muhafaza edildiği ortamlara göre takip edeceği usul aşağıdaki gibidir.
  1. Bulut Sistemlerinde Mevcut Veriler
    Bulut sistemlerinde muhafaza edilen Kişisel Veriler, bulut sistemi ara yüzü üzerinden silme komutu verilmek suretiyle silinmelidir. Bazı bulut sistemlerinin silinen dosyaların kurtarılması imkanı sağladığı göz önünde bulundurularak silinen verinin geri getirilmesi olanağının bulunmamasına özen gösterilmelidir.
  2. Fiziksel Ortamda Bulunan Kişisel Veriler
    Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
  3. Elektronik Ortamda Bulunan Kişisel Veriler
    Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
  4. Merkezi Sunucuda Yer Alan Dosyalar
    GREEN merkezi sunucusunda yer alan Kişisel Verilerin, merkezi sunucunun ara yüzünde yer alan silme komutu ile silindiğinden ve silinen Kişisel Verinin önem ve hassasiyetine göre makul bir çaba ile geri getirilemeyeceğinden emin olunmalıdır.
  5. Taşınabilir Veri Depolama Cihazları
    Taşınabilir veri depolama cihazlarında muhafaza edilen Kişisel Veriler, taşınabilir veri depolama cihazının takıldığı bilgisayarın ara yüzünde yer alan silme komutu ile silinmeli ve silinen Kişisel Verilerin önem ve hassasiyetine göre makul bir çaba ile geri getirilemeyeceğinden emin olunmalıdır.
2. Kişisel Verilerin İmhası/Yok Edilmesi
  GREEN, Kişisel Verileri çeşitli fiziksel ve elektronik ortamlarda muhafaza etmektedir. Bu istikamette, Kişisel Verilerin imha edilmesi hususunda, söz konusu Kişisel Verilerin muhafaza edildiği ortama uygun bir yöntem uygulanması icap etmektedir. Green ’nin, Kişisel Verilerin imhasına ilişkin olarak, söz konusu Kişisel Verilerin muhafaza edildiği ortamlara göre takip edebileceği usul aşağıdaki gibidir.
  1. Optik ve Manyetik Medyada Yer Alan Kişisel Veriler
    Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’den oluşan rastgele veriler [●] yazılımı kullanılarak yazılır ve eski verinin kurtarılmasının önüne geçilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
  2. Fiziksel Olarak İmha Etme
    Kişisel Verileri içeren elektronik ortamlar, fiziksel olarak tahrip edilmek suretiyle çalışmaz hale getirilir. Fiziksel ortamda (kağıt, kartvizit vs.) bulunan kişisel veriler, İlgili Kişiyi ayırt etmeye yarayacak verilerin karartılması veya DIN 32757 standardına uygun bir kağıt parçalama makinesi ile Kişisel Verilerin bulunduğu kağıdın parçalanması yöntemi ile silinir.
3. Anonim Hale Getirme
  Anonim hale getirme, bir veri setindeki İlgili Kişileri tanımlamaya yarayabilecek tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek İlgili Kişinin kimliğinin saptanabilmesinin engellenmesidir.
  1. Maskeleme
    Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı, maskeleme ile temel belirleyici bilgilerin veri setinden çıkarılması suretiyle ortadan kaldırılır.
  2. Toplulaştırma
    İlgili Kişilerin Kişisel Verileri, toplulaştırılmak suretiyle İlgili Kişiler ile Kişisel Veriler arasındaki bağlantı ortadan kaldırılır. Bu işlem neticesinde ortaya istatistiki veriler çıkar.
  3. Veri Türetme
    Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı Kişisel Verilerin içeriğinden daha genel bir içerik yaratılmak suretiyle ortadan kaldırılır. Bu şekilde oluşturulan yeni veri setinde İlgili Kişilerin kimliğini belirlemeye yarayan tanımlayıcı unsurlar yer almaz.
  4. Veri Karma
    Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

İLGİLİ KİŞİLERİN HAKLARI VE HAKLARIN KULLANILMASI
1. İlgili Kişilerin Sahip Olduğu Haklar
  İlgili Kişiler Kanun madde 11 uyarınca kişisel verilerine ilişkin olarak aşağıdaki haklara sahiptir:
  
  İlgili Kişilerin bu prosedüre başvurarak kullanabileceği haklar aşağıdaki gibidir:
  - Kişisel Verilerinin işlenip işlenmediğini öğrenme,
  - Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
  - Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  - Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  - Kişisel Verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  - Kişisel Verilerin elde edilmesi amacının ortadan kalkmış olması halinde bunların silinmesini veya yok edilmesini isteme,
  - (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  - İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonuç ortaya çıkmasına itiraz etme
  - Kişisel Verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararının tazminini talep etme
2. İlgili Kişilerin Haklarının Kullanılması Usulü
  İlgili Kişiler, Kanun madde 11 hükmünde yer alan haklarına ilişkin yöneltecekleri “yazılı”, GREEN Veri Sahibi Başvuru Formu’nu (EK-2) doldurarak veya kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Green ’e daha önceden bildirilmiş olan ve Green ’nin sistemine kayıtlı bulunan elektronik posta adresini kullanmak suretiyle gerçekleştirebilirler.
  
  Bu şekilde yapılacak taleplerde;
  - Ad, soyad ve başvuru yazılı ise imza,
  - Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  - Tebligata esas yerleşim yeri veya iş adresi,
  - Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, ve
  - Talep konusu hususlar bulunmalıdır.
  Kişisel veri sahipleri, yukarıda bahsedilen linkte bulunan formu doldurduktan sonra ıslak imzalı bir nüshasını noter aracılığı ile Kimyacılar O.S.B. Melek Aras Bulvarı No:63, 34953 Tuzla, İSTANBUL / TÜRKİYE adresine veya elektronik imzalı olarak info@beautyff.com adresine iletebilir.
3. Şirketimizin Başvurulara Cevap Vermesi
  Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
  
  Kişisel veri sahibinin, bölüm 11.1.’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
  
  GREEN, Kanun’un 28. Maddesinde bahsedilen haller ve aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
  1. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
  2. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  3. Talep edilen bilginin kamuya açık bir bilgi olması.
DEĞİŞİKLİKLER
GREEN işbu Kişisel Verilerin Korunması ve Gizlilik Politikasını değiştirme hakkını saklı tutar.
YÜRÜRLÜK TARİHİ
İşbu politika 01.06.2020 tarihinden itibaren uygulanmaya başlar.

EK - 1 Kişisel Veri Aktarımı İzin Talep Formu

Kişisel Verilerin Kime Ait Olduğu:
Aktarılacak Kişisel Veriler:
Aktarılma Sebebi:
Kişisel Verilerin Kime Aktarılacağı:
Kişisel Verilerin Hangi Yolla Aktarılacağı:
Sair Açıklamalar:
Ad:
Soyad:
Tarih:
İmza:

EK-2 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA SAHİPLERİNİN HAKLARINI KULLANMALARI İÇİN BAŞVURU FORMU

6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesindeki talebinizin yerine getirilebilmesi için aşağıdaki başvuru formunu eksiksiz doldurarak,

posta yolu ile başvuru formunu iletecekseniz; ıslak imzalı halini noter tasdikli TC Kimlik fotokopisi ile birlikte Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi’nin adresine posta yolu ile veya,
kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi’ne daha önce bildirilen ve Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi’nin sisteminde kayıtlı bulunan elektronik posta adresinden birini kullanmak suretiyle başvuru formunu iletecekseniz, kvkk@green-chemicals.com adresine gönderebilirsiniz.

KİŞİSEL VERİ SAHİBİNİN (VE VARSA TEMSİLCİSİNİN) KİMLİK VE İLETİŞİM BİLGİLER

Adı Soyadı:(*)
(Varsa) Temsilci Adı Soyadı:(*)
T.C. Kimlik No:
(Varsa) Temsilci T.C. Kimlik No:
Telefon Numarası: (*)
Adres: (**)
E-posta Adresi (***):
Diğer E-posta (****)

(*): Bu tabloda doldurulması gereken zorunlu alanlardır.

(**): Posta yolu ile başvurularda zorunlu alandır.

(***): Normal e-posta ile başvuruda bulunmak için Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi’ne daha önce bildirilen ve Green Chemicals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi’nin sisteminde kayıtlı bulunan elektronik posta adresi kullanılmalıdır.

(****) Kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza ve mobil imzayı refere eder.

VERİ SORUMLUSUNA DAİR BİLGİ

Yukarıda tarafımıza sunmuş olduğunuz kişisel verileriniz, münhasıran işbu Başvuru Formu’nun değerlendirilebilmesi, sonuçlandırılabilmesi ve sizinle iletişime geçilebilmesi amacıyla işlenmektedir.

Başvuruda Bulunmak İstediğim Şirket
Şirketinizle Olan İlişkim	☐ İş ortağı ☐ Tedarikçi ☐ Çalışan İlgili Birim: ☐ Eski Çalışan Çalıştığım Yıllar: ☐ Çalışan Adayı Tarih: ☐ Üçüncü Kişi Firma Çalışanı Firma ve pozisyon: ☐ Diğer

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDAKİ TALEBİM

Kişisel veri sahibinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatına, Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi Aydınlatma Metinlerine ve işbu başvuru formuna uygun olarak, talebini Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi’ne iletmesi durumunda; Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi, talebin niteliğine göre en geç otuz gün içinde ilgili talebi sonuçlandıracaktır. Green Chemıcals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi ve belge talep edebilir.

VERİ SAHİBİNİN TALEBİNİN SONUÇLANDIRILMASI

Niteliğine göre talebiniz, KVKK uyarınca bizlere ulaştığı tarihi takip eden en kısa sürede ve en geç otuz (30) gün içinde cevaplandırılacaktır. Cevaplarımız ve değerlendirmelerimiz, işbu Başvuru Formu’nda belirtilmiş olan seçiminize göre KVKK’nın 13. maddesi uyarınca yazılı veya elektronik ortam vasıtasıyla tarafınıza iletilecektir.

Başvuru sonucunun posta veya elektronik posta yöntemlerinden biriyle iletilmesine ilişkin öncelikli bir tercihiniz varsa, lütfen aşağıda belirtiniz:
(lütfen sadece bir yöntem belirleyiniz)

☐ Adresime gönderilmesini istiyorum.

☐ E-posta adresime gönderilmesini istiyorum.

☐ Elden teslim almak istiyorum. (Vekâleten teslim alınması durumunda noter tasdikli vekâletname veya yetki belgesi olması gerekmektedir.)

Talepleriniz Green Chemicals Kimyasal Maddeler Sanayi Ticaret Anonim Şirketi tarafından ücretsiz sonuçlandırılacak olup, cevaplama sürecinin ayrıca bir maliyet doğurması halinde, ilgili mevzuat çerçevesinde belirlenen tutarlarda ücret talep edilebilecektir.

VERİ SAHİBİ (İLGİLİ KİŞİ) / TEMSİLCİSİ OLARAK BEYANIM

Bu başvuruyu; “Veri Sahibi” veya “Veri Sahibi’nin kanuni temsilcisi” sıfatıyla kanunen yapmaya yetkili olduğumu, başvuruda yer alan bilgi ve belgelerin güncel ve doğru olduğunu, hukuka aykırı, yanlış ve yanıltıcı hiçbir bilgi sağlamadığımı kabul ve beyan ederim.

Yetkisiz bir başvuru yapmam halinde başvurum üzerine kanuna aykırı veya haksız bir şekilde kişisel verilere dair bilgilerin paylaşılmasına neden olabileceğimi ve bundan dolayı Şirketinizin ve ilgili kişilerin doğabilecek zararlarından, başvuruyu yapan olarak sorumlu olacağımı kabul ederim.

Kişisel Veri Sahibi (İlgili Kişi) / Veri Sahibi (İlgili Kişi) Adına Başvuruda Bulunan Kişi
Adı Soyadı :
Başvuru Tarihi:
İmza :

VERİ SAHİBİ (İLGİLİ KİŞİ) ADINA BAŞVURUDA BULUNAN KİŞİLER:

Veri sahibi adına 3. kişiler tarafından yapılacak olan başvurularda, işbu Başvuru Formu ile birlikte noterce onaylanmış özel vekâletnamenin, velayet/vesayet altında bulunan çocuklar adına yapılacak başvurularda ise işbu Başvuru Formu ile birlikte velayet/vesayet ilişkisini tevsik edici belgelerin bir suretinin tarafımıza gönderilmesi gerekmektedir.

VERİ SAHİBİ BAŞVURU FORMU VE BAŞVURU HAKKI İLE İLGİLİ ÖNEMLİ AÇIKLAMALAR:

Veri Sahibi (İLGİLİ KİŞİ)nin Başvuru Hakkı

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) 11. Maddesinde kişisel veri sahiplerinin aşağıda yer alan konularda talepte bulunabileceği düzenlenmiştir.
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde, bunların düzeltilmesini isteme
- Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme
- Düzeltme, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirimesini isteme
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun çıkmasına itiraz etme
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
Başvuru Hakkının İstisnaları

KVK Kanunu’nun 28. maddesi gereğince kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır.
- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi Kişisel Verilerin Korunması Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır.
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması
- Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma ve kovuşturması için gerekli olması
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.