GREEN CHEMICALS KİMYASAL MADDELER SANAYİ TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
- GİRİŞ
-
Amaç
İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika GREEN CHEMICALS KİMYASAL MADDELER SANAYİ TİCARET ANONİM ŞİRKETİ (“GREEN”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
GREEN; misyon, vizyon ve temel ilkeler doğrultusunda; GREEN çalışanları, çalışan adayları, stajyerleri, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, GREEN tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
-
Kapsam
GREEN çalışanları, çalışan adayları, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup GREEN’nin sahip olduğu ya da GREEN tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
-
Tanımlar ve Kısaltmalar
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. Çalışan: GREEN personeli Stajyer: GREEN’ta eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder. Çalışan Adayı: GREEN’nin hali hazırda istihdam ettiği kişilerden olmayan ve GREEN’ye özgeçmiş ve/veya iş başvurularında gönderilmesi mutad olan diğer evrakları, GREEN ile iş akdi yapmak maksadıyla herhangi bir şekilde, doğrudan veya aracılar vasıtasıyla gönderen tüm gerçek kişileri ifade eder. Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. İlgili Kişi: Kişisel verisi işlenen gerçek kişi. İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. Kurul: Kişisel Verileri Koruma Kurulu Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. GREEN: İzmit Ticaret Odası nezdinde tescilli olan GREEN CHEMICALS KİMYASAL MADDELER SANAYİ TİCARET ANONİM ŞİRKETİ ifade eder. Politika: Kişisel Verileri Saklama ve İmha Politikası Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. Veri Güvenliği Sorumlusu: Şirket tarafından Veri Güvenli Sorumlusu sıfatıyla işbu Politikada yer alan fonksiyonları yerine getirmek üzere seçilen gerçek kişiyi ifade eder. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
-
- Kayıt Ortamları
Kişisel veriler, GREEN tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar Elektronik Olmayan Ortamlar • Sunucular
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
• Yazılımlar (ofis yazılımları)• Kağıt
• Manuel veri kayıt sistemleri
• Yazılı, basılı, görsel ortamlar - Saklama ve İmhaya İlişkin Açıklamalar
GREEN tarafından; çalışanlar, çalışan adayları, gerçek kişi tedarikçilere ilişkin olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
- Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
- Saklamayı Gerektiren Hukuki Sebepler
GREEN’nin şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6102 sayılı Türk Ticaret Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4857 sayılı İş Kanunu,
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
- Saklamayı Gerektiren İşleme Amaçları
Ana Amaçlar Alt Amaçlar (İkincil Amaçlar) GREEN Şirketinin Genel Yönetimi Şirket Yönetim Faaliyetlerin Planlanması ve İcrası Şirket içi İletişim Faaliyetlerinin Planlanması ve İcrası Şirketin Finansmanı ve/veya Muhasebe İşlerinin Takibi Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi Finansal ve İdari Planlamaların Yapılması Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi Personel Temin Süreçlerinin Yönetilmesi Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi Finans ve/veya Muhasebe İşlerinin Takibi Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası Etkinlik Yönetimi Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası GREEN’nin Tarafı Olduğu Sözleşmeler ve/veya Mevzuattan Kaynaklı Yükümlülüklerini Yerine Getirmesi Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası GREEN’nin Sunduğu Ürün ve/veya Hizmetlerin Usulune Uygun ve Düzgün Bir Şekilde Sunulması İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi Stratejik Planlama Faaliyetlerinin İcrası İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası Müşteri Talep ve/veya Şikayetlerinin Takibi Şirketin Sunduğu Ürün ve/veya Hizmet Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası Şirketin Sunduğu Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası Hizmetlere ve Ürünlere Yönelik Tanıtım, Pazarlama, Promosyon Ve Kampanya Faaliyetlerinin Yapılması, GREEN İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcrası GREEN Şirket Çalışanları/Stajyerleri İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışan/Stajyer Talep ve Şikayet Yönetimi GREEN Ücret Yönetimine İlişkin Analiz ve İyileştirme Faaliyetlerinin Planlanması GREEN Çalışanlarına/Stajyerlerine Yan Hak ve Menfaat Sağlanması Süreçlerinin Planlanması ve Destek Olunması GREEN Çalışanlarının/Stajyerlerinin Ücret Yönetiminin Planlanması Faaliyetlerine Destek Olunması GREEN Çalışanlarının/Stajyerlerinin Eğitim ve Kariyer Gelişimlerine İlişkin Süreçlerin Planlanması ve Destek Verilmesi GREEN Çalışanlarının/Stajyerlerinin Memnuniyet ve Bağlılığının Artırılmasına Yönelik Süreçlerin Planlanması ve Yönetilmesi GREEN nezdinde Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası GREEN Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası GREEN Stratejik İnsan Kaynakları Planlanması, Yedekleme Süreçleri ve Organizasyonel Gelişim Faaliyetleri Konusunda Destek Olunması GREEN Çalışanlarının/Stajyerlerinin Performans Değerlendirilmelerine İlişkin Süreçlerin Yönetilmesi GREEN’nin Gelişim ve Yedekleme Planlamaları Faaliyetleri GREEN İçerisinde Personel ve Yöneticilerin Atama ve Terfi Süreçlerinin Yönetimine Destek Olunması GREEN Denetim Faaliyetlerinin Planlanması ve İcrası GREEN’nin Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Denetim Faaliyetlerinin Planlanması ve İcrası GREEN’nin ve GREEN’la İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temin Hukuk İşlerinin Takibi Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini Şirket Operasyonlarının Güvenliğinin Temini Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi Verilerin Doğru ve Güncel Olmasının Sağlanması Şirket Yerleşkesinin Güvenliğinin Temini Şirket Denetim Faaliyetlerinin Planlanması ve İcrası İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası - İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- GREEN’nin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, GREEN tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
- Saklamaya İlişkin Açıklamalar
- Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde GREEN tarafından teknik ve idari tedbirler alınır.
- Özel Nitelikli Olmayan Kişisel Veriler
GREEN, Kişisel Verilerin korunması için teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıdaki gibidir:
- Teknik Tedbirler
- Kişisel Veriler, eğer elektronik veri olarak saklanmaları gerekmekte ise, GREEN’nin merkezi veri tabanlarına ve/veya GREEN’nin bilgisayarlarına kayıt edilmeli ve Veri Güvenliği Sorumlusunun izni olmaksızın hiçbir koşulda taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kayıt edilmemelidir. Kişisel Verilerin Veri Sorumlusunun yazılı izni ile taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kaydedilmiş olması halinde bu veriler Veri Güvenliği Sorumlusunun talimatı üzerine söz konusu taşınabilir harici veri depolama aygıtlarından silinmeli ve silme işleminin gerçekleştirildiği veri sorumlusuna yazılı ve imzalı olarak teyit edilmelidir.
- Kişisel Verileri içeren elektronik ortamlara uygun kötü amaçlı yazılımlara karşı virüs koruma programları ve güvenlik duvarları kurulmalıdır.
- Kişisel Verilerin muhafaza edildiği elektronik ortamlar en az üç ayda bir defa test edilmeli, test sonuçları loglanmalıdır.
- Kişisel Verilerin muhafaza edildiği elektronik ortamlarda mevcut olan; ancak GREEN tarafından kullanılmayan yazılım ve servisler silinmelidir.
- Kişisel Verilerin muhafaza edildiği elektronik ortamlara erişme yetkisi bulunan tüm kullanıcıların işlem hareketi kayıtları düzenli olarak tutulmalı ve arşivlenmelidir.
- Kişisel Veriler bulut ortamlarında muhafaza edilecekse, bulut ortamlarında muhafaza edilecek kişisel veriler yedeklenmeli, kriptografik yöntemlerle şifrelenmeli ve bulut ortamına şifrelendikten sonra aktarılmalıdır. Bulut bilişim hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tüm kopyaları imha edilmelidir.
- Kişisel Verilerin muhafaza edildiği sistemin çökmesi, kötü niyetli, yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi sistem güvenliği ihlallerinde, bu hadiselere ilişkin deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
- Sızma (Penetrasyon) testleri ile GREEN bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmalıdır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmelidir.
- GREEN’nin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmalıdır.
- Elektronik ortamda muhafaza edilen Kişisel Veriler her üç ayda bir defa yedeklenmelidir. Yedeklenen Kişisel Verilere erişim, yalnızca GREEN Yöneticilerine münhasır olmalı ve yedeği alınan veriler muhakkak ağ dışında muhafaza edilmelidir.
- Elektronik ortamda muhafaza edilen Kişisel Verilerin kazara kaybolmasını engellemek için uygun bir yedekleme programı kullanılmalı ve yedeklenen Kişisel Verileri içeren dosyalar kriptografi yöntemi ile şifrelenmelidir.
- Kişisel Verileri ihtiva eden elektronik cihazların tamirinin veya bakımının gerekmesi halinde, bu cihazlar tamir için gönderilmeden önce veri depolama ortamları sökülür ve GREEN’nin yerleşkesinde emniyete alınır.
- Kişisel Verilere erişim yetkisi yalnızca GREEN Yöneticilerine ait olmalıdır. Kişisel Verilere erişim yetkisi olan kimselerin kimliği halin icabına göre uygun kimlik doğrulama yöntemleri kullanılarak doğrulanmalıdır. Kimlik doğrulama yönteminin elektronik şifreler olması halinde, bu elektronik şifreler güçlü şifreler olmalıdır. Kullanıcılarının seçecekleri şifreler en az 6 karakterden oluşmalı, en az bir büyük harf, bir küçük harf bir de özel karakter (örneğin; &%@) içermelidir ve kullanıcılar şifrelerini kimse ile paylaşmamalıdır. Bu sistemlerin kaba kuvvet algoritması (BFA) veya benzeri siber saldırılardan korunması için şifre deneme sayısı sınırlı olmalı, belirli sayıda başarısız denemeden sonra söz konusu kullanıcının şifresi dondurulmalıdır.
- Elektronik (e-mail ve diğer elektronik haberleşme yöntemleri dahil) veri transferleri şifreli olarak gerçekleştirilmelidir.
- Kişisel Verilerin depolandığı elektronik depolama aygıtlarının güvenliğini sağlamak için söz konusu sistemlerin bakımları ve güvenlik güncelleştirmeleri düzenli olarak yapılmalı, yaptırılmalıdır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmalıdır.
- Kişisel Verilerin depolandığı elektronik sistemlerin güvenliği, GREEN tarafından belirlenen periyotlarda test edilir ve Şirket tarafından gerekli görülmesi halinde, bu sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığı, GREEN Yöneticilerine raporlanır. Bu testlerin sonuçları Şirket tarafından kayıt altına alınır. Kişisel Verilerin depolandığı elektronik sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığının test edilmesinde iş birliği yapılacak üçüncü şahısların işbu Politika ve Kanun ile ikincil mevzuatına uymayı taahhüt etmesi şarttır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmalıdır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmalıdır.
- GREEN, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almalıdır.
- GREEN, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturmalıdır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- İdari Tedbirler
- Kişisel Verilere erişim, yalnızca Kişisel Verilere erişme yetkisi, GREEN Yöneticilerine münhasır olmalıdır.
- Çalışanlara, işbu Politika ve Kanun uyarınca söz konusu olan yükümlülüklerine ilişkin olarak düzenli eğitimler verilmeli ve GREEN ile aralarındaki iş ilişkisi sona erdikten sonra dahi GREEN nezdindeki görevlerini ifa ederken öğrendikleri Kişisel Verileri üçüncü şahıslara açıklamama yükümlülüğü altında oldukları hatırlatılmalıdır.
- Çalışanlara, Kişisel Verileri hukuka aykırı olarak açıklamalarını önlemek, özellikle kötü amaçlı yazılımlar vasıtasıyla veya dikkatsizlik ve tedbirsizlik ile Kişisel Verilerin hukuka aykırı olarak üçüncü şahısların eline geçmesini önlemek için farkındalık yaratıcı eğitimler verilmelidir.
- Tüm Çalışanların, Kişisel Verilerin güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve Çalışanlara bu sorumlulukları yerine getirmeleri gerektiği hatırlatılmalıdır.
- Kişisel Veriler, yalnızca gerekli olduğu hallerde kopyalanmalı ve gereklilik ortadan kalktığı takdirde kopyalar Kişisel Verileri Saklama ve İmha Politikasına uygun şekilde imha edilmelidir.
- Kişisel Verilerin saklandığı fiziksel ortamlarda uygun güvenlik önlemleri alınmak suretiyle yetkisiz erişimlerin önüne geçilmelidir.
- Üçüncü şahıslarla yapılan sözleşmelerde GREEN tarafından aktarılan Kişisel Verilerin gizli tutulması ve bu üçüncü kişilerin söz konusu Kişisel Verilere ilişkin olarak GREEN’nin talimatlarına uygun hareket etmesine, Kişisel Verilerin muhafaza edilmesi için gerekli önlemleri almasına yönelik hükümler derç edilmelidir.
- Kişisel Verilerin basılı kopyalarının üzerine kırmızı renkte ve rahatça görülebilir büyüklükte “Gizlidir” damgası vurulmalı ve bu evraklar Kişisel Verilerin depolanmasına tahsis edilmiş bir dolapta veya kasada kilitli olarak tutulmalı ve bu dolabın veya kasanın anahtarı ve şifre kombinasyonu yalnızca Veri Sorumlusunda bulunmalıdır.
- Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan elinde bulunan tüm Kişisel Verileri GREEN’ye iade eder.
- Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmalıdır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmalıdır.
- Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir
- İnsan Faktörü
Kişisel Verilerin güvenliğine ilişkin olarak insan faktöründen kaynaklanan riskleri azaltmak için Şirket, yürürlükteki mevzuata uygun şekilde, tüm Çalışan Adayları ve Çalışanları için geçmiş sorgulaması yapabilir. Çalışan Adaylarına ve Çalışanlara ilişkin olarak bu şekilde elde edilen bilgiler de işbu politikanın uygulanması bakımından Kişisel Veri sayılır.
Çalışan ile Şirket arasındaki hizmet akdinin herhangi bir sebeple sona ermesi halinde Çalışan, elinde bulunan tüm Kişisel Verileri Şirkete iade etmekle ve bu Kişisel Verileri iade ettikten sonra elinde başka herhangi bir Kişisel Veri kalmadığını yazılı olarak taahhüt etmekle yükümlüdür.
GREEN, Çalışanlarına, veri güvenliği ve kişisel verilerin korunmasına ilişkin olarak Şirket tarafından belirlenecek periyotlarda düzenli olarak eğitimler verir.
- Veri Güvenliği Sorumlusu
GREEN, işbu Politikanın uygulanmasını gözetmesi için bir Veri Güvenliği Sorumlusu belirler. Veri Güvenliği Sorumlusu, Şirketin Kanun’un ve ikincil mevzuatının uygulanmasından dolayı taşıdığı hukuki ve cezai sorumluluğu üstlenmeksizin işbu politikada kendisine verilen görevleri ifa eder ve genel olarak Şirketin Kanun ve ikincil mevzuat hükümlerine uygun şekilde faaliyet göstermesi için görüş ve önerilerini paylaşır.
- Teknik Tedbirler
- Özel Nitelikli Kişisel Veriler
- Teknik Tedbirler
- Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.1 başlığında belirtilen tedbirler, 4.1.1 başlığında belirtilen teknik tedbirlere ek ve ilavedir.
- Özel Nitelikli Kişisel Veriler, Özel Nitelikli Olmayan Kişisel Verilerden farklı ortamlarda muhafaza edilir.
- Özel Nitelikli Kişisel Verilerin muhafaza edildiği ve/veya erişildiği elektronik ortamlarda Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir. Kullanılacak kriptografik yöntemin türünü ve niteliğini Veri Güvenliği Sorumlusu belirler.
- Kriptografik anahtarlar farklı ve güvenli ortamlarda muhafaza edilir.
- Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır.
- Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır.
- Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişilecekse bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır ve test sonuçları kayıt altına alınır.
- Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
- Özel Nitelikli Kişisel Veriler elektronik posta aracılığı ile aktarılacaksa şifreli olarak GREEN’nin kurumsal elektronik posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
- Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarlar farklı ortamlarda tutulur.
- Özel Nitelikli Kişisel Veriler farklı fiziksel ortamlardaki sunucular arasında aktarılacak ise, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.
- Özel Nitelikli Kişisel Veri’nin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
- Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel Nitelikli Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- İdari Tedbirler
- Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.2 başlığında belirtilen tedbirler 4.1.2 başlığında belirtilen tedbirlere ek ve ilavedir.
- GREEN Çalışanlarına, Özel Nitelikli Kişisel Verilerin hassasiyetine ve korunmasına ilişkin farkındalık yaratıcı eğitimler, GREEN Yöneticileri tarafından belirlenecek periyotlarda düzenli olarak verilir.
- Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanlar ile bu verilerin korunmasına ilişkin gizlilik sözleşmeleri imzalanır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, Özel Nitelikli Kişisel Verilere yetkisiz erişime ve bu verilerin kaybı riskine karşı yeterli önlemler alınır, özellikle, bu Özel Nitelikli Kişisel Verilerin muhafaza edildiği ortamlara yetkisiz giriş çıkış engellenir.
- Özel Nitelikli Kişisel Verilerin kâğıt ortamı yolu ile aktarılması gerekirse, evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı evrak, üzerinde kırmızı renkte ve görülebilir bir büyüklükte “GİZLİDİR” damgası taşıyan, evrakı teslim almaya kimin yetkili olduğunu belirten ve aşağıdaki uyarı metnini içeren bir kapak sayfası ile aktarılır:
“İşbu evrakta yalnızca muhatabını ilgilendiren, gizlilik yükümlüğü altında ve/veya kişiye veya kuruma özel GİZLİ BİLGİLER yer almaktadır. İşbu evrakı teslim almaya yetkili değilseniz, içeriğini ve varsa ekindeki dosyaları kimseye aktarmayınız veya kopyalamayınız. Böyle bir durumda lütfen evrakı derhal içeriği okunamayacak şekilde imha ediniz. Bu evrakın yetkisiz olarak çoğaltılması, gösterilmesi, teşhir edilmesi ve dağıtımı yasaktır ve bu yasak ihlal edildiği takdirde tarafınıza karşı yasal yollara başvurulacaktır.” - Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan, elinde bulunan tüm Özel Nitelikli Kişisel Verileri GREEN’ye iade eder.
- Teknik Tedbirler
- Veri Güvenliği İhlalleri
Çalışanlar, işbu Politikanın uygulanmasında herhangi bir ihlalin meydana gelmesi halinde durumu derhal Veri Güvenliği Sorumlusuna bildirmekle yükümlüdür. Veri güvenliği ihlali nedeniyle işlenen Kişisel Veriler kanuni olmayan yollarla başkaları tarafından elde edilmişse Şirket bu durumu en kısa süre içinde Kişisel Verileri kanuni olmayan yollarla başkaları tarafından elde edilen ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir.
- Özel Nitelikli Olmayan Kişisel Veriler
- Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, GREEN tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
- Kişisel Verilerin Silinmesi
Kişisel Veriler GREEN tarafından Tablo-3’te verilen yöntemlerle silinir.
Tablo-3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. Bulut Sistemlerinde Mevcut Veriler Bulut sistemlerinde muhafaza edilen Kişisel Veriler, bulut sistemi ara yüzü üzerinden silme komutu verilmek suretiyle silinmelidir. Bazı bulut sistemlerinin silinen dosyaların kurtarılması imkanı sağladığı göz önünde bulundurularak silinen verinin geri getirilmesi olanağının bulunmamasına özen gösterilmelidir. - Kişisel Verilerin İmhası/Yok Edilmesi
Kişisel Verilerin GREEN tarafından imhası/yok edilmesi Tablo-4’te verilen yöntemlerle yapılır.
Tablo-4: Kişisel Verilerin İmhası/Yok Edilmesi
Veri Kayıt Ortamı Açıklama Fiziksel Ortamda Yer Alan Kişisel Veriler Kişisel Verileri içeren elektronik ortamlar, fiziksel olarak tahrip edilmek suretiyle çalışmaz hale getirilir. Fiziksel ortamda (kağıt, kartvizit vs.) bulunan kişisel veriler, İlgili Kişiyi ayırt etmeye yarayacak verilerin karartılması veya DIN 32757 standardına uygun bir kağıt parçalama makinesi ile Kişisel Verilerin bulunduğu kağıdın parçalanması yöntemi ile silinir. Optik ve Manyetik Medyada Yer Alan Kişisel Veriler Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’den oluşan rastgele veriler [●] yazılımı kullanılarak yazılır ve eski verinin kurtarılmasının önüne geçilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. - Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Kişisel Verilerin GREEN tarafından Anonim Hale Getirilmesi Tablo-5’te verilen yöntemlerle yapılır.
Tablo-5: Kişisel Verilerin Anonim Hale Getirilmesi
Yöntem Açıklama Maskeleme Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı, maskeleme ile temel belirleyici bilgilerin veri setinden çıkarılması suretiyle ortadan kaldırılır. Toplulaştırma İlgili Kişilerin Kişisel Verileri, toplulaştırılmak suretiyle İlgili Kişiler ile Kişisel Veriler arasındaki bağlantı ortadan kaldırılır. Bu işlem neticesinde ortaya istatistiki veriler çıkar. Veri Türetme Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı Kişisel Verilerin içeriğinden daha genel bir içerik yaratılmak suretiyle ortadan kaldırılır. Bu şekilde oluşturulan yeni veri setinde İlgili Kişilerin kimliğini belirlemeye yarayan tanımlayıcı unsurlar yer almaz. Veri Karma Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
- Kişisel Verilerin Silinmesi
- Saklama ve İmha Süreleri
GREEN tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak veri kategorileri bazında saklama süreleri ve süreç bazında saklama süreleri işbu Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde GREEN Yönetim Kurulu tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi GREEN Veri Güvenliği Sorumlusu tarafından yerine getirilir.
Tablo 6-İlgili Kişi ve Veri Kategorileri Bazında Saklama ve İmha Süreleri Tablosu
İlgili Kişi İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri Hukuki Sebep Muhafaza Süresi İmha Süresi Çalışanlar Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri 6698 s. Kişisel Verilerin Korunması Kanunu,5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,6331 s. İş Sağlığı ve Güvenliği Kanunu,4857 s. İş Kanunu, 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Stajyerler Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri 6698 s. Kişisel Verilerin Korunması Kanunu,5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,6331 s. İş Sağlığı ve Güvenliği Kanunu,4857 s. İş Kanunu, 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışan Adayları Özgeçmişler 6698 s. Kişisel Verilerin Korunması Kanunu İş başvurusunun olumsuz sonuçlanması durumunda 6 ay, olumlu sonuçlanması durumunda işten ayrılmasından itibaren 10 yıl. Saklama süresinin bitiminde derhal Şirket Ortakları Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri. 6698 s. Kişisel Verilerin Korunması Kanunu,6102 s. Türk Ticaret Kanunu Ortaklık sıfatı devam ettiği sürece muhafaza edilir. Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Gerçek Kişi Tedarikçiler Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri. 6698 s. Kişisel Verilerin Korunması Kanunu, 6102 s. Türk Ticaret Kanunu 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri. 6698 s. Kişisel Verilerin Korunması Kanunu, 6102 s. Türk Ticaret Kanunu 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Gerçek Kişi Müşteriler Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi müşterilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri. 6698 s. Kişisel Verilerin Korunması Kanunu, 6102 s. Türk Ticaret Kanunu 10 yıl Saklama süresinin bitimini takip eden İlk periyodik imha süresinde Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri. 6698 s. Kişisel Verilerin Korunması Kanunu, 6102 s. Türk Ticaret Kanunu 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İşbirliği İçerisinde Olduğumuz Gerçek Kişiler Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri. 6698 s. Kişisel Verilerin Korunması Kanunu,6102 s. Türk Ticaret Kanunu 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde İşbirliği İçerisinde Olduğumuz Kurumsal Çalışanları, Hissedarları ve Yetkilileri Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri 6698 s. Kişisel Verilerin Korunması Kanunu, 6102 s. Türk Ticaret Kanunu 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışan, Çalışan Adayı, Stajyer, Hissedar, Ziyaretçi Fiziksel Mekan Güvenlik Bilgisi kapsamında kamera kayıtları 6698 s. Kişisel Verilerin Korunması Kanunu, 6 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Çalışan, Stajyer, Müşteri, Ziyaretçi İşlem Bilgisi kapsamında IP adresleri, e-mail trafikleri izleme bilgisi 6698 s. Kişisel Verilerin Korunması Kanunu, 3 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Tablo 7-Süreç Bazında Saklama ve İmha Süreleri Tablosu
Süreç Saklama Süresi İmha Süresi İnsan Kaynakları Süreçlerinin Yönetilmesi 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Şirket Yönetim ve İdaresi İşlemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Şirketin Ticari Faaliyetleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Sözleşmelerin Hazırlanması Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Şirketin İletişim Faaliyetlerinin İcrası Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde - Periyodik İmha Süresi
Yönetmeliğin 11’inci maddesi gereğince GREEN, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, GREEN nezdinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
- Politikanın Yayımlanması ve Saklanması
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Veri Güvenliği Sorumlusu tarafından dosyasında saklanır.
- Politika’nın Güncellenme Periyodu
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
- Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
Politika, GREEN’nin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları GREEN Yönetim Kurulu Kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Güvenliği Sorumlusu tarafından saklanır.