GDPRKVKK

HYPERLAB OYUN YAZILIM VE PAZARLAMA ANONİM ŞİRKETİ

PERSONAL DATA PROCESSING AND PROTECTION POLICY

January 2026

Pursuant to Article 20, paragraph 3 of the Constitution of the Republic of Türkiye, "Everyone has the right to request the protection of personal data concerning themselves. This right includes being informed about one's personal data, accessing such data, requesting their correction or deletion, and learning whether they are used in line with their purposes. Personal data may only be processed in cases prescribed by law or with the explicit consent of the person."

The right to the protection of personal data is also recognized as a fundamental human right in Article 8 of the Charter of Fundamental Rights of the European Union and Article 16 of the Treaty on the Functioning of the European Union.

Article 4 of the Turkish Data Protection Law (KVKK) lists the fundamental principles that must be observed when processing personal data. These principles are taken into account and meticulously applied by Hyperlab Oyun Yazılım ve Pazarlama A.Ş. (the "COMPANY") in all personal data processing activities it carries out. The fundamental principles followed by the Company in its data processing are as follows:

Processing in Compliance with the Law and Good Faith: The COMPANY acts in accordance with the general principles of law and the rule of good faith while fulfilling its obligation to process and protect personal data.

Processing Personal Data Accurately and Keeping It Up to Date: The COMPANY is aware that ensuring personal data provides accurate and up-to-date information about individuals is of great importance for the protection of their rights. It exercises the utmost diligence expected of it to ensure that the personal data being processed is accurate and current.

Processing for Specific, Explicit and Legitimate Purposes: The KVKK requires data processing activities to be carried out for specific, explicit and legitimate purposes. Within this framework, the COMPANY conducts personal data processing activities for the specific, explicit and legitimate purposes required by its operations.

Processing in a Manner Connected, Limited and Proportionate to the Purposes: The COMPANY processes personal data within the limits sufficient to achieve the purposes determined in the scope of its activities. By avoiding the processing of unnecessary personal data, the COMPANY acts in accordance with the principle of being limited and proportionate.

Retention for the Period Stipulated in the Relevant Legislation or Required for the Purpose of Processing: Personal data processed by the COMPANY is retained for the period until the conditions for processing personal data cease to exist. When such purposes cease to exist, the COMPANY terminates the retention of the relevant personal data. The Company transparently informs all relevant parties with the necessary documents regarding all data processing procedures.

INTRODUCTION

The Law on the Protection of Personal Data No. 6698 (KVKK/Law) was published in the Official Gazette dated 7 April 2016, with the aim of protecting fundamental rights and freedoms of persons, in particular the privacy of private life, in the processing of personal data of natural persons, and of regulating the obligations of natural and legal persons who process personal data as well as the procedures and principles to be followed.

1. PURPOSE OF THE POLICY

The Hyperlab Oyun Yazılım ve Pazarlama A.Ş. Personal Data Processing and Protection Policy (the "Policy") has been prepared with the aim of disciplining the lawful processing of personal data to be processed during the Company's activities, and of protecting fundamental rights and freedoms, in particular the privacy of private life as stipulated in the Constitution.

In preparing the Policy, the fundamental principle adopted was first to determine which data the working units within the COMPANY organization collect, why they collect it, and why they transfer it to third parties, and to understand the Company's personal data processing methods. Furthermore, this Policy aims to identify and explain the administrative and technical measures to be taken to protect data privacy within and outside the COMPANY organization, and to inform and enlighten the individuals whose data is processed.

2. SCOPE OF THE POLICY

The scope of the Policy covers all natural persons whose data is processed, directly or indirectly, due to the COMPANY's activities.

Within the scope of this Policy, customized information is provided regarding the data processed within the framework of the operations and activities in the COMPANY organization, the categorization of data, data recipient groups, the legal grounds and methods of data collection, the third-party groups to whom data is transferred, the data processing periods, and the data destruction periods.

3. DEFINITIONS

Explicit Consent: Consent regarding a specific subject, based on information and disclosed with free will.

Relevant User: Persons who process personal data within the data controller's organization or in accordance with the authority and instructions received from the data controller, excluding the person or unit responsible for the technical storage, protection and backup of the data.

Destruction: The deletion, erasure or anonymization of personal data.

Contact Person: The natural person notified by the data controller during registration with the Registry, for communication to be established with the Authority regarding the obligations of legal persons resident in Türkiye and the representative of the legal-person data controller not resident in Türkiye under the Law and secondary regulations to be issued based on this Law. (The contact person is not authorized to represent the Data Controller. As the name suggests, this person is assigned solely to ensure the "contact" between the data controller, the relevant persons and the Authority.)

KVKK: The Law on the Protection of Personal Data No. 6698 dated 24 March 2016, published in the Official Gazette No. 29677 dated 7 April 2016.

Recording Medium: Any medium where personal data that is processed fully or partially by automated means, or by non-automated means provided it forms part of a data filing system, is located.

Personal Data: Any information relating to an identified or identifiable natural person.

Processing of Personal Data: Any operation performed on data such as obtaining, recording, storing, retaining, altering, rearranging, disclosing, transferring, taking over, making available, classifying or preventing the use of personal data, fully or partially by automated means or by non-automated means provided it forms part of a data filing system.

Anonymization of Personal Data: Rendering personal data incapable of being associated with an identified or identifiable natural person under any circumstances, even by matching it with other data.

Deletion of Personal Data: Rendering personal data inaccessible and non-reusable in any way for Relevant Users.

Erasure of Personal Data: The process of rendering personal data inaccessible, irretrievable and non-reusable by anyone in any way.

Board: The Personal Data Protection Board.

Authority: The Personal Data Protection Authority.

Special Categories of Personal Data: Data relating to persons' race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and dress, membership of associations, foundations or trade unions, health, sexual life, criminal convictions and security measures, as well as biometric and genetic data.

Periodic Destruction: The deletion, erasure or anonymization process to be carried out ex officio at recurring intervals specified in the personal data retention and destruction policy, in the event that all of the conditions required for the processing of personal data cease to exist.

Policy: The personal data processing and protection policy created by the Data Controller.

VERBİS: A registration system in which natural and legal persons processing personal data must register before they begin processing personal data, and where they will enter information on a categorical basis regarding the personal data they process.

Data Processor: The natural or legal person who processes personal data on behalf of the data controller, based on the authority granted by the controller.

Data Filing System: The recording system in which personal data is processed by being structured according to specific criteria.

Data Subject/Relevant Person: The natural person whose personal data is processed.

Data Controller: The natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data filing system.

4. THE COMPANY'S KVKK STRUCTURE

In terms of personal data processing activities falling within the scope of this Policy, the data controller is Hyperlab Oyun Yazılım ve Pazarlama A.Ş.

Within the framework of its KVKK compliance program, in order to guarantee the continuity of compliance with the KVKK, our Company has organized a separate structure for personal data protection processes, carried out the corresponding work and operations, and provided the necessary equipment. Within this framework, a Contact Person has been appointed within our Company.

4.1. Contact Person. In order to fulfill the obligation to appoint a contact person as required by legislation, a contact person who has received the necessary training and possesses the required competence in KVKK matters has been appointed. The primary responsibility of the contact person is to ensure communication of the data controller with the Board and relevant persons as required by legislation; the contact person has no authority to represent the data controller.

5. PURPOSES OF PROCESSING YOUR PERSONAL DATA, THE PERSONAL DATA WE PROCESS, COLLECTION METHODS AND LEGAL GROUNDS

i. Purposes of Processing. Your personal data will be used to achieve the purposes set out in the relevant legislation and related to the COMPANY, while observing the limits stipulated in the KVKK. The processing purposes are as follows:

ii. The Personal Data We Process.

Identity Information: Your name, surname, T.R. identity number, mother's name, father's name, place and date of birth, personnel registration number, nationality information, signature, a copy of your photo ID document, and other information provided to the Company with your explicit consent.

Contact Information: Your residential address, workplace address, telephone number and e-mail address, registered electronic mail (KEP) address, and, if any, your mobile phone number, fax number that you have indicated you prefer for the Company to contact you, or information regarding other communication channels you have provided with your consent so that we can reach you.

Employment and Education Information: Within the scope of the application form (job application, event participation application) and registration documents you have completed to apply to the Company, and/or job application forms sent to the Company's official e-mail address hello@hyperlab.games, or through other online or physical application methods provided by the Company; your identity information, information about your employment status, your contact information, your education information (such as "university graduate, master's graduate, physics department graduate") and your past graduation information, course/seminar information you have attended, certificate information, and your national or international exam results.

Financial Information: Bank name and branch information, bank account number, and IBAN number obtained for the purpose of paying salaries and fringe benefits, refunding excess and undue payments, making payments from the revolving fund, and making payments for assignments outside the Company.

Visual/Audio Information: Still or moving images and/or sounds of the venue and participants of conferences, seminars, theatrical performances, exhibitions, debates and similar events organized by the Company, for purposes such as promoting, announcing and disseminating the event, as well as visual/audio information provided by cameras installed to ensure security at the Company's headquarters, branches and representative offices.

Military Service Information: Document/information showing the military service status, to be obtained from male candidate employees during the recruitment process.

Customer Form Information: Identity information, contact information, and information communicated within the scope of a request, complaint or report, contained in the forms through which complaints, requests and reports of natural persons who are customers of the Company are submitted.

Family Members and Next-of-Kin Information: Name-surname, T.R. identity number and contact information regarding the family members the data subject is responsible for (e.g. spouse, mother, father, child), relatives, and other persons to be contacted in emergencies.

Security Information: Personal data processed for security purposes within the workplace; camera recordings.

Information on Skills and Competencies: Information showing the person's work-related skills and competence, such as the data subject's foreign language knowledge, computer/program knowledge, professional certificates, etc.

Personnel File Information: Any kind of personal data processed for obtaining the information that will form the basis for the accrual of personal rights of employees, including temporary employees, such as excuse leaves, leave request information, and annual leave information.

Special Categories of Personal Data: Criminal record to be obtained from candidate employees/employees during the recruitment process.

iii. Methods of Collecting Your Personal Data. Your personal data is collected through membership registration forms, registration/application forms completed online, receipt and expenditure documents, image and sound recording devices used at events, security camera recordings, and in the event that personal data is sent to the Company's official e-mail address hello@hyperlab.games or to any e-mail address belonging to the Company using the "@hyperlab.games" extension, through these communication channels. Personal data is also collected by sending physical documents, by physically filling out a document provided by the Company, and by calling the GSM line +90 533 058 32 37.

6. TRANSFER OF PERSONAL DATA

Domestic Transfer: As is known, pursuant to Article 8/2-a and b of the KVKK, personal data may be transferred domestically without obtaining explicit consent if it is processed within the scope of Articles 5/2 and 6/3 of the KVKK. The COMPANY transfers data to third parties in observance of the relevant provisions; where such provisions do not apply, the explicit consent of the relevant persons is sought.

International Transfer: As a rule, the COMPANY does not carry out international transfers. However, it may be possible for data and documents processed by the COMPANY to be kept on computers located outside the Company, for e-mails to be sent, for records to be accessed from such computers, and for the databases of the systems and/or e-mail providers in which this data is stored or transferred to be located abroad. In such cases, transfers will be carried out in compliance with the provisions of Article 9 of the KVKK.

Your personal data is shared, for the purposes set out in this Policy and by the means herein, with authorized public institutions and organizations, judicial authorities, enforcement authorities, law-enforcement units, as well as contracted suppliers of products and/or services and shareholders. The table showing the parties with whom data is shared is below:

Persons to Whom Data May Be Transferred Definition Purpose
Shareholders Shareholders authorized, in accordance with the relevant legislation, to design the Company's commercial strategies and audit activities Sharing of personal data limited to the purposes of designing the Company's commercial strategies and auditing
Company Officials Members of the board of directors and other authorized persons Sharing of personal data limited to the purposes of designing the Company's commercial strategies, ensuring top-level management and auditing
Legally Authorized Private-Law Persons Private-law persons legally authorized to obtain information and documents from the Company Sharing of data limited to the purpose requested within the legal authority of the relevant private-law persons
Legally Authorized Public Institutions and Organizations Public institutions and organizations legally authorized to obtain information and documents from the Company Sharing of personal data limited to the purpose of the relevant public institutions' request for information

7. RIGHTS OF THE DATA SUBJECT

Within the scope of the KVKK, the data subject has the right to:

How Can You Exercise Your Rights? You may submit your requests within the scope of Article 11 of the KVKK in writing, in accordance with the Communiqué on the Procedures and Principles of Application to the Data Controller, to the Company's address at Esentepe Mah. Talatpaşa Cad. No:5/1 Levent-Şişli/İstanbul, or you may create and send a request to the Company via https://www.hyperlab.games/contact-us/. The COMPANY will conclude requests as soon as possible and at the latest within 30 days.

8. STATUTORY EXCEPTIONS IN THE PROCESSING OF PERSONAL DATA AND SPECIAL CATEGORIES OF PERSONAL DATA, AND EXPLICIT CONSENT STATEMENT

In principle, the COMPANY prefers to adopt the method of seeking the "explicit consent" of the relevant persons. Considering the processing purposes and conditions set out in this Policy, there is no need to obtain the consent of the relevant persons for data processing conditions that fall within the scope of statutory exceptions. However, this shall under no circumstances be interpreted to mean that the COMPANY will not benefit from the exception provisions and/or that it will choose to obtain explicit consent in every case.

9. INFORMATION REGARDING THE PROCESSING OF PERSONAL DATA

9.1. Channels Through Which Personal Data Is Obtained. Our Company primarily obtains personal data through the following channels: Organization, Event, Conference Participant-Guest; Employee Personnel File Documents; Camera Recordings; SMS/E-mail, Telephone; Post, Cargo or Courier Services; and Other Physical and Electronic Media.

9.2. Classification of Personal Data. Our legislation primarily groups personal data into two categories: personal data and special categories of personal data. The COMPANY's categories regarding personal data are shared in the table below:

Personal Data Category Description
Contact Data Any personal data that can be used for the purpose of contacting persons (address, e-mail address, contact address, KEP, telephone number).
Special Categories of Personal Data Criminal record obtained from employees and candidate employees during the recruitment process.
Identity Data Documents containing information such as name-surname, T.R. identity number, nationality, mother's/father's name, place of birth, date of birth, gender, as well as tax number, social-security number, signature, etc.
Customer Form Information Information contained in the complaint, request and report forms of natural persons who are customers of the Company.
Family Members and Next-of-Kin Information Name-surname, T.R. identity number and contact information of family members, relatives and persons to be contacted in emergencies.
Security Information Camera recordings processed for security purposes within the workplace.
Financial Information Data such as bank account number, IBAN, credit card information, invoice, salary and income information.
Skills and Competency Information Foreign language knowledge, computer/program knowledge, professional certificates, etc.
Personnel File Information Any kind of personal data such as excuse leaves, leave request information, and annual leave information.

9.3. Classification of Data Subjects.

Data Subject Classes Description
Candidate Employee Natural persons who apply for a job by sending a résumé to the Company or by other methods.
Employee Natural persons who have been hired and for whom a personnel file has been created.
Third Parties Natural persons other than the above categories and the Company's employees.

10. RETENTION AND DESTRUCTION OF PERSONAL DATA

The COMPANY stores the personal data of data subjects in electronic and physical media by taking the necessary technical and administrative security measures. The retention period is calculated taking into account the periods specified in the relevant legislation. Destruction operations are carried out ex officio at 6-month periods in accordance with the provisions of the relevant legislation, or concluded if requests from data subjects are found justified. The COMPANY fulfills the deletion and/or erasure requests of the relevant person within 30 days at the latest. Records regarding the destruction of Personal Data are retained for a period of 3 years.

11. DUTY TO INFORM

Pursuant to Article 10 of the KVKK, the COMPANY fulfills its duty to inform during the collection of personal data by informing the relevant data subjects about the identity of the data controller, the purposes for which personal data will be processed, to whom and for what purposes it may be transferred, the method and legal grounds of collection, and the rights listed in Article 11.

12. MEASURES REGARDING THE SECURITY OF PERSONAL DATA

The COMPANY exercises all reasonable care and diligence in ensuring the confidentiality and security of the personal data it processes. Within the framework of Article 12 of the KVKK, it takes the necessary technical and administrative measures at a reasonable level to ensure data confidentiality and security.

Administrative Measures: Employment and training of knowledgeable and experienced personnel; confidentiality agreements and information-security training; periodic and random internal audits; fulfillment of the duty to inform; preparation of a personal data processing inventory.

Technical Measures: Necessary internal controls for monitoring personal data security; up-to-date software including network security, application security and anti-virus systems; keeping access logs and controlling improper access; a separate policy for special categories of data; and physical security of information systems.

15. TRAINING AND AUDITING OF EMPLOYEES AND DATA PROCESSORS ON KVKK

The Company provides its employees with the necessary awareness training, and ensures that newly joining employees also receive this training. The Company carefully selects its data processors, presents KVKK compliance as a requirement of business processes, and queries their compliance status at certain intervals.

16. IDENTITY OF THE DATA CONTROLLER

Data Controller Hyperlab Oyun Yazılım ve Pazarlama A.Ş.
Address Esentepe Mah. Talatpaşa Cad. No:5/1 Levent-Şişli/İstanbul
Website www.hyperlab.games

17. EFFECTIVENESS

This Policy, issued by the Company, entered into force and was made available to the public on 02/03/2023. In the event of any conflict between the applicable legislation, primarily the Law, and the provisions set out in this Policy, the provisions of the legislation shall apply. The Company reserves the right to make changes to the Policy in parallel with legal regulations.

Last Updated: 01/01/2026

HYPERLAB OYUN YAZILIM VE PAZARLAMA ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

Ocak 2026

Türkiye Cumhuriyeti Anayasası'nın 20. maddesinin 3. fıkrasına göre, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir…"

Kişisel Verilerin Korunması hakkı temel insan hakkı olarak Avrupa Birliği Temel Haklar Bildirgesi'nin 8. ve Avrupa Birliği'nin İşleyişi Hakkında Antlaşma'nın 16. maddelerinde de yerini almıştır.

KVKK m.4, kişisel verilerin işlenmesi için uyulması gereken temel ilkeleri listelemektedir. Söz konusu ilkeler, Hyperlab Oyun Yazılım ve Pazarlama A.Ş. ("ŞİRKET" veya Şirket) tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır. Şirketin veri işleme süreçlerinde takip ettiği temel ilkeler şu şekildedir:

Hukuka ve Dürüstlük Kuralına Uygun İşleme: "ŞİRKET", kişisel verilerin işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine, dürüstlük kuralına uygun hareket etmektedir.

Kişisel Verileri Doğru ve Güncel İşleme: "ŞİRKET" kişisel verilerin bireyler hakkında doğru ve güncel bilgileri sağlamasının, bireylerin haklarının korunması için büyük önem taşıdığının bilincindedir. İşlenmekte olan kişisel verilerin doğru ve güncel olmasını sağlamak adına kendisinden beklenecek azami özeni göstermektedir.

Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşleme: KVKK veri işleme faaliyetlerinin belirli, açık ve meşru amaçlarla işlenmesini gerektirmektedir. "ŞİRKET" de bu ilke çerçevesinde faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla kişisel veri işleme faaliyetleri yürütmektedir.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü İşleme: "ŞİRKET", kişisel verileri yürüttüğü faaliyetler kapsamında belirlenen amaçları gerçekleştirmesine yetecek sınırlar dahilinde işlemektedir. "ŞİRKET" ihtiyaç olmayan kişisel verileri işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.

İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: "ŞİRKET" tarafından işlenmekte olan kişisel veriler, kişisel veri işleme şartlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza edilmektedir. Söz konusu amaçlar ortadan kalktığında, "ŞİRKET" tarafından ilgili kişisel verilerin muhafaza edilmesi işlemleri sonlandırılacaktır. Şirket bütün veri işleme süreçlerine ilişkin şeffaf biçimde tüm ilgili tarafları gerekli dokümanlarla bilgilendirmektedir.

GİRİŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK/Kanun) gerçek kişilere ait kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gerekli usul ve esasları düzenlemek maksadıyla 7 Nisan 2016 tarihli Resmi Gazete'de yayınlanmıştır.

1. POLİTİKANIN AMACI

Hyperlab Oyun Yazılım ve Pazarlama A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika), yürütülen faaliyetler esnasında işlenecek kişisel verilerin mevzuata uygun olarak işlenmesinin disiplin altına alınması ve Anayasa'da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmıştır.

"Politika" hazırlanırken öncelikle "ŞİRKET" organizasyonu içinde çalışma birimlerinin hangi verileri, neden topladıkları ve bu verileri neden üçüncü kişilere aktardıklarını belirlemek ve Şirketin kişisel veri işleme usulünü anlamak temel ilke olarak belirlenmiştir. Ayrıca, bu Politika ile "ŞİRKET" organizasyonu içinde ve organizasyon dışında veri gizliliğinin korunması için alınacak idari ve teknik tedbirlerin neler olduğunu belirlemek, bu tedbirleri açıklamak ve verileri işlenen bireyleri bilgilendirmek, aydınlatmak hedeflenmektedir.

2. POLİTİKANIN KAPSAMI

"Politika" kapsamına "ŞİRKET" faaliyetleri sebebiyle doğrudan veya dolaylı olarak verileri işlenen tüm gerçek kişiler girmektedir.

İşbu "Politika" kapsamında "ŞİRKET" organizasyonunda yer alan işlem ve faaliyetler çerçevesinde işlenen veriler, verilerin kategorizasyonu, veri alıcı grupları, veri toplama hukuki sebebi ve yöntemi, verilerin aktarıldığı üçüncü kişi grupları, verilerin işleme süreleri, verilerin imha süreleri hakkında özelleştirilmiş bilgilere yer verilmiştir.

3. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İrtibat Kişisi: Türkiye'de yerleşik olan tüzel kişiler ile Türkiye'de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. (İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini "irtibatı" sağlamak üzere görevlendirilen kişidir.)

KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete'de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu.

Kurum: Kişisel Verileri Koruma Kurumu.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Periyodik İmha: Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Veri Sorumlusu tarafından oluşturulan kişisel verilerin işlenmesi ve korunması politikası.

VERBİS: Kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

4. ŞİRKET KVKK YAPISI

Bu Politika kapsamına giren kişisel veri işleme faaliyetleri bakımından veri sorumlusu, Hyperlab Oyun Yazılım ve Pazarlama A.Ş.'dir.

Şirketimiz, KVKK uyum programı çerçevesinde, KVKK'ya uyumun sürekliliğini garanti edebilmek adına kişisel verilerin korunması süreçleri ile ilgili ayrı bir organizasyon tertip ederek, buna uygun iş ve işlemleri gerçekleştirmiş, gerekli teçhizatı sağlamıştır. Bu çerçevede, Şirketimiz bünyesinde bir İrtibat Kişisi görevlendirilmiştir.

4.1. İrtibat Kişisi. Mevzuatın öngördüğü irtibat kişisi tayin etme yükümlülüğünü yerine getirebilmek adına, gerekli eğitimleri almış ve KVKK konusunda aranan yetkinliği haiz bir irtibat kişisi görevlendirilmiştir. İrtibat kişisinin başlıca sorumluluğu, mevzuatın öngördüğü üzere Kurul ve ilgili kişilerle veri sorumlusunun iletişimini sağlamak olup, irtibat kişisinin veri sorumlusunu temsil yetkisi bulunmamaktadır.

5. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI, İŞLEDİĞİMİZ KİŞİSEL VERİLERİNİZ, TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ

i. İşlenme Amaçları. Kişisel verileriniz KVKK'da öngörülen sınırlara riayet edilerek ve "ŞİRKET" ile ilgili mevzuatta gösterilen amaçları gerçekleştirmek için kullanılacaktır. İşleme amaçları şunlardır;

ii. İşlediğimiz Kişisel Verileriniz.

Kimlik Bilgileri: İsminiz, soy isminiz, T.C. kimlik numaranız, anne adı, baba adı, doğum yeri ve tarihi, personel sicil numaranız, uyruk bilginiz, imzanız, fotoğraflı kimlik belgesi örneği ve Şirket'e tarafınızca açık rızanız dahilinde temin edilen sair bilgiler.

İletişim Bilgileri: İkamet adresiniz, işyeri adresiniz, telefon numaranız ve e-posta adresiniz, KEP adresi ile var ise Şirket'e tarafınızla iletişim kurulması için tercih ettiğinizi bildirdiğiniz cep telefonu numaranız, faks numaranız veya size ulaşabilmemiz için rızanız ile temin etmiş olduğunuz diğer iletişim kanallarına ilişkin bilgileriniz.

Çalışma ve Eğitim Bilgileriniz: Şirket'e başvuru (iş başvurusu, etkinliklere katılma başvurusu) için doldurmuş olduğunuz başvuru formu, kayıt evrakı kapsamında ve/veya Şirket resmi e-posta adresi olan hello@hyperlab.games adresine gönderilen iş başvuru formlarında yahut Şirket tarafından sağlanan çevrimiçi ya da fiziki başka başvuru usulleri kullanılmak suretiyle kimlik bilgileriniz, iş durumunuza ait bilgiler, iletişim bilgileriniz ile eğitim durumunuza ait bilgileriniz ve geçmiş mezuniyet bilgileriniz, katıldığınız kurs/seminer bilgileriniz, sertifika bilgileriniz ile ulusal yahut uluslararası sınav sonuçlarınız.

Finansal/Mali Bilgileriniz: Maaş ve yan hakların ödenmesi, fazla ve yersiz alınan ödemelerin iadesi, döner sermayeden yapılacak ödemelerin gerçekleştirilebilmesi, Şirket dışı görevlendirmelerde ödemelerin yapılabilmesi amacıyla edinilen; banka isim ve şube bilgisi, banka hesap no bilgisi, IBAN no bilgisi.

Görsel/İşitsel Bilgiler: Şirket'in düzenlediği konferans, seminer, tiyatro gösterisi, sergi, münazara ve benzeri etkinliklerde etkinlikle ilgili olarak; etkinliği tanıtmak, duyurmak, yaygınlaşmasını sağlamak gibi amaçlar için etkinliğin gerçekleştiği yerin ve katılanların durağan veya akan görüntüleri ve/veya sesleri ile Şirket merkez, şube ve temsilciliklerinde güvenliği sağlamak için kurulmuş olan kameraların sağladığı görsel/işitsel bilgiler.

Askerlik Bilgileri: İşe alım sürecinde erkek çalışan adaylarından alınacak askerlik durumunu gösterir belge/bilgi.

Müşteri Form Bilgisi: Şirket'in müşterisi olan gerçek kişilere ait şikâyetlerin, taleplerin, ihbarların iletildiği formlarda yer alan kimlik bilgileri, iletişim bilgileri, talep, şikâyet veya ihbar kapsamında iletilen bilgiler.

Aile Bireyleri ve Yakın Bilgisi: Kişisel veri sahibinin bakmakla yükümlü olduğu aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki ad-soyad, TC kimlik numarası ve iletişim bilgileri.

Güvenlik Bilgisi: İşyeri içinde güvenlik amacıyla işlenen kişisel veriler; kamera kayıtları.

Beceri ve Yetkinliklere İlişkin Bilgiler: Kişisel veri sahibinin yabancı dil bilgisi, bilgisayar/program bilgisi, mesleki sertifikalar vb. gibi kişinin işle ilgili becerilerini ve yetkinliğini gösterir bilgiler.

Özlük Bilgisi: Geçici süreli çalışanlar da dâhil olmak üzere çalışanlara ait özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen, mazeret izinleri, izin talep bilgileri, yıllık izin bilgileri gibi her türlü kişisel veri.

Özel Nitelikli Kişisel Veriler: İşe alım sürecinde çalışan adaylarından/çalışanlardan alınacak adli sicil kaydı.

iii. Kişisel Verilerinizin Toplanma Yöntemleri. Kişisel verileriniz üye kayıt formu, internet üzerinden doldurulan kayıt/başvuru formları, alındı ve harcama belgeleri, etkinliklerde kullanılan görüntü ve ses kayıt cihazları, güvenlik kamera kayıtları ve ŞİRKET resmi e-mail adresi olan hello@hyperlab.games adresine yahut "@hyperlab.games" uzantısını kullanan Şirket'e ait herhangi bir mail adresine kişisel veri gönderilmesi durumunda söz konusu iletişim kanalları vasıtasıyla toplanmaktadır. Kişisel veriler, fiziken evrak gönderilmesi, Şirket'in sağladığı bir evrakın fiziken doldurulması, +90 533 058 32 37 numaralı GSM hattının aranması suretiyle de toplanmaktadır.

6. KİŞİSEL VERİLERİN AKTARIMI

Yurtiçi aktarım: Bilindiği üzere, KVKK 8/2-a ve b maddesi gereğince kişisel verilerin KVKK 5/2 ve 6/3 maddesi kapsamında işlenmesi halinde açık rıza alınmaksızın yurtiçinde aktarılması mümkündür. "ŞİRKET" tarafından ilgili hükümler gözetilerek 3. kişilere aktarım yapılmakta olup, söz konusu hükümler kapsamına girilmemesi halinde ise ilgili kişilerin açık rızasına başvurulmaktadır.

Yurtdışı aktarım: "ŞİRKET" tarafından kural olarak yurtdışı aktarım yapılmamaktadır. Ancak, "ŞİRKET" tarafından işlenen veri ve belgelerin Şirket dışında bulunan bilgisayarlarda tutulması, e-mail gönderilmesi ve kayıtlara söz konusu bilgisayarlardan erişilmesi, bu verilerin tutulduğu, aktarıldığı sistemlerin ve/veya e-mail sağlayıcılarının veri tabanlarının yurtdışında konumlandırılmış olması mümkün olabilmektedir. Bu halde ise KVKK'nın 9. maddesi hükümlerine riayet edilmek suretiyle aktarım yapılacaktır.

Kişisel verileriniz bu Politikada gösterilen amaçlar için ve buradaki vasıtalarla, yetkili kamu kurum ve kuruluşları, yargı mercileri, infaz mercileri, emniyet birimleri ile sözleşmeli ürün ve veya hizmet alınan tedarikçiler ve hissedarlar ile paylaşılmaktadır. Paylaşım yapılan tarafları gösteren tablo aşağıdadır:

Veri Aktarımı Yapılabilecek Kişiler Tanım Amaç
Hissedarlar İlgili mevzuat hükümlerine göre şirketin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlar Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak kişisel verilerin paylaşımı
Şirket Yetkilileri Yönetim kurulu üyeleri ve diğer yetkilendirilen kişiler Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kişisel verilerin paylaşımı
Hukuken Yetkili Özel Hukuk Kişileri Hukuken şirketten bilgi ve belge almaya yetkili özel hukuk kişileri İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak verilerin paylaşımı
Hukuken Yetkili Kamu Kurum ve Kuruluşları Hukuken şirketten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları İlgili kamu kurum ve kuruluşlarının bilgi talep etme amacıyla sınırlı olarak kişisel veri paylaşımı

7. İLGİLİ KİŞİNİN HAKLARI

KVKK kapsamında ilgili kişi;

Haklarınızı Nasıl Kullanabilirsiniz? Kişisel verilerinize ilişkin olarak KVKK'nın 11. maddesi kapsamındaki taleplerinizi; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun şekilde yazılı olarak Şirket'in Esentepe Mah. Talatpaşa Cad. No:5/1 Levent-Şişli/İstanbul adresine iletebilirsiniz veya https://www.hyperlab.games/contact-us/ adresi üzerinden talep oluşturarak Şirket'e gönderebilirsiniz. "ŞİRKET", talepleri en kısa sürede ve en geç 30 gün içinde sonuçlandırır.

8. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE KANUNİ İSTİSNALAR ve AÇIK RIZA AÇIKLAMASI

"ŞİRKET" tarafından ilke olarak ilgili kişilerin "açık rızalarına" başvurma yönteminin benimsenmesi arzu edilmektedir. İşbu Politika'da belirtilen işleme amaç ve şartları dikkate alındığında kanuni istisnalar kapsamına giren veri işleme şartları bakımından ilgili kişilerin rızalarının alınması gereği bulunmamaktadır. Ancak bu hal hiçbir koşulda "ŞİRKET"in istisna hükümlerden yararlanmayacağı ve/veya her durumda açık rıza alma yolunu seçeceği şeklinde yorumlanmamalıdır.

9. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BİLGİLER

9.1. Kişisel Verilerin Elde Edildiği Kanallar. Şirketimiz kişisel verileri temelde aşağıdaki kanallardan elde etmektedir: Organizasyon, Etkinlik, Konferans Katılımcı-Davetli; Çalışanların Özlük Dosyası Belgeleri; Kamera Kayıtları; SMS/E-Posta, Telefon; Posta, Kargo ya da Kurye Hizmetleri; Diğer Fiziki ve Elektronik Ortamlar.

9.2. Kişisel Verilerin Sınıflandırılması. Mevzuatımız kişisel verileri temel olarak kişisel veriler ve özel nitelikli kişisel veriler olarak iki kategori altında toplamaktadır. "ŞİRKET"in kişisel verilere ilişkin kategorileri aşağıdaki tabloda paylaşılmaktadır:

Kişisel Veri Kategorisi Açıklama
İletişim Verileri Kişilerle iletişim amacıyla kullanılabilecek her türlü kişisel veri (adres, e-posta adresi, iletişim adresi, KEP, telefon no).
Özel Nitelikli Kişisel Veriler İşe alım sürecinde çalışan ve çalışan adaylarından alınacak adli sicil kaydı.
Kimlik Verileri Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren belgeler ile vergi numarası, SGK numarası, imza bilgisi vb.
Müşteri Form Bilgisi Şirket'in müşterisi olan gerçek kişilere ait şikâyet, talep ve ihbar formlarında yer alan bilgiler.
Aile Bireyleri ve Yakın Bilgisi Aile bireyleri, yakınlar ve acil durumda ulaşılacak kişilere ait ad-soyad, TC kimlik numarası ve iletişim bilgileri.
Güvenlik Bilgisi İşyeri içinde güvenlik amacıyla işlenen kamera kayıtları.
Finansal Bilgi Banka hesap numarası, IBAN, kredi kartı bilgisi, fatura, maaş, gelir bilgisi gibi veriler.
Beceri ve Yetkinlik Bilgileri Yabancı dil bilgisi, bilgisayar/program bilgisi, mesleki sertifikalar vb.
Özlük Bilgisi Mazeret izinleri, izin talep bilgileri, yıllık izin bilgileri gibi her türlü kişisel veri.

9.3. İlgili Kişi Sınıflandırması.

İlgili Kişi Sınıfları Açıklama
Çalışan Adayı Şirkete özgeçmiş göndererek veya başka yöntemlerle iş başvurusu yapan gerçek kişiler.
Çalışan İşe kabulü gerçekleşmiş ve özlük dosyası oluşturulmuş gerçek kişiler.
Üçüncü Kişiler Yukarıdaki kategoriler ile şirket çalışanları hariç gerçek kişiler.

10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

"ŞİRKET" kişisel verilerini elektronik ve fiziki ortamlarda gerekli teknik ve idari güvenlik tedbirlerini alarak saklamaktadır. Saklama süresi ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır. İmha işlemleri ilgili mevzuatın hükümlerine uygun olarak 6 aylık periyotlarla re'sen gerçekleştirilmekte veya veri sahiplerinden gelen taleplerin yerinde bulunması halinde neticeye bağlanmaktadır. İlgili kişinin silme ve/veya yok etme taleplerini "ŞİRKET" en geç 30 gün içinde yerine getirir. Kişisel Verilerin imhası ile ilgili tutanaklar 3 yıl süre ile saklanır.

11. AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK'nın 10. maddesi uyarınca "ŞİRKET"; kişisel verilerin elde edilmesi sırasında veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplamanın yöntemi ve hukuki sebebi ile 11. maddede sayılan haklar konusunda ilgili veri sahiplerini bilgilendirerek aydınlatma yükümlülüğünü yerine getirir.

12. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER

"ŞİRKET", işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda gereken her türlü makul dikkat ve özeni göstermektedir. KVKK'nın 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için gereken teknik ve idari tedbirleri makul düzeyde almaktadır.

İdari Tedbirler: Bilgili ve deneyimli personel istihdamı ve eğitimi; gizlilik sözleşmeleri ve bilgi güvenliği eğitimleri; periyodik ve rastgele iç denetimler; aydınlatma yükümlülüğünün yerine getirilmesi; kişisel veri işleme envanteri hazırlanması.

Teknik Tedbirler: Kişisel veri güvenliğinin takibi için gerekli iç kontroller; ağ güvenliği, uygulama güvenliği ve anti-virüs sistemleri dâhil güncel yazılımlar; erişim kayıtlarının tutulması ve uygunsuz erişimlerin kontrolü; özel nitelikli verilere yönelik ayrı politika; bilişim sistemlerinin fiziksel güvenliği.

15. ÇALIŞANLAR VE VERİ İŞLEYENLERİN KVKK KONUSUNDA EĞİTİLMESİ VE DENETİMİ

Şirket, çalışanlarına gerekli farkındalık eğitimlerini vermekte ve yeni katılan çalışanların da bu eğitimleri almasını temin etmektedir. Şirket veri işleyenlerini dikkatli seçmekte, KVKK uyumlarını iş süreçlerinin bir şartı olarak sunmakta ve belirli aralıklarla uyum durumunu sorgulamaktadır.

16. VERİ SORUMLUSU KİMLİĞİ

Veri Sorumlusu Hyperlab Oyun Yazılım ve Pazarlama A.Ş.
Adres Esentepe Mah. Talatpaşa Cad. No:5/1 Levent-Şişli/İstanbul
İnternet Sitesi www.hyperlab.games

17. YÜRÜRLÜK

Şirket tarafından düzenlenen bu Politika 02/03/2023 tarihinde yürürlüğe girmiş ve kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika'da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere paralel olarak Politika'da değişiklik yapma hakkını saklı tutar.

Son Güncelleme Tarihi: 01/01/2026