KVKK/GDPR
HYPERLAB OYUN YAZILIM VE PAZARLAMA ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
MART 2023
Türkiye Cumhuriyeti Anayasası’nın 20. maddesinin 3. fıkrasına göre, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir…”
Kişisel Verilerin Korunması hakkı temel insan hakkı olarak Avrupa Birliği Temel Haklar Bildirgesi’nin 8. ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın 16. maddelerinde de yerini almıştır.
KVKK m.4, kişisel verilerin işlenmesi için uyulması gereken temel ilkeleri listelemektedir. Söz konusu ilkeler, Hyperlab Oyun Yazılım ve Pazarlama A.Ş. (“ŞİRKET” veya Şirket) tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır. Şirketin veri işleme süreçlerinde takip ettiği temel ilkeler şu şekildedir:
Hukuka ve Dürüstlük Kuralına Uygun İşleme: “ŞİRKET”, kişisel verilerin işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine, dürüstlük kuralına uygun hareket etmektedir.
Kişisel Verileri Doğru ve Güncel İşleme: “ŞİRKET” kişisel verilerin bireyler hakkında doğru ve güncel bilgileri sağlamasının, bireylerin haklarının korunması için büyük önem taşıdığının bilincindedir. İşlenmekte olan kişisel verilerin doğru ve güncel olmasını sağlamak adına kendisinden beklenecek azami özeni göstermektedir.
Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşleme: KVKK veri işleme faaliyetlerinin belirli, açık ve meşru amaçlarla işlenmesini gerektirmektedir. “ŞİRKET” de bu ilke çerçevesinde faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla kişisel veri işleme faaliyetleri yürütmektedir.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü İşleme: “ŞİRKET”, kişisel verileri yürüttüğü faaliyetler kapsamında belirlenen amaçları gerçekleştirmesine yetecek sınırlar dahilinde işlemektedir. “ŞİRKET” ihtiyaç olmayan kişisel verileri işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.
İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: “ŞİRKET” tarafından işlenmekte olan kişisel veriler, kişisel veri işleme şartlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza edilmektedir. Söz konusu amaçlar ortadan kalktığında, “ŞİRKET” tarafından ilgili kişisel verilerin muhafaza edilmesi işlemleri sonlandırılacaktır. Şirket bütün veri işleme süreçlerine ilişkin şeffaf biçimde tüm ilgili tarafları gereli dokümanlarla bilgilendirmektedir.
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK/Kanun) gerçek kişilere ait kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gerekli usul ve esasları düzenlemek maksadıyla 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanmıştır.
1. POLİTİKANIN AMACI
Hyperlab Oyun Yazılım ve Pazarlama A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika), yürütülen faaliyetler esnasında işlenecek kişisel verilerin mevzuata uygun olarak işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmıştır.
“Politika” hazırlanırken öncelikle “ŞİRKET” organizasyonu içinde çalışma birimlerinin hangi verileri, neden topladıkları ve bu verileri neden üçüncü kişilere aktardıklarını belirlemek ve Şirketin kişisel veri işleme usulünü anlamak temel ilke olarak belirlenmiştir. Ayrıca, bu Politika ile “ŞİRKET” organizasyonu içinde ve organizasyon dışında veri gizliliğinin korunması için alınacak idari ve teknik tedbirlerin neler olduğunu belirlemek, bu tedbirleri açıklamak ve verileri işlenen bireyleri bilgilendirmek, aydınlatmak hedeflenmektedir.
2. POLİTİKANIN KAPSAMI
“Politika” kapsamına “ŞİRKET” faaliyetleri sebebiyle doğrudan veya dolaylı olarak verileri işlenen tüm gerçek kişiler girmektedir.
İşbu “Politika” kapsamında “ŞİRKET” organizasyonunda yer alan işlem ve faaliyetler çerçevesinde işlenen veriler, verilerin kategorizasyonu, veri alıcı grupları, veri toplama hukuki sebebi ve yöntemi, verilerin aktarıldığı üçüncü kişi grupları, verilerin işleme süreleri, verilerin imha süreleri hakkında özelleştirilmiş bilgilere yer verilmiştir.
3. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi.
(İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.)
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Kurum: Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha: Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Veri Sorumlusu tarafından oluşturulan kişisel verilerin işlenmesi ve korunması politikası.
VERBİS: Kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
4. ŞİRKET KVKK YAPISI
Bu Politika kapsamına giren kişisel veri işleme faaliyetleri bakımından veri sorumlusu, Hyperlab Oyun Yazılım ve Pazarlama A.Ş.’dir.
Şirketimiz, KVKK uyum programı çerçevesinde, KVKK’ya uyumun sürekliliğini garanti edebilmek adına kişisel verilerin korunması süreçleri ile ilgili ayrı bir organizasyon tertip ederek, buna uygun iş ve işlemleri gerçekleştirmiş, gerekli teçhizatı sağlamıştır. Bu çerçevede, Şirketimiz bünyesinde bir İrtibat Kişisi görevlendirilmiştir.
4.1. İrtibat Kişisi
Mevzuatın öngördüğü irtibat kişisi tayin etme yükümlülüğünü yerine getirebilmek adına, gerekli eğitimleri almış ve KVKK konusunda aranan yetkinliği haiz bir irtibat kişisi görevlendirilmiştir. İrtibat kişisinin başlıca sorumluluğu, mevzuatın öngördüğü üzere Kurul ve ilgili kişilerle veri sorumlusunun iletişimini sağlamak olup, irtibat kişisinin veri sorumlusunu temsil yetkisi bulunmamaktadır.
5. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI, İŞLEDİĞİMİZ KİŞİSEL VERİLERİNİZ, TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
- İşlenme Amaçları
Kişisel verileriniz KVKK’da öngörülen sınırlara riayet edilerek ve “ŞİRKET” ile ilgili mevzuatta gösterilen amaçları gerçekleştirmek için kullanılacaktır. İşleme amaçları şunlardır;
a. Şirketimiz tarafından sunulan hizmetlerden yararlanmanız için gereken çalışmaların ilgili birimlerce yapılması,
b. Tarafımızla paylaştığınız iletişim kanallarınız üzerinden Şirketimiz ve faaliyetlerinin tanıtımı amacıyla sizinle iletişime geçilmesi,
c. Şirketin ihtiyaç duyduğu alanlarda personel temini, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu başta gelmek üzere iş hayatını düzenleyen mevzuat kapsamında hak ve yükümlülüklerin yerine getirilmesi,
d. Personele ilişkin maaş ödeme, harcırah temini, döner sermaye ödemelerinin gerçekleştirilebilmesi vb. faaliyetlerin yürütülmesi, Şirket içi yazışmaların yapılması,
e. Yetkili kamu kurum ve kuruluşları ile yargı makamlarına kanunlarda gösterilen haller dahilinde bilgi-belge temini,
f. Şirketteki organizasyon ve etkinlik (seminer, konferans, toplantı, eğitim, sempozyum vb.) yönetimi süreçlerinin işlerliğinin sağlanarak kamuoyuna duyurulması, Şirketin kamuoyunda bilinirliğinin sağlanması ve güncelliğinin korunabilmesi için internet sayfası ve sosyal medya hesaplarının güncel verilerle sürekliliğinin sağlanması, tanıtım ve reklam süreçlerinin yönetilmesi,
g. Saklama ve arşiv faaliyetlerinin yürütülebilmesi ve yıllık birim faaliyet raporlarının oluşturulabilmesi amacıyla mevzuatta gösterilen usullerle arşiv tutulması,
h. Müşteri talep ve şikayetlerinin incelenebilmesi,
ı. Ziyaretçi kayıtlarının oluşturulması ve takibi,
i. Bina, personel ve ziyaretçi güvenliğinin temini,
j.Verilerin anonim hale getirilerek araştırma amacıyla istatistiki faaliyetlerde kullanılabilmesi,
k. KVKK kapsamında yapılacak ilgili kişi başvurularının alınması ve yanıtlanabilmesi.
- İşlediğimiz Kişisel Verileriniz
Kimlik Bilgileri : İsminiz, soy isminiz, T.C. kimlik numaranız, anne adı, baba adı, doğum yeri ve tarihi, personel sicil numaranız, uyruk bilginiz, imzanız, fotoğraflı kimlik belgesi örneği ve Şirket’e tarafınızca açık rızanız dahilinde temin edilen sair bilgiler.
İletişim Bilgileri : İkamet adresiniz, işyeri adresiniz, telefon numaranız ve e-posta adresiniz, KEP adresi ile var ise Şirket’e tarafınızla iletişim kurulması için tercih ettiğinizi bildirdiğiniz cep telefonu numaranız, faks numaranız veya size ulaşabilmemiz için rızanız ile temin etmiş olduğunuz diğer iletişim kanallarına ilişkin bilgileriniz.
Çalışma ve Eğitim Bilgileriniz : Şirket’e başvuru (iş başvurusu, etkinliklere katılma başvurusu) için doldurmuş olduğunuz başvuru formu, kayıt evrakı kapsamında ve/veya Şirket resmi e-posta adresi olan hello@hyperlab.games adresine gönderilen iş başvuru formlarında yahut Şirket tarafından sağlanan çevrimiçi ya da fiziki başka başvuru usulleri kullanılmak suretiyle kimlik bilgileriniz, iş durumunuza ait bilgiler, iletişim bilgileriniz ile eğitim durumunuza ait (“Üniversite mezunu, yüksek lisans mezunu, fizik bölümü mezunu” gibi) bilgileriniz ve geçmiş mezuniyet bilgileriniz, katıldığınız kurs/seminer bilgileriniz, sertifika bilgileriniz ile ulusal yahut uluslararası sınav sonuçlarınız.
Finansal/Mali Bilgileriniz : Maaş ve yan hakların ödenmesi, fazla ve yersiz alınan ödemelerin iadesi, döner sermayeden yapılacak ödemelerin gerçekleştirilebilmesi, Şirket dışı görevlendirmelerde ödemelerin yapılabilmesi amacıyla edinilen; banka isim ve şube bilgisi, banka hesap no bilgisi, IBAN no bilgisi.
Görsel/İşitsel Bilgiler: Şirket’in düzenlediği konferans, seminer, tiyatro gösterisi, sergi, münazara ve benzeri etkinliklerde etkinlikle ilgili olarak; etkinliği tanıtmak, duyurmak, yaygınlaşmasını sağlamak gibi amaçlar için etkinliğin gerçekleştiği yerin ve katılanların durağan veya akan görüntüleri ve/veya sesleri ile Şirket merkez, şube ve temsilciliklerinde güvenliği sağlamak için kurulmuş olan kameraların sağladığı görsel/işitsel bilgiler. Söz konusu etkinliklerde elde edilen görsel/işitsel bilgiler Şirket faaliyetlerini aşmayacak ve etkinliğin amacı ile sınırlı olacak şekilde Şirket’in internet sitesinde, Şirket tarafından kullanılan sosyal paylaşım platformlarında, Şirket tarafından basılan eserlerde kullanılabilecektir. Yahut Şirket’in izniyle ve kontrolü altında basılmak/yayınlanmak üzere 3. kişilere (basımevi, yayıncı, kurum, kuruluş…) gönderilebilecektir. Bu kullanım usulü güvenlik kamera görüntülerini kapsamayacak olup, ilgili görsel/işitsel kişisel veriler kullanılmadan önce (Misalen; etkinliğin başında) katılımcılara ayrıca bilgilendirme yapılacak olup, açık rızaları alınacaktır.
Askerlik Bilgileri : İşe alım sürecinde erkek çalışan adaylarından alınacak askerlik durumunu gösterir belge/bilgi.
Müşteri Form Bilgisi : Şirket’in müşterisi olan gerçek kişilere ait şikâyetlerin, taleplerin, ihbarların iletildiği formlarda yer alan kimlik bilgileri, iletişim bilgileri, talep, şikâyet veya ihbar kapsamında iletilen bilgiler.
Aile Bireyleri ve Yakın Bilgisi: Kişisel veri sahibinin bakmakla yükümlü olduğu aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki ad-soyad, TC kimlik numarası ve iletişim bilgileri.
Güvenlik Bilgisi : İşyeri içinde güvenlik amacıyla işlenen kişisel veriler; kamera kayıtları.
Beceri ve Yetkinliklere İlişkin Bilgiler: Kişisel veri sahibinin yabancı dil bilgisi, bilgisayar/program bilgisi, mesleki sertifikalar vb. gibi kişinin işle ilgili becerilerini ve yetkinliğini gösterir bilgiler.
Özlük Bilgisi : Geçici süreli çalışanlar da dâhil olmak üzere çalışanlara ait özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen, mazeret izinleri, izin talep bilgileri, yıllık izin bilgileri gibi her türlü kişisel veri.
Özel Nitelikli Kişisel Veriler : İşe alım sürecinde çalışan adaylarından/çalışanlardan alınacak adli sicil kaydı.
Şirket’in bu amaçlar haricinde başka herhangi bir doğrudan özel nitelikli kişisel veri işleme amacı olmamakla birlikte Şirket’e sunmuş olduğunuz kimlik belgesi, fotoğraflar yahut etkinlikler kapsamında durağan/akan görüntülerden elde edilen veriler kapsamında dolaylı olarak edinilme ihtimali olan din, kılık-kıyafet, felsefi inanç, siyasi düşünce ve sağlık verileriniz (örneğin fotoğraftan anlaşılan kıyafet, cihaz ve protezler) ile Şirket tarafından sağlanan bir evrakta ihtiyari olarak belirttiğiniz özel nitelikli sair bilgiler.
iii. Kişisel Verilerinizin Toplanma Yöntemleri
Kişisel verileriniz üye kayıt formu, internet üzerinden doldurulan kayıt/başvuru formları, alındı ve harcama belgeleri, etkinliklerde kullanılan görüntü ve ses kayıt cihazları, güvenlik kamera kayıtları ve ŞİRKET resmi e-mail adresi olan hello@hyperlab.games adresine yahut “@hyperlab.games” uzantısını kullanan Şirket’e ait herhangi bir mail adresine kişisel veri gönderilmesi durumunda söz konusu iletişim kanalları vasıtasıyla toplanmaktadır.
Kişisel veriler, fiziken evrak gönderilmesi, Şirket’in sağladığı bir evrakın fiziken doldurulması, +90 533 058 32 37 numaralı GSM hattının aranması suretiyle de toplanmaktadır.
- Kişisel Veri İşlemenin Hukuki Sebepleri
KVKK, kişisel verilerin işlenme şartlarını 5. maddesinin 2. fıkrasında listelemektedir. Eğer bir veri sorumlusu tarafından kişisel verilerin işlenme amaçları, KVKK’da listelenmiş olan kişisel veri işleme şartları çerçevesinde değerlendirilebiliyorsa, o veri sorumlusu kişisel verileri hukuka uygun olarak işleyebilmektedir. Bu kapsamda Şirket faaliyetinin KVKK’da düzenlenen kişisel veri işleme şartları kapsamında değerlendirilebildiği durumlarda Şirket tarafından kişisel veri işleme faaliyetleri gerçekleştirilmektedir. Şirket kişisel veri işleme şartları kapsamına girmeyen herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır.
KVKK’da yer alan kişisel veri işleme şartları şunlardır;
İlgili kişinin açık rızasının bulunması,
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Veri sahibinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel veriler için de temel işleme şartı açık rızadır ve Şirket temelde özel nitelikli kişisel veri işleme amacı gütmemektedir. Ancak faaliyetimiz gereği işlememiz gereken veya açık rızanız ile onay verdiğiniz özel nitelikli kişisel verileriniz de mevzuat dahilinde ölçülü olarak işlenmektedir.
KVKK’da özel nitelikli kişisel verilerin işlenebilmesi için sayılan şartlar şunlardır;
İlgili kişinin açık rızasının bulunması,
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kanunlarda açıkça öngörülmesi,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbî teşhis,
Tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
6. KİŞİSEL VERİLERİN AKTARIMI
Yurtiçi aktarım: Bilindiği üzere, KVKK 8/2-a ve b maddesi gereğince kişisel verilerin KVKK 5/2 ve 6/3 maddesi kapsamında işlenmesi halinde açık rıza alınmaksızın yurtiçinde aktarılması mümkündür. “ŞİRKET” tarafından ilgili hükümler gözetilerek 3. kişilere aktarım yapılmakta olup, söz konusu hükümler kapsamına girilmemesi halinde ise ilgili kişilerin açık rızasına başvurulmaktadır.
Yurtdışı aktarım: “ŞİRKET” tarafından kural olarak yurtdışı aktarım yapılmamaktadır. Ancak, “ŞİRKET” tarafından işlenen veri ve belgelerin Şirket dışında bulunan bilgisayarlarda tutulması, e-mail gönderilmesi ve kayıtlara söz konusu bilgisayarlardan erişilmesi, bu verilerin tutulduğu, aktarıldığı sistemlerin ve/veya e-mail sağlayıcılarının veri tabanlarının yurtdışında konumlandırılmış olması mümkün olabilmektedir. İlaveten özellikle yurtdışı organizasyon, etkinlik düzenlemelerinde, otel konaklamaları, vizelerin alınması, uçak biletlerinin alınması, yurtdışı etkinliğin yürütülmesi ve planlanmasında kişisel verilerin yurtdışına aktarılması zarureti bulunabilmektedir. Bu halde ise KVKK’nın 9. maddesi hükümlerine riayet edilmek suretiyle aktarım yapılacaktır.
Kişisel verileriniz bu Politikada gösterilen amaçlar için ve buradaki vasıtalarla, yetkili kamu kurum ve kuruluşları, yargı mercileri, infaz mercileri, emniyet birimleri ile sözleşmeli ürün ve veya hizmet alınan tedarikçiler ve hissedarlar ile paylaşılmaktadır. Paylaşım yapılan tarafları gösteren tablo aşağıdadır:
Veri Aktarımı Yapılabilecek Kişiler |
Tanım |
Amaç |
Hissedarlar |
İlgili mevzuat hükümlerine göre şirketin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlar |
Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak kişisel verilerin paylaşımı |
Şirket Yetkilileri |
Yönetim kurulu üyeleri ve diğer yetkilendirilen kişiler |
Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kişisel verilerin paylaşımı
|
Hukuken Yetkili Özel Hukuk Kişileri |
Hukuken şirketten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak verilerin paylaşımı |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
Hukuken şirketten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının bilgi talep etme amacıyla sınırlı olarak kişisel veri paylaşımı |
Şirket amaçlarını ilgilendirmeyen hiçbir veri aktarımı yapılmamaktadır. Örneğin; rızanız doğrultusunda elde etmiş olsak dahi IP adresi bilginiz veya araç plakanıza ait bilgiler yukarıda gösterilen kişi ve kurumlar da dahil olmak üzere hiçbir 3. kişi ile paylaşılmamaktadır. Bu belirlemenin istisnası, söz konusu veriye ilişkin aktarımın mevzuat ile zorunlu kılınması, yahut bir suç soruşturması için mecburi olması veya resmî bir makamca mevzuata dayalı olarak ve gerekçesi gösterilerek talep edilmesidir.
7. İLGİLİ KİŞİNİN HAKLARI
KVKK kapsamında ilgili kişi;
Kişisel Verilerinizin işlenip işlenmediğini öğrenme,
Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme,
Kişisel Verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme,
Kişisel Verilerinizin imhası veya düzeltilmesine ilişkin işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel Verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahiptir.
Haklarınızı Nasıl Kullanabilirsiniz?
Kişisel verilerinize ilişkin olarak KVKK’nın 11. maddesi kapsamındaki taleplerinizi; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde yazılı olarak Şirket’in Esentepe Mah. Talatpaşa Cad. No:5/1 Levent-Şişli/İstanbul adresine iletebilirsiniz veya https://www.hyperlab.games/contact-us/ adresi üzerinden talep oluşturarak Şirket’e gönderebilirsiniz.
Başvuruda;
Ad, soyad ve imza,
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
Tebligata esas yerleşim yeri veya iş yeri adresi,
Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
Talep konusu bulunması zorunludur.
Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.
Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir
“ŞİRKET”, ilgili kişilerin yukarıda sıralanan haklarına ilişkin yazılı olarak ya da Kurul tarafından belirlenecek diğer yöntemlerle iletecekleri taleplerini, iletim tarihinden sonra en kısa sürede ve en geç otuz günde sonuçlandıracaktır. Kurul tarafından yayınlanan tarifeler çerçevesinde veri sahiplerinin başvuruları ücretlendirilebilecektir. İlgili Tebliğ’in 7. maddesi gereğince, İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.
Veri sahipleri tarafından yapılan başvuruların yanıtlanması amacıyla “ŞİRKET” tarafından başvurucunun kimliğinin doğrulanması, ilgisiz kişilere bir başka kişinin kişisel verilerinin hukuka aykırı olarak iletilmesinin önüne geçilmesi ile başvurucu talebinin netleştirilmesi amacıyla ek bilgi ve belge talep edilebilecektir. Söz konusu bilgi ve belgelerin paylaşılmaması halinde veri sahibinin başvurusu cevaplanamayabilecektir.
Başvurunun “kimlik sahibi” ve/veya yetkili kişi tarafından yapılmış olduğunun teyit edilmesi ciddi önem taşımaktadır. Keza amaç kişisel verilerin korunması iken, kimlik doğrulamasının yapılamamasından ötürü 3. kişilere kişisel verilerin verilmesi ve KVKK’nın 11. maddesinde izah edilen haklar dahilinde işlem yapılması ilgili kişinin korunması gereken menfaatini zedeleyecektir. Bu nedenle kimlik doğrulama işlemleri bakımından hassasiyetimizi anlayışla karşılayacağınızı ve Şirketimize yardımcı olacağınızı temenni etmekteyiz.
“ŞİRKET”, talepleri en kısa sürede ve en geç 30 gün içinde sonuçlandırır. Değerlendirme sonucu yazılı olarak veya elektronik ortamda ilgiliye bildirilir ve talebin kabulü halinde KVKK’ya uygun şekilde gereği yapılır.
İlgili kişilerin başvurularının reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi cevabı öğrendiği tarihten itibaren 30 gün içinde Kişisel Verilerin Korunması Kurulu’na KVKK madde 14 uyarınca şikâyette bulunabilir.
8. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE KANUNİ İSTİSNALAR ve AÇIK RIZA AÇIKLAMASI
“ŞİRKET” tarafından ilke olarak ilgili kişilerin “açık rızalarına” başvurma yönteminin benimsenmesi arzu edilmektedir. İşbu Politika’da belirtilen işleme amaç ve şartları dikkate alındığında kanuni istisnalar kapsamına giren veri işleme şartları bakımından ilgili kişilerin rızalarının alınması gereği bulunmamaktadır.
Ancak bu hal hiçbir koşulda “ŞİRKET”in istisna hükümlerden yararlanmayacağı ve/veya her durumda açık rıza alma yolunu seçeceği şeklinde yorumlanmamalıdır.
9. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BİLGİLER
9.1. Kişisel Verilerin Elde Edildiği Kanallar
Şirketimiz kişisel verileri temelde aşağıdaki kanallardan elde etmektedir:
Organizasyon, Etkinlik, Konferans Katılımcı- Davetli
Çalışanların Özlük Dosyası Belgeleri
Kamera Kayıtları,
SMS/E-Posta, Telefon
Posta, Kargo ya da Kurye Hizmetleri,
Diğer Fiziki ve Elektronik Ortamlar.
Teknolojik gelişmelere bağlı olarak “ŞİRKET” tarafından yukarıdaki kişisel veri elde etme kanallarına yeni eklemeler yapılabilecek ya da mevcut kanallardan bazılarının kullanılmasından vazgeçilebilecektir. Böyle durumlarda da şeffaflığı ve hesap verilebilirliği korumak adına Politika’nın güncellenmesi yoluyla kullanılan kanalların doğru bir şekilde ifade edilmesi sağlanacaktır.
9.2. Kişisel Verilerin Sınıflandırılması
Mevzuata uyum sağlanması için kişisel verilerin kategorize edilmesi son derece önemlidir. Mevzuatımız kişisel verileri temel olarak kişisel veriler ve özel nitelikli kişisel veriler olarak iki kategori altında toplamaktadır. Söz konusu kategoriler altında veri tiplerine göre tarafımızca kategorizasyon yapılmıştır.
“ŞİRKET”in kişisel verilere ve özel nitelikli kişisel verilere ilişkin kategoriler aşağıdaki tabloda paylaşılmaktadır:
Kişisel Veri Kategorisi |
Açıklama |
İletişim Verileri |
Kişilerle iletişim amacıyla kullanılabilecek her türlü kişisel veri bu kategori altında değerlendirilecektir. (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no) |
Özel Nitelikli Kişisel Veriler |
İşe alım sürecinde çalışan ve çalışan adaylarından alınacak adli sicil kaydı. |
Kimlik Verileri |
Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi vb. bilgiler |
Müşteri Form Bilgisi |
Şirket’in müşterisi olan gerçek kişilere ait şikâyetlerin, taleplerin, ihbarların iletildiği formlarda yer alan kimlik bilgileri, iletişim bilgileri, talep, şikâyet veya ihbar kapsamında iletilen bilgiler. |
Aile Bireyleri ve Yakın Bilgisi |
Kişisel veri sahibinin bakmakla yükümlü olduğu aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki ad-soyad, TC kimlik numarası ve iletişim bilgileri. |
Güvenlik Bilgisi |
İşyeri içinde güvenlik amacıyla işlenen kişisel veriler; kamera kayıtları. |
Finansal Bilgi |
Banka hesap numarası, IBAN numarası, kredi kartı bilgisi, fatura, finansal profil, malvarlığı verisi, maaş, gelir bilgisi gibi veriler. |
Beceri ve Yetkinliklere İlişkin Bilgiler |
Kişisel veri sahibinin yabancı dil bilgisi, bilgisayar/program bilgisi, mesleki sertifikalar vb. gibi kişinin işle ilgili becerilerini ve yetkinliğini gösterir bilgiler |
Özlük Bilgisi |
Geçici süreli çalışanlar da dâhil olmak üzere çalışanlara ait özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen, mazeret izinleri, izin talep bilgileri, yıllık izin bilgileri gibi her türlü kişisel veri. |
9.3. İlgili Kişi Sınıflandırması
“ŞİRKET”in ilgili kişilere ilişkin sınıflandırması aşağıdaki tabloda gösterilmektedir:
İlgili Kişi Sınıfları |
Açıklama |
Çalışan Adayı |
Şirkete özgeçmiş göndererek veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade eder. |
Çalışan |
Şirkete özgeçmiş göndermesi sonrası işe kabulü gerçekleşmiş ve özlük dosyası oluşturulmuş gerçek kişileri ifade eder. |
Üçüncü Kişiler |
Yukarıda yer verilen veri sahibi kategorileri ile şirketin çalışanları hariç gerçek kişileri ifade etmektedir. |
10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
“ŞİRKET” kişisel verilerini işlemekte olduğu veri sahiplerinin kişisel verilerini elektronik ve fiziki ortamlarda gerekli teknik ve idari güvenlik tedbirlerini alarak saklamaktadır.
“ŞİRKET”in kişisel verileri saklama süresi ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır.
KVKK’da yer alan kişisel veri işleme şartlarının varlığını ortadan kaldıracak kişisel veri işleme amaçlarının sona ermesi halinde, “ŞİRKET” tarafından kişisel veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak 6 aylık periyotlarla re’sen gerçekleştirilmekte veya veri sahiplerinden gelen taleplerin yerinde bulunması halinde neticeye bağlanmaktadır. Mevzuat gereğince, ilgili kişinin silme ve/veya yok etme taleplerini “ŞİRKET” mevzuatta başkaca bir süre öngörülmediği takdirde en geç 30 gün içinde yerine getirerek ilgili kişiyi bilgilendirecektir.
Kişisel Verilerin imhası ile ilgili tutanaklar ise “ŞİRKET” tarafından 3 yıl süre ile saklanacaktır. Özel mevzuatlarda öngörülen süreler saklı olup, KVKK ve ilgili mevzuatında yapılan değişiklikler sebebiyle buradaki sürelerin değişmesi durumunda söz konusu güncel süreler uygulanacaktır.
“ŞİRKET” tarafından silme, anonimleştirme ya da yok etme imha teknikleri kullanılmaktadır.
İmhaya ilişkin süreçler İrtibat Kişisi tarafından yürütülür ve karara bağlanır.
11. AYDINLATMA YÜKÜMLÜLÜĞÜ
KVKK’nın 10. maddesi uyarınca “ŞİRKET”; kişisel verilerin elde edilmesi sırasında aşağıdaki bilgileri ilgili veri sahiplerine sunarak KVKK’da bahsedilen aydınlatma yükümlülüğünü yerine getirecektir:
Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
11. maddede sayılan diğer hakları.
“ŞİRKET” faaliyetlerini yürütürken aydınlatma yükümlülüğünü yerine getirmek amacıyla, uygun aydınlatma metinleri hazırlamakta ve bunları ilgili kişilere sunmaktadır.
12. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER
“ŞİRKET”, işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda, köklü bir şirket olmanın da verdiği sorumluluk bilinciyle, gereken her türlü makul dikkat ve özeni göstermektedir. “ŞİRKET”, ilgili mevzuatının gereklilikleri yanında KVKK’nın 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için de gereken teknik ve idari tedbirleri makul düzeyde almaktadır. Söz konusu idari ve teknik güvenlik tedbirleriyle birlikte kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ile kişisel verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.
“ŞİRKET”, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili veri işleyenler tarafından da alınması için gerekli tedbirleri alacaktır.
Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde, ilgili mevzuat hükümleri uyarınca veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.
Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) ve Kurul kararları göz önünde bulundurulmaktadır.
İdari Tedbirler
İdari tedbirler kapsamında;
- Kişisel verilerin işlenmesi, hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, muhafazasının sağlanması hakkında bilgili ve deneyimli personel istihdam etmekte ve personele Kişisel Verilerin Korunması Kanunu, İş Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
-Yürütülen faaliyetlere ilişkin olarak çalışanlara ve hizmet alınanlara gizlilik sözleşmeleri imzalatılmakta ayrıca çalışanlara bilgi güvenliği eğitimleri verilmektedir. Nitekim bu kapsamda Şirket içi periyodik ve rastgele denetimler yapılmakta/yaptırılmakta, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmaktadır.
-İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmemesi için gerekli tedbirler alınmakta, ilgili kişisel verilerin elde edilmesi hâlinde ise, bu durumun en kısa sürede ilgilisine ve Kurul’a bildirilmesi sağlanmaktadır.
-Kişisel veri işlemeye başlamadan önce, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlamıştır.
Teknik Tedbirler
Teknik tedbirler kapsamında;
- Kişisel veri güvenliğinin takibi amacı ile kurulan sistemler kapsamında gerekli iç kontroller yapılmakta ve kişisel veri güvenliğini sağlamak için uygun teknik tedbirlerin ve gerekli önlemlerin alınmasını sağlanmaktadır.
- Verilerin dışarıya sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi sağlanmakta, ağ güvenliği, uygulama güvenliği, anti-virüs sistemleri de dâhil olmak üzere gerekli yazılımların güncel olması sağlanmaktadır.
- Kişisel verilerin bulunduğu elektronik olan veya olmayan saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmakta, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir. Bundan başka özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmaktadır.
- Şirket'te özel nitelikli veriler de dâhil olmak üzere tüm kişisel verilerin tutulduğu bilişim sistemleri teçhizatının, yazılımlarının ve bunların muhafaza edildiği ve/veya erişildiği ortamların fiziksel güvenliği için gerekli önlemler (yetkisiz kişilerin erişiminin sınırlanması, (yangın söndürme sistemi, iklimlendirme sistemi vb.) alınmaktadır.
15. ÇALIŞANLAR VE VERİ İŞLEYENLERİN KVKK KONUSUNDA EĞİTİLMESİ VE DENETİMİ
Şirket kişisel verilerin korunması hukuku kapsamında mevzuatın öngördüğü yükümlülükleri ifa edebilmek ve ilgili kişi haklarını koruyabilmek için çalışanlarına gerekli farkındalık eğitimlerini vermektedir. Şirket bünyesine yeni katılan çalışanların da bu eğitimleri alması temin edilmektedir. Hem iç hem dış eğitim ve denetim süreçlerinde profesyonel destek alınmaktadır.
Şirket ayrıca veri işleyenlerini dikkatli seçmekte, veri işleyenlerin KVKK uyumlarını yerine getirmesini iş süreçlerinin bir şartı olarak sunmakta ve belirli aralıklarla veri işleyenlerin KVKK uyum durumunu sorgulamaktadır. Bu kapsamda şirket, veri işleyenlerle gerekli sözleşme ve taahhütnameleri imzalayarak uygulanmasını takip etmekte, şartları sağlamayan veri işleyenlerle akdi ilişkisini sonlandırmaktadır.
16. VERİ SORUMLUSU KİMLİĞİ
Bu politikanın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri Sorumlusu |
Hyperlab Oyun Yazılım ve Pazarlama A.Ş. |
Adres |
Esentepe Mah. Talatpaşa Cad. No:5/1 Levent-Şişli/İstanbul |
İnternet Sitesi |
www.hyperlab.games |
17. YÜRÜRLÜK
Şirket tarafından düzenlenen bu Politika 02/03/2023 tarihinde yürürlüğe girmiş ve kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel haline (www.hyperlab.games) internet adresinden erişilebilirsiniz.
Son Güncelleme Tarihi: 24/01/2025