HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

1/12

KİŞİSEL VERİLERİN

KORUNMASI VE İŞLENMESİ POLİTİKASI

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

2/12

İÇİNDEKİLER

1. AMAÇ VE KAPSAM 3

2. DAYANAK 3

3. TANIMLAR 3

4. GÖREV, YETKİ VE SORUMLULUKLAR 5

5. KİŞİSEL VERİ İŞLEME İLKELERİ 5

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 6

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 7

8. KİŞİSEL VERİLERİN AKTARILMASI 7

9. KİŞİSEL VERİLERİN İMHA EDİLMESİ 8

10. YÜKÜMLÜLÜKLERİMİZ 9

11. İLGİLİ KİŞİNİN HAKLARI 11

12. DİĞER HUSUSLAR 11

13. YÜRÜRLÜK 12

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

3/12

1. AMAÇ VE KAPSAM

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve

özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları

usul ve esasları düzenlemek amacıyla hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

ve ikincil düzenlemelerine Şirketimiz uyumunu sağlamak üzere işbu Politika oluşturulmuştur.

Şirketimizce benimsenen üstün hizmet kalitesi, bireylerin haklarına saygı, şeffaflık ve dürüstlük

ilkeleri çerçevesinde, Şirketimiz iç işleyişinin KVKK, ikincil düzenlemeler, Kişisel Verileri Koruma

Kurumu (Kurum) tavsiyeleri, Kişisel Verileri Koruma Kurulunun (Kurul) Kararları ve düzenlemeleri,

kesinleşmiş mahkeme kararları ve sair ilgili mevzuat kapsamında düzenlenmesi Şirketimizin öncelikli

konuları arasında yer almaktadır.

Politika ile Şirket tarafından KVKK’ya uyum için yukarıda açıklanan temel ilkeler çerçevesinde

getirilecek düzenlemelerin Şirket bünyesinde, etkin bir şekilde uygulanması amaçlanmaktadır.

Şirketimizin gerçek veya tüzel kişi müşterilerinin, tüzel kişi iş ortaklarının, hissedarlarının,

yöneticilerinin veya çalışanlarının, Şirket danışmanlarının, müşavirlerinin, çözüm ortaklarının,

misafirlerinin kişisel veri ve özel nitelikli kişisel veri niteliğindeki verilerinin işlenmesi ve korunması

KVKK ve işbu Politika kapsamında ele alınmaktadır.

Politika ile öngörülen temel düzenlemeler doğrultusunda, Şirket işleyişi içerisinde kişisel verilerin

işlenmesi ve korunması bakımından gerekli idari ve teknik tedbirler alınmakta, gerekli iç prosedürler

oluşturulmakta, farkındalığın yükseltilmesi için gerekli eğitimler yapılmakta, çalışanların KVKK

süreçlerine uyumları için gerekli tedbirler alınmakta, uygun ve etkin denetim mekanizmaları ile teknolojik

altyapı, idari ve hukuki sistem kurulmaktadır.

Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemeler uyarınca

gerekli hususları düzenlemektedir. Şirketimiz çalışanları ile Şirketimiz nezdindeki kişisel verilere temasta

bulundukları ölçüde Şirketimiz hâkim ortağı, bağlı ortaklıkları, iştirakleri, iş ortakları ve Şirketimizin ürün

ve/veya hizmet satın aldığı 3. kişiler ve bunların personeli ve var ise görevlendirdikleri üçüncü kişiler işbu

politika ve KVKK başta olmak üzere kişisel verilerin korunmasına dair yasal mevzuata, Kurum

tavsiyelerine, Kurul Kararlarına ve diğer mevzuat hükümlerine uygun hareket etmekle yükümlüdür.

2. DAYANAK

Bu Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemelerine dayanılarak

hazırlanmıştır.

3. TANIMLAR

3.1 Kişisel Veri: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi

ifade eder. Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup, T.C. kimlik numarası

(TCKN), ad-soyad, e-posta adresi, telefon numarası, adres, doğum tarihi, banka hesap numarası gibi bilgiler

kişisel verilere örnek olarak verilebilir.

3.2 Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,

mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,

ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

3.3 Veri Kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi

grubu veya gruplarına ait kişisel veri gruplarını ifade eder.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

4/12

3.4 Veri Konusu Kişi Grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi

kategorisini ifade eder.

3.5 Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi

kategorisini ifade eder.

3.6 Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,

kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,

aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının

engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

3.7 Kişisel Veri İşleme Envanteri: Şirketimizin iş süreçlerine bağlı olarak gerçekleştirmekte

olduğu kişisel verileri işleme faaliyetlerini; kişisel verilerin elde edilme kanallarını, kişisel verileri işleme

amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek

oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini,

yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak

detaylandırdığı envanteri ifade eder.

3.8 Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve

Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma

Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.

3.9 İrtibat Kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından,

Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve

bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak,

Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.

3.10 Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt

sisteminin kurulmasından ve yönetilmesinden sorumlu olan Şirketimizi ifade eder.

3.11 Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen

gerçek veya tüzel kişiyi ifade eder. Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında

işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile

erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile departmanlar bazında

belirlenmiştir.

3.12 Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan

rızayı ifade eder. İlgili kişinin bilgilendirildiğini ve aydınlatıldığını ispat yükü veri sorumlusu

yükümlülüğünde olup, ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması

Şirket iç düzenlemelerine göre yapılmaktadır.

3.13 İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

3.14 Kişisel Verilerin İmhası: İmha, kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesini ifade etmektedir.

Silme: Kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz

hale getirilmesi işlemidir.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

5/12

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar

kullanılamaz hale getirilmesi işlemidir.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği

belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemidir.

4. GÖREV YETKİ VE SORUMLULUKLAR

4.1 Şirket, Veri Sorumlusu sıfatı ile işbu Politika’nın tüm iç işleyişlerinin ve süreçlerinin

düzenlenmesi yönünden uygulanmasından sorumludur. Şirketimizin mevzuattan kaynaklanan

yükümlülüklerinin yerine getirilmesini sağlamak üzere Şirket 100% sermayedarı olan Halk Gayrimenkul

Yatırım Ortaklığı A.Ş. Yönetim Kurulunun KVKK ve ikincil düzenlemeler kapsamındaki yükümlülüklerini

yerine getirmek üzere görevlendireceği Kişisel Verileri Koruma Komitesi aracılığıyla yerine getirir.

4.2 İşbu Politika doğrultusunda hazırlanacak iç düzenlemeler ile eğitim faaliyetlerinin Şirketimiz

bünyesinde uygulanmasından Kişisel Verileri Koruma Komitesi sorumludur.

4.3 Şirket genelinde tüm çalışanlar, iş ortakları, misafirler ve ilgili tüm üçüncü şahıslar Politika’ya

uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve

tehlikelerin önlenmesinde, Kişisel Verileri Koruma Komitesi ve Kişisel Veri Birim Sorumluları ile işbirliği

yapmakla yükümlüdür.

4.4 Şirket’in tüm departmanları ve organları ile ilgili tüm personeli Politika’ya uygun hareket

etmekle ve Politika’nın hükümlerine uyulmasını sağlamak ile yükümlüdür.

4.5 İşbu Politika, Şirket içinde duyurulacak ve ayrıca ortak bilgi işlem sistemlerine de yüklenerek

her zaman erişilebilir olacaktır. Ayrıca işbu Politika Şirket internet sitesinde yayınlanır. Politika’da

meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenir ve bu sayede

veri sahiplerinin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanır.

4.6 Politikanın gereklerinin yerine getirilip getirilmediğinin takibi KVK Komitesi tarafından

yapılır. Politikaya aykırı davranış tespit edildiğinde konu ilgili çalışanın Birim Yöneticisine ve İnsan

Kaynakları ve İdari İşler Müdürlüğüne bildirilir ve aykırılığın giderilmesi için ilgili Birim Yöneticisi gerekli

tedbirleri alır. Politikaya aykırı davranan çalışan hakkında yapılacak işlem için Şirketimiz Disiplin

Yönergesi hükümleri uygulanır.

4.7 Politika gereklerinin yerine getirilmesi için, Şirket tarafından gerekli yazılımlar/

sistemler/uygulamalar devreye alınır ve mevzuattaki değişiklikler, ilan edilen Kurum tavsiyeleri ve Kurul

kararları Şirkete tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler KVK

Komitesi tarafından takip edilir ve gerekli düzenlemelerin yapılması sağlanır.

5. KİŞİSEL VERİ İŞLEME İLKELERİ

Şirketimiz kişisel verileri işleme ilkelerine aşağıda yer verilmektedir.

5.1. Hukuka ve dürüstlük kuralına uygun olma

Şirketimiz tarafından kişisel veri işleme faaliyetleri, başta Sermaye Piyasası Kurulu (SPK) mevzuatı

ve kişisel verilerin korunmasına dair yasal mevzuat olmak üzere Şirketimizin tabi olduğu tüm mevzuat

hükümleri doğrultusunda ve Medeni Kanunun 2. maddesi ile öngörülen dürüstlük kuralına uygun olarak

yürütülür.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

6/12

5.1.2. Doğruluk ve güncel olmak

Şirketimiz, kişisel verilerin doğru ve güncel tutulmasına önem verilmektedir. Bu kapsamda, ilgili

kişi bilgilerinin doğru ve güncel olmasını temin edecek kanallar açık tutulmakta, kişisel verilerin

doğruluğunun ve güncelliğinin sağlanması için gerekli tedbirler alınmaktadır. Ayrıca ilgili kişinin, veri

sorumlusu sıfatı ile Şirkete bildireceği taleplerin değerlendirilmesi, bunun yanı sıra Şirketin bizzat gerekli

göreceği durumlarda, hatalı olduğu veya güncel olmadığı tespit edilen kişisel verilerin düzeltilmesi ve

doğruluğunun denetlenmesi için idari ve teknik mekanizmalar işletilmektedir.

5.1.3. Belirli, açık ve meşru amaçlarla işleme

Kişisel veriler başta SPK mevzuatı ve kişisel verilerin korunmasına dair yasal mevzuat olmak üzere,

Şirketimizin tabi olduğu mevzuat kapsamında, Şirketimiz tarafından sunulan veya sunulacak olan ürün

ve/veya hizmetlerle sınırlı olmak kaydıyla hukuka uygun biçimde işlenir ve kişisel verilerin işlenme amacı

verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenir.

5.1.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmak

Şirket tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın

gerçekleşmesi için gerektiği ölçüde işlenir. Ayrıca verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç

duyulmayan kişisel verilerin işlenmesinden kaçınılır.

5.1.5. Mevzuat hükümleri ile öngörülen veya işlendikleri amaç için gerekli olan süre kadar

muhafaza edilme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda ve verilerin işlenme

amacının gerektirdiği süre boyunca işlenir. Kişisel verilerin işlenme amacının ortadan kalkması durumunda

ve mevzuat hükümleri ile öngörülen sürenin sonunda, kişisel veriler Şirketimiz tarafından uygun görülen

yöntemle (silme, yok edilme veya anonim hale getirme) imha edilir.

Ancak, kişisel verilerin işlenme amacının ortadan kalkmasına rağmen yasal saklama

yükümlülüğünün bulunması durumunda, bu veriler sadece yasal yükümlülüğün yerine getirilmesi amacı ile

sınırlı olmak üzere işlenir. Gerekli sürenin sonunda kişisel verilerin işlenmesinin önlenmesi için gerekli

idari ve teknik tedbirler alınır.

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK’nin 5. Maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. Şirket tarafından kişisel

verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

6.1 Kanunlarda açıkça öngörülmesi

Yasal mevzuat hükümlerinde açıkça öngörülen hallerde, veri işleme faaliyetleri yasal mevzuat

sınırlarını aşmamak kaydıyla ilgili kişinin rızasına tabi olmaksızın gerçekleştirilebilmektedir. Örneğin,

6362 sayılı Sermaye Piyasası Kanunu ve ilgili diğer mevzuat hükümlerinin kişisel verilerin işlenmesini

öngördüğü hususlarda, mevzuat hükümleri ile öngörülen sınırlar çerçevesinde kişisel veriler Şirketimiz

tarafından işlenmektedir.

6.2. Fiili İmkânsızlık Nedeniyle İlgili Kişinin Rızasını Açıklayamayan veya Rızasına Hukuki

Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin veya Başkasının Hayatı veya

Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması

KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına

hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya

beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

7/12

işlenmesi mümkündür. Şirket, anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri

işleyecektir.

6.3. Bir Sözleşmenin Kurulması ve İfası ile Doğrudan İlgili Olmak Kaydı ile Sözleşmenin

Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması

Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel

veriler Şirket tarafından işlenecektir.

6.4. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

KVKK gereği Veri Sorumlusu sıfatına haiz Şirketin mevzuat hükümlerinden doğan

yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde,

Şirket tarafından kişisel veriler işlenecektir.

6.5. İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi

İlgili kişinin kişisel verilerini alenileştirmesi halinde, Şirket tarafından söz konusu kişisel veriler,

alenileştirilme amaçları ile orantılı olarak işlenecektir.

6.6. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olan Verilerin İşlenmesi

Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde Şirket

tarafından işlenecektir.

6.7. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz

Şirket’in meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak şirketin meşru menfaatleri

ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve

Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.

6.8. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesinde ana kural, diğer veri işleme şartlarının bulunmaması durumunda ilgili

kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. Şirket, ilgili kişinin KVKK ile

öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması

üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini

yürütecektir.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

Özel nitelikli kişisel verilerin işlenmesinde işbu Politikada belirtilen esaslara ek olarak Halk Yapı

Projeleri Geliştirme AŞ Özel Nitelikli Kişisel Verilerin ve Korunması ve İşlenmesi Politikası hükümleri

uygulanır.

8. KİŞİSEL VERİLERİN AKTARILMASI

KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

8/12

8.1. Kişisel Verilerin Yurt İçinde Aktarılması

8.1.1. Kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile ilgili kişinin rızasına

başvurulmaksızın kişisel verilerin aktarılması

Kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politikanın 6.1.,6.2., 6.3., 6.4.,

6.5., 6.6., 6.7.,6.8 maddeleri ile açıklanan ve KVKK’nın 5. maddesinin 2. fıkrası ile 6. maddesinin 3.

fıkrasında düzenlenen koşullarda, kişisel veri işleme envanterinde belirtilen alıcı gruplarına kişisel verilerin

aktarılması mümkündür.

Veri sorumlusu sıfatıyla Şirketimiz tarafından, Şirketimizin veri işleyenlerine yapılacak

aktarımlarda; veri işleyenlerin veri güvenliğine ilişkin olarak KVKK’da öngörülen teknik ve idari tedbirleri

almış olmasına dikkat edilmektedir.

8.1.2 Özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat

hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması

Özel nitelikli kişisel verilerin yurt dışına aktarılmasında Şirketimiz Özel Nitelikli Kişisel Verilerin

Korunması ve İşlenmesi Politikası hükümleri uygulanır.

8.1.3 İlgili kişinin kişisel verilerinin aktarılması için açık rızasının bulunması

Kişisel verilerin ve/veya özel nitelikli kişisel verilerin aktarılmasına dair yukarıda yer verilen

şartların mevcut olmaması halinde, Şirketimizce ilgili kişinin açık rızasına başvurulabilmektedir. Bu halde

ilgili kişiden açık rızasına ihtiyaç duyulan hususa dair bilgilendirme yapılmak ve bu husus ile sınırlı olarak

açık rızası alınmak sureti ile veri aktarımı gerçekleştirilebilmektedir.

8.2. Kişisel Verilerin Yurt Dışına Aktarılması

8.2.1 Kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin

aktarılması

Kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu

Politikanın 6.1., 6.2., 6.3., 6.4., 6.5., 6.6., 6.7., 6.8., 7. maddeleri ile KVKK’nın 5. maddesinin 2. fıkrası ve

6. maddesinin 3. fıkrasında belirtilen koşullarda, Kurulun yayımlayacağı güvenli ülke listesi dikkate

alınarak kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda kişisel

verilerin ve özel nitelikli kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili kişinin açık rızasının

alınmasına gerek bulunmamaktadır. Yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili

yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin

bulunması kaydıyla, ilgili kişinin açık rızasının alınması koşulu aranmayacaktır.

8.2.2 İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması

Kişisel verilerin ve/veya özel nitelikli kişisel verilerin yurt dışına aktarılmasına dair yukarıda yer

verilen şartların mevcut olmaması halinde, Şirketimizce ilgili kişinin açık rızasına başvurulabilmektedir.

Bu halde ilgili kişiden açık rızasına ihtiyaç duyulan hususa dair bilgilendirme yapılmak ve bu husus ile

sınırlı olarak açık rızası alınmak sureti ile yurt dışına veri aktarımı gerçekleştirilebilmektedir.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Şirketimiz tarafından kişisel veriler, Halk Yapı Projeleri Geliştirme AŞ “Kişisel Verileri Saklama

ve İmha Politikasına” uygun olarak silinir, yok edilir veya anonim hale getirilir.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

9/12

10. YÜKÜMLÜLÜKLERİMİZ

10.1. Aydınlatma Yükümlülüğü

Şirket, kişisel verilerin elde edilmesi sırasında, kişisel veri sahibini, KVKK’nun 10. maddesi

doğrultusunda aşağıdaki hususlarda aydınlatmalıdır:

 Veri sorumlusunun ve varsa temsilcisinin kimliği,

 Kişisel verilerin hangi amaçla işleneceği,

 Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

 Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

 Kişisel veri sahibinin sahip olduğu haklar

Şirket’in söz konusu yükümlülüğünün hukuka uygun biçimde yerine getirilebilmesi için iş süreçleri

ve veri toplama kanalları gözden geçirilmiş, tespit edilen hususlar bir sınıflandırmaya tabi tutulup envantere

aktarılmış, veri sahiplerinin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için de gerekli

düzenlemeler yapılmış, iletişim kanalları oluşturulmuştur.

10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

10.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü

Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda

işlenmesinin yanında Şirket, kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini

engellemek üzere her türlü teknik ve idari tedbiri alınmasını, buna ilişkin sistemler kurulmasını, bu

sistemlerin gözetimi ve denetimi yaptırılmasını sağlar.

 Teknik tedbirler

Şirket departmanları tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu

kapsamda “Kişisel Veri İşleme Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar

olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulacaktır.

 İdari tedbirler

Şirket, tüm personelinin KVKK ve kişisel verilerin hukuka uygun işlenmesi konusunda

bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir

personeline ulaştıracak ve gerekli eğitim faaliyetlerini düzenleyip eğitime katılım belgelerini özlük

dosyalarında saklayacaktır.

Şirket, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel

verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi

gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması

gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra

dahi devam ettiği yönünde kayıtlar eklemekte olup, çalışanın bu yükümlülüklere uymamasının yaptırımları

da belirtilmektedir.

Şirket, oluşturulacak kişisel veri envanteri ve oluşturulan veri matrisleri kapsamında kişisel verilere

erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. Şirket personelinin

tümünün Şirket’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün

olmayıp, departmanlara göre düzenlenmiş olan erişim yetkileri çerçevesinde işlem yapılacaktır.

Şirket’in tüm faaliyetleri analiz edilerek Birim özelinde kişisel veri işleme faaliyetleri belirlenmiştir.

Şirket, departmanların işleyişlerinin KVKK ve işbu Politika’ya dayalı yükümlülükleri yerine getirecek

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

10/12

biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika,

prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları kullanılarak personele

tebliğ edilecektir.

10.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin

korunmasını sağlama

 Teknik Tedbirler

Şirketimiz, kişisel verilere hukuka uygun erişim sağlanması ve kişisel verilerin korunması amacıyla

teknik gelişmelere uygun olarak önlemler almakta, güncellemekte, yenilemekte ve sistemin güvenilirliğinin

test edilmesini sağlamaktadır. Şirket, Kurulun bu tür sızma testleri ve sair güvenlik önlemleri ile ilgili

düzenlemeler yapması veya teknik standartlara atıfta bulunması durumunda uyum için gerekli tüm

çalışmaları yapacaktır.

Kişisel verilere hukuka uygun olarak erişilmesi için birim ve/veya çalışan bazında çıkarılacak

kriterler doğrultusunda erişim yetkileri tanımlanmaları yapılmalı, kişisel verilere erişilecek sistemlere

ilişkin kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar

sınırlandırılmalıdır.

Şirketimiz, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi ve

olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlamalı, sızma testlerini

yaptırmalı, veri kaybının önlenmesi için yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin

alınmasını temin etmelidir.

 İdari Tedbirler

Tüm Şirket personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik

tedbirlere ilişkin olarak eğitilmesi sağlanmalıdır.

Şirket personelinin tümünün Şirket’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin

tümüne erişmesi engellenmeli, veri işleme amacı göz önünde bulundurularak erişim yetkileri

düzenlenmelidir.

Şirket, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye kişisel verilerin hukuka uygun

olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel

verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel

verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiği

yönünde kayıtlar eklemelidir.

Şirket, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm

çalışanlarının erişime sunacaktır.

10.2.3. KVKK kapsamında alınan tedbirlerin denetimini Yapma/Yaptırma

Şirket, alacağı teknik ve idari tedbirler bakımından, tedbirlerin işleyişi ile ilgili olarak gerekli

denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Şirket’in iç

işleyişi kapsamında konu ile ilgili bölüme raporlanmalı ve alınan tedbirlerin iyileştirilmesi için gerekli

faaliyetler yürütülmelidir.

Şirket tarafından; departmanların, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve

işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmalı,

periyodik raporlamaların ve raporlar kapsamındaki aksiyonların takibi, doğrulama testleri ve denetimleri

yapılmalıdır.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

11/12

Şirket, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri

doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak

erişme yükümlülüklerini yerine getirmesinden KVKK’nin 12. maddesi uyarınca sorumludur. Bu nedenle

Şirket, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların

sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler almalıdır. Yine Şirket tüm

personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel

olarak bilgilendirmelidir.

11. İLGİLİ KİŞİNİN HAKLARI

KVKK’nin 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu sıfatı ile Şirket’e karşı aşağıdaki haklara

sahiptir:

a. Kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmiş ise buna ilişkin bilgi talep etmek,

b. Kişisel verilerin işleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,

c. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı 3. kişileri bilmek,

d. Kişisel verilerin eksik veya yanlış işlemesi halinde düzeltilmesini istemek,

e. Şartları gerçekleşmişse kişisel verilerin silinmesini ve bu taleplerinin üçüncü kişilere iletilmesini

istemek,

f. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi

aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

g. Kişisel verilerinin kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.

Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul

tarafından belirlenecek diğer yöntemlerle Şirket’e iletmesi durumunda, KVKK’nin 13. maddesi uyarınca

Şirket talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak

sonuçlandırmalıdır. Talebin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret

alınabilecektir. Başvurunun Şirket’in hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili

kişiye iade edilir.

Şirket tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi

vermeli ve ilgili kişiye bu bilginin yazılı olarak veya elektronik ortamda gönderilir.

Şirket, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak

reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği Şirket tarafından gecikmeksizin yerine

getirilir.

Kişisel veri sahibinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde

başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda

Şirket içinde tüm personele gerekli uyarılar yapılmalı ve farkındalık sağlanmalıdır.

12. DİĞER HUSUSLAR

İşbu Politika, Şirket Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da

yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar Kişisel

Verileri Koruma Komitesi kararları doğrultusunda yapılmakta ve değişiklikler Şirketimiz Yönetim Kurulu

Kararı ile yürürlüğe girmektedir.

Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri,

atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği

kararlar ile mahkeme kararları doğrultusunda Şirket bu Politika’yı gözden geçirme ve gerekli durumlarda

politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar.

HALK YAPI PROJELERİ GELİŞTİRME A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Yürürlük Tarihi

Sürüm No

Sayfa No

00/09/2022

1.0.0

12/12

Politika’nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim Kurulu’na

aittir.

13. YÜRÜRLÜK

13.1 Bu Politika, 00/09/2022 tarih ve 000/000 sayılı Yönetim Kurulu Kararı ile kabul edilmiştir.

13.2 Politikanın uygulanması, KVK Komitesi ve Şirket hizmet birimlerinin en üst yöneticilerinin

koordinasyonu ile sağlanır.