Kişisel Verilerin Korunması ve İşlenmesi Politikası

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1.POLİTİKA HAKKINDA GENEL BİLGİLER

IRP Savunma Sanayi Arge A.Ş. (“IRP”) (“Şirket”) olarak, 6594 sayılı Kanun kapsamında “Veri Sorumlusu” sıfatıyla hareket etmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, müşterilerimiz, ziyaretçilerimiz, internet sitesi kullanıcılarımız, şirket hissedarlarımız dahil ancak bunlarla sınırlı olmamak üzere Şirketimiz ile ilişkili gerçek kişilerin kişisel verileri önceliğimizdir. Yetkilileri ile işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin yanı sıra çalışanlarımız ve çalışan adaylarının Kanuna ve ikincil mevzuata uygun olarak işlenmesini sağlamak, ilgili kişilerin kişisel verileriniz olarak; sahipleri haklarını verimli bir şekilde kullanırlar. Faaliyetlerimizi yürütürken, Şirketimiz ile ilişkili tüm kişisel veri sahiplerinin kişisel verilerinin işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) doğrultusunda işlenmesi, saklanması ve aktarılmasına ilişkin işlemleri yürütmekteyiz. bunların Kişisel verilerin işlenmesine ilişkin bu Politikanın ve Şirketimizin temel ilkesi, bu kişisel verilerin ve kişisel verileri toplanan gerçek kişilerin temel hak ve özgürlüklerinin korunması ve bunun için gerekli her türlü idari ve teknik tedbirin/eylemin alınmasıdır.

Politikanın Amacı

İşbu Politikanın temel amacı, kişisel veri sahipleri tarafından iş, sosyal sorumluluk ve benzeri faaliyetlerimiz sırasında tarafımıza aktarılan kişisel verilerin işlenmesi, saklanması, aktarılması, silinmesi veya anonim hale getirilmesine ilişkin olarak izlenecek yöntemleri belirlemektir. Şirketimiz Kanun kapsamında "veri sorumlusu" sıfatıyla Kanun'da öngörülen esaslar çerçevesinde hareket etmektedir.

Bu kapsamda başta müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz olmak üzere kişisel veri sahiplerine gerekli bilgilendirmeleri yaparak şeffaflığın sağlanmasını amaçlıyoruz. işbirliği içinde olduğumuz kurumlar ve IRP Savunma Sanayi Arge A.Ş. şirketleri tarafından kişisel verileri işlenen diğer üçüncü kişiler.

Politika Kapsamı

Bu Politika, çalışanlarımız, çalışan adaylarımız, hissedar/ortaklarımız, ziyaretçilerimiz, iş ortaklarımız, müşterilerimiz, potansiyel müşterilerimiz, tedarikçilerimiz, iştiraklerimiz, web sitesi kullanıcılarımız/ziyaretçilerimiz vb. Diğer bir deyişle, faaliyetlerimizin yürütülmesi sırasında Şirketimiz ile ilişkilendirilen tüm kişisel veri sahipleri. Bu Politika, tüzel kişilerle ilgili herhangi bir veri için geçerli değildir.

Kişisel verilerin işlenmesi ve korunmasına ilişkin yürürlükteki mevzuat ile işbu Politika arasında çelişki olması halinde, yürürlükte bulunan ilgili mevzuat hükümleri uygulanacaktır.

Politikanın Yürürlük Tarihi

Bu Politika, Şirket'in onayı ile 4 Mayıs 2026 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir. Bu Politika'nın daha önce web sitesinde yayınlanmış olan önceki versiyonu, bu Politika'nın yürürlüğe girdiği tarih itibariyle yürürlükten kaldırılmıştır. Bu Politikada herhangi bir değişiklik yapılması gerektiğinde, ilgili hükümler buna göre revize edilecektir. Bu Politikadaki bu tür değişikliklerin ayrıntıları, bu Politikanın 11. Bölümünde verilmektedir.

2. KİŞİSEL VERİLERİN SINIFLANDIRILMASI

2.1. Kişisel Veri

Kişisel veri terim olarak kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi içermektedir. İşbu Politika'da kişisel veri terimi, ilgili mevzuat uyarınca özel nitelikli kişisel verileri de içerecektir.

2.2. Hassas Kişisel Veriler

Özel nitelikli kişisel veriler; gerçek kişinin ırkı veya etnik kökeni, siyasi görüşü, felsefi inancı, dini, mezhebi veya diğer inançları, fiziksel görünümü ve kılık kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığına ilişkin verileri, cinsel yaşamı veya cinsel yönelim, ceza mahkûmiyeti, güvenlik tedbirlerine ilişkin veriler ile bu gerçek kişilere ait biyometrik veriler ve genetik verilerdir.

3. BÖLÜM: VERİ SAHİBİ GRUPLARI VE VERİ KATEGORİLERİ

3.1. Kişisel Veri Sınıflandırması

Aşağıdaki kategorilerde yer alan kişisel veriler Şirket tarafından Kanun'un 10. maddesi uyarınca veri sahiplerine bilgi verilmek suretiyle işlenmektedir. Bu bölümde, işbu Politika’da tanımlanan veri sahibi gruplarına ilişkin olarak bu kategoriler altında hangi kişisel verilerin işlendiği ve bu kategoriler kapsamında ilgili kişilerin hangi tür kişisel verilerinin işlendiğine ilişkin bilgilere yer verilmektedir. Bu tür kişisel veriler, bir veri kayıt sisteminin parçası olmak kaydıyla, kısmen veya tamamen otomatik veya otomatik olmayan sistemler vasıtasıyla işlenen kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan verileri içerir.

3.2. Kişisel Veri Kategorileri

3.2.1. Kimlik Bilgileri

İsim soy isim bilgileri.

3.2.2. İletişim Bilgileri

Telefon numarası, elektronik posta adresi, posta adresi ve benzeri iletişim bilgileri olarak tanımlanır.

4. KİŞİSEL VERİLERİN İŞLENMESİ

4.1. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler

Kişisel veriler, Şirket tarafından Kanun'da ve bu Politika'da öngörülen usul ve esaslara uygun olarak işlenmektedir. Şirket, bu tür kişisel verileri işlerken aşağıdaki ilkeler doğrultusunda hareket etmektedir:

Yürürlükteki yasalara ve dürüstlük ilkelerine uygunluk
Söz konusu kişisel verilerin doğru ve gerektiği şekilde güncel olmasını sağlamak
Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi
Kişisel verilerin işlenme amacı ile bağlantılı, sınırlı ve orantılı olarak işlenmesi
Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması

4.2. Kişisel Verilerin İşlenme Koşulları

Şirket, kişisel veri sahibinin açık rızası olmaksızın kişisel verileri işlememektedir. Ancak, aşağıdaki koşullardan birinin gerçekleşmesi halinde kişisel veri sahibinin açık rızası aranmaksızın bu tür kişisel veriler işlenebilecektir.

Kişisel verilerin bu şekilde işlenmesinin ilgili kanunda açıkça öngörülmüş olması
Veri sahibinin veya başka herhangi bir kişinin yaşamı veya fiziksel bütünlüğünün korunması için işlemenin gerekli olması ve veri sahibinin fiili imkansızlık nedeniyle açık rızasını açıklayamaması veya rızasına hukuki geçerlilik tanınamaması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması
Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için kişisel verilerin işlenmesinin gerekli olması
İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin işlenmesinin gerekli olması
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için işlemenin gerekli olması

4.3. Özel Nitelikli Kişisel Verilerin İşlenme Koşulları

Şirket, Özel Nitelikli Kişisel Verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Şirket, bu Özel Nitelikli Kişisel Verilerin işlenmesi için Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması için gerekli işlemleri yürütecektir. ,

4.4. Kişisel Verilerin İşlenme Amaçları

Şirket tarafından toplanan Kişisel Veriler, Kanun'un 5. ve 6. maddelerinde düzenlenen kişisel veri işleme şartları kapsamında aşağıdaki amaçlarla işlenmektedir. Kişisel verilerin aşağıda belirtilen amaçlarla işlenmesinin Kanun’da öngörülen şartlardan herhangi birinin sağlanmaması hâlinde Şirket, kişisel verilerin bu şekilde işlenmesine ilişkin olarak kişisel veri sahibinin açık rızasını almaktadır.

Bilgi ve/veya veri güvenliği prosedürlerinin performansı
Müşterilerimizin ilgi ve gereksinimlerini belirleyerek müşterilerimize sunulacak hizmetlerin oluşturulması, güncellenmesi ve geliştirilmesi
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı yasal yükümlülüklerin yerine getirilmesini sağlamak
Kampanyalar ve promosyonlar sağlamak; reklam ve pazarlama faaliyetlerinin yürütülmesi

5. KİŞİSEL VERİLERİN AKTARILMASI

5.1. Kişisel Verilerin Aktarılma Koşulları

Şirket olarak, Kişisel Verilerin aktarımına ilişkin olarak Kanun'da öngörülen ve Yönetim Kurulu tarafından alınan karar ve düzenlemelere uygun hareket eder ve gerekli aksiyonları alırız. Şirket, ilgili mevzuatta yer alan istisnai durumlar saklı kalmak kaydıyla, Kişisel Veri Sahibinin açık rızası olmaksızın kişisel verileri ve özel nitelikli kişisel verileri hiçbir gerçek veya tüzel kişiye aktarmaz. Ancak kişisel veriler şu durumlarda aktarılabilir:

Bu Politikanın 4. Bölümünün 2. maddesinde açıklanan durumlarda
Hassas kişisel veriler için, bu Politikanın 4. Bölümünün 3. maddesinde açıklanan durumlarda

Söz konusu kişisel verilerin aktarımı için Şirket tarafından kullanılan ortamlar; kurumsal intranet, elektronik posta, basılı kopya, MS Excel çalışma sayfası, VPN ve güvenli dosya aktarımı gibi yöntemlerden oluşmaktadır.

5.1.1. Kişisel Verilerin Uluslararası Aktarım Koşulları

Kişisel veriler kural olarak Veri Sahibinin açık rızası olmaksızın yurt dışına aktarılamaz.

5.2. Kişisel Verilerin Aktarılma Amaçları ve Kişisel Verilerin Aktarıldığı Üçüncü Kişiler

Bu Politikanın 4. Maddesinde belirtilen amaçlarla Kişisel veriler aşağıdakilere aktarılabilir:

İştirakler ve grup şirketleri
Kanunen yetkili kamu kurum ve kuruluşları
Yasal olarak yetkili özel kişi/kuruluşlar
Hissedarlarımız

6. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ

6.1. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi

Kişisel Veriler, Şirket tarafından internet sitemiz, e-postalar, başvuru formları, talep formları, güvenli elektronik işlemler, basılı formlar, kayıt formları ve fiziki kanallar gibi çeşitli araçlar aracılığıyla teknik ve prosedürel yöntemlerle veya sözlü, yazılı olarak toplanmaktadır. Çerçevesinde iş hizmetlerimizin müşterilerimize sunulması amacıyla işlenmek üzere bir veri kayıt sisteminin parçası olmak kaydıyla kısmen veya tamamen otomatik sistemler vasıtasıyla veya otomatik olmayan sistemler vasıtasıyla veya dijital ortamda bu kapsamdaki ticari faaliyetlerimizin ifasında yürürlükteki mevzuat, sözleşmeler, alacaklar, ticari teamüller ve dürüstlük ilkelerinden kaynaklanan ve bunlara dayalı olarak uygulanabilir meşru sebepler ile bu kapsamdaki yasal yükümlülüklerin yerine getirilmesi Şirket, müşterilerimiz ile tesis ettiği iş ilişkisinin gereklerinin yerine getirilmesi ve bu kapsamdaki karşılıklı hakların tesisi, kullanılması, korunması ve kişisel veri sahiplerinin temel hak ve özgürlüklerine sahip olmak kaydıyla Şirketin meşru menfaatlerinin korunması Şirket ile bir iş ilişkisi bu şekilde korunur. Bu kapsamda, Kişisel Verilerin Toplanmasına ilişkin karakteristik yöntemler, kişisel verilerin toplanma amaçları ve bu kapsamda yürütülen faaliyetler aşağıdaki gibidir:

6.1.1. Bina ve Tesis Girişlerinde, Bina ve Tesis İçlerinde Güvenlik Kamerası İzleme Çalışması

Şirket, güvenlik kamerası izleme faaliyeti kapsamında, verilen hizmetlerin Mükemmelliğini iyileştirmeyi, bu hizmetlerin güvenilirliğini sağlamayı, Şirketin, müşterilerinin ve diğer kişilerin güvenliğini sağlamayı ve müşterilerin çıkarlarını korumayı amaçlamaktadır. bu tür müşterilere sağlanan hizmetlerle ilgili olarak kişisel veriler işlenmektedir.

6.1.2. Bina ve Tesis Girişlerinde, Bina ve Tesis İçlerinde Ziyaretçi Giriş-Çıkış İşlemlerinin Denetlenmesi

Şirket, güvenliğin sağlanması amacıyla ve işbu Politika'da tanımlanan amaçlarla Şirket bina ve tesislerinde ziyaretçilerin giriş çıkış işlemlerinin denetlenmesi amacıyla kişisel verileri işlemektedir.

Şirket binasını misafir olarak ziyaret eden kişilerin adları ve soyadları ile araç plakaları alınmakta ve kişisel veri sahipleri Şirket binalarının çeşitli yerlerine konulan veya herhangi bir şekilde ulaşılabilen yazılar ile gerektiği gibi bilgilendirilmektedir. misafirleri.

6.2. Web Sitesi Ziyaretçileri

Şirket, kendisine ait olan web sitelerinin ziyaretçilerinin, bu tür web sitelerini ziyaret etme amaçları doğrultusunda web sitelerinde gezinmelerini sağlamak amacıyla, ziyaretçilerin çevrimiçi web sitesi aktivitelerini kaydetmek için teknik yöntemler (örn. web sitelerini ziyaret edebilir, ziyaretçilere özel içerikler sunabilir ve bunların çevrimiçi reklam faaliyetlerini yürütebilir. Sitemizin ziyaretçilerine "Çerez Politikamız" sunulmakta ve ziyaretçilerimize gerekli bilgileri verme yükümlülüğümüz doğrultusunda bu ziyaretçilere kapsamlı bilgilendirme sağlanmaktadır.

7. KİŞİSEL VERİLERİN SİLİNMESİ, İMHA EDİLMESİ VE ANONİM HALE GETİRİLMESİ

7.1. Kişisel Verilerin Silinmesi, İmhası veya Anonim Hale Getirilmesi

Şirket, Kişisel Verilerin işlenmesine ilişkin şartların ortadan kalkması hâlinde, diğer kanun ve mevzuatta yer alan ilgili hükümler saklı kalmak kaydıyla, Kişisel Verilerin resen veya kişisel veri sahibinin talebi üzerine silinmesini, yok edilmesini veya anonim hale getirilmesini taahhüt etmektedir. Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili olanlar saklıdır. Kişisel Veriler silindiğinde, bu veriler yeniden kullanılmalarını veya geri kazanılmalarını önleyecek şekilde imha edilir. Veri imha işlemleri, Şirket tarafından belirlenen periyodik imha periyotlarında, imha işleminin resmi bir raporla belgelenmesi suretiyle gerçekleştirilir.

7.2. Kişisel Verilerin Saklanması ve İmhasına İlişkin Süre

Şirket, Kişisel Verilerin saklanması ilgili mevzuatta öngörülmek kaydıyla, Kişisel Verileri ilgili mevzuatta öngörülen süre boyunca saklamaktadır. Kişisel verilerin saklanma süresi bu mevzuatta düzenlenmemişse, Kişisel Veriler, bu kişisel verilerin işlenmesi sırasında yapılan işlemlerle ilgili olarak Şirket usul ve ticaret teamüllerinin gerektirdiği süre kadar işlenmekte ve ardından kişisel veriler işlenebilmektedir. silinmeye, yok edilmeye veya anonim hale getirilmeye tabidir. Kişisel verilerin işlenme amacının ortadan kalkması ve ilgili mevzuatta öngörülen ve/veya Şirket tarafından belirlenen saklama sürelerinin de sona ermesi hâlinde, söz konusu kişisel veriler ancak olası hukuki ihtilaflarda delil teşkil etmesi amacıyla saklanabilecektir. veya bu kişisel verilere ilişkin hakları talep etme veya bu hakları savunma. Bu gibi durumlarda Şirket, kişisel verilerin saklanma sürelerini, kişisel verilerin saklanma sürelerini, kişisel verilerin saklanma sürelerini, kişisel verilerin saklanma sürelerini, kişisel verilerin saklanma sürelerini, kanuni hükümlerine bakılmaksızın kişisel verilerin saklanma sürelerini ve benzeri durumlarda Şirket'e ulaşan taleplerde yer alan önceki örnekleri dikkate alarak belirlemektedir. zamanaşımı süreleri dolmuştur. Bu durumda saklanan kişisel verilere başka bir amaçla ulaşılamaz ve ilgili kişisel verilere ancak hukuki ihtilafların çözümünde kullanılması gerektiği durumlarda erişilebilir. Bu fıkrada tanımlanan saklama süresinin sona ermesi ile birlikte söz konusu kişisel veriler silinmeye, yok edilmeye veya anonim hale getirilmeye tabi tutulur.

8. KİŞİSEL VERİLERİN GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

Şirket tarafından işlenen Kişisel Verilerin Kanuna aykırı olarak işlenmesini, hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek için yeterli güvenlik düzeyinin sağlanması ve Şirket tarafından işlenen Kişisel Verilerin korunmasının sağlanması için gerekli teknik ve idari tedbirler ve gerekli kontroller yapılır veya yapılır.

8.1. Kişisel Veri Güvenliği İçin Alınan Teknik Tedbirler

Bu tedbirler, kişisel verilerin güvenliğini ve korunmasını sağlamaya yönelik tedbirlerle sınırlı olmak üzere aşağıdakileri içerir:

Ağ güvenliği ve uygulama güvenliği sağlanır
Ağ üzerinden kişisel veri aktarımlarında kapalı bilgisayar ağı sistemi kullanılır
Bilgi işlem sistemlerinin satın alınması, geliştirilmesi ve bakımı ile ilgili gerekli güvenlik önlemleri alınır
Şirket içi teknik organizasyon, kişisel verilerin ilgili mevzuata uygun olarak işlenme ve saklanma amaçlarına göre sağlanır
Gerekli görüldüğünde veri maskeleme uygulanır
Kişisel verilerin saklanması amaçlanan veri tabanlarının güvenliğini sağlamak için teknik altyapı oluşturulur
Kurulan teknik altyapı prosedürleri takip ve kontrollere tabi tutulur
Alınan teknik tedbirler ile kontrol süreçleri için raporlama prosedürleri belirlenir
Teknik tedbirler periyodik olarak güncellenir ve revize edilir
İlişkili riskler gözden geçirilir ve gerekli teknolojik çözümler oluşturulur
Güncel anti-virüs koruma sistemleri, firewall ve benzeri yazılım veya donanım güvenlik ürünleri kullanılır
Kişisel verilerin toplandığı uygulamalar periyodik güvenlik taramalarından geçirilir ve tespit edilen güvenlik ihlalleri giderilir
Kişisel verilerin güvenli bir şekilde saklanmasını sağlamak için ilgili mevzuata uygun yedekleme programları kullanılır
Veri saklama ortamlarına ve verilere erişim, yetkili personelin erişimi ve verilerin saklanma amacı ile sınırlıdır
Log kayıtları tutulur, yetkisiz erişim veya erişim girişimleri yetkili personele bildirilir ve loglar periyodik olarak gözden geçirilir
Uzman teknik personel istihdam edilir
Kullanıcı hesap yönetimi ve yetki kontrol sistemleri oluşturulur ve takibe tabi tutulur
Loglar, herhangi bir kullanıcı müdahalesini önleyecek şekilde tutulur
Özel nitelikli kişisel verilerin e-posta ile aktarılması gerektiğinde şifreleme ve KEP adresi veya kurumsal e-posta hesabı kullanılır
Hassas kişisel veriler için güvenli şifreleme ve/veya kriptografik anahtarlar kullanılır ve farklı birimler tarafından yönetilir
Siber saldırı tespit ve önleme sistemleri kullanılır
Penetrasyon testi yapılır
Siber güvenlik önlemleri alınır ve uygulanması sürekli denetime tabi tutulur
Şifreleme sağlanır

8.2. Kişisel Verilerin Güvenliği İçin Alınan İdari Tedbirler

Bu tedbirler kişisel verilerin korunmasına ilişkin tedbirlerle sınırlı olmak kaydıyla:

Grup şirketlerimiz ve iştiraklerimiz çalışanları da dahil olmak üzere kişisel verilere erişim, veri güvenliği, veri kullanımı, saklanması ve imhasına yönelik kurumsal politika ve prosedürler ile aşağıdakileri içeren veri tabanları ve uygulamaların kullanımına ilişkin araç ve gereçlerin kullanımına yönelik politikalar oluşturulmuştur.

Kişisel Verilerin Yayınlanması ve Uygulanması

Çalışanlar, kişisel verilerin yürürlükteki yasalara uygun olarak korunması ve işlenmesi konusunda usulüne uygun olarak bilgilendirilir ve eğitilir
Çalışanlara yönelik düzenli olarak veri güvenliği eğitimleri ve bilinçlendirme faaliyetleri düzenlenir
Çalışanlarla yapılan sözleşmeler ve/veya kurumsal politikalar kapsamında, kişisel verilerin hukuka aykırı olarak işlenmesi halinde alınacak önlemler belirlenir
Çalışanlarla akdedilmiş sözleşme ve prosedürlerde, kişisel verilerin hukuka aykırı işlenmesini, ifşasını ve kullanılmasını önleyen yükümlülükler yer alır
Şirket çalışanları, veri güvenliğine ilişkin disiplin cezalarına tabidir
Çalışanlar, kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işlenme amacı dışında işlememe yükümlülükleri konusunda bilgilendirilir
Kişisel verilere erişim, veri güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar düzenlenir ve uygulanır
Kişisel verilerin aktarıldığı taraflarla yapılan sözleşmelerde, gerekli güvenlik tedbirlerinin alınmasına ve uygulanmasına ilişkin hükümler yer alır
Çalışanların kişisel verilere erişim kapsamları rol ve sorumluluklarına göre belirlenir, periyodik olarak gözden geçirilir ve yetki matrisi oluşturulur
Veri güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması konularındaki güncel gelişmeler takip edilmekte ve gerekli aksiyonların alınması için gerekli hukuki ve teknik danışmanlık hizmeti alınmaktadır
İşbirliği yapılan veri işleyenlerin ve diğer veri sorumlularının Kanuna ve ikincil mevzuata uyumu araştırılır, gerekli talimatlar verilir ve uyum konusunda farkındalıkları sağlanır
Kişisel veri güvenliği ile ilgili sorunlar gecikmeksizin usulüne uygun olarak bildirilmekte
Kişisel verilerin güvenliği takibe tabi tutulmakta olup
Kişisel veri hacmi mümkün olduğunca azaltılır
Kişisel veriler yedeklemeye tabi tutulmakta olup, yedeklemeye konu kişisel verilerin güvenliği de sağlanmaktadır
Dahili periyodik ve/veya rastgele kontroller yapılır ve/veya yaptırılır
Mevcut riskler ve tehditler belirlenir
Özel nitelikli kişisel verilerin güvenliğine ilişkin protokol ve prosedürler belirlenmiş ve uygulanmış olup
Kişisel veri içeren ortamlara/ortamlara giriş ve çıkışlarda gerekli güvenlik önlemleri alınır
Kişisel verilerin bulunduğu ortamlar, dış risklere (örn. yangın, sel vb.) karşı korumalıdır
Kişisel verileri işleyen hizmet sağlayıcıların veri güvenliği konusunda bilinçlendirilmesi sağlanır
Teknik personel buna göre istihdam edilir; Ve

Söz konusu kişisel verilere yetkisiz kişilerce hukuka aykırı olarak ulaşılması durumunda ilgili kişisel veri sahibine ve Kişisel Verileri Koruma Kurulu'na zamanında bildirimde bulunulmasını sağlayan sistem kurulmuş ve uygulamaya alınmıştır.

Kişisel Veri Güvenliği İçin Alınan Fiziki Tedbirler

Kişisel verilerin saklandığı yerlerde mesleğe dayalı fiziki erişim önlemleri alınmakta
Kişisel verileri içeren belgeler ve arşivleme/saklama ekipmanları kilitli dolaplarda saklanır
Çalışma alanlarında kartlı geçiş sistemleri kullanılmakta olup
Çalışma alanları çalışanların mahremiyetine müdahale edilmeden kapalı devre kamera sistemi (CCTV) ile izlenmektedir

Kişisel verileri içeren belgeler ve saklama araçları, Kişisel Verilerin Korunması Kanunu ve bu Politika kapsamında öngörülen kural ve esaslar doğrultusunda güvenli bir şekilde imha edilir ve veri kaybını önlemek için yedeklemeye tabi tutulur.

Kişisel Verilerin İzinsiz Açıklanması Halinde İzlenecek Prosedür

Şirket, Kanun'un 12. maddesi uyarınca, işlenen Kişisel Verilerin üçüncü kişiler tarafından hukuka aykırı olarak erişildiğini tespit etmesinden itibaren en kısa sürede ve en geç 72 saat içinde ilgili veri sahibine ve Kurula bildirimde bulunur.

8.3. Kişisel Verilerin Korunması İçin Alınan Tedbirlerin Denetimi

Kişisel Verilerin Korunması Kanunu'nun 12. maddesi uyarınca Şirket, gerekli gördüğü durumlarda 6 ayda bir iç denetim yapmakta veya yaptırmaktadır. Denetim sonuçları Şirket iç prosedürleri kapsamında ilgili birime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli aksiyonlar alınmaktadır.

8.4. Kişisel Verilerin Korunması ve İşlenmesi Konusunda Çalışanları Bilinçlendirme ve Denetleme

Şirket, mevcut çalışanlarına ve herhangi bir iş biriminde yeni işe başlayan çalışanlarına, kişisel verilerin hukuka aykırı olarak işlenmesinin ve hukuka aykırı olarak erişilmesinin önlenmesi ve bu tür kişisel verilerin korunmasının sağlanması konularında farkındalık yaratmak amacıyla gerekli eğitimlerin verilmesini sağlar. bunların Şirket'in mevcut çalışanlarına her 4 ayda bir bilinçlendirme eğitimleri verilmektedir.

9. KİŞİSEL VERİ SAHİBİNİN HAKLARI

9.1. Kişisel Veri Sahibine Açıklama Yapılması

Şirket, Kanun’un 10. maddesi uyarınca Kişisel Verilerin toplanması sırasında, varsa Şirket temsilcisinin kimliği, Kişisel Verilerin işlenme amaçları, kimlere ve hangi amaçlarla işlendiği hakkında kişisel veri sahibine açıklama/bilgi sağlar. işlenen Kişisel Veriler, Kişisel Verilerin toplanma yöntemi ve hukuki dayanağı ile Kişisel Veri Sahibinin hakları aktarılabilecektir.

9.2. Kişisel Veri Sahibinin Hakları

Kanun’un 11. maddesi uyarınca Şirket, kişisel veri sahiplerine haklarına ilişkin olarak aşağıdaki şekilde bilgi vermektedir:

Kişisel verilerin işlenip işlenmediğini öğrenme
Kişisel veriler işlenmişse buna ilişkin bilgi talep etme
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişiler hakkında bilgi sahibi olma
İşlenen kişisel verilerin eksik veya yanlış bilgi içermesi halinde bunların düzeltilmesini isteme
Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme
Kanun’un 11. maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişisel veri sahibi aleyhine bir sonucun ortaya çıkmasına itiraz etme
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması halinde zararın giderilmesini talep etme

9.3. Hakların Kişisel Veri Sahibi Tarafından Kullanılması

Kişisel veri sahipleri, www. ………….. adresindeki internet sitemiz üzerinden işbu Politika'da tanımlanan haklarının kullanılmasına ilişkin taleplerini, “Başvuru Formu”nu doldurarak ve aşağıda yer alan şartlara uygun olarak, web sitemizde açıklanan yöntemlerle Şirket'e iletebilirler. "Başvuru Formu"nda yer almaktadır.

Kişisel Veri Sahibinin Kişisel Verileri Koruma Kuruluna Dilekçe Hakkı

Kişisel veri sahibi tarafından yapılan başvurunun Şirket tarafından reddedilmesi veya kişisel veri sahibinin kendisine verilen cevabı yeterli bulmaması veya Şirket tarafından süresi içinde cevap verilmemesi halinde, kişisel veri sahibi; cevabın kendisine ulaşmasından itibaren otuz (30) gün içinde ve her halükarda başvuru tarihinden itibaren altmış (60) gün içinde Kurula resmi şikayette bulunur.

Veri Sorumlusunun Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Şirket, işbu Politika'da belirtilen belirli şartların gerçekleşmesi halinde, kişisel veri sahibi tarafından yapılan başvuruyu reddetme hakkına sahiptir. Veri Sorumlusu sıfatıyla Şirket’in kişisel veri sahibinin başvurusunu reddetme hakkını kullanabileceği durumlar aşağıdaki gibidir:

İlgili kişisel veri sahibi tarafından yapılan başvuruya konu kişisel verilere ilişkin olarak
Söz konusu kişisel verilerin resmi istatistikileştirme işlemleri ile anonim hale getirilmesinden sonra araştırma, planlama, istatistik vb. amaçlarla işlenmesi halinde
Kişisel verilerin millî savunmaya, millî güvenliğe, kamu güvenliğine, kamu düzenine, ekonomik güvenliğe, özel hayatın gizliliğine veya kişilik haklarına zarar vermemek kaydıyla ifade özgürlüğü kapsamında ya da sanat, tarih, edebiyat veya bilim gibi amaçlarla işlenmesi halinde
Bu tür kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla belirlenmiş ve yetkilendirilmiş yetkili kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetleri kapsamında işlenmesi halinde
Bu tür kişisel verilerin soruşturma, kovuşturma, dava veya icraya ilişkin olarak yargı veya infaz mercileri tarafından işlenmesi hâlinde
Kişisel verilerin işlenmesinin suç işlenmesinin önlenmesi veya ceza soruşturması için gerekli olması halinde
Kişisel veri sahibi tarafından daha önce alenileştirilmiş kişisel verilerin işlenmesi
Kanunla belirlenen ve yetkilendirilen yetkili kamu kurum ve kuruluşları ile kamu meslek kuruluşları tarafından denetim veya düzenleyici görevlerin yerine getirilmesi ile disiplin soruşturması veya kovuşturması için kişisel verilerin işlenmesinin gerekli olması
Kişisel verilerin işlenmesinin bütçe, vergi ve mali konularda Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması
İlgili kişisel veri sahibinin talebinin, başkalarının hak ve özgürlüklerini engelleyebilecek nitelikte olması
Orantısız çaba gerektiren taleplerde
İstenen bilginin kamuya açık bilgi olması durumunda

Şirket, Veri Sorumlusu sıfatıyla başvuruyu reddetme hakkını kullanabilir.

10. BU POLİTİKAYA UYUM SAĞLAMAKTAN SORUMLU PERSONEL

Şirket üst yönetiminin kararı ile işbu Politika'nın ve bu Politika'dan kaynaklanan ve buna bağlı diğer politikaların yönetimi için Şirket bünyesinde Kişisel Veriler Komitesi oluşturulmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahiplerine ait kişisel verilerin hukuka, işbu Politikaya ve bunlardan doğan ve bunlarla bağlantılı diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli tüm prosedürlerin yerine getirilmesinde yetkili ve sorumludur. bu Politika. Kişisel Veri Komitesi'nin başlıca sorumlulukları şunlardır:

Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaların oluşturulması ve uygulanması için üst yönetimin onayına sunulması
Kişisel Verilerin Korunması ve İşlenmesi ile ilgili politikaların uygulanmasına ve kontrolüne ilişkin performans ve prosedürlerin kararlaştırılması, bu kapsamda kurum içi görevlendirme ve koordinasyonun sağlanması ve üst yönetimin onayına sunulması
Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için gerekli aksiyonların belirlenmesi ve üst yönetimin onayına sunulması ve bu aksiyonların uygulanmasının gözetim ve koordinasyonunun sağlanması
Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içinde ve işbirliği içinde olunan diğer kurumlar nezdinde farkındalığın artırılması
Kişisel verilerin Şirket tarafından işlenmesine ilişkin olası risklerin tespiti ve gerekli tüm aksiyonların alınmasının sağlanması ve iyileştirme önerilerinin üst yönetimin onayına sunulması
Kişisel verilerin korunması ve politikaların uygulanmasına yönelik eğitim faaliyetlerinin belirlenmesi ve uygulanmasının sağlanması
Kişisel veri sahipleri tarafından yapılan başvuruların nihai ve kesin olarak çözüme kavuşturulması
Kişisel veri sahiplerinin, kişisel verilerin işlenmesine ilişkin işlemler ve hukuki hakları konusunda gerektiği gibi bilgilendirilmelerini sağlamaya yönelik bilgilendirme ve eğitim faaliyetlerinin koordinasyonu
Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalarda değişiklik yapılması ve bu politikaların uygulanması için üst yönetimin onayına sunulması
Kişisel Verilerin Korunması ile ilgili gelişmeleri ve düzenlemeleri takip etmek, bu gelişmeler ve düzenlemeler doğrultusunda Şirket içinde alınması gereken aksiyonlar konusunda üst yönetime önerilerde bulunmak
Komite ile Kişisel Verileri Koruma Kurulu arasındaki ilişkinin koordinasyonu
Kişisel verilerin korunmasına ilişkin Şirket üst yönetimi tarafından verilecek diğer fonksiyonların yerine getirilmesi

11. REVİZYONLAR VE DEĞİŞİKLİKLER

Şirket, Kanun'da ve ikincil mevzuatta yapılacak her türlü değişiklik, Kurul kararları ve/veya sektördeki gelişmeler doğrultusunda işbu Politika'da ve bu Politika'dan kaynaklanan ve buna ilişkin diğer politikalarda değişiklik yapma hakkını saklı tutar. veya bunların bilişimi. Bu Politikada yapılan herhangi bir değişiklik derhal metne dahil edilir ve bu tür değişikliklerle ilgili yorumlar bu bölümde sağlanır.

04.05.2026 tarihinde İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası Şirket tarafından onaylanmak ve internet sitesinde paylaşılmak suretiyle yürürlüğe girmiştir.

POLICY ON THE PROTECTION AND PROCESSING OF PERSONAL DATA

1. GENERAL INFORMATION CONCERNING THE POLICY

IRP Savunma Sanayi Arge A.Ş. (hereinafter referred to as “IRP” or the “Company”) acts in the capacity of “Data Controller” within the meaning of Law No. 6698 on the Protection of Personal Data (the “Law” or “PDPL”). The Company attaches the highest priority to the protection of the personal data of all natural persons with whom it has a relationship, including, without limitation, its customers, visitors, website users, shareholders, the employees, shareholders and authorised representatives of its business partners, as well as its own employees and job applicants. The Company conducts all processing, storage and transfer activities relating to such personal data in accordance with the Law, secondary legislation and the present Policy on the Protection and Processing of Personal Data (the “Policy”), so as to enable data subjects to exercise their statutory rights effectively. The fundamental principle underpinning this Policy and the Company’s overall approach is the protection of the fundamental rights and freedoms of natural persons whose personal data are processed, and the implementation of all administrative and technical measures reasonably required for that purpose.

1.1 Purpose of the Policy

The principal purpose of this Policy is to set out the methodology applied by the Company in respect of the processing, storage, transfer, erasure, destruction and anonymisation of personal data transmitted to the Company by data subjects in the course of its commercial, social-responsibility and similar activities. The Company acts as Data Controller within the framework of the principles prescribed by the Law.

Within this scope, the Company seeks to ensure transparency by providing the requisite disclosures to data subjects, including, in particular, its customers, prospective customers, job applicants, shareholders, authorised representatives, visitors, the institutions and entities with which it cooperates, and any other third parties whose personal data are processed by IRP Savunma Sanayi Arge A.Ş. and its affiliates.

1.2 Scope of the Policy

This Policy applies to all data subjects associated with the Company in the course of its activities, including its employees, job applicants, shareholders/partners, visitors, business partners, customers, prospective customers, suppliers, affiliates, and the users/visitors of its website. This Policy does not apply to any data relating to legal persons.

In the event of any conflict between the Policy and the legislation in force concerning the processing and protection of personal data, the provisions of the applicable legislation shall prevail.

1.3 Effective Date

This Policy was approved by the Company and entered into force on 4 May 2026. Any prior version of this Policy previously published on the Company’s website is hereby repealed as of the effective date of the present Policy. Where amendments to this Policy become necessary, the relevant provisions shall be revised accordingly. Particulars of any such amendments are set out in Section 11 hereof.

2. CLASSIFICATION OF PERSONAL DATA

2.1 Personal Data

“Personal data” means any information relating to an identified or identifiable natural person. For the purposes of this Policy, the term “personal data” shall be construed so as to include special categories of personal data within the meaning of the applicable legislation.

2.2 Special Categories of Personal Data (Sensitive Personal Data)

Special categories of personal data comprise data relating to a natural person’s race or ethnic origin, political opinions, philosophical beliefs, religion, sect or other beliefs, physical appearance and dress, membership of any association, foundation or trade union, health, sex life or sexual orientation, criminal convictions and security measures, together with biometric and genetic data pertaining to such natural persons.

3. CATEGORIES OF DATA SUBJECTS AND DATA

3.1 Classification of Personal Data

Personal data falling within the categories set out below are processed by the Company in accordance with Article 10 of the Law, by means of disclosures made to the relevant data subjects. This Section indicates the personal data processed within the said categories in respect of the data-subject groups defined in this Policy and the types of personal data processed by reference to such categories. Such personal data comprise data which clearly relate to an identified or identifiable natural person and which are processed, wholly or partly by automated means or otherwise than by automated means, where they form part of a filing system.

3.2 Categories of Personal Data

3.2.1 Identification Data

First name and surname.

3.2.2 Contact Data

Telephone number, electronic mail address, postal address and similar information identified as means of contact.

4. PROCESSING OF PERSONAL DATA

4.1 General Principles Governing the Processing of Personal Data

Personal data are processed by the Company in accordance with the procedures and principles laid down in the Law and in this Policy. In carrying out such processing, the Company observes the following principles:

Lawfulness and conformity with the rules of bona fides;
Accuracy and, where necessary, up-to-dateness of the personal data concerned;
Processing of personal data for specified, explicit and legitimate purposes;
Processing of personal data in a manner that is relevant to, limited to and proportionate to the purposes for which they are processed; and
Retention of personal data for the period prescribed by the applicable legislation or for the period necessary for the purposes for which they are processed.

4.2 Conditions for the Processing of Personal Data

The Company does not process personal data in the absence of the data subject’s explicit consent. However, personal data may be processed without seeking the explicit consent of the data subject where one of the following conditions is satisfied:

Such processing is expressly contemplated by law;
Such processing is necessary for the protection of the life or physical integrity of the data subject or of any other person, in circumstances where the data subject is, by reason of factual impossibility, unable to give explicit consent or where his or her consent cannot be given legal effect;
Such processing is directly related to the formation or performance of a contract and is necessary in respect of personal data of the parties thereto;
Such processing is necessary in order to enable the Data Controller to comply with its legal obligations;
The data have been made public by the data subject himself or herself; in such circumstances, the personal data may be processed without seeking explicit consent, given that the legal interest in protecting such personal data has ceased;
Such processing is necessary for the establishment, exercise or defence of any claim or right;
Such processing is necessary for the legitimate interests pursued by the Data Controller, provided that such processing does not prejudice the fundamental rights and freedoms of the data subject.

4.3 Conditions for the Processing of Special Categories of Personal Data

The Company does not process special categories of personal data without obtaining the explicit consent of the data subject concerned. The Company shall undertake the necessary steps to implement the adequate measures determined by the Personal Data Protection Board in respect of the processing of such special categories of personal data.

4.4 Purposes of Processing Personal Data

Personal data collected by the Company are processed for the purposes set out below, within the framework of the conditions for the processing of personal data prescribed by Articles 5 and 6 of the Law. Where the processing of personal data for the purposes set out below does not satisfy any of the conditions stipulated by the Law, the Company shall obtain the explicit consent of the relevant data subject in respect of such processing:

The performance of information- and/or data-security procedures;
The creation, updating and improvement of the services to be rendered to its customers, by means of identifying their interests and requirements;
Compliance with the legal obligations imposed or rendered mandatory by statutory provisions;
The provision of campaigns and promotional offers; and the conduct of advertising and marketing activities.

5. TRANSFER OF PERSONAL DATA

5.1 Conditions for the Transfer of Personal Data

In respect of the transfer of personal data, the Company acts in conformity with, and takes the actions required by, the conditions prescribed by the Law and the resolutions and rules adopted by the Board. Save for the exceptional circumstances expressly contemplated by the applicable legislation, the Company shall not transfer any personal data, including special categories of personal data, to any natural or legal person without obtaining the explicit consent of the data subject. Personal data may, however, be transferred:

Where the circumstances set out in Section 4.2 of this Policy are present; or
In respect of special categories of personal data, where the circumstances set out in Section 4.3 of this Policy are present.

The media used by the Company for the transfer of such personal data include the corporate intranet, electronic mail, hard-copy correspondence, MS Excel worksheets, virtual private network (VPN) and secure file-transfer protocols.

5.1.1 Conditions for the Cross-Border Transfer of Personal Data

As a matter of principle, personal data may not be transferred abroad without the explicit consent of the data subject.

5.2 Purposes of, and Recipients of, the Transfer of Personal Data

Personal data may, for the purposes set out in Section 4 of this Policy, be transferred to the following recipients:

Affiliates and group companies;
Public authorities and bodies legally empowered to receive such data;
Private natural and legal persons legally empowered to receive such data; and
The Company’s shareholders.

6. METHOD AND LEGAL BASIS OF COLLECTION OF PERSONAL DATA

6.1 Method and Legal Basis of Collection

Personal data are collected by the Company by technical and procedural means, whether orally, in writing or in digital form, through a variety of channels, including, without limitation, the Company’s website, electronic mail, application forms, request forms, secure electronic transactions, hard-copy forms, registration forms and other physical channels. Such collection is undertaken either by means of automated systems, in whole or in part, or by non-automated means, provided that the data form part of a filing system. The processing is carried out for the purpose of providing the Company’s commercial services to its customers and is grounded on the legitimate bases applicable in the performance of such commercial activities, namely the legislation in force, contractual obligations, claims, established commercial customs and the rules of good faith. The Company processes personal data in order to discharge the legal obligations incumbent upon it in the foregoing context, to fulfil the requirements of the commercial relationship established with its customers, and to establish, exercise and protect the mutual rights arising therein, as well as to safeguard its legitimate interests, provided always that such processing does not prejudice the fundamental rights and freedoms of data subjects. Within this framework, the principal methods of collection of personal data, the purposes for which such collection is undertaken and the activities pursued in connection therewith are as follows:

6.1.1 CCTV Monitoring at the Entrances of, and within, Buildings and Facilities

Within the scope of its CCTV monitoring activity, the Company processes personal data with a view to enhancing the quality of the services rendered, ensuring the reliability of such services, safeguarding the security of the Company, its customers and other persons, and protecting the interests of customers in connection with the services rendered to them.

6.1.2 Monitoring of Visitor Entry and Exit at the Entrances of, and within, Buildings and Facilities

The Company processes personal data for the purpose of supervising visitor entry to and exit from its buildings and facilities for security purposes and for the further purposes defined in this Policy.

The first names and surnames of persons visiting the Company’s premises as guests, together with their vehicle registration plates, are recorded; the relevant data subjects are duly informed by means of notices placed at appropriate locations on the Company’s premises or by other means accessible to such visitors.

6.2 Website Visitors

The Company employs technical means (such as cookies) to record the online activity of visitors to its websites, with a view to enabling such visitors to navigate the websites in the manner intended for their visit, presenting tailored content to such visitors and conducting online advertising activities. The Company makes available to its website visitors its “Cookie Policy” and provides comprehensive information to such visitors in fulfilment of its disclosure obligations.

7. ERASURE, DESTRUCTION AND ANONYMISATION OF PERSONAL DATA

7.1 Erasure, Destruction or Anonymisation of Personal Data

Where the conditions justifying the processing of personal data cease to exist, the Company shall erase, destroy or anonymise such personal data ex officio or upon the request of the data subject, without prejudice to any provisions to the contrary contained in any other statutes or legislation. Where personal data are erased, they shall be destroyed in such a manner as to preclude their re-use or recovery. Data-destruction activities are carried out in periodic destruction cycles determined by the Company, with each destruction operation being formally documented in a written report.

7.2 Periods Applicable to the Storage and Destruction of Personal Data

Where the storage period for personal data is prescribed by the applicable legislation, the Company retains such personal data for the period so prescribed. Where the storage period is not regulated by such legislation, personal data shall be processed for the period dictated by the Company’s internal procedures and established commercial practices in respect of the operations carried out in the course of such processing, and shall thereafter be subject to erasure, destruction or anonymisation. Where the purpose for which the personal data are processed has ceased and the retention periods prescribed by the applicable legislation and/or determined by the Company have expired, the personal data may be retained solely for the purpose of constituting evidence in any potential legal disputes or for the purpose of asserting or defending rights relating to such personal data. In such cases, the Company determines the relevant retention periods by reference to the limitation periods provided for in the legislation governing the rights in question and to comparable precedents in any prior requests received by the Company. Personal data so retained may not be accessed for any other purpose and may only be accessed where their use is required for the resolution of legal disputes. Upon the expiry of the retention period defined in this paragraph, the personal data shall be subject to erasure, destruction or anonymisation.

8. MEASURES IMPLEMENTED FOR THE SECURITY OF PERSONAL DATA

The Company implements, or causes to be implemented, all necessary technical and administrative measures, together with the requisite controls, in order to ensure an appropriate level of security and to safeguard the personal data processed by it against unlawful processing and unauthorised access.

8.1 Technical Measures Implemented for the Security of Personal Data

These measures, insofar as they relate to the security and protection of personal data, include the following:

Network security and application security are ensured;
A closed computer-network system is used in respect of personal-data transfers carried out over networks;
The necessary security measures are implemented in connection with the procurement, development and maintenance of information-technology systems;
The internal technical organisation of the Company is configured in line with the purposes of processing and storing personal data in accordance with the applicable legislation;
Data masking is implemented, where deemed appropriate, as an additional measure;
A technical infrastructure has been established to ensure the security of databases in which personal data are intended to be stored;
The technical infrastructure so established is subject to monitoring and control procedures;
Reporting procedures are established for the technical measures and control processes implemented;
Technical measures are periodically updated and revised;
Associated risks are reviewed and the necessary technological solutions are formulated;
Up-to-date anti-virus protection systems, firewalls and other software- or hardware-based security products are deployed, and security systems consistent with technological developments are established;
The applications through which personal data are collected are subjected to periodic security scans and any security breaches identified are remedied;
Back-up programmes are operated, in accordance with the applicable legislation, in order to ensure the secure storage of personal data;
Access to data-storage media and/or to the data themselves is strictly limited to authorised personnel and to the purposes for which the personal data are stored;
Log records are maintained in respect of access to the data-storage areas in which personal data are held, and any unauthorised access or attempted access is immediately notified to the authorised personnel;
Logs are reviewed on a periodic basis;
Specialised technical personnel are employed;
User-account-management and authorisation-control systems are in place and are subject to monitoring;
Logs are kept in such a manner as to preclude any user intervention therein;
Where it is necessary to transfer special categories of personal data by electronic mail, such transfers are effected by way of encryption and through registered electronic mail (KEP) addresses or corporate electronic mail accounts;
Secure encryption and/or cryptographic keys are deployed in respect of special categories of personal data and are administered by separate units;
Cyber-attack detection and prevention systems are in place;
Penetration tests are conducted;
Cybersecurity measures are implemented and their application is subject to continuous audit; and
Encryption is provided.

8.2 Administrative Measures Implemented for the Security of Personal Data

These measures, insofar as they relate to the protection of personal data, include the following:

Internal corporate policies and procedures governing access to personal data, data security, data use, storage and destruction, and the use of databases and applications, have been adopted in respect of all personnel, including the personnel of group companies and affiliates;
Such corporate policies and procedures concerning the publication and implementation of measures relating to personal data are duly disseminated and applied;
Personnel are duly informed and trained as to the protection and processing of personal data in conformity with the applicable legislation;
Periodic data-security training and awareness-raising activities are organised for personnel;
Within the framework of the contracts entered into with personnel and/or the corporate policies adopted, the measures to be taken in the event of any unlawful processing of personal data by the Company’s personnel have been determined;
The contracts and procedures concluded with personnel contain provisions imposing obligations to prevent the unlawful processing, disclosure and use of personal data, and corresponding awareness-raising and audit activities are conducted in this regard;
The Company’s personnel are subject to disciplinary sanctions in respect of data security;
Personnel are informed that they are under an obligation not to disclose personal data in their possession to any third party in violation of the provisions of the Law and not to process such data otherwise than for the purposes for which they are processed; that such obligations shall continue to be binding upon them after termination of their employment; and personnel give written undertakings not to disclose or process such personal data;
Internal corporate policies governing access to personal data, data security, use, storage and destruction are formulated and implemented;
The contracts lawfully concluded between the Company and the parties to which personal data are transferred contain provisions requiring such parties to implement the security measures necessary for the protection of such personal data and to ensure compliance with such measures within their respective organisations;
The scope of personnel access to personal data is determined by reference to their respective roles and responsibilities/duties, with corresponding limits being placed upon their access rights, which are reviewed on a periodic basis; an authorisation matrix is established; and the access rights of personnel whose employment is terminated or who are reassigned are revoked;
Current developments in data security, privacy and the protection of personal data are monitored, and the legal and technical advisory services necessary for the implementation of the requisite actions are obtained;
The compliance of the data processors and other data controllers with whom the Company cooperates with the Law and secondary legislation is investigated, the necessary instructions are given, and their awareness of compliance is fostered;
Issues relating to the security of personal data are duly notified without delay;
The security of personal data is subject to ongoing monitoring;
The volume of personal data is reduced to the extent reasonably possible;
Personal data are subject to back-up procedures, with the security of the personal data so backed up also being ensured;
Periodic and/or random internal audits are carried out, or caused to be carried out;
Existing risks and threats are identified;
Protocols and procedures concerning the security of special categories of personal data are determined and implemented;
The necessary security measures are implemented in respect of entries to and exits from the environments in which personal data are kept;
The environments in which personal data are kept are protected against external risks (such as fire, flood and similar perils);
Service providers processing personal data are made aware of data-security requirements;
Specialised technical personnel are employed accordingly; and
A system enabling the timely notification of the relevant data subject and of the Personal Data Protection Board in the event of unauthorised access to such personal data by third parties has been established and is in operation.

8.2.1 Physical Measures Implemented for the Security of Personal Data

Profession-based physical-access measures are implemented in the locations where personal data are kept;
Documents and archiving/storage equipment containing personal data are kept in locked cabinets;
Card-based access systems are used in the working areas;
Working areas are monitored by closed-circuit television (CCTV) systems, in a manner which does not infringe the privacy of personnel; and
Documents and storage media containing personal data are securely destroyed in accordance with the rules and principles laid down in the Law and in this Policy, and are subject to back-up so as to prevent any loss of data.

8.2.2 Procedure Applicable in the Event of Unauthorised Disclosure of Personal Data

Pursuant to Article 12 of the Law, the Company shall notify the relevant data subject and the Board, as soon as practicable and at the latest within seventy-two (72) hours, upon becoming aware that the personal data processed by it have been accessed unlawfully by third parties.

8.3 Audit of the Measures Implemented for the Protection of Personal Data

Pursuant to Article 12 of the Law, the Company conducts, or causes to be conducted, internal audits at six-monthly intervals or as otherwise deemed necessary. The findings of such audits are reported to the relevant unit within the framework of the Company’s internal procedures and the necessary actions are taken to enhance the measures implemented.

8.4 Awareness-Raising and Audit of Personnel as to the Protection and Processing of Personal Data

The Company shall ensure that the requisite training is provided to its existing personnel and to new joiners in any business unit, with a view to fostering awareness of the prevention of unlawful processing of, and unauthorised access to, personal data and the safeguarding of such personal data. Awareness-raising training is provided to the Company’s existing personnel at four-monthly intervals.

9. RIGHTS OF THE DATA SUBJECT

9.1 Disclosures to the Data Subject

Pursuant to Article 10 of the Law, at the time of collection of personal data, the Company provides disclosures and information to the data subject regarding: the identity of the Company’s representative, where applicable; the purposes for which the personal data will be processed; to whom and for what purposes the personal data so processed may be transferred; the method and legal basis of collection of the personal data; and the rights of the data subject.

9.2 Rights of the Data Subject

Pursuant to Article 11 of the Law, the Company informs data subjects of their rights as follows. Each data subject is entitled:

To ascertain whether or not personal data concerning him or her are being processed;
To request information where personal data have been processed;
To learn the purposes of processing and whether the personal data are used in conformity with such purposes;
To be informed as to the third parties in Türkiye or abroad to whom the personal data have been transferred;
To request the rectification of any incomplete or inaccurate personal data processed;
To request the erasure or destruction of personal data within the framework of the conditions set out in Article 7 of the Law;
To request that the operations carried out pursuant to sub-paragraphs (d) and (e) of Article 11 of the Law be notified to the third parties to whom the personal data have been transferred;
To object to any adverse outcome affecting the data subject which arises from the analysis of the data processed exclusively by automated means; and
To claim compensation for any damage suffered as a result of the unlawful processing of personal data.

9.3 Exercise of Rights by the Data Subject

Data subjects may submit their requests in respect of the rights set out in this Policy by completing the “Application Form” available on the Company’s website at www.\[•\], and by following the methods of submission described therein, and by providing the information set out in the said “Application Form”.

9.3.1 Right of the Data Subject to Petition the Personal Data Protection Board

Where the application made by the data subject is rejected by the Company, where the data subject finds the response provided to be insufficient, or where the Company fails to respond within the prescribed time, the data subject may lodge a formal complaint with the Board within thirty (30) days from the date upon which the response was received and, in any event, within sixty (60) days from the date of application.

9.3.2 Right of the Data Controller to Reject the Application of the Data Subject

The Company is entitled to reject the application made by the data subject upon the occurrence of any of the specific circumstances set out in this Policy. The circumstances in which the Company, acting in its capacity as Data Controller, may exercise its right to reject the application of the data subject are as follows:

Where the personal data to which the application relates have been anonymised by means of formal statistical processes and are processed for purposes such as research, planning and statistics;
Where the personal data are processed within the scope of freedom of expression or for purposes such as art, history, literature or science, provided that such processing does not constitute or infringe a crime against national defence, national security, public security, public order, economic security, the privacy of private life or personality rights;
Where the personal data are processed within the scope of preventive, protective and intelligence activities carried out by public authorities and bodies designated and empowered by law to ensure national defence, national security, public safety, public order or economic security;
Where the personal data are processed by judicial or enforcement authorities in connection with investigations, prosecutions, proceedings or enforcement;
Where the processing is necessary for the prevention of the commission of a crime or for criminal investigation;
Where the personal data have previously been made public by the data subject;
Where the processing is necessary for the performance of supervisory or regulatory functions, or for disciplinary investigation or prosecution, by public authorities, bodies and professional organisations of public character designated and empowered by law;
Where the processing is necessary for the protection of the economic and financial interests of the State in matters relating to the budget, taxation and financial affairs;
Where the data subject’s request is liable to obstruct the rights and freedoms of other persons;
Where the request requires disproportionate effort; and
Where the information requested is publicly available.

10. PERSONNEL RESPONSIBLE FOR COMPLIANCE WITH THIS POLICY

By resolution of the Company’s senior management, a Personal Data Committee has been established within the Company for the purpose of administering this Policy and the further policies arising from and connected with this Policy. The Personal Data Committee is empowered with, and responsible for, the discharge of all procedures necessary to ensure that the personal data of data subjects are stored and processed in conformity with the law, with this Policy and with the further policies arising from and connected herewith. The principal responsibilities of the Personal Data Committee are as follows:

To formulate the principal policies relating to the protection and processing of personal data, and to submit such policies to senior management for approval prior to their implementation;
To determine the actions and procedures relating to the implementation and supervision of policies governing the protection and processing of personal data, to ensure intra-organisational allocation of duties and coordination in this regard, and to submit the same to senior management for approval;
To determine the actions necessary to ensure compliance with the Law and the relevant secondary legislation, to submit such actions to senior management for approval, and to oversee and coordinate their implementation;
To raise awareness within the Company and among the institutions with which the Company cooperates as to the protection and processing of personal data;
To identify potential risks relating to the processing of personal data by the Company, to ensure that all necessary actions are taken in this regard, and to submit recommendations for improvement to senior management for approval;
To determine and ensure the implementation of training activities concerning the protection of personal data and the implementation of policies;
To resolve, conclusively and definitively, applications submitted by data subjects;
To coordinate the information and training activities aimed at ensuring that data subjects are duly informed of the operations relating to the processing of personal data and of their statutory rights;
To propose amendments to the principal policies governing the protection and processing of personal data and to submit such proposals to senior management for approval and implementation;
To monitor developments and regulatory measures relating to the protection of personal data and to make recommendations to senior management as to the actions to be taken within the Company in light of such developments and regulations;
To coordinate the relations between the Committee and the Personal Data Protection Board; and
To discharge such further functions relating to the protection of personal data as may be assigned by the Company’s senior management.

11. AMENDMENTS AND REVISIONS

The Company reserves the right to amend this Policy and the further policies arising from and connected with this Policy in line with any amendments to the Law and secondary legislation, any resolutions of the Board and/or developments in the relevant industry, or in light of any informational requirements arising therefrom. Any amendments made to this Policy shall be incorporated into the text forthwith, and any commentary relating to such amendments shall be provided in this Section.

This Policy on the Protection and Processing of Personal Data was approved by the Company on 4 May 2026 and entered into force upon being made publicly available on the Company’s website.