OPTİBELT GÜÇ AKTARMA EKİPMANLARI SANAYİ VE TİCARET LİMİTED ŞİRKETİ

1. GİRİŞ

Optibelt Güç Aktarma Ekipmanlari Sanayi ve Ticaret Limited Şirketi (“Şirket” veya “Optibelt”) ve Grup Şirketleri (“Optibelt Grup”) için kişisel verilerinizin gizliliği ve güvenliği büyük önem taşımaktadır. Bu nedenle, İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyulacağına ilişkin temel ilkeler belirlenmektedir.

2. AMAÇ

Şirket ve Optibelt Grup tarafından, Kişisel Verilerin Korunması Mevzuatı’na tam uyumu sağlamak ve bu düzenlemelere ilişkin ihlâlleri önlemek amacıyla amaçları aşağıda açıklanmış olan işbu Politika düzenlenmiştir:

a) Kişisel Verilerin İşlenmesi konulu faaliyetlere ilişkin kurallar koymak ve prosedürler belirlemek;

b) Verilerin Korunmasına ilişkin uyumun sağlanması ile doğrudan/dolaylı ilişkili kişileri ve bu kişilerin Şirket ve Optibelt Grup içindeki ve dışındaki görevleri ve sorumluluklarını belirlemek;

c) Kişisel Verilerin Korunmasına ilişkin gerekli düzenlemeleri yapacak çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturmak;

d) Çalışanlar, hissedarlar, yetkililer, ziyaretçiler, işbirliği içinde olunan kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler başta olmak üzere kişisel verileri, Şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamak.

3. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirket uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.

4. POLİTİKA’NIN YÜRÜRLÜĞÜ

Şirketimiz tarafından düzenlenen işbu Politika 15.08.2025 tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.

Politika Şirketimizin internet sitesinde ( https://web.optibelt.com/en-tr/ ) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

5. TANIMLAR

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Üçüncü Kişi: Veri sahibi, Veri Sorumlusu, Veri İşleyen ve Veri Sorumlusu ya da Veri İşleyen’in doğrudan yetkisi altında, kişisel verileri işleme yetkisi bulunan kişiler haricindeki bir gerçek veya tüzel kişiyi, kamu kurumunu, kuruluşunu veya organını ifade eder.

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Kişisel Veri İhlali: Aktarılan, saklanan veya işlenen Kişisel Veriler’e ilişkin sehven veya hukuka aykırı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime sebebiyet veren güvenlik ihlalini ifade eder.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Kurum: Kişisel Verileri Koruma Kurumunu ifade eder.

Kurul: Kişisel Verileri Koruma Kurulunu ifade eder.

Yetkili Kişiler: Veri Sorumlusu tarafından Kişisel Verilerin İşlenmesi süreçlerinin yürütülmesi için atanmış gerçek kişileri ifade eder.

İlgili Kişi Talebi: İlgili Kişi’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki haklarını kullanmak üzere yazılı olarak sunduğu talebi ifade eder.

Aydınlatma Formu: İlgili Kişi’ye, Kişisel Verilerin nasıl toplandığı, kullanıldığı, saklandığı ve ifşa edildiği hakkında bilgi veren beyanı ifade eder.

Güvenlik Önlemleri: Veri Sorumlusu ve Veri İşleyen’in 6698 sayılı Kişisel Verileri Koruma Kanunu’na uygun olarak gerekli güvenlik düzeyini sağlamak üzere alacağı tüm teknik, bilgi işlem bağlantılı, idarî, lojistik ve usûli önlemleri ifade eder.

Verilerin Korunması Mevzuatı: KVKK ve ilgili yönetmelikler ile yürürlükteki tüm ilgili mevzuat, kural, yönetmelik, bağlayıcı idari kılavuzlar ve bunların güncellenmiş versiyonları dahil ve fakat bunlarla sınırlı olmamak üzere yürürlükteki tüm gizlilik ve veri korumasına ilişkin kanunları ifade eder.

Kişisel Veri İşleme Envanteri : Veri Sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veri İşleme faaliyetlerini; Kişisel Veri İşleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

6. UYGULAMA ALANI, VERİ SAHİPLERİ VE KİŞİSEL VERİ KATEGORİLERİ

İşbu Politika, Şirket’in faaliyet gösterdiği bölgelerde uygulama alanı bulacaktır.

Politika’nın uygulama alanı, aşağıdaki veri sahiplerine ait kişisel verilerin işlenme süreçleridir:

Gerçek Kişi Müşteriler
Şirket Yetkilileri
Hissedarlar
İş Ortağı Hissedarları, Yetkilileri, Çalışanları
Tedarikçi Hissedarları, Yetkilileri, Çalışanları
Çalışan Adayları
İş Ortağı Adayları
Tedarikçi Adayları
Ziyaretçiler
Üçüncü Kişiler

Kişisel veri olarak aşağıdaki bilgiler sayılabilir;

Kimlik Bilgileri (ad, soyad, TC Kimlik numarası, doğum yeri, doğum tarihi, vs.)
İletişim Bilgileri (Telefon numarası, adres, e-mail adresi vs)
Aile Bireyleri ve yakınlarının bilgisi (Şirket ve Optibelt Grup iş birimleri tarafından yürütülen operasyonlar çerçevesinde, veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler)
Özgeçmişler
IP Adresleri, Çerez Bilgileri (Cookie), Konum Bilgisi

İşbu Politika, Politika konusu ile ilgili meydana gelebilecek tüm olasılıkları ve/veya yasal gereklilikleri kapsamaz ve yapılması gerekebilecek özel düzenlemeleri/yasal gerekliliklerin tamamını öngörmez ve/veya bunların yerine geçmez. Bu sebeple, gerektiğinde Veri Sorumlusu’ndan hukukî tavsiye alınmalıdır.

İşbu Politika, ilgili mevzuattaki ve/veya iç politikalardaki değişiklikleri yansıtabilmek adına, periyodik olarak güncellenebilir.

7. VERİ SORUMLUSU’NUN KİMLİĞİ

Veri Sorumlusu, Şirketimiz olup kayıtlı merkezi, Tepeören Itosb 7. No: 14 Tuzla/Istanbul adresindedir.

8. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.

8.1 Hukuka ve Dürüstlük Kuralına Uygun Olma

Şirket ve Optibelt Grup, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda Şirket ve Optibelt Grup, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidirler.

8.2 Doğru ve Gerektiğinde Güncel Olma

Şirket ve Optibelt Grup, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır.

8.3 Belirli, Açık ve Meşru Amaçlar için İşlenme

Şirket ve Optibelt Grup, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda, kişisel verilerin hangi amaçla işleneceğini belirlenmeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunulmalıdır.

8.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket ve Optibelt Grup, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.

8.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket ve Optibelt Grup, kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

9. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

9.1 Kişisel Verilerin İşlenmesi

Şirket ve Optibelt Grup, kişisel veri işleme faaliyetlerini, KVKK’nın 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:

(a) Kişisel Veri Sahibinin Açık Rızasının Varlığı

Diğer veri işleme şartlarının var olmadığı durumlarda, KVKK’nın 4. maddesinde yer verilen genel ilkelere uygun olarak, Şirket ve Optibelt Grup tarafından veri sahibinin kişisel verileri, veri sahibinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak onay vermesi halinde işlenebilmektedir.

(b) Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Şirket ve Optibelt Grup tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Şirket ve Optibelt Grup tarafından bu kapsamda veri işleme faaliyeti yürütülür.

(d) Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, Şirket ve Optibelt Grup, veri işleme faaliyeti yürütür.

(e) Hukuki Yükümlülüğün Yerine Getirilmesi için Kişisel Verilerin İşlenmesi

Şirket ve Optibelt Grup, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için veri sahibinin kişisel verilerini işleyebilecektir.

(f) Veri Sahibinin Kişisel Verisini Alenileştirmesi

Şirket ve Optibelt Grup tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

(g) Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, Şirket ve Optibelt Grup tarafından bu zorunluluk ile paralel olarak kişisel veri işleme faaliyet yürütülür.

(h) Meşru Menfaat için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in ve Optibelt Grup’un meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri işleme faaliyeti yürütülebilecektir.

9.2 Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirket ve Optibelt Grup tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, Şirket ve Optibelt Grup tarafından KVKK 6. madde uyarınca özel nitelikli kişisel verilerin işlenme yürütülmektedir.

10. KİŞİSEL VERİLERİN AKTARILMASI

Şirket ve Optibelt Grup, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini KVKK’nın 8. maddesi uyarınca üçüncü kişilere aktarabilmektedir.

Şirket ve Optibelt Grup tarafından, KVKK’nın 9. maddesine uygun olarak, KVK Kurulu'nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere, sektörler veya uluslararası kuruluşlara veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu veya standart sözleşmelerin varlığı veya İlgili Kişiler’den açık rızasının alınması suretiyle yabancı ülkelere kişisel veriler aktarılabilmekte, işlenen kişisel veriler yurt içi/yurt dışı saklama sunucularında saklanabilmektedir.

11. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

Şirket ve Optibelt Grup, KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir.

Bu kapsamda, Şirket tarafından veri sahiplerine sunulan Aydınlatma Formlarında aşağıda sıralanan bilgiler bulunmaktadır:

Veri Sorumlusu olarak Şirketimizin unvanı ve temsilcisinin kimliği,
Şirket ve Optibelt Grup tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Kişisel veri sahibinin sahip olduğu haklar

12. KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI

Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler.

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.yazılı ve ıslak imzalı olarak iadeli taahhütlü mektupla veya noter kanalıyla Tepeören Itosb 7. No: 14 Tuzla/Istanbul adresine veya
5070 Sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imzanızla ya da mobil imzanızla ya da veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan e-posta adresini kullanmak suretiyle s.sari@optibelt.com adresine iletilmesi gerekmektedir.

13. MEVZUAT GEREĞI KIŞISEL VERI SAHIPLERININ HAKLARI DIŞINDA KALAN HALLER

KVKK’nın 28. maddesi gereğince, KVKK’nın amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

KVKK’nın 28. maddesinin 1. fıkrasına göre ise aşağıdaki durumlarda KVKK uygulama alanı bulmamaktadır.

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

14. KIŞISEL VERILERIN GÜVENLIĞINI SAĞLAMA YÜKÜMLÜLÜĞÜ

Şirket ve Optibelt Grup, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

Söz konusu tedbirlerden bazıları aşağıda belirtilmiştir.

Kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanların eğitilmesi, bilinçlendirilmesi ve teknik konularda bilgili personel istihdam edilmesi
Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınması ve alınan önlemlerin periyodik olarak güncellenmesi
Alınan teknik önlemlerin periyodik olarak ilgilisine raporlanması, güvenlik riski olan hususlara teknolojik çözüm üretilmesi
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dahil ilgili yazılımların ve sistemlerin kurulması
Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtların eklenmesi

15. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ

Şirket ve Optibelt Grup, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler, Şirket ve Optibelt Grup’un, o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in ve Optibelt Grup’un belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Şirket ve Optibelt Grup, veri miniminizasyonu ilkesine dayalı olarak veri işlemekle birlikte Şirket ve Optibelt Grup’taki her bir personel için yetki matrisi uygulanmaktadır.

16. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMES VE ANONİMLEŞTİRİLMESİNE İLİŞKİN ŞARTLAR VE TEKNİKLER

16.1 Şartlar

Şirket ve Optibelt Grup, Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine veya kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı 6 (altı) aydır.

16.2 Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

Şirket ve Optibelt Grup tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

(a) Fiziksel Olarak Yok Etme (Physical Destruction)

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

(b) Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Şirket ve Optibelt Grup, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

16.3 Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Şirket ve Optibelt Grup tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

(a) Maskeleme (Masking)

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

(b) Toplulaştırma (Aggregation)

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

(d) Veri Karma (Data Shuffling, Permutation)

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

17. KİŞİSEL VERİ İŞLEME ENVANTERİ

Şirket ve Optibelt Grup, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci ve verilerin aktarıldığı alıcı grupları yer almaktadır.

18. KİŞİSEL VERİ İHLALİ

Şirket ve Optibelt Grup, kişisel verilerin kazara veya yasa dışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz olarak ifşa edilmesi veya verilere erişilmesi ile sonuçlanacak güvenlik ihlalleri hakkında veri sahiplerini veya resmi makamları bilgilendirmeye yönelik tüm kanuni yükümlülüklere uymaktadır ve herhangi bir muhtemel Kişisel Veri İhlali’nden doğacak sonuçların tespiti, raporlanması ve iyileştirilmesi için, aynı olayın tekrarlanmasını engellemek amacıyla bazı yöntemler ve prosedürler ( “Olay Yönetim Prosedürü“) belirlemiştir.

19. RAPORLAMA

İşbu Politika ile düzenlenen Kişisel Verilere ilişkin mevzuata uyulmaması gerekçesiyle Şirket’in sorumluluğunun doğmasına yol açabilecek tehlike, risk, görevi ihmal/kötüye kullanma veya yanlış uygulamaya sebep olabilecek her türlü davranış dahil olmak üzere her türlü risk, ihlal, kontrol hatası, aşağıdaki adrese raporlanmalıdır:

- s.sari@optibelt.com

Kişisel Verilere ilişkin bir ihlalin ve/veya kontrol hatasının olası bir krize sebebiyet vermesi halinde, Olay Yönetim Prosedürü’nde belirtildiği üzere; kriz yönetimi takımı meseleye dahil olacak ve yönetim sürecinde birincil sorumluluğu üstlenecektir.

Bunlara ek olarak, işbu Politika’nın amaçları dahilinde ihbarda bulunan şahıslar, herhangi bir yaptırımdan korunacaklardır; zira Şirket ve Optibelt Grup, ihbarda bulunan şahısları iş akdi feshi, mevki düşürme, istenmeyen transfer veya “mobbing” olarak tanımlanabilecek davranışlar gibi zararlı sonuçlardan korumak adına, yaptırım karşıtı önlemler almaktadır.

20. DENETİM SİSTEMİ

Şirket kurallarına uygun olarak, işbu Politika’ya karşı her ihlal, ilgili ihlalin ağırlığı ve yürürlükte bulunan yasal mevzuat, sözleşmesel hükümler ve şirket standart prosedürlerine göre orantısal olarak yaptırıma uğrar.

Şirket ve Optibelt Grup, herhangi bir ihlali, ilgili Adli ve İdarî Makamlar’a ihbar etme hakkını saklı tutar.

Bu beyanın tarihi: Mart 2026

PERSONAL DATA PROTECTION AND PROCESSING POLICY

1. INTRODUCTION

Optibelt Güç Aktarma Ekipmanları Sanayi ve Ticaret Limited Şirketi (“Company” or “Optibelt”) and its Group Companies (“Optibelt Group”) place great importance on the privacy and security of your personal data. Accordingly, this Personal Data Protection and Processing Policy (“Policy”) sets forth the fundamental principles regarding compliance with the regulations stipulated under Law No. 6698 on the Protection of Personal Data (“KVKK”).

2. PURPOSE

This Policy has been established by the Company and the Optibelt Group in order to ensure full compliance with the personal data protection legislation and to prevent any potential violations. The specific objectives of this Policy are as follows:

a) To set out rules and define procedures related to personal data processing activities;

b) To identify the persons who are directly or indirectly involved in ensuring compliance with data protection, and to clarify their roles and responsibilities both within and outside the Company and the Optibelt Group;

c) To establish the necessary framework to ensure awareness among employees and business partners regarding the regulations on personal data protection;

d) To ensure transparency by informing individuals whose personal data are processed by the Company—particularly employees, shareholders, authorities, visitors, employees and representatives of partner organizations, and third parties.

3. IMPLEMENTATION OF THE POLICY AND RELEVANT LEGISLATION

Legal regulations currently in force regarding the processing and protection of personal data shall have priority in application. In the event of any inconsistency between the applicable legislation and this Policy, the Company acknowledges that the provisions of the applicable legislation shall prevail.

This Policy has been drafted by concretizing the principles set out by relevant legislation within the scope of the Company's internal practices.

4. ENFORCEMENT OF THE POLICY

This Policy has been issued by the Company on 15.08.2025. In the event of a full or partial revision of the Policy, the effective date shall be updated accordingly.

The Policy is published on the Company’s official website ( https://web.optibelt.com/en-tr/ ) and made accessible to relevant data subjects upon request.

5. DEFINITIONS

Personal Data: Any information relating to an identified or identifiable natural person.

Processing of Personal Data: Any operation performed on personal data, whether wholly or partially by automated means or by non-automated means that form part of a data filing system, such as collection, recording, storage, preservation, alteration, reorganization, disclosure, transmission, acquisition, making available, classification, or prevention of use.

Anonymization: Rendering personal data impossible to link with an identified or identifiable natural person, even when matched with other data.

Data Controller: The natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data recording system.

Data Processor: The natural or legal person who processes personal data on behalf of the Data Controller based on the authorization granted by the latter.

Third Party: Any natural or legal person, public authority, institution, or body other than the Data Subject, the Data Controller, the Data Processor, or persons authorized to process data under the direct authority of the Data Controller or Data Processor.

Data Subject: The natural person whose personal data is processed.

Explicit Consent: Freely given, specific, informed, and unambiguous indication of the Data Subject's wishes by which they, by a statement or by a clear affirmative action, signify agreement to the processing of personal data relating to them.

Personal Data Breach: Any accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data transmitted, stored, or otherwise processed.

Special Categories of Personal Data: Data relating to race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and attire, membership in associations, foundations or trade unions, health, sexual life, criminal convictions, and security measures, as well as biometric and genetic data.

Authority: Refers to the Personal Data Protection Authority (KVKK).

Board: Refers to the Personal Data Protection Board.

Authorized Persons: Individuals appointed by the Data Controller to carry out processes involving the processing of Personal Data.

Data Subject Request: A written request submitted by the Data Subject to exercise their rights under Law No. 6698 on the Protection of Personal Data.

Clarification Form: A statement provided to the Data Subject informing them about how their personal data is collected, used, stored, and disclosed.

Security Measures: All technical, IT-based, administrative, logistical, and procedural measures taken by the Data Controller and the Data Processor to ensure an adequate level of security in accordance with Law No. 6698 on the Protection of Personal Data.

Data Protection Legislation: Refers to Law No. 6698 and the relevant regulations, as well as all applicable privacy and data protection laws, rules, binding administrative guidelines, and their updated versions in force.

Personal Data Processing Inventory: An inventory created by Data Controllers that links personal data processing activities to their business processes, including the purposes of data processing, data categories, recipient groups, and categories of data subjects; and details the maximum retention periods, transfers of personal data to foreign countries, and the security measures taken.

6. SCOPE OF APPLICATION, DATA SUBJECTS, AND CATEGORIES OF PERSONAL DATA

This Policy shall apply in all regions where the Company operates.

The scope of the Policy covers the processing activities related to the personal data of the following data subjects:

Gerçek Kişi Müşteriler
Şirket Yetkilileri
Hissedarlar
İş Ortağı Hissedarları, Yetkilileri, Çalışanları
Tedarikçi Hissedarları, Yetkilileri, Çalışanları
Çalışan Adayları
İş Ortağı Adayları
Tedarikçi Adayları
Ziyaretçiler
Üçüncü Kişiler

Examples of personal data processed under this Policy include but are not limited to the following:

Identity Information (e.g., name, surname, national identification number, place and date of birth, etc.)
Contact Information (e.g., phone number, address, email address, etc.)
Information on Family Members and Relatives (Personal data of family members and relatives—such as spouse, parents, or children—processed for the purpose of protecting the legal interests of the data subject within the scope of operations conducted by the Company and the Optibelt Group)
Curriculum Vitae / Résumés
IP Addresses, Cookie Information, and Location Data

This Policy does not encompass all possible scenarios and/or legal obligations that may arise in relation to the subject matter of the Policy, nor does it replace specific regulatory or legal requirements that may need to be implemented. Therefore, legal advice should be sought from the Data Controller where necessary.

This Policy may be updated periodically in order to reflect changes in relevant legislation and/or internal policies.

7. IDENTITY OF THE DATA CONTROLLER

The Data Controller is our Company, with its registered office located at: Tepeören ITOSB 7. No: 14, Tuzla / Istanbul, Turkey

8. PRINCIPLES TO BE FOLLOWED IN THE PROCESSING OF PERSONAL DATA

The principles to be observed during the processing of personal data are outlined below under specific headings:

8.1 Compliance with the Law and the Principle of Integrity

The Company and the Optibelt Group must conduct personal data processing activities in accordance with the law and the principles of honesty and good faith. Accordingly, the principles of proportionality and necessity must be applied, and only such personal data as is required for the intended processing purpose may be collected and processed.

8.2 Being Accurate and, Where Necessary, Up to Date

The Company and the Optibelt Group must ensure that the personal data they process is accurate and kept up to date when necessary, and must take all reasonable measures to ensure the accuracy of the data.

8.3 Processing for Specific, Explicit, and Legitimate Purposes

The Company and the Optibelt Group shall process personal data for clearly defined, specific, and lawful purposes. In this regard, the purposes for which personal data will be processed must be determined in advance and communicated to the data subjects prior to processing.

8.4 Being Relevant, Limited, and Proportionate to the Purpose of Processing

The Company and the Optibelt Group must process personal data in a manner that is suitable for the achievement of the intended purposes and shall refrain from processing any data that is unrelated to or not necessary for those purposes.

8.5 Retaining Personal Data for the Period Stipulated in Relevant Legislation or as Required for the Purpose of Processing

The Company and the Optibelt Group shall retain personal data only for as long as it is required either by applicable legislation or by the purpose for which it is processed. Where a specific retention period is defined under applicable laws, such period shall be observed. If no such period is stipulated, data shall be retained only for the duration necessary to fulfill the relevant processing purpose.

9. PROCESSING OF PERSONAL DATA AND SPECIAL CATEGORIES OF PERSONAL DATA

9.1 Processing of Personal Data

The Company and the Optibelt Group carry out personal data processing activities in compliance with the conditions set forth under Article 5 of the Law on the Protection of Personal Data (KVKK). In this context, personal data processing activities are conducted only if one of the following legal bases exists:

(a) Presence of the Data Subject’s Explicit Consent

In cases where no other legal basis exists, personal data may be processed by the Company and the Optibelt Group only with the explicit consent of the data subject, provided that the consent is given freely, based on informed choice, and clearly limited to the specific processing activity.

(b) Processing is Explicitly Stipulated by Law

Where personal data processing is clearly regulated under applicable legislation, the Company and the Optibelt Group may process personal data to the extent permitted by such legal provisions.

If it is not possible to obtain the data subject’s consent due to physical or legal incapacity and the processing of personal data is necessary to protect the life or physical integrity of the individual or another person, the Company and the Optibelt Group may lawfully carry out such processing.

(d) Processing is Directly Related to the Establishment or Performance of a Contract

Where the processing of personal data belonging to parties of a contract is necessary for the establishment or performance of that contract, the Company and the Optibelt Group may carry out the processing accordingly.

(e) Processing is Necessary for Compliance with a Legal Obligation

The Company and the Optibelt Group, in their capacity as data controllers, may process personal data where required in order to fulfill their legal obligations.

(f) Data Subject’s Personal Data Has Been Made Public

If the data subject has made their personal data publicly available, the Company and the Optibelt Group may process such data in accordance with the purpose for which it was made public.

(g) Processing is Necessary for the Establishment, Exercise, or Defense of a Legal Claim

Where personal data processing is essential for the establishment, exercise, or protection of a legal right, the Company and the Optibelt Group may conduct processing within this scope.

(h) Processing is Necessary for the Legitimate Interests of the Data Controller

Provided that it does not violate the fundamental rights and freedoms of the data subject, personal data may be processed where it is necessary for the legitimate interests of the Company and the Optibelt Group.

9.2 Processing of Special Categories of Personal Data

The Company and the Optibelt Group attach particular importance to the processing of special categories of personal data, which, if processed unlawfully, carry a risk of discrimination. In this respect, the processing of such data is conducted strictly in accordance with Article 6 of the KVKK, which sets forth special safeguards and legal bases for processing sensitive personal data.

10. TRANSFER OF PERSONAL DATA

The Company and the Optibelt Group may transfer personal data and special categories of personal data belonging to data subjects to third parties in accordance with Article 8 of the Law on the Protection of Personal Data (KVKK), provided that the transfer aligns with lawful data processing purposes and that appropriate security measures are taken.

In accordance with Article 9 of the KVKK, the Company and the Optibelt Group may transfer personal data to foreign countries that are declared by the Personal Data Protection Board to have an adequate level of protection, or—where such protection is not available—only if data controllers in both Turkey and the relevant foreign country provide a written undertaking of adequate protection and the Board grants permission, or where standard contractual clauses are used or explicit consent of the data subject is obtained. Personal data processed in this context may also be stored on domestic or international data storage servers.

11. INFORMING DATA SUBJECTS

The Company and the Optibelt Group carry out the necessary procedures to ensure that data subjects are informed at the time of collection of their personal data, in accordance with Article 10 of the KVKK and the Communiqué on the Principles and Procedures to be Followed in Fulfillment of the Obligation to Inform.

In this context, the Clarification Forms provided to data subjects by the Company include the following information:

The title of our Company as the Data Controller and the identity of its representative,
The purposes for which the Company and the Optibelt Group process personal data,
The recipients to whom the personal data may be disclosed and the purpose of such disclosures,
The method and legal basis for collecting personal data,
The rights of the data subject regarding their personal data.

12. RESPONDING TO REQUESTS FROM DATA SUBJECTS

Data subjects may exercise their rights concerning their personal data as set forth under the Law on the Protection of Personal Data (KVKK) by submitting a request in writing or by other means determined by the Personal Data Protection Board.

Under the KVKK, data subjects have the following rights:

To learn whether their personal data is being processed;
If their personal data has been processed, to request information regarding such processing;
To learn the purpose of the data processing and whether personal data is used in accordance with that purpose;
To know the third parties to whom personal data has been transferred, either within the country or abroad;
To request the correction of personal data in case it is incomplete or incorrectly processed, and to request that such corrections be communicated to third parties to whom the data has been transferred;
To request the deletion or destruction of personal data in the event that the reasons requiring its processing no longer exist, even though it has been processed in accordance with the KVKK and other relevant legal provisions, and to request that this process be communicated to third parties to whom the data has been transferred;
To object to the occurrence of any result against them arising from the analysis of personal data exclusively through automated systems;
To request compensation for damages incurred due to unlawful processing of personal data.

Requests concerning the exercise of these rights must be submitted using the Application Form available on the Company’s website ( https://web.optibelt.com/en-tr/ ) and must be sent:

As a physically signed hard copy via registered mail with return receipt or through a notary public to the address: Tepeören ITOSB 7. No: 14, Tuzla/Istanbul,
Or by using a secure electronic signature, mobile signature, or the e-mail address previously registered in the data controller’s system, and sending it to: s.sari@optibelt.com in accordance with Law No. 5070 on Electronic Signatures.

13. EXCEPTIONS TO DATA SUBJECT RIGHTS UNDER THE LAW

Pursuant to Article 28 of the Law on the Protection of Personal Data (KVKK), the following rights and obligations do not apply under specific circumstances, provided that the data processing is proportionate and in line with the purpose and fundamental principles of the KVKK:

Personal data processing is necessary for the prevention of crime or criminal investigation,
Personal data that has been made public by the relevant person,
Personal data processing is necessary for the execution of audit or regulatory duties and disciplinary investigation or prosecution by authorized public institutions and organizations and professional organizations with the status of public institution, based on the authority granted by law,
Personal data processing is necessary for the protection of the economic and financial interests of the State in relation to budget, tax and financial matters,

According to Article 28, paragraph 1 of the KVKK, the KVKK does not apply in the following cases.

Processing of personal data by natural persons within the scope of activities related to themselves or their family members living in the same residence, provided that they are not disclosed to third parties and that obligations regarding data security are complied with.
Processing of personal data for purposes such as research, planning and statistics by making them anonymous with official statistics.
Processing of personal data for artistic, historical, literary or scientific purposes or within the scope of freedom of expression, provided that it does not violate national defense, national security, public safety, public order, economic security, privacy of private life or personal rights or does not constitute a crime.
Processing of personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations authorized by law to ensure national defense, national security, public safety, public order or economic security.
Processing of personal data by judicial authorities or execution authorities regarding investigation, prosecution, trial or execution procedures.

14. OBLIGATION TO PROVIDE SECURITY OF PERSONAL DATA

The Company and Optibelt Group take the necessary technical and administrative measures to ensure the appropriate level of security to prevent the unlawful processing of personal data they process, to prevent unlawful access to data, and to ensure the preservation of data.

Some of these measures are listed below.

Training and raising awareness of employees regarding the legislation on the protection of personal data and employing personnel with technical knowledge
Taking technical measures appropriate to technology to prevent access to systems and locations where personal data is stored and periodically updating the measures taken
Periodically reporting the technical measures taken to the relevant party, producing technological solutions to issues that pose security risks
Installing relevant software and systems, including software and hardware that include virus protection systems and firewalls
In cases where personal data is subject to transfer, adding records to the contracts concluded with the persons to whom personal data is transferred that the party to whom personal data is transferred will fulfill its obligations to ensure data security

15. PERIOD OF STORAGE OF PERSONAL DATA

The Company and Optibelt Group store personal data for the period specified in the relevant laws and legislations, if stipulated in these legislations. If no period is regulated in the legislation regarding the period for which personal data should be stored, Personal Data is processed for the period required by the Company and Optibelt Group to be processed in accordance with the Company's practices and commercial practices, depending on the activity carried out while processing that data, and then deleted, destroyed or anonymized.

If the purpose of processing personal data has ended; if the storage periods determined by the relevant legislation and the Company and Optibelt Group have also expired; personal data can only be stored for the purpose of providing evidence in possible legal disputes or asserting the relevant right related to personal data or establishing defense. In this case, the stored personal data is not accessed for any other purpose and access is provided to the relevant personal data only when it is necessary to be used in the relevant legal dispute. Here too, after the mentioned period expires, personal data is deleted, destroyed or anonymized. The Company and Optibelt Group process data based on the principle of data minimization, and an authorization matrix is applied for each employee in the Company and Optibelt Group.

16. CONDITIONS AND TECHNIQUES FOR DELETION, DESTRUCTION AND ANONYMIZATION OF PERSONAL DATA

16.1 Conditions

The Company and Optibelt Group shall delete, destroy or anonymize personal data upon the Company's own decision or upon the request of the personal data owner or in the first periodic destruction process following the date on which the obligation to delete, destroy or anonymize personal data arises, even though it has been processed in accordance with the relevant provisions of the law as regulated in Article 138 of the Turkish Penal Code and Article 7 of the KVKK.

16.2 Techniques for Deletion and Destroying Personal Data

The most commonly used deletion or destruction techniques by the Company and Optibelt Group are listed below:

(a) Physical Destruction

Personal data can be processed by non-automatic means, provided that it is part of any data recording system. When such data is deleted/destroyed, a system is applied to physically destroy personal data in a way that it cannot be used later.

(b) Secure Deletion Software

When data processed by fully or partially automatic means and stored in digital environments is deleted/destroyed; methods are used to delete the data from the relevant software in a way that it cannot be recovered again.

In some cases, the Company and Optibelt Group may contract with an expert to delete personal data on their behalf. In this case, personal data is securely deleted/destroyed by a Person who is an expert in this field in a way that it cannot be recovered again.

16.3 Techniques for Anonymizing Personal Data

Anonymizing personal data refers to making personal data in no way identifiable or identifiable with a real person, even when matched with other data.

The anonymization techniques most commonly used by the Company and Optibelt Group are listed below.

(a) Masking

Data masking is a method of anonymizing personal data by removing the basic determinant information of personal data from the data set.

(b) Aggregation

With the data aggregation method, many data are aggregated and personal data is rendered incapable of being associated with any person.

With the data derivation method, a more general content is created from the content of personal data and personal data is rendered incapable of being associated with any person.

(d) Data Shuffling, Permutation

The data shuffling method is used to break the connection between the values and the individuals by mixing the values in the personal data set.

17. PERSONAL DATA PROCESSING INVENTORY

The Company and Optibelt Group have created a personal data inventory in accordance with the Data Controllers Registry Regulation issued by the Personal Data Protection Authority. This data inventory includes data categories, data source, data processing purposes, data processing process and recipient groups to which the data is transferred.

18. PERSONAL DATA BREACH

The Company and Optibelt Group comply with all legal obligations to inform data owners or official authorities about security breaches that may result in accidental or illegal destruction, loss, alteration, unauthorized disclosure or access to personal data, and have determined certain methods and procedures (“Incident Management Procedure”) for the detection, reporting and improvement of the consequences of any possible Personal Data Breach, in order to prevent the recurrence of the same incident.

19. REPORTING

Any kind of risk, breach, control error, including any kind of behavior that may lead to the Company's liability due to non-compliance with the legislation regarding Personal Data regulated by this Policy, should be reported to the following address:

- s.sari@optibelt.com

In the event that a breach and/or control error regarding Personal Data causes a possible crisis, the crisis management team will be involved in the matter as specified in the Incident Management Procedure and will assume primary responsibility in the management process.

In addition, individuals who make a report within the scope of the purposes of this Policy will be protected from any sanctions; since the Company and the Optibelt Group take anti-sanction measures in order to protect individuals who make a report from harmful consequences such as termination of employment contract, demotion, unwanted transfer or behaviors that can be defined as "mobbing".

20. AUDIT SYSTEM

In accordance with the company rules, any violation of this Policy will be sanctioned proportionally according to the severity of the violation and the applicable legal regulations, contractual provisions and company standard procedures.

The Company and Optibelt Group reserve the right to report any violation to the relevant Judicial and Administrative Authorities.

Date of this statement: March 2026

Data Privacy Statement

Optibelt GmbH (hereinafter referred to as: "we"), as the operator of the website, is responsible for processing the personal data of users who visit the website. Our contact details can be found in the legal notice of the website, and contact persons for questions regarding the processing of personal data are named directly in this data privacy statement.

We take the protection of your privacy and your private data very seriously. We collect, store and use your personal data only in accordance with the content of this data privacy statement and the applicable data protection regulations, in particular the European General Data Protection Regulation (GDPR) and national data protection regulations.

With this data privacy statement, we would like to inform you to what extent and for what purpose personal data is processed in connection with the use of the website.

Personal data

Personal data is information about an identified or identifiable natural person. This includes all information about your identity, such as your name, email address or postal address. However, information that cannot be associated with your identity (for example, statistical information, such as the number of online users) is not considered personal information.

You can use our website without disclosing your identity and without providing personal data. We will then only collect general information about your visit to our website. For some of the services offered, however, personal data is collected from you. This data will then only be processed by us for purposes of using this website, in particular for providing the desired information. When entering personal data, only mandatory data must be provided. Further information may also be provided on a voluntary basis. In each case, we point out whether it concerns mandatory fields or voluntary data. We will inform you about the specific details in the relevant section of this data privacy statement.

An automated decision-making process based on your personal data does not take place in connection with the use of our website.

Processing of personal information

We store your data on specially protected servers within the European Union. These are protected by technical and organisational measures against loss, destruction, access, modification or dissemination of your data by unauthorised persons. Access to your data is only permitted for a limited number of authorised persons. They are responsible for the technical, commercial or editorial support of the servers. Despite regular checks, however, complete protection against all risks is not possible.

Your personal data is transmitted over the internet in encrypted form. We use SSL encryption (Secure Socket Layer) for data transmission.

Disclosure of personal data to third parties

In principle, we only use your personal information to provide the services you have requested. Insofar as external service providers are used by us within the scope of the provision of services, their access to the data also takes place exclusively for purposes related to the provision of services. Through technical and organisational measures, we ensure compliance with data protection regulations and also oblige our external service providers to comply with these.

Furthermore, we will not pass on your data to third parties without your explicit consent, with a particular focus on the avoidance of advertising and promotional activities. Your personal data will only be disclosed if you have actively consented to the transfer of your data or if we are entitled or obliged to do so by law and/or official court orders. In particular, this may involve providing information for law enforcement, security purposes or the enforcement of intellectual property rights.

Legal basis for data processing

Insofar as we obtain consent for the processing of your personal data, Article 6(1)(a) of the GDPR serves as the legal basis for data processing.

Insofar as your personal data is processed for the purpose of fulfilling a contract or in the context of a contract-like relationship with you, Article 6(1)(b) of the GDPR serves as the legal basis for data processing.

Insofar as we process your personal data in order to fulfil a legal obligation, Article 6 (1)(c) of the GDPR serves as the legal basis for data processing.

Insofar as we process your personal data within the scope of an employment relationship, Article 88 (1) GDPR in conjunction with Section 26 of the German Federal Data Protection Act (BDSG) serves as the legal basis for the data processing.

Article 6(1)(f) of the GDPR may also be used as a legal basis for data processing if the processing of your personal data is necessary to safeguard a legitimate interest of our company or that of a third party, and, in so doing, your interests, fundamental rights and freedoms do not require the protection of personal data.

Within the scope of this data privacy statement, we always indicate the legal basis on which the processing of your personal data is based.

Application data

Your personal information and data, which you voluntarily provide to us as part of your application via our careers site, will be collected, stored and only used for the intended purpose with the utmost care and integrity. The provisions of the European Data Protection Regulation and the Federal Data Protection Act are observed. We only collect the data that is required in the course of your application to companies of the Arntz Optibelt Group in order to enable the selection and recruitment of suitable applicants. The personal data required for the selection of suitable applicants is marked as mandatory in the application portal. The processing of further personal data, the provision of which is expressly not mandatory in this context, is based on the voluntary consent of the data subject in accordance with Art. 6 (1) sentence 1 lit. a) GDPR.

The legal basis for the processing of the following categories of personal data is Art. 6 (1) lit b) GDPR as the legal basis for the implementation of pre-contractual measures at the request of the data subject (applicant).

The categories of personal data processed include name, title, address, contact details, date of birth, nationality, CV, certificates, qualifications, photo (optional), where applicable a (short) assessment of the applicant by employees of companies of the Arntz Optibelt Group and log data when video interviews are used. With regard to the application, the data source of this personal data is the data subject. With regard to (short) assessments, recruiters, heads of department, other employees with professional and disciplinary management responsibility, trainers and professionals in the relevant field are to be considered as the data source.

You can object to the processing of your personal data at any time. In particular, you have the option to withdraw your application at any time. As part of the application process, you should only provide us with the personal data that is required for participation in the application process and its implementation. The processing of the personal data mentioned here is necessary for the handling of the application procedure. Without this data, we cannot consider you in the application process.

If you have given your consent as part of the application process, your application documents may be forwarded to other companies in the Arntz Optibelt Group. We do not transfer your data to third countries unless you have expressly applied for a job in a third country or given your consent.

There will be no automated decision making or profiling based on your collected data.

The data is deleted as soon as it is no longer required to achieve the purpose for which it was collected. In the event that an employment relationship, training relationship, internship or other employment relationship is established following the application procedure, the data will initially continue to be stored and transferred to the personnel file. Otherwise, the application procedure ends with the receipt of a rejection. In this case, the data will be deleted after six months. Deletion does not take place if further processing and storage of your personal data is necessary in individual cases for the assertion, exercise or defence of legal claims. In this case, we have a legitimate interest in the further processing and storage of your personal data. The legal basis is Art. 6 para. 1 p. 1 lit. f) GDPR. Deletion will also not take place if we are obliged to continue storing your personal data due to legal regulations. In this case, the legal basis is Art. 6 para. 1 p. 1 lit. c) of the GDPR.

If the applicant agrees to longer-term storage, for example within the framework of a so-called talent pool, the data can be stored for up to 12 months. The storage of your application in the talent pool requires your consent. The legal basis for the processing is Art. 6 para. 1 p. 1 lit. a) GDPR. You can revoke the consent you have given us at any time.

Data deletion and storage time

We always delete or block your personal data when the reason for storing the data is no longer applicable. However, data may also be stored if this is provided for by legal requirements to which we are subject, for example with regard to statutory storage and documentation obligations. In such cases, we will delete or block your personal data at the end of the corresponding provisions.

Use of our website

Information about your computer

Each time you access our website, we collect the following information about your computer, regardless of your registration: the IP address of your computer, the request from your browser and the time of this request. In addition, the status and the amount of data transferred are recorded within the scope of this request. We also collect product and version information about the browser and operating system of the computer used. We also identify the website from which the website was accessed. The IP address of your computer is only stored for the duration of the use of the website and is subsequently deleted or made anonymous by truncation. The remaining data is stored for a limited period of time.

We use this data for the operation of the website, in particular to detect and eliminate errors, to determine the utilisation of the website and to make adjustments or improvements. For these purposes, we have a legitimate interest in data processing pursuant to Article 6(1)(f) of the GDPR.

Use of cookies

As on many websites, cookies are used for our website. Cookies are small text files which are stored on your computer and contain certain settings and data for exchange with our website via your browser. A cookie usually contains the name of the domain from which the cookie file was sent, information about the age of the cookie and an alphanumeric identifier.

Cookies enable us to recognise your computer and to make any pre-settings immediately available. Cookies help us to improve the website and provide you with a better and more personalised service. This is also our legitimate interest in data processing pursuant to Article 6(1)(f) of the GDPR.

The cookies we use are so-called session cookies, which are automatically deleted after the end of the browser session. Occasionally, cookies with a longer storage period can also be used, so that your pre-settings and preferences can be applied the next time you visit our website.

Most browsers are configured to accept cookies automatically. However, you can deactivate the storage of cookies or set your browser to notify you as soon as cookies are sent. It is also possible to manually delete cookies that have already been saved by using the browser settings. Please note that our website may only be of limited- or no use if you decline the storage of cookies or delete necessary cookies.

You can check and change your cookie settings at any time.

Use of Third Party Tools

Google Analytics

We use Google Analytics for statistical analysis. Google Analytics is a web analytics service provided by Google Inc., 1600 Amphitheater Parkway, Mountain View, CA 94034, USA ("Google"). Google Analytics uses so-called “cookies,” or textual data that is saved on your computer, making analysis of your website use possible. The information generated by the cookies about your use of this website is transmitted to a Google server in the USA and is stored there. In case IP anonymisation is activated on this website, your IP address will be shortened by Google in the member states of the European Union or other signatory states of the Agreement on the European Economic Area. Only in exceptional cases will the complete IP address first be transmitted to a Google server in the USA before being shortened. On behalf of the operator of this website, Google will use this information to evaluate your use of the website and generate reports on website activity as well as further services provided to the website operator with regard to website and internet use. The IP address transmitted by Google Analytics is not joined with other Google data. You can prevent storage of cookies by changing your browser software settings, but please note that some functions of the website may not be usable to their full extent if you do so. Furthermore, you can also prevent collection of cookie-generated website usage data (including your IP address) by Google as well as the processing of this data by downloading and installing the browser plug-in available under the following link https://tools.google.com/dlpage/gaoptout?hl=en

Further information is available under https://tools.google.com/dlpage/gaoptout?hl=en or https://marketingplatform.google.com/about/ (General information on Google Analytics and data protection). We would like to point out that on our website, Google Analytics has been extended by the code " anonymizeIp();" in order to make the IP addresses anonymous, whereby the last octet is deleted.

Due to protective measures taken (anonymisation and possibility of objection), we consider data processing for the optimisation of our website to be a legitimate interest in data processing pursuant to Article 6(1)(f) of the GDPR.

Google reCAPTCHA

We use “Google reCAPTCHA” (hereinafter referred to as “reCAPTCHA”) on our websites. The provider is Google Inc, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (“Google”).

The purpose of reCAPTCHA is to check whether the data input on our websites (e.g. in a contact form) is made by a human or by an automated program. For this purpose, reCAPTCHA analyzes the behavior of the website visitor based on various characteristics. This analysis begins automatically as soon as the website visitor enters the website. For the analysis, reCAPTCHA evaluates various information (e.g. IP address, time spent on the website by the website visitor or mouse movements made by the user). The data collected during the analysis is forwarded to Google.

The reCAPTCHA analyses run completely in the background. Website visitors are not informed that an analysis is taking place.

Data processing is carried out on the basis of Art. 6 para. 1 lit. f GDPR. The website operator has a legitimate interest in protecting its website from abusive automated spying and SPAM. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (hereinafter “Google”) is responsible for data processing. It cannot be ruled out that data may be transferred to Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Google is certified under the EU-US Data Privacy Framework and is therefore covered by the EU adequacy decision for the USA.

Further information about Google reCAPTCHA and Google's privacy policy can be found at the following links: https://www.google.com/intl/de/policies/privacy/ and https://www.google.com/recaptcha/intro/android.html.

Consent-Management-Platform "Usercentrics"

In order to fulfill our data protection obligations, we use the consent management platform Usercentrics from Usercentrics GmbH, Sendlinger Straße 7, 80331 Munich (“Usercentrics”).

By using the consent management platform, data of website visitors on consents given or revoked (opt-in, opt-out data, consent ID, consent number, date and time of consent, implicit or explicit consent, banner language, customer setting, template version) and device data (device information, browser information (http agent, http referrer), anonymized IP address) are processed. This data is transmitted to Usercentrics.

The data processing is carried out to fulfill our legal obligations in accordance with Art. 6 para. 1 c) GDPR.

Registration

You can register to use our website. To do so, you must provide the data requested during registration, for example, name, address and email address. We also record the date and time of registration and the IP address. As part of the registration process, we obtain your consent for the use of the data. The advantage of this is that you do not have to enter this data again each time you use or place an order.

The legal basis for the processing of data for registration is Article 6 (1) (a) of the GDPR. Insofar as you register for the fulfilment or initiation of a contract with us, the legal basis for the processing of the data is additionally Article 6 (1) (b) of the GDPR.

The information requested as a mandatory field during registration is required for the fulfilment or initiation of a contract with us for certain services.

When you register, a customer account will be created for you. Data in the customer account is stored with us only as long as an active customer relationship exists. If no activity is detected for a period of three years, the status of the customer relationship is set to inactive. You can request the deletion of your customer account at any time.

Order processing

We only use your personal information for orders within our company and affiliated companies, and with the company commissioned to process orders.

Storage and data transfer for orders

To process orders, we work together with various companies that are responsible for payment processing and logistics. We ensure that our partners comply with data protection regulations. We will pass on your address data (name and address) to the respective transport company that delivers the products ordered to you. The legal basis for this is Article 6 (1) (b) of the GDPR. The processing of your personal data is required to fulfil the contract with you.

The data will be stored by us for as long as it is necessary to fulfil the contract. Furthermore, we store this data for the legally prescribed period for the fulfilment of post-contractual obligations and due to commercial and tax retention periods. In general, this retention period is 10 years from the end of the respective calendar year.

Payment processing for orders, PayPal, Sofortüberweisung (Sofort)

Depending on the chosen payment method, payment processing for orders may be effected through the involvement of a service provider.

When paying by credit card, all necessary data such as name, address and purchase data will be forwarded to the respective credit card company.

If you pay via PayPal, you will be redirected to the PayPal website via a link. In the course of this form of payment, your personal data will be processed. This data includes your name, your address, your email address, any telephone number and account or credit card information. Please refer to the general terms and conditions, terms of use and data privacy statement of PayPal (Europe) S.à r.l. et Cie, SCA, 22-24 Boulevard Royal, L-2449 Luxembourg on the website https://www.paypal.com/de/home.

If you pay by Sofortüberweisung (Sofort), you will be redirected to the internet site of Sofortüberweisung, a service of Sofort GmbH, which belongs to Klarna Bank AB (publ), Sveavägen 46111 34 Stockholm, Sweden. In the course of this form of payment, your personal data will be processed. This data includes your name, your address, your email address, any telephone number and account or credit card information. Please refer to the general terms and conditions, terms of use and data privacy statement of Klarna, which are listed under https://www.klarna.com .

The legal basis for payment processing is Article 6 (1) (b) of the GDPR. The processing of your personal data is necessary for the fulfilment of the contract with you, whereby you are free to choose the method of payment.

Creditworthiness check

Depending on the chosen payment method, it may be necessary to check your creditworthiness. In this case, we will use external service providers to whom we send your data (name, address, date of birth, order value) if you have given your consent for a creditworthiness check. The data is transmitted to the Verband der Vereine Creditreform e.V., Hellersbergstraße 12, D-41460 Neuss.

The legal basis for the creditworthiness check is Article 6 (1) (a) of the GDPR. If you do not wish to consent to the creditworthiness check, you may have to select another means of payment.

When assessing creditworthiness, an estimate is obtained of the probability of default with regard to our receivables from the purchase order. We only receive a probability value (score value) from our service provider, but no further details. On the basis of this value, we then evaluate whether the desired payment method can be offered. After completion of the check, the score value is deleted from our system and not saved as part of the order data. It is therefore not possible for us to subsequently assess why, for example, a certain payment method was not possible.

Communication with us

You can contact us in various ways, for example via the email addresses provided on our website. You are also welcome to receive our informative newsletter by email on a regular basis.

When you subscribe to our newsletter, your email address will be used for our own advertising purposes until you unsubscribe. You will also receive regular information on current topics and emails for special reasons, for example special promotions. The emails can be personalised and individualised based on our existing information about you.

If you have not given us your written consent to subscribe to our newsletter, we will use the so-called double opt-in procedure, i.e. we will not send you a newsletter by email until you have expressly confirmed to us beforehand that we should activate the newsletter subscription. We will then send you a notification email and ask you to confirm that you would like to receive our newsletter by clicking on a link contained in the email.

The legal basis for processing your data is your consent pursuant to Article 6(1)(a) of the GDPR if you have expressly registered for the newsletter. Within the scope of legal provisions, it may also be possible that you receive our newsletter without express consent, because you have ordered goods or services from us, we have received your email address in this connection and you have not objected to receiving information by email. In this case, the legal basis shall be our legitimate interest in the transmission of direct mail pursuant to Article 6(1)(f) of the GDPR.

If you no longer wish to receive newsletters from us, you can revoke your consent at any time with effect for the future or object to further receipt of the newsletter without incurring any costs other than the transmission costs according to basic tariffs. Simply use the unsubscribe link included in each newsletter or send a message to us or our data protection officer.

Social media

In our website, you will find links to the social networks Facebook, LinkedIn and YouTube. The links are indicated by the respective logo of the provider.

Clicking on the links opens the corresponding social media pages for which this data privacy statement does not apply. Please refer to the data privacy statements of the individual providers for details of the provisions applicable there; you will find these under:

Facebook: https://www.facebook.com/privacy/policy/

LinkedIn: https://de.linkedin.com/legal/privacy-policy

YouTube: https://policies.google.com/privacy

No personal information is transmitted to the respective providers before the corresponding links are opened. Your visit to the linked page is also the basis for data processing by the respective providers.

Use of YouTube

Our website includes videos for which we use a plugin of the Google-operated service YouTube ("YouTube"). The operator of this service is YouTube LLC, 901 Cherry Ave, San Bruno, CA 94066, USA. When you visit a website of our website that includes a video, you will be connected to YouTube's servers. At the same time, the server of YouTube will be informed which internet pages of our website you have visited.

If you are logged into your YouTube account, you allow YouTube to associate your surfing behaviour directly with your personal profile. You can prevent this by logging out of your YouTube account. For more information on how user data is handled, please refer to the Google Privacy Policy https://www.google.com/intl/en/policies/privacy/ , which also applies to YouTube.

We use YouTube so that we can show you videos and thus tell you more about us and our services; This is also the legitimate interest pursuant to Article 6 (1) (f) of the GDPR.

Your rights and contact

We attach great importance to explaining the processing of your personal data as transparently as possible and also to inform you about the rights to which you are entitled. If you require further information or wish to exercise the rights to which you are entitled, you can contact us at any time, so that we can take care of your request.

Rights of persons concerned

You have extensive rights regarding the processing of your personal data. First of all, you have a comprehensive right to information and can, if necessary, request the correction and/or deletion or blocking of your personal data. You may also request a limitation of processing and have a right of objection. You also have a right to data transferability with regard to the personal data you have provided us with.

If you wish to assert any of your rights and/or request further information, please contact our customer service. Alternatively, you can contact our data protection officer.

Revocation of consent and objection

Once consent has been given, it can be freely revoked at any time with effect for the future. The revocation of consent shall not affect the legality of the processing carried out on the basis of the consent until such time as it is revoked. Contact persons for this purpose are also our customer service and data protection officer.

If the processing of your personal data is not based on consent, but on another legal basis, you can object to this data processing. Your objection will lead to a review, and, if necessary, termination of data processing. You will be informed of the results of the review and - if data processing is nevertheless to be continued - we will provide you with more detailed information as to why the data processing is permissible.

Data protection officer and contact

For questions related to our handling of personal data or further information on data privacy issues, please contact our Data Protection Officer:

Phone: +49 5271 / 62 468 Email: datenschutz(at)optibelt.com

Complaints

If you believe that we are not processing your personal data in accordance with this data privacy statement or the applicable data protection regulations, you have a right of appeal to a regulatory authority. You can also lodge a complaint with our data protection officer. The data protection officer will then examine the matter and inform you of the result of the examination.

Further information and amendments

Links to other websites

Our website may contain links to other websites. As a rule, these links are marked as such. We have no influence on the extent to which the applicable data protection regulations are complied with on the linked websites. We therefore recommend that you also inform yourself about the respective data privacy statements of other websites.

Amendments to this data privacy statement

The current date of this data privacy statement is indicated by the date (below). We reserve the right to amend this data privacy statement at any time with future effect. Amendments are made, in particular, in the event of technical adjustments to the website or changes to data protection regulations. The current version of the data privacy statement can always be accessed directly via the website. We recommend that you regularly inform yourself about amendments to this data privacy statement.

Date of this data privacy statement: March 2025

Choose your country and language