KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

asd | 15 Mayıs 2026

1. Amaç

Bu politika, asd ("Şirket" / "Veri Sorumlusu") tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m.7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (28.10.2017 R.G. 30224) ("Yönetmelik") kapsamında, kişisel verilerin saklanma süreleri ve imha prosedürlerini düzenler.

2. Kapsam

Bu politika, Şirket tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri kapsamaktadır.

Sektör: Sağlık

Çalışan Sayısı: 51-250

3. Kayıt Ortamları (Yön. m.6/3-b)

Bu politika kapsamında kişisel verilerin saklandığı kayıt ortamları aşağıda sayılmıştır:

Elektronik Ortamlar

Sunucular (etki alanı denetleyicisi, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.)
Yazılımlar (ofis yazılımları, portal, EBYS, ERP, CRM)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit, antivirüs)
Kişisel bilgisayarlar (masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet)
Optik diskler (CD, DVD)
Çıkarılabilir bellekler (USB, hafıza kartı)
Yazıcı, tarayıcı, fotokopi makinesi
Bulut sistemleri (Şirket'in kullanımındaki şifreli depolama alanları)

Fiziksel Ortamlar

Kâğıt
Manuel veri kayıt sistemleri (anket formları, ziyaretçi kayıt defteri)
Yazılı, basılı, görsel ortamlar

4. Tanımlar (Yön. m.3)

Terim	Tanım
Silme	Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Yok etme	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Anonim hale getirme	Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi işlemi
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Periyodik imha	Kanun'da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrarlayan aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

5. Görev ve Sorumluluklar (Yön. m.6/3-f)

Saklama ve imha süreçlerinde aşağıdaki birim ve unvanlar görevlidir:

Unvan	Birim	Görev Tanımı
KVKK Sorumlusu / İrtibat Kişisi	[Belirlenecek]	Politikanın hazırlanması, güncellenmesi ve uygulanmasının takibi; ilgili kişi başvurularının koordinasyonu
Bilgi Teknolojileri Sorumlusu	BT Birimi	Elektronik ortamlarda saklama ve imha işlemlerinin teknik uygulanması; log yönetimi
İnsan Kaynakları Sorumlusu	İK Birimi	Çalışan verilerinin saklama ve imhası; KVKK farkındalık eğitimlerinin koordinasyonu
Birim Yöneticileri	İlgili birimler	Birimlerinde işlenen verilerin saklama sürelerine uyumun denetimi; periyodik imha sürecinde birim katkısı
Hukuk Müşaviri	Hukuk Birimi	Mevzuat değişikliklerinin politikaya yansıtılması ve hukuki uyum denetimi

6. Saklamayı ve İmhayı Gerektiren Sebepler (Yön. m.6/3-ç)

Saklamayı Gerektiren Hukuki Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu
6098 sayılı Türk Borçlar Kanunu (zamanaşımı süreleri — m.146)
6102 sayılı Türk Ticaret Kanunu (ticari defter ve belgelerin 10 yıl saklanması — m.82)
213 sayılı Vergi Usul Kanunu (mali kayıtların saklanması — m.253)
4857 sayılı İş Kanunu ve sosyal güvenlik mevzuatı
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
İlgili sektörel mevzuat (varsa)

Saklamayı Gerektiren Diğer Sebepler

Sözleşmenin kurulması ve ifası (KVKK m.5/2-c)
Hak tesisi, kullanılması veya korunması (m.5/2-e)
Şirket'in meşru menfaatleri (m.5/2-f — ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla)

İmhayı Gerektiren Sebepler

İşlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
İşlemenin amacının ortadan kalkması
Açık rızaya dayalı işlemelerde rızanın geri alınması
İlgili kişinin KVKK m.11/e kapsamındaki silme/yok etme talebinin kabul edilmesi
Saklama süresinin sona ermesi

7. Saklama ve İmha Süreleri

Kişisel veri kategorileri bazında saklama süreleri aşağıdaki tabloda belirtilmiştir. Süreler, m.4/2-d'deki "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi ve ilgili mevzuatın asgari süreleri esas alınarak belirlenmiştir.

Veri Kategorisi	Örnekler	Saklama Süresi
Kimlik Bilgileri	Ad, soyad, TC kimlik no, doğum tarihi, fotoğraf	İş ilişkisi sona erdikten sonra 10 yıl (6098 s. TBK m.146)
İletişim Bilgileri	E-posta, telefon, adres	İş ilişkisi sona erdikten sonra 10 yıl (6098 s. TBK m.146)
Finansal Bilgiler	Banka hesap no, kredi kartı, gelir bilgisi	10 yıl (6102 s. TTK m.82, 213 s. VUK m.253)
Biyometrik Veriler	Parmak izi, yüz tanıma, retina taraması	İşleme amacı ortadan kalktığında derhal (KVKK m.6 özel nitelikli)
Sağlık Verileri	Sağlık raporu, kan grubu, engellilik bilgisi	Kişisel Sağlık Verileri Hakkında Yönetmelik (21.06.2019 R.G. 30808) ve Sağlık Bakanlığı düzenlemeleri uyarınca asgari 20 yıl (özel hallerde daha uzun)
Ceza Mahkumiyeti / Güvenlik Tedbirleri	Sabıka kaydı, güvenlik soruşturması	İşleme amacı ortadan kalktığında derhal (KVKK m.6 özel nitelikli)
Konum Verileri	GPS, IP adresi tabanlı konum	2 yıl veya işleme amacı sona erdiğinde
Davranışsal Veriler	Web sitesi gezinme, uygulama kullanımı, alışveriş geçmişi	2 yıl veya işleme amacı sona erdiğinde
Çalışan Verileri	Özlük dosyası, maaş, performans değerlendirmesi	İş ilişkisi sona erdikten sonra 10 yıl (4857 s. İş Kanunu)
Görsel / İşitsel Veriler	CCTV kayıtları, ses kayıtları, fotoğraf	Kamera/CCTV kayıtları: işleme amacına ve sektörel düzenlemelere göre genellikle 30-90 gün; ürün/etkinlik fotoğrafı vb.: işleme amacı sona erdiğinde
Siyasi / Felsefi / Dini Görüş	Sendika üyeliği, siyasi parti, din bilgisi	İşleme amacı ortadan kalktığında derhal (KVKK m.6 özel nitelikli)
Genetik Veriler	DNA verileri, genetik test sonuçları	İşleme amacı ortadan kalktığında derhal (KVKK m.6 özel nitelikli)

8. İmha Yöntemleri

a) Silme

Yazılım tabanlı silme: Veritabanlarından kalıcı silme (DELETE komutları, log temizleme)
Karartma / maskeleme: Verinin orijinal hâli kullanılamaz şekilde gizlenmesi (örn. e-postanın "***@***" hâli)
Bulut sistemlerinde silme: İlgili hizmet sağlayıcının silme API'larının kullanılması ve silme tutanağı tutulması

b) Yok Etme

Fiziksel ortamlar: Kâğıt imha makinesi (cross-cut shredder) ile imha
Manyetik medya: Degausser ile demanyetize etme veya fiziksel parçalama
Optik medya: Fiziksel olarak parçalama / kıyma
Sabit diskler: Endüstriyel imha (overwrite + fiziksel imha)

c) Anonim Hale Getirme

Değişken çıkarma, kayıt çıkarma, genelleştirme, alt-üst sınırlar, mikro-toplulaştırma, gürültü ekleme
K-anonimlik gibi istatistiksel anonimleştirme yöntemleri

9. Veri Saklama Ortamları (Hizmet Sağlayıcı Detayı)

Kişisel veriler aşağıdaki Şirket-içi ve dış hizmet sağlayıcılarda saklanmaktadır:

Hizmet/Platform	Kategori	Veri Lokasyonu	İşlenen Veriler
iyzico	Ödeme	Türkiye	Ad soyad, Kart bilgileri, Adres, TC kimlik no, E-posta
Google Cloud Platform	Bulut Altyapı	Bölge seçimine bağlı	Uygulamaya bağlı tüm veriler
Meta Pixel (Facebook)	Reklam	ABD	Sayfa görüntüleme, Dönüşüm olayları, IP adresi, Çerez verileri, Cihaz bilgisi
Zendesk	Müşteri Desteği	ABD / AB	Ad soyad, E-posta, Destek talep geçmişi, Ekler
Google Analytics 4	Analitik	ABD	IP adresi, Çerez verileri, Cihaz bilgisi, Konum verisi, Sayfa görüntüleme, Kullanıcı davranışları
Mixpanel	Analitik	ABD	Kullanıcı olayları, Cihaz bilgisi, IP adresi, Kullanıcı profilleri
Clerk	Kimlik Doğrulama	ABD	E-posta adresi, Şifre (hash), IP adresi, Oturum bilgisi
Hotjar	Analitik	AB (İrlanda)	Oturum kayıtları, Tıklama haritaları, Form etkileşimleri, Cihaz bilgisi
Plausible Analytics	Analitik	AB (Almanya)	Sayfa görüntüleme, Referans kaynağı, Ülke
Firebase Authentication	Kimlik Doğrulama	ABD	E-posta adresi, Telefon numarası, Şifre (hash), IP adresi
Stripe	Ödeme	ABD / AB	Ad soyad, Kart bilgileri, Adres, E-posta, IP adresi
PayTR	Ödeme	Türkiye	Ad soyad, Kart bilgileri, Adres, E-posta
Mailchimp	E-posta	ABD	E-posta adresi, Ad soyad, Açılma/tıklama verileri
Resend	E-posta	ABD	E-posta adresi, E-posta içeriği
SendGrid	E-posta	ABD	E-posta adresi, E-posta içeriği, Açılma/tıklama verileri
HubSpot	CRM	ABD / AB	İletişim bilgileri, Etkileşim geçmişi, Web sitesi aktivitesi
Salesforce	CRM	ABD / AB	Müşteri bilgileri, İletişim geçmişi, Satış verileri
Amazon Web Services (AWS)	Bulut Altyapı	Bölge seçimine bağlı	Uygulamaya bağlı tüm veriler
Vercel	Bulut Altyapı	ABD / AB	Uygulama verileri, Erişim logları, IP adresi
Cloudflare	CDN	Küresel (en yakın PoP)	IP adresi, HTTP başlıkları, Erişim logları
Google Ads	Reklam	ABD	Dönüşüm verileri, IP adresi, Çerez verileri, Arama terimleri
Intercom	Müşteri Desteği	ABD	Ad soyad, E-posta, Sohbet geçmişi, Cihaz bilgisi
Slack	Proje Yönetimi	ABD	Mesajlar, Dosyalar, Kullanıcı profilleri
Notion	Proje Yönetimi	ABD	Dokümanlar, Veritabanları, Kullanıcı bilgileri
Jira (Atlassian)	Proje Yönetimi	ABD / AB	Görev verileri, Kullanıcı bilgileri, Yorumlar

10. Periyodik İmha

Şirket, KVKK m.7 ve Yönetmelik m.11/2 uyarınca periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Her altı ayda bir, saklama süresi dolan kişisel veriler resen silinir, yok edilir veya anonim hale getirilir. İmha süreçleri tutanakla belgelenir ve Yönetmelik m.7/3 uyarınca 3 (üç) yıl süreyle saklanır.

11. İlgili Kişi Talebi Üzerine İmha

İlgili kişi, KVKK m.11/e ve m.13 ile Yönetmelik m.12 kapsamında kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini talep edebilir. Şirket bu talepleri en geç 30 (otuz) gün içinde sonuçlandırır. Talebin reddedilmesi halinde gerekçe ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir.

12. Teknik ve İdari Tedbirler (Yön. m.6/3-d, e)

Kişisel verilerin güvenli saklanması ve hukuka uygun imhası için aşağıdaki teknik ve idari tedbirler alınmaktadır (Kurul Kişisel Veri Güvenliği Rehberi — Ocak 2018):

Teknik Tedbirler

Yetki matrisi ve rol bazlı erişim kontrolü
Erişim logları ve kullanıcı hesap yönetimi
Ağ güvenliği (firewall, IDS/IPS, segmentasyon)
Uygulama güvenliği ve güvenli yazılım geliştirme
Şifreleme (aktarım — TLS, depolama — at-rest)
Anti-virüs ve güvenlik duvarı sistemleri
Sızma testleri ve güvenlik denetimleri
Saldırı tespit ve önleme sistemleri
Log yönetimi ve izleme
Veri maskeleme ve veri kaybı önleme (DLP)
Yedekleme ve felaket kurtarma planı
Anahtar yönetimi

İdari Tedbirler

Kişisel veri işleme envanteri (VSHY m.4/1-h)
Kurumsal politika ve prosedürler (saklama-imha, güvenlik, başvuru)
Veri işleyenlerle KVKK m.12/2 uyarınca yazılı sözleşme
Çalışan eğitimi ve farkındalık programları
Gizlilik sözleşmeleri
Veri ihlali müdahale planı (KVKK m.12/5 — 72 saat içinde Kurul bildirimi)
Düzenli iç denetim ve risk analizleri
İş sürekliliği yönetimi
Aydınlatma ve açık rıza süreçleri

13. Politikanın Yürürlüğü ve Güncellemeler (Yön. m.6/3-h)

Bu politika Şirket yönetimi tarafından onaylanarak yürürlüğe girmiştir. Politika en az yılda bir kez gözden geçirilir; mevzuat değişikliklerinde derhal güncellenir. Değişiklik kayıtları aşağıdaki tabloda tutulur:

Sürüm	Tarih	Değişiklik
1.2.0	15 Mayıs 2026	İlk yayım — Yön. m.6/3 zorunlu unsurların entegrasyonu

Bu belge VeriUyum tarafından otomatik olarak oluşturulmuş bir taslaktır ve hukuki danışmanlık niteliği taşımaz. Şirketinize özel koşullar ve somut vakalar için lisanslı hukuk müşaviriniz ile çalışmanız önerilir.

Bu belge VeriUyum tarafından sunulmaktadır.