KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

VeriUyum | 15 Mayıs 2026

1. Amaç

Bu politika, VeriUyum ("Şirket" / "Veri Sorumlusu") tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m.7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (28.10.2017 R.G. 30224) ("Yönetmelik") kapsamında, kişisel verilerin saklanma süreleri ve imha prosedürlerini düzenler.

2. Kapsam

Bu politika, Şirket tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri kapsamaktadır.

Sektör: E-ticaret

Çalışan Sayısı: 1-10

3. Kayıt Ortamları (Yön. m.6/3-b)

Bu politika kapsamında kişisel verilerin saklandığı kayıt ortamları aşağıda sayılmıştır:

Elektronik Ortamlar

Sunucular (etki alanı denetleyicisi, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.)
Yazılımlar (ofis yazılımları, portal, EBYS, ERP, CRM)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit, antivirüs)
Kişisel bilgisayarlar (masaüstü, dizüstü)
Mobil cihazlar (telefon, tablet)
Optik diskler (CD, DVD)
Çıkarılabilir bellekler (USB, hafıza kartı)
Yazıcı, tarayıcı, fotokopi makinesi
Bulut sistemleri (Şirket'in kullanımındaki şifreli depolama alanları)

Fiziksel Ortamlar

Kâğıt
Manuel veri kayıt sistemleri (anket formları, ziyaretçi kayıt defteri)
Yazılı, basılı, görsel ortamlar

4. Tanımlar (Yön. m.3)

Terim	Tanım
Silme	Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Yok etme	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
Anonim hale getirme	Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi işlemi
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Periyodik imha	Kanun'da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrarlayan aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

5. Görev ve Sorumluluklar (Yön. m.6/3-f)

Saklama ve imha süreçlerinde aşağıdaki birim ve unvanlar görevlidir:

Unvan	Birim	Görev Tanımı
KVKK Sorumlusu / İrtibat Kişisi	[Belirlenecek]	Politikanın hazırlanması, güncellenmesi ve uygulanmasının takibi; ilgili kişi başvurularının koordinasyonu
Bilgi Teknolojileri Sorumlusu	BT Birimi	Elektronik ortamlarda saklama ve imha işlemlerinin teknik uygulanması; log yönetimi
İnsan Kaynakları Sorumlusu	İK Birimi	Çalışan verilerinin saklama ve imhası; KVKK farkındalık eğitimlerinin koordinasyonu
Birim Yöneticileri	İlgili birimler	Birimlerinde işlenen verilerin saklama sürelerine uyumun denetimi; periyodik imha sürecinde birim katkısı
Hukuk Müşaviri	Hukuk Birimi	Mevzuat değişikliklerinin politikaya yansıtılması ve hukuki uyum denetimi

6. Saklamayı ve İmhayı Gerektiren Sebepler (Yön. m.6/3-ç)

Saklamayı Gerektiren Hukuki Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu
6098 sayılı Türk Borçlar Kanunu (zamanaşımı süreleri — m.146)
6102 sayılı Türk Ticaret Kanunu (ticari defter ve belgelerin 10 yıl saklanması — m.82)
213 sayılı Vergi Usul Kanunu (mali kayıtların saklanması — m.253)
4857 sayılı İş Kanunu ve sosyal güvenlik mevzuatı
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
İlgili sektörel mevzuat (varsa)

Saklamayı Gerektiren Diğer Sebepler

Sözleşmenin kurulması ve ifası (KVKK m.5/2-c)
Hak tesisi, kullanılması veya korunması (m.5/2-e)
Şirket'in meşru menfaatleri (m.5/2-f — ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla)

İmhayı Gerektiren Sebepler

İşlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
İşlemenin amacının ortadan kalkması
Açık rızaya dayalı işlemelerde rızanın geri alınması
İlgili kişinin KVKK m.11/e kapsamındaki silme/yok etme talebinin kabul edilmesi
Saklama süresinin sona ermesi

7. Saklama ve İmha Süreleri

Kişisel veri kategorileri bazında saklama süreleri aşağıdaki tabloda belirtilmiştir. Süreler, m.4/2-d'deki "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi ve ilgili mevzuatın asgari süreleri esas alınarak belirlenmiştir.

Veri Kategorisi	Örnekler	Saklama Süresi
Kimlik Bilgileri	Ad, soyad, TC kimlik no, doğum tarihi, fotoğraf	İş ilişkisi sona erdikten sonra 10 yıl (6098 s. TBK m.146)
İletişim Bilgileri	E-posta, telefon, adres	İş ilişkisi sona erdikten sonra 10 yıl (6098 s. TBK m.146)
Konum Verileri	GPS, IP adresi tabanlı konum	2 yıl veya işleme amacı sona erdiğinde
Görsel / İşitsel Veriler	CCTV kayıtları, ses kayıtları, fotoğraf	Kamera/CCTV kayıtları: işleme amacına ve sektörel düzenlemelere göre genellikle 30-90 gün; ürün/etkinlik fotoğrafı vb.: işleme amacı sona erdiğinde

8. İmha Yöntemleri

a) Silme

Yazılım tabanlı silme: Veritabanlarından kalıcı silme (DELETE komutları, log temizleme)
Karartma / maskeleme: Verinin orijinal hâli kullanılamaz şekilde gizlenmesi (örn. e-postanın "***@***" hâli)
Bulut sistemlerinde silme: İlgili hizmet sağlayıcının silme API'larının kullanılması ve silme tutanağı tutulması

b) Yok Etme

Fiziksel ortamlar: Kâğıt imha makinesi (cross-cut shredder) ile imha
Manyetik medya: Degausser ile demanyetize etme veya fiziksel parçalama
Optik medya: Fiziksel olarak parçalama / kıyma
Sabit diskler: Endüstriyel imha (overwrite + fiziksel imha)

c) Anonim Hale Getirme

Değişken çıkarma, kayıt çıkarma, genelleştirme, alt-üst sınırlar, mikro-toplulaştırma, gürültü ekleme
K-anonimlik gibi istatistiksel anonimleştirme yöntemleri

9. Veri Saklama Ortamları (Hizmet Sağlayıcı Detayı)

Kişisel veriler aşağıdaki Şirket-içi ve dış hizmet sağlayıcılarda saklanmaktadır:

Hizmet/Platform	Kategori	Veri Lokasyonu	İşlenen Veriler
Google Analytics 4	Analitik	ABD	IP adresi, Çerez verileri, Cihaz bilgisi, Konum verisi, Sayfa görüntüleme, Kullanıcı davranışları
Plausible Analytics	Analitik	AB (Almanya)	Sayfa görüntüleme, Referans kaynağı, Ülke
Clerk	Kimlik Doğrulama	ABD	E-posta adresi, Şifre (hash), IP adresi, Oturum bilgisi
Salesforce	CRM	ABD / AB	Müşteri bilgileri, İletişim geçmişi, Satış verileri
Meta Pixel (Facebook)	Reklam	ABD	Sayfa görüntüleme, Dönüşüm olayları, IP adresi, Çerez verileri, Cihaz bilgisi
Zendesk	Müşteri Desteği	ABD / AB	Ad soyad, E-posta, Destek talep geçmişi, Ekler
Jira (Atlassian)	Proje Yönetimi	ABD / AB	Görev verileri, Kullanıcı bilgileri, Yorumlar
Vercel	Bulut Altyapı	ABD / AB	Uygulama verileri, Erişim logları, IP adresi
Amazon Web Services (AWS)	Bulut Altyapı	Bölge seçimine bağlı	Uygulamaya bağlı tüm veriler
Google Cloud Platform	Bulut Altyapı	Bölge seçimine bağlı	Uygulamaya bağlı tüm veriler
Google Ads	Reklam	ABD	Dönüşüm verileri, IP adresi, Çerez verileri, Arama terimleri
Microsoft Clarity	Analitik	AB	Oturum kayıtları, Tıklama haritaları, Sayfa görüntüleme, Cihaz bilgisi
Freshdesk	Müşteri Desteği	ABD	Ad soyad, E-posta, Destek talep geçmişi
Notion	Proje Yönetimi	ABD	Dokümanlar, Veritabanları, Kullanıcı bilgileri

10. Periyodik İmha

Şirket, KVKK m.7 ve Yönetmelik m.11/2 uyarınca periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Her altı ayda bir, saklama süresi dolan kişisel veriler resen silinir, yok edilir veya anonim hale getirilir. İmha süreçleri tutanakla belgelenir ve Yönetmelik m.7/3 uyarınca 3 (üç) yıl süreyle saklanır.

11. İlgili Kişi Talebi Üzerine İmha

İlgili kişi, KVKK m.11/e ve m.13 ile Yönetmelik m.12 kapsamında kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini talep edebilir. Şirket bu talepleri en geç 30 (otuz) gün içinde sonuçlandırır. Talebin reddedilmesi halinde gerekçe ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir.

12. Teknik ve İdari Tedbirler (Yön. m.6/3-d, e)

Kişisel verilerin güvenli saklanması ve hukuka uygun imhası için aşağıdaki teknik ve idari tedbirler alınmaktadır (Kurul Kişisel Veri Güvenliği Rehberi — Ocak 2018):

Teknik Tedbirler

Yetki matrisi ve rol bazlı erişim kontrolü
Erişim logları ve kullanıcı hesap yönetimi
Ağ güvenliği (firewall, IDS/IPS, segmentasyon)
Uygulama güvenliği ve güvenli yazılım geliştirme
Şifreleme (aktarım — TLS, depolama — at-rest)
Anti-virüs ve güvenlik duvarı sistemleri
Sızma testleri ve güvenlik denetimleri
Saldırı tespit ve önleme sistemleri
Log yönetimi ve izleme
Veri maskeleme ve veri kaybı önleme (DLP)
Yedekleme ve felaket kurtarma planı
Anahtar yönetimi

İdari Tedbirler

Kişisel veri işleme envanteri (VSHY m.4/1-h)
Kurumsal politika ve prosedürler (saklama-imha, güvenlik, başvuru)
Veri işleyenlerle KVKK m.12/2 uyarınca yazılı sözleşme
Çalışan eğitimi ve farkındalık programları
Gizlilik sözleşmeleri
Veri ihlali müdahale planı (KVKK m.12/5 — 72 saat içinde Kurul bildirimi)
Düzenli iç denetim ve risk analizleri
İş sürekliliği yönetimi
Aydınlatma ve açık rıza süreçleri

13. Politikanın Yürürlüğü ve Güncellemeler (Yön. m.6/3-h)

Bu politika Şirket yönetimi tarafından onaylanarak yürürlüğe girmiştir. Politika en az yılda bir kez gözden geçirilir; mevzuat değişikliklerinde derhal güncellenir. Değişiklik kayıtları aşağıdaki tabloda tutulur:

Sürüm	Tarih	Değişiklik
1.2.0	15 Mayıs 2026	İlk yayım — Yön. m.6/3 zorunlu unsurların entegrasyonu

Bu belge VeriUyum tarafından otomatik olarak oluşturulmuş bir taslaktır ve hukuki danışmanlık niteliği taşımaz. Şirketinize özel koşullar ve somut vakalar için lisanslı hukuk müşaviriniz ile çalışmanız önerilir.

Bu belge VeriUyum tarafından sunulmaktadır.