← Yasal belgeler

Veri Saklama ve İmha Politikası

Son güncelleme:

1. Amaç

Bu Politikanın amacı, Marfin tarafından işlenen kişisel verilerin:

  • hangi ölçütlerle saklandığını,
  • saklama süresi sona erdiğinde nasıl silindiğini,
  • hangi durumlarda yok edildiğini,
  • hangi koşullarda anonim hâle getirildiğini,
  • yedeklerdeki verilerin nasıl yönetildiğini,
  • hesap kapanışı ve veri dışa aktarım sürecini,
  • sorumluluk ve kontrol mekanizmalarını

belirlemektir.


2. Kapsam

Bu Politika aşağıdaki ortam ve kayıtları kapsar:

  • Marfin web ve mobil uygulamaları,
  • veritabanları,
  • dosya ve belge depolama alanları,
  • yedekler,
  • kullanıcı ve işlem logları,
  • destek ve iletişim sistemleri,
  • ödeme ve faturalandırma kayıtları,
  • AI ve OCR kayıtları,
  • API ve entegrasyon kayıtları,
  • e-posta ve bildirim kayıtları,
  • fiziksel veya elektronik sözleşme ve belgeler,
  • Alt İşleyenlerde tutulan Marfin veya Müşteri Verileri.

Politika hem Marfin'in veri sorumlusu olduğu işlemleri hem de müşterinin talimatıyla veri işleyen olduğu işlemleri kapsar.


3. Veri Sorumlusu

Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]


4. Temel İlkeler

Marfin, saklama ve imha süreçlerinde aşağıdaki ilkelere uyar:

  1. Veriler yalnızca belirli ve meşru amaçlarla saklanır.
  2. Saklama süresi amaç için gerekli olandan uzun tutulmaz.
  3. Aynı veri farklı amaçlarla işleniyorsa her amaç için ayrı süre değerlendirilir.
  4. Kanuni saklama yükümlülüğü, verinin başka amaçlarla aktif kullanılmasına izin vermez.
  5. Süresi dolan veri silinir, yok edilir veya anonim hâle getirilir.
  6. İmha işlemleri yetkili kişilerce ve kayıt altına alınarak yapılır.
  7. Yedeklerdeki veriler normal döngü içinde silinir.
  8. Alt İşleyenlerin silme ve iade yükümlülükleri sözleşmeyle düzenlenir.
  9. İlgili kişi talepleri yasal saklama yükümlülükleriyle birlikte değerlendirilir.
  10. Anonimleştirme, yeniden kimliklendirmeyi makul yollarla engellemelidir.

5. Tanımlar

  • Aktif Sistem: Günlük hizmet sunumunda kullanılan üretim veritabanı, dosya sistemi ve uygulama ortamı.
  • Anonim Hâle Getirme: Verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemez hâle getirilmesi.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Periyodik İmha: Saklama süresi sona eren verilerin belirli aralıklarla toplu şekilde imha edilmesi.
  • Silme: Verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesi.
  • Saklama Süresi: Verinin işleme amacı veya hukuki yükümlülük için tutulduğu süre.
  • Yedek: Felaket kurtarma ve sistem bütünlüğü amacıyla tutulan veri kopyası.
  • Yok Etme: Verinin hiçbir kişi tarafından erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi.

6. Saklama Süresinin Belirlenmesi

Bir veri kategorisinin saklama süresi belirlenirken aşağıdaki unsurlar birlikte değerlendirilir:

  • işleme amacı,
  • sözleşme ilişkisi,
  • yasal saklama yükümlülüğü,
  • dava ve talep zamanaşımı,
  • denetim ve ispat ihtiyacı,
  • güvenlik riski,
  • ilgili kişinin makul beklentisi,
  • veri miktarı ve hassasiyeti,
  • Alt İşleyen sözleşmeleri,
  • ürünün teknik yapısı,
  • hesabın aktif veya kapalı olması.

Birden fazla süre uygulanabiliyorsa, veri yalnızca geçerli ve gerekli en uzun hukuki süre boyunca sınırlandırılmış amaçla saklanır.


7. Saklama Süresi Başlangıcı

Süre, veri kategorisine göre aşağıdaki tarihlerden uygun olanında başlar:

  • verinin elde edildiği tarih,
  • hesabın oluşturulduğu tarih,
  • sözleşmenin sona erdiği tarih,
  • faturanın veya işlemin düzenlendiği tarih,
  • destek kaydının kapatıldığı tarih,
  • güvenlik olayının sona erdiği tarih,
  • açık rızanın geri alındığı tarih,
  • ticari ileti ilişkisinin sona erdiği tarih,
  • ilgili kişi talebinin sonuçlandığı tarih,
  • entegrasyonun kapatıldığı tarih,
  • AI konuşmasının veya belgenin oluşturulduğu tarih.

Süre başlangıcı envanterde açıkça belirtilmelidir.


8. SAKLAMA SÜRELERİ MATRİSİ

Aşağıdaki tablo taslaktır. Yasal süreler hukukçu ve mali müşavir tarafından; operasyonel süreler ürün ve güvenlik ekipleri tarafından doğrulanmalıdır.

Veri / kayıt grubuSaklama başlangıcıTaslak süreSürenin niteliğiSüre sonunda işlem
Aktif müşteri hesabı ve profilHesap açılışıHesap aktif olduğu süreSözleşmesel/operasyonelHesap kapanışı sürecine alınır
B2B sözleşme ve elektronik kabul kayıtlarıSözleşme sona ermesi[HUKUKİ SÜRE TAMAMLANACAK]İspat ve zamanaşımıSilme/yok etme
Sipariş FormlarıSözleşme sona ermesi[HUKUKİ SÜRE TAMAMLANACAK]İspatSilme/yok etme
Fatura ve mali kayıtlarİlgili mali dönem sonu[MALİ MÜŞAVİR TARAFINDAN TAMAMLANACAK]YasalGüvenli imha
Ödeme ve tahsilat kayıtlarıİşlem tarihi[HUKUKİ SÜRE TAMAMLANACAK]Yasal/ispatSilme veya sınırlı arşiv imhası
Maskelenmiş kart/token kayıtlarıSon işlem/abonelik sonu[SÜRE TAMAMLANACAK]Operasyonel/ödemeToken iptali ve silme
Ücretsiz deneme kayıtlarıDeneme sonu[SÜRE TAMAMLANACAK]Kötüye kullanım/iş geliştirmeSilme veya anonimleştirme
Yetkili Kullanıcı hesabıErişimin kaldırılması[SÜRE TAMAMLANACAK]Güvenlik/ispatProfil silme, logların ayrı saklanması
Destek talepleriTalebin kapanması[SÜRE TAMAMLANACAK]Destek/ispatSilme veya anonimleştirme
Telefon veya toplantı notlarıGörüşme tarihi[SÜRE TAMAMLANACAK]Destek/satışSilme
Ses veya ekran kayıtlarıKayıt tarihi[SÜRE TAMAMLANACAK]Açık amaçGüvenli silme
Giriş ve oturum loglarıOlay tarihi[SÜRE TAMAMLANACAK]GüvenlikSilme/yok etme
Kritik işlem ve denetim loglarıOlay tarihi[SÜRE TAMAMLANACAK]Güvenlik/ispatSilme/yok etme
API ve webhook loglarıÇağrı tarihi[SÜRE TAMAMLANACAK]Güvenlik/hataİçerik azaltılarak silme
Güvenlik olayı kayıtlarıOlay kapanışı[HUKUKİ VE GÜVENLİK SÜRESİ TAMAMLANACAK]Güvenlik/ispatGüvenli imha
KVKK başvurularıBaşvurunun sonuçlanması[HUKUKİ SÜRE TAMAMLANACAK]İspat/hukuki yükümlülükGüvenli imha
Ticari ileti izin ve ret kayıtlarıİzin/ret ilişkisi sonu[HUKUKİ SÜRE TAMAMLANACAK]İYS/ispatGüvenli imha
Çerez tercih kayıtlarıTercih veya geri alma[SÜRE TAMAMLANACAK]Rıza ispatıSilme
Analitik verileriOlay tarihi[SÜRE TAMAMLANACAK]AnalitikSilme/anonimleştirme
Pazarlama profiliRıza geri alma/son etkileşim[SÜRE TAMAMLANACAK]Rızaya dayalıProfil silme
AI istem ve çıktılarıİşlem tarihi[SÜRE TAMAMLANACAK]Ürün/kullanıcı tercihiSilme
AI teknik loglarıİşlem tarihi[SÜRE TAMAMLANACAK]Güvenlik/hataİçerik azaltılarak silme
OCR belgesiBelge yükleme/işlem sonu[SÜRE TAMAMLANACAK]Ürün/müşteri talimatıSilme
OCR ile çıkarılan metinİşlem veya hesap sonu[SÜRE TAMAMLANACAK]Ürün/müşteri talimatıSilme
E-posta teslim loglarıGönderim tarihi[SÜRE TAMAMLANACAK]Operasyonel/ispatSilme
Hata ve performans kayıtlarıOlay tarihi[SÜRE TAMAMLANACAK]TeknikSilme/anonimleştirme
İş başvurusu verileriBaşvuru süreci sonuAyrı aday politikasıyla belirlenecekAyrı süreçSilme
Tedarikçi/iş ortağı kayıtlarıİlişkinin sona ermesi[HUKUKİ SÜRE TAMAMLANACAK]Sözleşme/ispatGüvenli imha
Dava ve uyuşmazlık dosyalarıDosyanın kesin kapanmasıİlgili zamanaşımı ve yasal süreHukukiGüvenli imha
Resmî kurum talepleriSürecin kapanması[HUKUKİ SÜRE TAMAMLANACAK]HukukiGüvenli imha
Aktif sistem yedeğiYedek tarihiPlanlanan 30 günTeknikOtomatik üzerine yazma/silme
Hesap kapanışı dışa aktarım alanıAbonelik/hesap kapanışı60 günSözleşmeselAktif verilerin silinmesi
Anonim ürün istatistikleriAnonimleştirme tarihiAmaca uygun süreKişisel veri olmaması şartıylaGerekirse imha

9. Aktif Hesaplar

Hesap aktif olduğu sürece aşağıdaki veriler hizmetin sunulması için saklanabilir:

  • hesap ve kullanıcı bilgileri,
  • Paket ve abonelik bilgileri,
  • müşteri tarafından oluşturulan kayıtlar,
  • belgeler,
  • entegrasyon verileri,
  • yetki ve güvenlik kayıtları.

Aktif hesapta dahi:

  • süresi dolmuş gereksiz loglar,
  • kullanılmayan geçici dosyalar,
  • başarısız yükleme kalıntıları,
  • gereksiz AI ara çıktıları

periyodik olarak temizlenmelidir.


10. Hesap Kapanışı ve 60 Günlük Erişim

Aboneliğin sona ermesi veya hesabın kapanması hâlinde, hukuki veya güvenlik engeli bulunmadıkça:

  1. Müşteriye 60 gün boyunca veri erişimi veya dışa aktarım imkânı sağlanır.
  2. Hesap salt okunur veya yalnızca dışa aktarıma açık hâle getirilebilir.
  3. Yeni işlem oluşturma ve entegrasyonlar durdurulabilir.
  4. Müşteri verilerini desteklenen formatlarda indirir.
  5. 60 gün sonunda yasal zorunluluk dışındaki aktif veriler silinir, yok edilir veya anonimleştirilir.
  6. Yedeklerde kalan kopyalar normal yedek döngüsünde kaldırılır.

Müşteri, 60 günlük süre dolmadan verilerinin erken silinmesini talep edebilir.

Erken silme geri alınamayabilir.


11. Silme

Silme, verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesidir.

Uygulanabilecek silme yöntemleri:

  • veritabanı kaydının silinmesi,
  • kullanıcı erişim yetkisinin kaldırılması,
  • dosyanın aktif depolamadan silinmesi,
  • uygulama arayüzünden erişimin kapatılması,
  • indeks ve arama kayıtlarından kaldırma,
  • API erişiminin durdurulması,
  • token veya anahtarın iptali,
  • Alt İşleyene silme talimatı gönderilmesi.

Silinen veri, teknik veya hukuki sebeple sınırlı bir arşivde kalıyorsa aktif işleme kapatılmalı ve erişimi yalnızca yetkili kişilerle sınırlandırılmalıdır.


12. Yok Etme

Yok etme, verinin hiçbir kişi tarafından erişilemez ve geri getirilemez hâle getirilmesidir.

Uygulanabilecek yöntemler:

  • fiziksel ortamın güvenli imhası,
  • kriptografik anahtarın geri döndürülemez biçimde yok edilmesi,
  • güvenli dosya silme,
  • depolama alanının üzerine yazma,
  • güvenli cihaz sıfırlama,
  • fiziksel belgenin parçalanması,
  • hizmet sağlayıcı silme ve imha sürecinin işletilmesi.

Bulut ortamlarında fiziksel diske doğrudan erişim bulunmuyorsa sağlayıcının sözleşmesel ve teknik silme prosedürleri kullanılır.


13. Anonim Hâle Getirme

Anonimleştirme, veriyle gerçek kişi arasında makul yollarla yeniden bağlantı kurulamayacak şekilde yapılmalıdır.

Kullanılabilecek yöntemler:

  • değişken çıkarma,
  • kayıt çıkarma,
  • genelleştirme,
  • toplulaştırma,
  • alt ve üst sınır belirleme,
  • veri değiş tokuşu,
  • gürültü ekleme,
  • bölgesel veya tarihsel yuvarlama,
  • istatistiksel eşik uygulama.

Yalnızca:

  • adın silinmesi,
  • kullanıcı numarası verilmesi,
  • hash kullanılması,
  • maskeleme

her durumda anonimleştirme sağlamaz.

Yeniden ilişkilendirme anahtarı mevcutsa veri takma adlandırılmış kişisel veri olmaya devam eder.


14. Anonim Verilerin Kullanımı

Gerçekten anonim hâle getirilmiş veriler:

  • ürün kullanım istatistikleri,
  • kapasite planlama,
  • performans analizi,
  • genel sektör eğilimleri,
  • hata oranlarının ölçülmesi

için kullanılabilir.

Anonim veri seti oluşturulmadan önce:

  • tekil veya nadir kayıt riski,
  • başka veri setleriyle eşleştirme ihtimali,
  • küçük gruplardan yeniden kimliklendirme riski

değerlendirilmelidir.


15. Yedekler

Marfin'in planlanan yaklaşımı:

  • günlük otomatik yedek,
  • yedeklerin 30 gün saklanması,
  • süresi dolan yedeklerin otomatik silinmesi veya üzerine yazılmasıdır.

Bu yapı üretim öncesinde teknik olarak doğrulanmalıdır.

Yedekler:

  • olağan iş süreçlerinde kullanılmaz,
  • yalnızca felaket kurtarma ve sistem bütünlüğü amacıyla tutulur,
  • sınırlı kişilerce erişilir,
  • aktif veri tabanı gibi sorgulanmaz.

Aktif sistemden silinen bir veri, yedeklerde normal döngü sona erene kadar bulunabilir.


16. Yedek Geri Yükleme Sonrası İşlem

Eski bir yedek geri yüklendiğinde daha önce silinmiş veriler teknik olarak tekrar görünebilir.

Bu durumda Marfin:

  • önceki silme kayıtlarını kontrol eder,
  • geçerli silme taleplerini yeniden uygular,
  • yasal saklama dışında veriyi aktif kullanıma açmaz,
  • geri yükleme işlemini kayıt altına alır.

Silme talimatlarının yeniden uygulanabilmesi için uygun teknik kayıt veya işaretleme sistemi kurulmalıdır.


17. Alt İşleyenlerde Saklama ve Silme

Alt İşleyen sözleşmelerinde mümkün olduğu ölçüde aşağıdaki hükümler bulunmalıdır:

  • saklama süresi,
  • müşteri veya Marfin talimatıyla silme,
  • sözleşme sonunda iade veya imha,
  • yedek döngüsü,
  • silme teyidi,
  • alt işleyen zinciri,
  • yasal saklama istisnası,
  • güvenlik olayı bildirimi.

Bir sağlayıcı kaldırıldığında:

  1. yeni veri aktarımı durdurulur,
  2. erişim anahtarları iptal edilir,
  3. gerekli veriler dışa aktarılır,
  4. silme talimatı gönderilir,
  5. saklama döngüsü takip edilir,
  6. mümkünse silme teyidi alınır.

18. AI Sağlayıcılarında Silme

AI sağlayıcısındaki verilerin silinmesi:

  • kullanılan API planına,
  • sağlayıcının güvenlik saklama süresine,
  • sıfır veya azaltılmış saklama seçeneğine,
  • yasal yükümlülüklere

bağlı olabilir.

Her AI sağlayıcısı için:

  • istem saklama süresi,
  • çıktı saklama süresi,
  • güvenlik logları,
  • model eğitiminde kullanım,
  • kullanıcı talebiyle silme yöntemi

ayrı doğrulanır.

Marfin arayüzünden sohbet silinmesi, sağlayıcı tarafındaki teknik kayıtların aynı anda silindiği anlamına gelmeyebilir. Bu fark kullanıcıya açıklanır.


19. Logların Yönetimi

Loglar, mümkün olduğunca olayın incelenmesi için gerekli en az veriyle tutulur.

Loglarda aşağıdakilerin açık biçimde bulunmaması hedeflenir:

  • parola,
  • tek kullanımlık şifre,
  • tam kart numarası,
  • kart güvenlik kodu,
  • API anahtarı,
  • erişim tokenı,
  • tam kimlik belgesi,
  • gereksiz belge içeriği.

Log saklama süreleri güvenlik riskine ve olay türüne göre belirlenir.

Süre dolduğunda loglar silinir veya anonimleştirilir.


20. Destek Kayıtları

Destek kayıtlarında:

  • kullanıcının açıklaması,
  • ekran görüntüsü,
  • yüklenen belge,
  • teknik log,
  • destek personeli notları

bulunabilir.

Destek tamamlandıktan sonra:

  • gereksiz ekler kaldırılmalı,
  • parola ve anahtar içeren içerikler derhâl silinmeli,
  • kayıtlar belirlenen destek saklama süresine tabi tutulmalıdır.

Kullanıcılar destek kanalına gereksiz hassas veri göndermemelidir.


21. Özel Nitelikli Veriler

Özel nitelikli kişisel veriler için:

  • daha kısa saklama süresi,
  • daha sınırlı erişim,
  • ayrı kayıt veya depolama,
  • gelişmiş imha yöntemi,
  • periyodik yetki kontrolü

uygulanabilir.

Marfin'in standart hizmetinde özel nitelikli veri işlenmesi amaçlanmamaktadır.

Bu tür veriler fark edildiğinde hukuki ve teknik değerlendirme yapılır.


22. Açık Rıza Geri Alındığında

Açık rızaya dayalı işlemde rıza geri alındığında:

  1. rızaya dayalı yeni işleme durdurulur,
  2. başka bir geçerli hukuki sebep olup olmadığı değerlendirilir,
  3. başka sebep yoksa veri silme veya imha sürecine alınır,
  4. rıza ve geri alma kaydı, ispat için gerekli süreyle sınırlı saklanabilir.

Ticari ileti reddi, operasyonel hizmet mesajlarını otomatik olarak durdurmaz.


23. İlgili Kişi Silme Talebi

Silme talebi alındığında Marfin:

  • başvuru sahibinin kimliğini doğrular,
  • ilgili işlemdeki rolünü belirler,
  • verinin saklama amacını ve hukuki sebebini inceler,
  • yasal saklama zorunluluğunu kontrol eder,
  • talebi tamamen veya kısmen yerine getirir,
  • sonucu başvuru sahibine bildirir.

Marfin veri işleyen konumundaysa talep ilgili veri sorumlusu müşteriye yönlendirilir.


24. Silme Talebinin Karşılanamayabileceği Durumlar

Aşağıdaki durumlarda veri tamamen silinemeyebilir:

  • yasal saklama yükümlülüğü,
  • devam eden dava veya uyuşmazlık,
  • hakların tesisi, kullanılması veya korunması,
  • güvenlik olayı veya dolandırıcılık incelemesi,
  • yetkili makam talebi,
  • verinin başka kişilerin haklarını etkilemesi.

Bu durumda veri:

  • aktif kullanım dışına çıkarılır,
  • erişimi sınırlandırılır,
  • yalnızca ilgili amaçla saklanır,
  • süre sonunda imha edilir.

25. Periyodik İmha

Saklama süresi dolan veriler periyodik imha sürecine alınır.

Taslak periyodik imha aralığı:
[EN FAZLA ALTI AYI AŞMAYACAK ŞEKİLDE KESİN SÜRE TAMAMLANACAK]

İmha dönemi öncesinde:

  • süresi dolan kayıtlar raporlanır,
  • hukuki bekletme kayıtları ayrılır,
  • veri sahibi sistem ve sorumlu belirlenir,
  • silme veya anonimleştirme yöntemi seçilir,
  • işlem onaylanır.

26. İmha Kayıtları

İmha işlemlerinde mümkün olduğunca aşağıdaki kayıtlar tutulur:

  • veri kategorisi,
  • sistem veya ortam,
  • saklama süresi sonu,
  • imha yöntemi,
  • işlem tarihi,
  • işlemi yapan veya onaylayan kişi,
  • etkilenen kayıt sayısı,
  • hata veya istisna,
  • Alt İşleyen teyidi.

İmha kayıtlarının saklama süresi:

[HUKUKİ VE OPERASYONEL SÜRE TAMAMLANACAK]

olarak belirlenir.

İmha kaydı, silinen kişisel verinin kendisini gereksiz biçimde içermemelidir.


27. Hukuki Bekletme

Dava, inceleme, soruşturma veya resmî talep nedeniyle normal silme işlemi geçici olarak durdurulabilir.

Hukuki bekletmede:

  • kapsam açıkça belirlenir,
  • yalnızca gerekli kayıtlar tutulur,
  • erişim sınırlandırılır,
  • bekletme gerekçesi ve başlangıç tarihi kaydedilir,
  • süreç sona erdiğinde veriler normal imha takvimine alınır.

Hukuki bekletme genel ve süresiz uygulanmaz.


28. Fiziksel Belgeler

Fiziksel ortamda kişisel veri bulunuyorsa:

  • kilitli dolap veya kontrollü alan kullanılır,
  • erişim yetkileri sınırlandırılır,
  • kopya sayısı azaltılır,
  • süre sonunda belge geri getirilemeyecek şekilde parçalanır veya güvenli imha hizmetine verilir.

İmha hizmeti alınırsa hizmet sağlayıcının gizlilik ve imha süreci doğrulanmalıdır.


29. Test ve Geliştirme Ortamları

Gerçek kişisel verilerin test ve geliştirme ortamında kullanılması mümkün olduğunca önlenir.

Gerekli hâllerde:

  • veri maskelenir,
  • takma adlandırılır,
  • veri miktarı azaltılır,
  • ayrı erişim uygulanır,
  • üretimden kopyalanan veri için kısa süre belirlenir,
  • test tamamlanınca veri silinir.

Üretim yedeği test amacıyla sınırsız süre tutulamaz.


30. Cihaz ve Ekipman İmhası

Kişisel veri içeren:

  • bilgisayar,
  • telefon,
  • disk,
  • USB bellek,
  • sunucu ekipmanı

elden çıkarılmadan veya yeniden kullanılmadan önce güvenli şekilde silinir ya da fiziksel olarak imha edilir.

Cihaz imha veya yeniden kullanım işlemi kayıt altına alınır.

Bulut altyapısında fiziksel ekipman sağlayıcının güvenli imha prosedürüne tabidir.


31. Sorumluluklar

31.1. Yönetim

  • Politikayı onaylar,
  • kaynak ve sorumlulukları belirler,
  • yüksek riskli istisnaları değerlendirir.

31.2. Hukuk / KVKK Sorumlusu

  • yasal süreleri değerlendirir,
  • ilgili kişi taleplerini yönetir,
  • hukuki bekletmeleri takip eder,
  • Politikayı mevzuat değişikliklerine göre günceller.

31.3. Teknik Ekip

  • otomatik silme işlerini uygular,
  • yedek döngüsünü yönetir,
  • erişimleri sınırlandırır,
  • imha ve geri yükleme loglarını tutar.

31.4. Ürün Ekibi

  • veri alanlarını ve saklama seçeneklerini tanımlar,
  • kullanıcıya silme ve dışa aktarım kontrolleri sunar,
  • yeni özelliklerde saklama değerlendirmesi yapar.

31.5. Destek Ekibi

  • silme ve dışa aktarım taleplerini doğru kanala yönlendirir,
  • destek kayıtlarına gereksiz veri eklemez,
  • kimlik ve yetki doğrulamasına uyar.

31.6. Tüm Kullanıcılar ve Çalışanlar

  • veriyi gereksiz kopyalamaz,
  • yerel cihazlarda süresiz tutmaz,
  • Politika ihlali veya yanlış silme olayını bildirir.

32. Denetim ve Kontrol

Marfin, saklama ve imha süreçlerini periyodik olarak kontrol eder.

Kontrol konuları:

  • süresi dolan kayıtlar,
  • başarısız otomatik silme işleri,
  • yedek döngüsü,
  • Alt İşleyen silme teyitleri,
  • hukuki bekletmeler,
  • test ortamlarındaki veriler,
  • yetkisiz yerel kopyalar,
  • AI ve log saklama ayarları,
  • hesap kapanışı sonrası 60 günlük süreç.

Tespit edilen eksiklikler için düzeltici faaliyet oluşturulur.


33. İmha Hatası ve Güvenlik Olayı

Yanlış verinin silinmesi, süresi dolan verinin silinememesi veya imha sırasında yetkisiz erişim oluşması güvenlik olayı olarak değerlendirilir.

Bu durumda:

  1. olay kayıt altına alınır,
  2. etkilenen veri ve sistem belirlenir,
  3. erişim ve veri akışı sınırlandırılır,
  4. geri yükleme veya yeniden silme ihtiyacı değerlendirilir,
  5. müşteri ve ilgili kişilere etkisi incelenir,
  6. gerekli bildirimler değerlendirilir,
  7. kök neden ve düzeltici faaliyet belirlenir.

34. Politika Değişiklikleri

Bu Politika:

  • mevzuat değişikliği,
  • yeni veri kategorisi,
  • yeni ürün veya entegrasyon,
  • Alt İşleyen değişikliği,
  • saklama altyapısı değişikliği,
  • denetim bulgusu

nedeniyle güncellenebilir.

Her sürümde değişiklik tarihi ve özeti tutulur.


35. İletişim

Saklama, silme ve imha konularında:

E-posta: info@marfin.com.tr
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]

İlgili kişi başvuruları için:

İlgili Kişi Başvuru Formu

kullanılabilir.


36. Yayın Öncesi Kontrol Listesi

Bu bölüm nihai kullanıcı sürümünden kaldırılabilir veya iç kontrol eki olarak tutulabilir.

  • Kişisel veri envanteri tamamlandı.
  • Her veri kategorisine saklama amacı atandı.
  • Süre başlangıçları belirlendi.
  • Vergi ve ticari kayıt süreleri mali müşavirle doğrulandı.
  • Sözleşme ve zamanaşımı süreleri hukukçuyla doğrulandı.
  • Destek kayıtlarının süresi belirlendi.
  • Güvenlik ve işlem loglarının süresi belirlendi.
  • API ve webhook log süreleri belirlendi.
  • AI istem, çıktı ve teknik log süreleri belirlendi.
  • OCR belge ve metin süreleri belirlendi.
  • Çerez tercih ve analitik süreleri belirlendi.
  • İYS izin ve ret kayıt süreleri belirlendi.
  • Günlük yedek ve 30 günlük döngü doğrulandı.
  • Yedek geri yükleme sonrası silme süreci test edildi.
  • 60 günlük hesap kapanışı akışı test edildi.
  • Erken silme talebi akışı test edildi.
  • Veri dışa aktarım formatları doğrulandı.
  • Periyodik imha aralığı kesinleştirildi.
  • Otomatik silme görevleri kuruldu ve test edildi.
  • İmha kayıtlarının saklama süresi belirlendi.
  • Hukuki bekletme süreci oluşturuldu.
  • Alt İşleyen silme ve teyit süreçleri doğrulandı.
  • Test ve geliştirme verisi kuralları uygulandı.
  • Fiziksel belge ve cihaz imha süreci oluşturuldu.
  • DPA, Gizlilik ve Aydınlatma metinleriyle süreler eşleştirildi.
  • Hukukçu incelemesi tamamlandı.
  • Teknik ekip doğrulaması tamamlandı.
  • Yürürlük tarihi eklendi.
  • Placeholder alanlar dolduruldu.
  • İç kontrol listesi yayımlanan sürümden çıkarıldı.

37. İlgili Belgeler

  • KVKK Aydınlatma Metni
  • Gizlilik Politikası
  • Veri İşleme Sözleşmesi (DPA)
  • İlgili Kişi Başvuru Formu
  • Alt İşleyenler Listesi
  • Yurt Dışına Kişisel Veri Aktarım Eki
  • AI Veri İşleme Politikası
  • İptal, İade ve Abonelik Politikası
  • Bilgi Güvenliği Politikası

BELGE SONU

Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.

Yayın durumu: Taslak
Veri envanteri doğrulaması: Bekleniyor
Mali müşavir doğrulaması: Bekleniyor
Teknik doğrulama: Bekleniyor
Hukukçu onayı: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]