Veri Saklama ve İmha Politikası
Son güncelleme:
1. Amaç
Bu Politikanın amacı, Marfin tarafından işlenen kişisel verilerin:
- hangi ölçütlerle saklandığını,
- saklama süresi sona erdiğinde nasıl silindiğini,
- hangi durumlarda yok edildiğini,
- hangi koşullarda anonim hâle getirildiğini,
- yedeklerdeki verilerin nasıl yönetildiğini,
- hesap kapanışı ve veri dışa aktarım sürecini,
- sorumluluk ve kontrol mekanizmalarını
belirlemektir.
2. Kapsam
Bu Politika aşağıdaki ortam ve kayıtları kapsar:
- Marfin web ve mobil uygulamaları,
- veritabanları,
- dosya ve belge depolama alanları,
- yedekler,
- kullanıcı ve işlem logları,
- destek ve iletişim sistemleri,
- ödeme ve faturalandırma kayıtları,
- AI ve OCR kayıtları,
- API ve entegrasyon kayıtları,
- e-posta ve bildirim kayıtları,
- fiziksel veya elektronik sözleşme ve belgeler,
- Alt İşleyenlerde tutulan Marfin veya Müşteri Verileri.
Politika hem Marfin'in veri sorumlusu olduğu işlemleri hem de müşterinin talimatıyla veri işleyen olduğu işlemleri kapsar.
3. Veri Sorumlusu
Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]
4. Temel İlkeler
Marfin, saklama ve imha süreçlerinde aşağıdaki ilkelere uyar:
- Veriler yalnızca belirli ve meşru amaçlarla saklanır.
- Saklama süresi amaç için gerekli olandan uzun tutulmaz.
- Aynı veri farklı amaçlarla işleniyorsa her amaç için ayrı süre değerlendirilir.
- Kanuni saklama yükümlülüğü, verinin başka amaçlarla aktif kullanılmasına izin vermez.
- Süresi dolan veri silinir, yok edilir veya anonim hâle getirilir.
- İmha işlemleri yetkili kişilerce ve kayıt altına alınarak yapılır.
- Yedeklerdeki veriler normal döngü içinde silinir.
- Alt İşleyenlerin silme ve iade yükümlülükleri sözleşmeyle düzenlenir.
- İlgili kişi talepleri yasal saklama yükümlülükleriyle birlikte değerlendirilir.
- Anonimleştirme, yeniden kimliklendirmeyi makul yollarla engellemelidir.
5. Tanımlar
- Aktif Sistem: Günlük hizmet sunumunda kullanılan üretim veritabanı, dosya sistemi ve uygulama ortamı.
- Anonim Hâle Getirme: Verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemez hâle getirilmesi.
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi.
- İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Periyodik İmha: Saklama süresi sona eren verilerin belirli aralıklarla toplu şekilde imha edilmesi.
- Silme: Verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesi.
- Saklama Süresi: Verinin işleme amacı veya hukuki yükümlülük için tutulduğu süre.
- Yedek: Felaket kurtarma ve sistem bütünlüğü amacıyla tutulan veri kopyası.
- Yok Etme: Verinin hiçbir kişi tarafından erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi.
6. Saklama Süresinin Belirlenmesi
Bir veri kategorisinin saklama süresi belirlenirken aşağıdaki unsurlar birlikte değerlendirilir:
- işleme amacı,
- sözleşme ilişkisi,
- yasal saklama yükümlülüğü,
- dava ve talep zamanaşımı,
- denetim ve ispat ihtiyacı,
- güvenlik riski,
- ilgili kişinin makul beklentisi,
- veri miktarı ve hassasiyeti,
- Alt İşleyen sözleşmeleri,
- ürünün teknik yapısı,
- hesabın aktif veya kapalı olması.
Birden fazla süre uygulanabiliyorsa, veri yalnızca geçerli ve gerekli en uzun hukuki süre boyunca sınırlandırılmış amaçla saklanır.
7. Saklama Süresi Başlangıcı
Süre, veri kategorisine göre aşağıdaki tarihlerden uygun olanında başlar:
- verinin elde edildiği tarih,
- hesabın oluşturulduğu tarih,
- sözleşmenin sona erdiği tarih,
- faturanın veya işlemin düzenlendiği tarih,
- destek kaydının kapatıldığı tarih,
- güvenlik olayının sona erdiği tarih,
- açık rızanın geri alındığı tarih,
- ticari ileti ilişkisinin sona erdiği tarih,
- ilgili kişi talebinin sonuçlandığı tarih,
- entegrasyonun kapatıldığı tarih,
- AI konuşmasının veya belgenin oluşturulduğu tarih.
Süre başlangıcı envanterde açıkça belirtilmelidir.
8. SAKLAMA SÜRELERİ MATRİSİ
Aşağıdaki tablo taslaktır. Yasal süreler hukukçu ve mali müşavir tarafından; operasyonel süreler ürün ve güvenlik ekipleri tarafından doğrulanmalıdır.
| Veri / kayıt grubu | Saklama başlangıcı | Taslak süre | Sürenin niteliği | Süre sonunda işlem |
|---|---|---|---|---|
| Aktif müşteri hesabı ve profil | Hesap açılışı | Hesap aktif olduğu süre | Sözleşmesel/operasyonel | Hesap kapanışı sürecine alınır |
| B2B sözleşme ve elektronik kabul kayıtları | Sözleşme sona ermesi | [HUKUKİ SÜRE TAMAMLANACAK] | İspat ve zamanaşımı | Silme/yok etme |
| Sipariş Formları | Sözleşme sona ermesi | [HUKUKİ SÜRE TAMAMLANACAK] | İspat | Silme/yok etme |
| Fatura ve mali kayıtlar | İlgili mali dönem sonu | [MALİ MÜŞAVİR TARAFINDAN TAMAMLANACAK] | Yasal | Güvenli imha |
| Ödeme ve tahsilat kayıtları | İşlem tarihi | [HUKUKİ SÜRE TAMAMLANACAK] | Yasal/ispat | Silme veya sınırlı arşiv imhası |
| Maskelenmiş kart/token kayıtları | Son işlem/abonelik sonu | [SÜRE TAMAMLANACAK] | Operasyonel/ödeme | Token iptali ve silme |
| Ücretsiz deneme kayıtları | Deneme sonu | [SÜRE TAMAMLANACAK] | Kötüye kullanım/iş geliştirme | Silme veya anonimleştirme |
| Yetkili Kullanıcı hesabı | Erişimin kaldırılması | [SÜRE TAMAMLANACAK] | Güvenlik/ispat | Profil silme, logların ayrı saklanması |
| Destek talepleri | Talebin kapanması | [SÜRE TAMAMLANACAK] | Destek/ispat | Silme veya anonimleştirme |
| Telefon veya toplantı notları | Görüşme tarihi | [SÜRE TAMAMLANACAK] | Destek/satış | Silme |
| Ses veya ekran kayıtları | Kayıt tarihi | [SÜRE TAMAMLANACAK] | Açık amaç | Güvenli silme |
| Giriş ve oturum logları | Olay tarihi | [SÜRE TAMAMLANACAK] | Güvenlik | Silme/yok etme |
| Kritik işlem ve denetim logları | Olay tarihi | [SÜRE TAMAMLANACAK] | Güvenlik/ispat | Silme/yok etme |
| API ve webhook logları | Çağrı tarihi | [SÜRE TAMAMLANACAK] | Güvenlik/hata | İçerik azaltılarak silme |
| Güvenlik olayı kayıtları | Olay kapanışı | [HUKUKİ VE GÜVENLİK SÜRESİ TAMAMLANACAK] | Güvenlik/ispat | Güvenli imha |
| KVKK başvuruları | Başvurunun sonuçlanması | [HUKUKİ SÜRE TAMAMLANACAK] | İspat/hukuki yükümlülük | Güvenli imha |
| Ticari ileti izin ve ret kayıtları | İzin/ret ilişkisi sonu | [HUKUKİ SÜRE TAMAMLANACAK] | İYS/ispat | Güvenli imha |
| Çerez tercih kayıtları | Tercih veya geri alma | [SÜRE TAMAMLANACAK] | Rıza ispatı | Silme |
| Analitik verileri | Olay tarihi | [SÜRE TAMAMLANACAK] | Analitik | Silme/anonimleştirme |
| Pazarlama profili | Rıza geri alma/son etkileşim | [SÜRE TAMAMLANACAK] | Rızaya dayalı | Profil silme |
| AI istem ve çıktıları | İşlem tarihi | [SÜRE TAMAMLANACAK] | Ürün/kullanıcı tercihi | Silme |
| AI teknik logları | İşlem tarihi | [SÜRE TAMAMLANACAK] | Güvenlik/hata | İçerik azaltılarak silme |
| OCR belgesi | Belge yükleme/işlem sonu | [SÜRE TAMAMLANACAK] | Ürün/müşteri talimatı | Silme |
| OCR ile çıkarılan metin | İşlem veya hesap sonu | [SÜRE TAMAMLANACAK] | Ürün/müşteri talimatı | Silme |
| E-posta teslim logları | Gönderim tarihi | [SÜRE TAMAMLANACAK] | Operasyonel/ispat | Silme |
| Hata ve performans kayıtları | Olay tarihi | [SÜRE TAMAMLANACAK] | Teknik | Silme/anonimleştirme |
| İş başvurusu verileri | Başvuru süreci sonu | Ayrı aday politikasıyla belirlenecek | Ayrı süreç | Silme |
| Tedarikçi/iş ortağı kayıtları | İlişkinin sona ermesi | [HUKUKİ SÜRE TAMAMLANACAK] | Sözleşme/ispat | Güvenli imha |
| Dava ve uyuşmazlık dosyaları | Dosyanın kesin kapanması | İlgili zamanaşımı ve yasal süre | Hukuki | Güvenli imha |
| Resmî kurum talepleri | Sürecin kapanması | [HUKUKİ SÜRE TAMAMLANACAK] | Hukuki | Güvenli imha |
| Aktif sistem yedeği | Yedek tarihi | Planlanan 30 gün | Teknik | Otomatik üzerine yazma/silme |
| Hesap kapanışı dışa aktarım alanı | Abonelik/hesap kapanışı | 60 gün | Sözleşmesel | Aktif verilerin silinmesi |
| Anonim ürün istatistikleri | Anonimleştirme tarihi | Amaca uygun süre | Kişisel veri olmaması şartıyla | Gerekirse imha |
9. Aktif Hesaplar
Hesap aktif olduğu sürece aşağıdaki veriler hizmetin sunulması için saklanabilir:
- hesap ve kullanıcı bilgileri,
- Paket ve abonelik bilgileri,
- müşteri tarafından oluşturulan kayıtlar,
- belgeler,
- entegrasyon verileri,
- yetki ve güvenlik kayıtları.
Aktif hesapta dahi:
- süresi dolmuş gereksiz loglar,
- kullanılmayan geçici dosyalar,
- başarısız yükleme kalıntıları,
- gereksiz AI ara çıktıları
periyodik olarak temizlenmelidir.
10. Hesap Kapanışı ve 60 Günlük Erişim
Aboneliğin sona ermesi veya hesabın kapanması hâlinde, hukuki veya güvenlik engeli bulunmadıkça:
- Müşteriye 60 gün boyunca veri erişimi veya dışa aktarım imkânı sağlanır.
- Hesap salt okunur veya yalnızca dışa aktarıma açık hâle getirilebilir.
- Yeni işlem oluşturma ve entegrasyonlar durdurulabilir.
- Müşteri verilerini desteklenen formatlarda indirir.
- 60 gün sonunda yasal zorunluluk dışındaki aktif veriler silinir, yok edilir veya anonimleştirilir.
- Yedeklerde kalan kopyalar normal yedek döngüsünde kaldırılır.
Müşteri, 60 günlük süre dolmadan verilerinin erken silinmesini talep edebilir.
Erken silme geri alınamayabilir.
11. Silme
Silme, verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesidir.
Uygulanabilecek silme yöntemleri:
- veritabanı kaydının silinmesi,
- kullanıcı erişim yetkisinin kaldırılması,
- dosyanın aktif depolamadan silinmesi,
- uygulama arayüzünden erişimin kapatılması,
- indeks ve arama kayıtlarından kaldırma,
- API erişiminin durdurulması,
- token veya anahtarın iptali,
- Alt İşleyene silme talimatı gönderilmesi.
Silinen veri, teknik veya hukuki sebeple sınırlı bir arşivde kalıyorsa aktif işleme kapatılmalı ve erişimi yalnızca yetkili kişilerle sınırlandırılmalıdır.
12. Yok Etme
Yok etme, verinin hiçbir kişi tarafından erişilemez ve geri getirilemez hâle getirilmesidir.
Uygulanabilecek yöntemler:
- fiziksel ortamın güvenli imhası,
- kriptografik anahtarın geri döndürülemez biçimde yok edilmesi,
- güvenli dosya silme,
- depolama alanının üzerine yazma,
- güvenli cihaz sıfırlama,
- fiziksel belgenin parçalanması,
- hizmet sağlayıcı silme ve imha sürecinin işletilmesi.
Bulut ortamlarında fiziksel diske doğrudan erişim bulunmuyorsa sağlayıcının sözleşmesel ve teknik silme prosedürleri kullanılır.
13. Anonim Hâle Getirme
Anonimleştirme, veriyle gerçek kişi arasında makul yollarla yeniden bağlantı kurulamayacak şekilde yapılmalıdır.
Kullanılabilecek yöntemler:
- değişken çıkarma,
- kayıt çıkarma,
- genelleştirme,
- toplulaştırma,
- alt ve üst sınır belirleme,
- veri değiş tokuşu,
- gürültü ekleme,
- bölgesel veya tarihsel yuvarlama,
- istatistiksel eşik uygulama.
Yalnızca:
- adın silinmesi,
- kullanıcı numarası verilmesi,
- hash kullanılması,
- maskeleme
her durumda anonimleştirme sağlamaz.
Yeniden ilişkilendirme anahtarı mevcutsa veri takma adlandırılmış kişisel veri olmaya devam eder.
14. Anonim Verilerin Kullanımı
Gerçekten anonim hâle getirilmiş veriler:
- ürün kullanım istatistikleri,
- kapasite planlama,
- performans analizi,
- genel sektör eğilimleri,
- hata oranlarının ölçülmesi
için kullanılabilir.
Anonim veri seti oluşturulmadan önce:
- tekil veya nadir kayıt riski,
- başka veri setleriyle eşleştirme ihtimali,
- küçük gruplardan yeniden kimliklendirme riski
değerlendirilmelidir.
15. Yedekler
Marfin'in planlanan yaklaşımı:
- günlük otomatik yedek,
- yedeklerin 30 gün saklanması,
- süresi dolan yedeklerin otomatik silinmesi veya üzerine yazılmasıdır.
Bu yapı üretim öncesinde teknik olarak doğrulanmalıdır.
Yedekler:
- olağan iş süreçlerinde kullanılmaz,
- yalnızca felaket kurtarma ve sistem bütünlüğü amacıyla tutulur,
- sınırlı kişilerce erişilir,
- aktif veri tabanı gibi sorgulanmaz.
Aktif sistemden silinen bir veri, yedeklerde normal döngü sona erene kadar bulunabilir.
16. Yedek Geri Yükleme Sonrası İşlem
Eski bir yedek geri yüklendiğinde daha önce silinmiş veriler teknik olarak tekrar görünebilir.
Bu durumda Marfin:
- önceki silme kayıtlarını kontrol eder,
- geçerli silme taleplerini yeniden uygular,
- yasal saklama dışında veriyi aktif kullanıma açmaz,
- geri yükleme işlemini kayıt altına alır.
Silme talimatlarının yeniden uygulanabilmesi için uygun teknik kayıt veya işaretleme sistemi kurulmalıdır.
17. Alt İşleyenlerde Saklama ve Silme
Alt İşleyen sözleşmelerinde mümkün olduğu ölçüde aşağıdaki hükümler bulunmalıdır:
- saklama süresi,
- müşteri veya Marfin talimatıyla silme,
- sözleşme sonunda iade veya imha,
- yedek döngüsü,
- silme teyidi,
- alt işleyen zinciri,
- yasal saklama istisnası,
- güvenlik olayı bildirimi.
Bir sağlayıcı kaldırıldığında:
- yeni veri aktarımı durdurulur,
- erişim anahtarları iptal edilir,
- gerekli veriler dışa aktarılır,
- silme talimatı gönderilir,
- saklama döngüsü takip edilir,
- mümkünse silme teyidi alınır.
18. AI Sağlayıcılarında Silme
AI sağlayıcısındaki verilerin silinmesi:
- kullanılan API planına,
- sağlayıcının güvenlik saklama süresine,
- sıfır veya azaltılmış saklama seçeneğine,
- yasal yükümlülüklere
bağlı olabilir.
Her AI sağlayıcısı için:
- istem saklama süresi,
- çıktı saklama süresi,
- güvenlik logları,
- model eğitiminde kullanım,
- kullanıcı talebiyle silme yöntemi
ayrı doğrulanır.
Marfin arayüzünden sohbet silinmesi, sağlayıcı tarafındaki teknik kayıtların aynı anda silindiği anlamına gelmeyebilir. Bu fark kullanıcıya açıklanır.
19. Logların Yönetimi
Loglar, mümkün olduğunca olayın incelenmesi için gerekli en az veriyle tutulur.
Loglarda aşağıdakilerin açık biçimde bulunmaması hedeflenir:
- parola,
- tek kullanımlık şifre,
- tam kart numarası,
- kart güvenlik kodu,
- API anahtarı,
- erişim tokenı,
- tam kimlik belgesi,
- gereksiz belge içeriği.
Log saklama süreleri güvenlik riskine ve olay türüne göre belirlenir.
Süre dolduğunda loglar silinir veya anonimleştirilir.
20. Destek Kayıtları
Destek kayıtlarında:
- kullanıcının açıklaması,
- ekran görüntüsü,
- yüklenen belge,
- teknik log,
- destek personeli notları
bulunabilir.
Destek tamamlandıktan sonra:
- gereksiz ekler kaldırılmalı,
- parola ve anahtar içeren içerikler derhâl silinmeli,
- kayıtlar belirlenen destek saklama süresine tabi tutulmalıdır.
Kullanıcılar destek kanalına gereksiz hassas veri göndermemelidir.
21. Özel Nitelikli Veriler
Özel nitelikli kişisel veriler için:
- daha kısa saklama süresi,
- daha sınırlı erişim,
- ayrı kayıt veya depolama,
- gelişmiş imha yöntemi,
- periyodik yetki kontrolü
uygulanabilir.
Marfin'in standart hizmetinde özel nitelikli veri işlenmesi amaçlanmamaktadır.
Bu tür veriler fark edildiğinde hukuki ve teknik değerlendirme yapılır.
22. Açık Rıza Geri Alındığında
Açık rızaya dayalı işlemde rıza geri alındığında:
- rızaya dayalı yeni işleme durdurulur,
- başka bir geçerli hukuki sebep olup olmadığı değerlendirilir,
- başka sebep yoksa veri silme veya imha sürecine alınır,
- rıza ve geri alma kaydı, ispat için gerekli süreyle sınırlı saklanabilir.
Ticari ileti reddi, operasyonel hizmet mesajlarını otomatik olarak durdurmaz.
23. İlgili Kişi Silme Talebi
Silme talebi alındığında Marfin:
- başvuru sahibinin kimliğini doğrular,
- ilgili işlemdeki rolünü belirler,
- verinin saklama amacını ve hukuki sebebini inceler,
- yasal saklama zorunluluğunu kontrol eder,
- talebi tamamen veya kısmen yerine getirir,
- sonucu başvuru sahibine bildirir.
Marfin veri işleyen konumundaysa talep ilgili veri sorumlusu müşteriye yönlendirilir.
24. Silme Talebinin Karşılanamayabileceği Durumlar
Aşağıdaki durumlarda veri tamamen silinemeyebilir:
- yasal saklama yükümlülüğü,
- devam eden dava veya uyuşmazlık,
- hakların tesisi, kullanılması veya korunması,
- güvenlik olayı veya dolandırıcılık incelemesi,
- yetkili makam talebi,
- verinin başka kişilerin haklarını etkilemesi.
Bu durumda veri:
- aktif kullanım dışına çıkarılır,
- erişimi sınırlandırılır,
- yalnızca ilgili amaçla saklanır,
- süre sonunda imha edilir.
25. Periyodik İmha
Saklama süresi dolan veriler periyodik imha sürecine alınır.
Taslak periyodik imha aralığı:
[EN FAZLA ALTI AYI AŞMAYACAK ŞEKİLDE KESİN SÜRE TAMAMLANACAK]
İmha dönemi öncesinde:
- süresi dolan kayıtlar raporlanır,
- hukuki bekletme kayıtları ayrılır,
- veri sahibi sistem ve sorumlu belirlenir,
- silme veya anonimleştirme yöntemi seçilir,
- işlem onaylanır.
26. İmha Kayıtları
İmha işlemlerinde mümkün olduğunca aşağıdaki kayıtlar tutulur:
- veri kategorisi,
- sistem veya ortam,
- saklama süresi sonu,
- imha yöntemi,
- işlem tarihi,
- işlemi yapan veya onaylayan kişi,
- etkilenen kayıt sayısı,
- hata veya istisna,
- Alt İşleyen teyidi.
İmha kayıtlarının saklama süresi:
[HUKUKİ VE OPERASYONEL SÜRE TAMAMLANACAK]
olarak belirlenir.
İmha kaydı, silinen kişisel verinin kendisini gereksiz biçimde içermemelidir.
27. Hukuki Bekletme
Dava, inceleme, soruşturma veya resmî talep nedeniyle normal silme işlemi geçici olarak durdurulabilir.
Hukuki bekletmede:
- kapsam açıkça belirlenir,
- yalnızca gerekli kayıtlar tutulur,
- erişim sınırlandırılır,
- bekletme gerekçesi ve başlangıç tarihi kaydedilir,
- süreç sona erdiğinde veriler normal imha takvimine alınır.
Hukuki bekletme genel ve süresiz uygulanmaz.
28. Fiziksel Belgeler
Fiziksel ortamda kişisel veri bulunuyorsa:
- kilitli dolap veya kontrollü alan kullanılır,
- erişim yetkileri sınırlandırılır,
- kopya sayısı azaltılır,
- süre sonunda belge geri getirilemeyecek şekilde parçalanır veya güvenli imha hizmetine verilir.
İmha hizmeti alınırsa hizmet sağlayıcının gizlilik ve imha süreci doğrulanmalıdır.
29. Test ve Geliştirme Ortamları
Gerçek kişisel verilerin test ve geliştirme ortamında kullanılması mümkün olduğunca önlenir.
Gerekli hâllerde:
- veri maskelenir,
- takma adlandırılır,
- veri miktarı azaltılır,
- ayrı erişim uygulanır,
- üretimden kopyalanan veri için kısa süre belirlenir,
- test tamamlanınca veri silinir.
Üretim yedeği test amacıyla sınırsız süre tutulamaz.
30. Cihaz ve Ekipman İmhası
Kişisel veri içeren:
- bilgisayar,
- telefon,
- disk,
- USB bellek,
- sunucu ekipmanı
elden çıkarılmadan veya yeniden kullanılmadan önce güvenli şekilde silinir ya da fiziksel olarak imha edilir.
Cihaz imha veya yeniden kullanım işlemi kayıt altına alınır.
Bulut altyapısında fiziksel ekipman sağlayıcının güvenli imha prosedürüne tabidir.
31. Sorumluluklar
31.1. Yönetim
- Politikayı onaylar,
- kaynak ve sorumlulukları belirler,
- yüksek riskli istisnaları değerlendirir.
31.2. Hukuk / KVKK Sorumlusu
- yasal süreleri değerlendirir,
- ilgili kişi taleplerini yönetir,
- hukuki bekletmeleri takip eder,
- Politikayı mevzuat değişikliklerine göre günceller.
31.3. Teknik Ekip
- otomatik silme işlerini uygular,
- yedek döngüsünü yönetir,
- erişimleri sınırlandırır,
- imha ve geri yükleme loglarını tutar.
31.4. Ürün Ekibi
- veri alanlarını ve saklama seçeneklerini tanımlar,
- kullanıcıya silme ve dışa aktarım kontrolleri sunar,
- yeni özelliklerde saklama değerlendirmesi yapar.
31.5. Destek Ekibi
- silme ve dışa aktarım taleplerini doğru kanala yönlendirir,
- destek kayıtlarına gereksiz veri eklemez,
- kimlik ve yetki doğrulamasına uyar.
31.6. Tüm Kullanıcılar ve Çalışanlar
- veriyi gereksiz kopyalamaz,
- yerel cihazlarda süresiz tutmaz,
- Politika ihlali veya yanlış silme olayını bildirir.
32. Denetim ve Kontrol
Marfin, saklama ve imha süreçlerini periyodik olarak kontrol eder.
Kontrol konuları:
- süresi dolan kayıtlar,
- başarısız otomatik silme işleri,
- yedek döngüsü,
- Alt İşleyen silme teyitleri,
- hukuki bekletmeler,
- test ortamlarındaki veriler,
- yetkisiz yerel kopyalar,
- AI ve log saklama ayarları,
- hesap kapanışı sonrası 60 günlük süreç.
Tespit edilen eksiklikler için düzeltici faaliyet oluşturulur.
33. İmha Hatası ve Güvenlik Olayı
Yanlış verinin silinmesi, süresi dolan verinin silinememesi veya imha sırasında yetkisiz erişim oluşması güvenlik olayı olarak değerlendirilir.
Bu durumda:
- olay kayıt altına alınır,
- etkilenen veri ve sistem belirlenir,
- erişim ve veri akışı sınırlandırılır,
- geri yükleme veya yeniden silme ihtiyacı değerlendirilir,
- müşteri ve ilgili kişilere etkisi incelenir,
- gerekli bildirimler değerlendirilir,
- kök neden ve düzeltici faaliyet belirlenir.
34. Politika Değişiklikleri
Bu Politika:
- mevzuat değişikliği,
- yeni veri kategorisi,
- yeni ürün veya entegrasyon,
- Alt İşleyen değişikliği,
- saklama altyapısı değişikliği,
- denetim bulgusu
nedeniyle güncellenebilir.
Her sürümde değişiklik tarihi ve özeti tutulur.
35. İletişim
Saklama, silme ve imha konularında:
E-posta: info@marfin.com.tr
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]
İlgili kişi başvuruları için:
İlgili Kişi Başvuru Formu
kullanılabilir.
36. Yayın Öncesi Kontrol Listesi
Bu bölüm nihai kullanıcı sürümünden kaldırılabilir veya iç kontrol eki olarak tutulabilir.
- Kişisel veri envanteri tamamlandı.
- Her veri kategorisine saklama amacı atandı.
- Süre başlangıçları belirlendi.
- Vergi ve ticari kayıt süreleri mali müşavirle doğrulandı.
- Sözleşme ve zamanaşımı süreleri hukukçuyla doğrulandı.
- Destek kayıtlarının süresi belirlendi.
- Güvenlik ve işlem loglarının süresi belirlendi.
- API ve webhook log süreleri belirlendi.
- AI istem, çıktı ve teknik log süreleri belirlendi.
- OCR belge ve metin süreleri belirlendi.
- Çerez tercih ve analitik süreleri belirlendi.
- İYS izin ve ret kayıt süreleri belirlendi.
- Günlük yedek ve 30 günlük döngü doğrulandı.
- Yedek geri yükleme sonrası silme süreci test edildi.
- 60 günlük hesap kapanışı akışı test edildi.
- Erken silme talebi akışı test edildi.
- Veri dışa aktarım formatları doğrulandı.
- Periyodik imha aralığı kesinleştirildi.
- Otomatik silme görevleri kuruldu ve test edildi.
- İmha kayıtlarının saklama süresi belirlendi.
- Hukuki bekletme süreci oluşturuldu.
- Alt İşleyen silme ve teyit süreçleri doğrulandı.
- Test ve geliştirme verisi kuralları uygulandı.
- Fiziksel belge ve cihaz imha süreci oluşturuldu.
- DPA, Gizlilik ve Aydınlatma metinleriyle süreler eşleştirildi.
- Hukukçu incelemesi tamamlandı.
- Teknik ekip doğrulaması tamamlandı.
- Yürürlük tarihi eklendi.
- Placeholder alanlar dolduruldu.
- İç kontrol listesi yayımlanan sürümden çıkarıldı.
37. İlgili Belgeler
- KVKK Aydınlatma Metni
- Gizlilik Politikası
- Veri İşleme Sözleşmesi (DPA)
- İlgili Kişi Başvuru Formu
- Alt İşleyenler Listesi
- Yurt Dışına Kişisel Veri Aktarım Eki
- AI Veri İşleme Politikası
- İptal, İade ve Abonelik Politikası
- Bilgi Güvenliği Politikası
BELGE SONU
Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.
Yayın durumu: Taslak
Veri envanteri doğrulaması: Bekleniyor
Mali müşavir doğrulaması: Bekleniyor
Teknik doğrulama: Bekleniyor
Hukukçu onayı: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]