Veri Saklama ve İmha Politikası

Yürürlük Tarihi: 3 Aralık 2025
Versiyon: 1.0

🌐 YAYINLANMA GEREKLİLİĞİ

Bu Veri Saklama ve İmha Politikası, platformumuzun web sitesinde (https://vergiuzmani.online) herkesin erişimine açık şekilde yayınlanmalıdır.

Erişim: Kullanıcılar bu politikaya web sitesi alt bilgi (footer) menüsünden veya "Veri Saklama ve İmha Politikası" bağlantısından kolayca ulaşabilmelidir.

1. Amaç ve Kapsam

İşbu Veri Saklama ve İmha Politikası, Derin Vergi Uzmanı platformu tarafından toplanan ve işlenen kişisel verilerin saklama sürelerini ve imha prosedürlerini düzenlemektedir.

Hukuki Dayanak:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.7
  • 213 sayılı Vergi Usul Kanunu (VUK) m.253
  • KVKK Veri Saklama ve İmha Yönetmeliği

Kapsam: Tüm kişisel veriler, özel nitelikli kişisel veriler, finansal kayıtlar ve sistem logları

2. Genel İlkeler

2.1. Veri Minimizasyonu

  • ✅ Yalnızca gerekli veriler toplanır
  • ✅ Amaç dışı veri işleme yapılmaz
  • ✅ İşlenme amacı ortadan kalkan veriler derhal silinir

2.2. Hukuka Uygunluk

  • ✅ KVKK m.5 ve m.6 hükümlerine uygunluk
  • ✅ Yasal saklama yükümlülüklerine tam uyum
  • ✅ Veri sahibi haklarının gözetilmesi

2.3. Şeffaflık ve Hesap Verebilirlik

  • ✅ Saklama süreleri açıkça belirtilir
  • ✅ İmha işlemleri kayıt altına alınır
  • ✅ Denetim ve raporlama mekanizmaları mevcuttur

3. Veri Saklama Süreleri

3.1. Kullanıcı Hesap Bilgileri

| Veri Türü | Saklama Süresi | Hukuki Dayanak | İmha Şartı | |-----------|----------------|----------------|------------| | Ad, Soyad, E-posta | Hesap aktif + 1 yıl | Sözleşme ilişkisi (KVKK m.5/2-c) | Hesap kapatma + 1 yıl | | Şifre (hash) | Hesap aktif olduğu sürece | Hizmet güvenliği | Hesap kapatma | | Google OAuth bilgileri | Hesap aktif + 1 yıl | Sözleşme ifası | OAuth bağlantısı kaldırma + 1 yıl | | Profil fotoğrafı | Hesap aktif olduğu sürece | Kullanıcı tercihi | Hesap kapatma | | Telefon numarası | Hesap aktif + 1 yıl | İletişim (opsiyonel) | Hesap kapatma + 1 yıl |

İmha Yöntemi: Kalıcı silme (hard delete), veritabanı kayıtlarından tamamen çıkarma

3.2. Finansal ve Ödeme Bilgileri

| Veri Türü | Saklama Süresi | Hukuki Dayanak | İmha Şartı | |-----------|----------------|----------------|------------| | Fatura bilgileri | 10 yıl | VUK m.253 (Yasal zorunluluk) | 10 yıl sonra | | Ödeme işlem kayıtları | 10 yıl | VUK m.253 + Ödeme yönetmelikleri | 10 yıl sonra | | Kredi kartı bilgileri | Saklanmaz | PCI DSS uyumluluğu | Ödeme sağlayıcısı (Stripe, Iyzico) saklar | | Abonelik geçmişi | 10 yıl | Mali kayıt tutma | 10 yıl sonra | | İade ve ücret iadesi kayıtları | 10 yıl | Mali kayıt tutma | 10 yıl sonra |

İmha Yöntemi: Anonimleştirme veya arşivleme (10 yıl sonra)

Önemli: Finansal veriler VUK m.253 uyarınca 10 yıl saklama zorunluluğu nedeniyle kullanıcı talebi ile bile silinemez. 10 yıl sonra otomatik olarak anonimleştirilir.

3.3. Kullanım ve Hizmet Verileri

| Veri Türü | Saklama Süresi | Hukuki Dayanak | İmha Şartı | |-----------|----------------|----------------|------------| | Soru ve analiz geçmişi | Hesap aktif olduğu sürece | Hizmet sunumu | Hesap kapatma | | Yüklenen belgeler | Hesap aktif olduğu sürece | Hizmet sunumu | Hesap kapatma veya kullanıcı talebi | | AI model yanıtları | Hesap aktif olduğu sürece | Hizmet kalitesi | Hesap kapatma | | Favori sorular | Hesap aktif olduğu sürece | Kullanıcı tercihi | Hesap kapatma veya kullanıcı talebi | | Kullanım istatistikleri | 2 yıl | Hizmet iyileştirme | 2 yıl sonra |

İmha Yöntemi: Kalıcı silme veya anonimleştirme

3.4. Teknik ve Güvenlik Verileri

| Veri Türü | Saklama Süresi | Hukuki Dayanak | İmha Şartı | |-----------|----------------|----------------|------------| | Log kayıtları | 2 yıl | Bilgi güvenliği (KVKK m.12) | 2 yıl sonra | | IP adresi kayıtları | 1 yıl | Güvenlik ve dolandırıcılık önleme | 1 yıl sonra | | Cihaz ve tarayıcı bilgileri | 1 yıl | Güvenlik | 1 yıl sonra | | Oturum kayıtları | 90 gün | Teknik destek | 90 gün sonra | | Hata raporları | 1 yıl | Hizmet iyileştirme | 1 yıl sonra | | Yedekleme kayıtları | 30 gün | Veri kurtarma | 30 gün sonra |

İmha Yöntemi: Otomatik silme (retention policy)

3.5. Pazarlama ve İletişim Verileri

| Veri Türü | Saklama Süresi | Hukuki Dayanak | İmha Şartı | |-----------|----------------|----------------|------------| | Pazarlama izin kaydı | İzin geri alınana kadar | Açık rıza (KVKK m.5/1) | Rıza geri alma | | E-posta kampanya geçmişi | 2 yıl | İletişim kayıtları | 2 yıl sonra veya rıza geri alma | | Müşteri destek talepleri | 3 yıl | Müşteri ilişkileri | 3 yıl sonra | | Geri bildirim ve anket | 2 yıl | Hizmet iyileştirme | 2 yıl sonra |

İmha Yöntemi: Kalıcı silme veya anonimleştirme

3.6. Özel Durumlar

| Durum | Saklama Süresi | Hukuki Dayanak | |-------|----------------|----------------| | Hukuki uyuşmazlık | Dava sonuçlanana kadar | Hukuki yükümlülük (KVKK m.5/2-e) | | Kamu kurumu talebi | Talep edilen süre | Yasal zorunluluk (KVKK m.5/2-ç) | | Veri ihlali soruşturması | Soruşturma bitene kadar | Hukuki yükümlülük | | Kullanıcı şikayeti | Çözüm + 1 yıl | Meşru menfaat |

4. Veri İmha Yöntemleri

4.1. Silme (Deletion)

Tanım: Kişisel verilerin hiçbir şekilde erişilemez ve geri getirilemez hale getirilmesi

Uygulama:

  • 🗑️ Veritabanı silme: SQL DELETE komutu ile kayıtların tamamen silinmesi
  • 🗑️ Dosya silme: Sunucu ve bulut depolamadan dosyaların kalıcı silinmesi
  • 🗑️ Yedek silme: Yedekleme sistemlerinden de ilgili kayıtların çıkarılması

Kullanım Durumları:

  • Hesap kapatma talepleri
  • Rıza geri alma işlemleri
  • Saklama süresi dolan veriler (yasal zorunluluk yoksa)

Doğrulama: Silme işlemi sonrası sistem taraması ile doğrulama

4.2. Yok Etme (Destruction)

Tanım: Verilerin fiziksel veya teknik olarak yok edilmesi

Uygulama:

  • 🔥 Dijital imha: Verilerin üzerine yazma (overwrite) ve kriptografik silme
  • 💾 Depolama ortamı imhası: Eski hard disklerin fiziksel yok edilmesi
  • 🔒 Şifreleme anahtarı imhası: Şifreli verilere erişimi kalıcı engelleme

Kullanım Durumları:

  • Donanım yenileme ve eski sunucu imhası
  • Kritik özel nitelikli verilerin güvenli imhası

4.3. Anonimleştirme (Anonymization)

Tanım: Kişisel verilerin hiçbir şekilde bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Uygulama:

  • 🎭 Kimlik bilgisi çıkarma: Ad, e-posta, telefon gibi tanımlayıcıların silinmesi
  • 🔢 ID değiştirme: Kullanıcı kimliklerinin rastgele kodlarla değiştirilmesi
  • 📊 Aggregasyon: Verilerin toplu istatistiksel formata dönüştürülmesi

Kullanım Durumları:

  • Yasal saklama süresi dolan finansal kayıtlar (10 yıl sonra)
  • İstatistiksel analiz için veri saklama
  • Hizmet iyileştirme ve araştırma amaçlı veri kullanımı

Örnek:

Önce: {user_id: 12345, name: "Ahmet Yılmaz", email: "ahmet@example.com", amount: 1000}
Sonra: {transaction_id: "anon_xyz", amount: 1000, date: "2025-01"}

4.4. Arşivleme (Archival)

Tanım: Yasal saklama yükümlülüğü olan verilerin kısıtlı erişimle güvenli ortamda saklanması

Uygulama:

  • 📦 Soğuk depolama: Nadiren erişilen verilerin ayrı, güvenli sistemde saklanması
  • 🔐 Erişim kısıtlama: Yalnızca yasal zorunluluk veya denetim için erişim
  • 📋 Metadata tutma: Veri içeriği yerine yalnızca özet bilgi saklama

Kullanım Durumları:

  • VUK m.253 kapsamında 10 yıl saklanması gereken fatura ve mali belgeler
  • Hukuki uyuşmazlık sürecindeki veriler

Güvenlik: Arşiv verileri şifrelenmiş ve yedekli olarak saklanır

5. Otomatik İmha Prosedürleri

5.1. Periyodik İmha Döngüsü

Aylık İmha İşlemleri:

  • 🗓️ Her ayın ilk haftası otomatik imha scripti çalışır
  • 📋 Saklama süresi dolan veriler listelenir
  • 🔍 Yasal zorunluluk kontrolü yapılır
  • 🗑️ Uygun kayıtlar silinir veya anonimleştirilir

Çalışma Zamanı: Her ayın 1. günü 03:00 (UTC+3)

Log Kaydı: Tüm imha işlemleri detaylı log kaydına alınır

5.2. Hesap Kapatma Sonrası İmha

Süreç:

  1. T+0: Kullanıcı hesap kapatma talebi
  2. T+0: Hesap devre dışı bırakılır, giriş engellenir
  3. T+30: Kişisel veriler silinir (finansal kayıtlar hariç)
  4. T+365: İletişim bilgileri ve diğer veriler tamamen silinir
  5. T+10 yıl: Finansal kayıtlar anonimleştirilir

İstisna: Hukuki uyuşmazlık veya kamu kurumu talebi durumunda silme ertelenir

5.3. Rıza Geri Alma Sonrası İmha

Pazarlama Rızası Geri Alma:

  • ⏱️ Derhal: Pazarlama listelerinden çıkarılır
  • 🗑️ 7 gün içinde: Pazarlama ile ilgili veriler silinir
  • 📧 Onay e-postası gönderilir

Yurt Dışı Aktarım Rızası Geri Alma:

  • ⚠️ Derhal: AI hizmetlerine veri gönderimi durdurulur
  • 🗑️ 30 gün içinde: Üçüncü taraflardaki veriler silinir (sözleşme gereği)
  • 🔒 Kullanıcı hesabı AI özelliklerini kullanamaz hale gelir

6. Manuel İmha Talepleri

6.1. Kullanıcı Talep Süreci

Başvuru Kanalları:

  • 📧 E-posta: bilgi@markadanismanlik.net
  • 💻 Platform: Hesap Ayarları > Veri Taleplerim

Talep İçeriği:

  • 🆔 Kimlik doğrulama (TC kimlik kartı veya e-Devlet)
  • 📋 Silinmesini istediğiniz veri kategorisi
  • 📝 Talep gerekçesi

İşlem Süresi: 30 gün içinde

6.2. Değerlendirme Kriterleri

İmha talebi değerlendirilirken:

  • Kabul: İşlenme amacı ortadan kalkmış, yasal zorunluluk yok
  • ⏸️ Erteleme: Hukuki uyuşmazlık, kamu kurumu talebi devam ediyor
  • Ret: VUK m.253 gibi yasal saklama zorunluluğu var

Ret Durumu: Gerekçe ile birlikte kullanıcıya bildirilir, alternatif çözüm önerilir (örn: anonimleştirme)

7. Üçüncü Taraf Veri İmhası

7.1. AI Hizmet Sağlayıcıları

| Sağlayıcı | İmha Taahhüdü | Doğrulama | |-----------|--------------|-----------| | OpenAI | 30 gün içinde API log'ları silinir | API kullanım sözleşmesi | | Google | 18 ay içinde kullanıcı verileri silinir | Veri işleme sözleşmesi | | Anthropic | 90 gün içinde sohbet logları silinir | Gizlilik politikası | | Groq | 30 gün içinde işlem kayıtları silinir | Hizmet şartları |

İmha Talebi: Hesap kapatma veya rıza geri alma durumunda, üçüncü taraflara 7 gün içinde veri silme talebi iletilir.

7.2. Ödeme Sağlayıcıları

| Sağlayıcı | Saklama Süresi | İmha Yöntemi | |-----------|----------------|-------------| | Stripe | İşlem + 7 yıl | Otomatik silme | | Iyzico | İşlem + 10 yıl (Türk mevzuatı) | Anonimleştirme | | Paytr | İşlem + 10 yıl | Anonimleştirme |

Önemli: Ödeme sağlayıcıları kendi yasal yükümlülükleri nedeniyle verileri saklarlar. Bu süreler bizim kontrolümüz dışındadır.

7.3. Bulut Hizmet Sağlayıcıları

Vercel, Railway, AWS:

  • 🗑️ Hesap kapatma sonrası 30 gün içinde tüm kullanıcı verileri silinir
  • 💾 Yedekleme sistemlerinden de 90 gün içinde tamamen temizlenir
  • 📧 İmha tamamlandığında onay raporu alınır

8. Denetim ve Raporlama

8.1. İç Denetim

Yıllık Denetim:

  • 📅 Her yıl Ocak ayında kapsamlı veri envanteri çıkarılır
  • 🔍 Saklama sürelerine uygunluk kontrol edilir
  • 📊 İmha işlemleri raporu hazırlanır
  • ⚖️ KVKK uyumluluk değerlendirmesi yapılır

Sorumlu: Veri Koruma Sorumlusu / IT Güvenlik Müdürü

8.2. İmha Kayıtları

Her imha işlemi için tutulacak kayıtlar:

  • 📋 İmha edilen veri kategorisi ve miktarı
  • 📅 İmha tarihi ve saati
  • 👤 İmhayı gerçekleştiren yetkili kişi
  • 🛠️ Kullanılan imha yöntemi
  • 📝 İmha gerekçesi (saklama süresi, kullanıcı talebi, vb.)

Saklama: İmha kayıtları 5 yıl süreyle saklanır (KVKK denetimi için)

8.3. KVKK Kurumu Raporlaması

VERBİS Bildirimleri:

  • 📤 Yıllık veri işleme envanteri güncellenmesi
  • 📊 Veri kategorileri ve saklama süreleri bildirilmesi
  • 🔔 Önemli politika değişikliklerinin raporlanması

9. İstisna ve Özel Durumlar

9.1. Hukuki Uyuşmazlık

Dava veya soruşturma durumunda:

  • ⏸️ İlgili verilerin imhası askıya alınır
  • 📁 Veriler güvenli arşivde saklanır
  • ⚖️ Dava sonuçlanana kadar erişim kısıtlanır
  • ✅ Dava sonrası normal imha prosedürü uygulanır

9.2. Kamu Kurumu Talebi

GİB, Maliye, Kolluk kuvvetleri talebi:

  • 📩 Resmi talep alınır ve kayıt altına alınır
  • 🔍 Talep edilen veriler belirlenir
  • 📤 Yasal sürede (genellikle 15 gün) paylaşılır
  • 📋 Paylaşılan veriler log kaydına alınır
  • ⏳ Kamu kurumu talebi devam ettiği sürece imha ertelenir

9.3. Veri İhlali Soruşturması

Güvenlik ihlali tespit edildiğinde:

  • 🔒 İhlal ile ilgili log kayıtları derhal korunur
  • 🔍 Soruşturma bitene kadar imha yapılmaz
  • 📊 İhlalin niteliği ve kapsamı belirlenir
  • 🛡️ Soruşturma sonrası gerekli kayıtlar saklanır, gereksiz veriler silinir

10. Kullanıcı Yükümlülükleri

10.1. Kendi Verilerini Yönetme

Kullanıcılar aşağıdaki haklara sahiptir:

  • 🗑️ Soru geçmişini silme: Platform üzerinden manuel olarak
  • 📄 Belge silme: Yüklenen belgeleri istediğiniz zaman silebilirsiniz
  • 🚫 Pazarlama rızası geri alma: Hesap ayarlarından tek tıkla
  • 📧 Hesap kapatma: İstediğiniz zaman hesabınızı kapatabilirsiniz

10.2. Doğru Bilgi Sağlama

  • ✅ Hesap bilgilerinizi güncel tutun
  • ✅ Yanlış veya eksik bilgileri düzeltin
  • ✅ Artık kullanmadığınız hesapları kapatın

11. Değişiklikler ve Güncellemeler

Bu politika, yasal düzenlemeler ve operasyonel gereksinimler doğrultusunda güncellenebilir.

Bildirim: Önemli değişiklikler e-posta ile ve platform üzerinde duyurulacaktır.

Yürürlük: Değişiklikler bildirim tarihinden 15 gün sonra yürürlüğe girer.

Versiyon Geçmişi:

  • v1.0 - 3 Aralık 2025: İlk yayın

12. İletişim

Veri saklama ve imha ile ilgili sorularınız için:

📧 E-posta: bilgi@markadanismanlik.net

KVKK Başvuru: bilgi@markadanismanlik.net

Son Güncelleme: 3 Aralık 2025
Versiyon: 1.0

Bu politika, KVKK m.7 ve VUK m.253 uyarınca hazırlanmıştır.