Kişisel Veri Saklama ve İmha Politikası

Son güncelleme: Mart 2026

Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") madde 7, 17 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri doğrultusunda, veri sorumlusu sıfatıyla Bizicon Bilişim ve Danışmanlık Hizmetleri ("361") tarafından hazırlanmıştır.

1. Amaç

Bu politikanın amacı, 361 tarafından işlenen kişisel verilerin saklanma sürelerinin belirlenmesi, bu sürelerin sona ermesi halinde verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerine ilişkin usul ve esasları düzenlemektir.

Politika, kişisel verilerin mevzuata uygun olarak belirlenen süreler boyunca saklanmasını ve süre bitiminde güvenli bir şekilde imha edilmesini sağlamayı amaçlamaktadır.

2. Kapsam

Bu politika, 361 tarafından işlenen tüm kişisel veri kategorilerini ve bu verileri işleyen tüm departmanları, sistemleri, süreçleri ve veri işleyenleri kapsar. Politika, aşağıdaki veri sahiplerine ait verileri kapsar:

• Müşteriler ve müşteri çalışanları
• Potansiyel müşteriler ve ziyaretçiler
• Web sitesi kullanıcıları
• Çözüm ortakları ve tedarikçiler
• Şirket çalışanları ve stajyerler
• İş başvurusunda bulunanlar

3. Tanımlar

• Açık Rıza: Belirli bir konuya, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
• Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
• İlgili Kişi (Veri Sahibi): Kişisel verisi işlenen gerçek kişi.
• İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
• Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
• Periyodik İmha: Veri saklama süresinin sona ermesi durumunda, Yönetmelik'te belirtilen periyodik süreler dikkate alınarak re'sen silinmesi, yok edilmesi veya anonim hale getirilmesi.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
• Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (RG: 28.10.2017, 30224).

4. Saklama İlkeleri

Kişisel verilerin saklanmasında aşağıdaki ilkelere uyulur:

• İlke ve Uygunluk: Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak saklanır.
• Güncellik ve Doğruluk: Saklanan verilerin doğru ve güncel olması için gerekli tedbirler alınır.
• Belirli, Açık ve Meşru Amaç: Veriler, toplandığı sırada belirtilen amaçlar doğrultusunda saklanır.
• Veri Minimizasyonu: Yalnızca gerekli veriler saklanır; gereksiz veriler derhal imha edilir.
• Süre Sınırlaması: Veriler, mevzuat veya sözleşme gereği gerektiği kadar saklanır; süre sonunda imha edilir.

5. Saklama Süreleri

Kişisel veriler, işlenme amacı ve ilgili mevzuatın öngördüğü süreler boyunca saklanır. Başlıca saklama süreleri aşağıdaki tabloda belirtilmiştir:

5.1 Müşteri Verileri

Müşteri sözleşme ve fatura bilgileri, Türk Ticaret Kanunu ve Vergi Usul Kanunu kapsamında 10 yıl süreyle saklanır. Müşteri iletişim verileri, sözleşme süresi boyunca ve sözleşme sona erdikten sonra 5 yıl süreyle saklanır.

5.2 Pazarlama ve İletişim Verileri

Pazarlama amaçlı işlenen veriler, rızanın geri alınmasına kadar veya son etkileşim tarihinden itibaren 2 yıl süreyle saklanır. Elektronik ileti izin kayıtları, iznin geçerlilik süresi boyunca saklanır.

5.3 Web Sitesi ve Dijital İz Verileri

IP adresi, tarayıcı bilgisi ve oturum verileri en fazla 2 yıl süreyle saklanır. Çerez verileri için Çerez Politikamıza bakınız.

5.4 Sözleşme ve Hukuki İşlem Verileri

Hukuki uyuşmazlıklara ilişkin veriler, dava zamanaşımı süreleri boyunca (genellikle 10 yıl) saklanır. Yasal yükümlülükler kapsamında tutulması gereken kayıtlar, ilgili mevzuatın öngördüğü süreler boyunca saklanır.

5.5 Çalışan Verileri

Çalışan özlük dosyası, İş Kanunu ve Sosyal Sigortalar Kanunu kapsamında 10 yıl süreyle saklanır. Bordro ve maaş kayıtları 10 yıl, iş sağlığı ve güvenliği kayıtları mevzuat gereği öngörülen süreler boyunca saklanır.

6. İmha Yöntemleri

Saklama süresi sona eren kişisel veriler, Yönetmelik'te belirtilen yöntemlerle imha edilir:

6.1 Silme Yöntemleri

• Veritabanından Silme: Kişisel verilerin bulunduğu veritabanı kayıtlarından ilgili satırların kalıcı olarak silinmesi.
• Dosya Sistemi Silme: Kişisel verilerin bulunduğu dosyaların işletim sistemi düzeyinde kalıcı olarak silinmesi (secure delete algoritmaları ile).
• Bulut Hizmeti Silme: Bulut ortamında saklanan verilerin ilgili hizmet sağlayıcının güvenli silme protokolleri çerçevesinde silinmesi.

6.2 Yok Etme Yöntemleri

• Fiziksel İmha: Kağıt ortamında bulunan belgelerin çapraz kesim tipi kırpma makinesi ile yok edilmesi.
• Manyetik Bozma: Manyetik ortamlarda bulunan verilerin manyetik alan ile bozularak okunamaz hale getirilmesi.
• Yazılım ile Üstüne Yazma: Elektronik ortamdaki verilerin en az 3 kez farklı desenlerle üzerine yazılması.

6.3 Anonim Hale Getirme Yöntemleri

• Değişken Maskeleme: Değişkenlerin belirli bir desene göre maskeleme yöntemiyle anonimleştirilmesi.
• Genel Değişken Maskeleme: Değişkenlerin alt grup düzeyinde anonimleştirilmesi.
• Gürültü Ekleme: Verilere rastgele değerler eklenerek gerçek değerlerin gizlenmesi.
• K-En Yakın Komşuluk: Verilerin belirli bir k-değeri kullanılarak anonimleştirilmesi.

7. Periyodik İmha Süreci

361, kişisel verilerin periyodik olarak kontrol edilmesi ve imha edilmesi için aşağıdaki süreci uygular:

7.1 Periyodik Kontrol Dönemleri

Kişisel veriler içeren sistemler, 6 ayda bir periyodik olarak kontrol edilir. Bu kontroller sırasında saklama süresi sona eren veriler belirlenir ve imha işlemi başlatılır.

7.2 İmha Prosedürü

• İlgili departman başkanı tarafından imha gerekliliği belirlenir.
• Veri Envanteri ve Saklama Süresi Planı doğrultusunda imha edilecek veriler tespit edilir.
• İmha edilecek verilerin listesi KVKK Sorumlusu tarafından onaylanır.
• İmha işlemi belirlenen yöntemle gerçekleştirilir.
• İmha işlemi İmha Tutanağı ile belgelenir.
• Tutanak KVKK Sorumlusuna ve Üst Yönetim'e raporlanır.

8. Sorumluluklar

Kişisel verilerin saklanması ve imhası süreçlerindeki sorumluluklar aşağıdaki gibidir:

• KVKK Sorumlusu: Politikanın uygulanmasını denetler, periyodik kontrolleri koordine eder, imha raporlarını inceler.
• Bilgi Teknolojileri Departmanı: Teknik silme ve yok etme işlemlerini gerçekleştirir, veritabanı düzeyinde imha uygular.
• İnsan Kaynakları Departmanı: Çalışan verilerinin saklanması ve imhasından sorumludur.
• Satış ve Pazarlama Departmanı: Müşteri ve potansiyel müşteri verilerinin saklanması ve imhasından sorumludur.
• Mali İşler Departmanı: Finansal kayıtların mevzuat gereği saklanması ve imhasından sorumludur.

9. İlgili Politikalar

Kişisel veri korumaya ilişkin diğer politikalarımız:

• KVKK Aydınlatma Metni
• Kişisel Verilerin Korunması ve İşlenmesi Politikası
• Gizlilik Politikası
• Çerez Politikası
• Veri Sahibi Başvuru Formu

10. Değişiklikler

Bu politika, yasal düzenlemeler ve şirket uygulamalarındaki değişiklikler doğrultusunda güncellenebilir. Güncel metin her zaman bu sayfada yayımlanır.

11. İletişim

Kişisel verilerin saklanması ve imhasına ilişkin sorularınız için iletişim sayfamızdan veya aşağıdaki bilgilerden bize ulaşabilirsiniz:

Bizicon Bilişim ve Danışmanlık Hizmetleri
Adres: Originn Ofis, Kazım Dirik Mh. 296/2 sok. No:33, 35100 Bornova/İzmir
E-posta: info@361.com.tr
Telefon: +90 (850) 255 15 82
Web: 361.com.tr