Veri Depolama

YOUSIZER.COM KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

04.01.2026

1. POLİTİKANIN AMACI VE KAPSAMI

Bu Kişisel Veri Saklama ve İmha Politikası ("Politika"), www.yoursizer.com adresinde faaliyet gösteren Yoursizer.com ("Şirket" veya "Veri Sorumlusu") tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") başta olmak üzere ilgili mevzuat hükümlerine uygun olarak hazırlanmıştır. Politikanın temel amacı, Veri Sorumlusu sıfatıyla Şirketimizin kişisel verilerin işlenmesinde KVKK m. 4'te belirtilen genel ilkelere (hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli-açık-meşru amaçlar için işlenme, amaçla bağlantılı-sınırlı-ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilme) tam uyumunu sağlamaktır.

Bu Politika, Yoursizer.com platformunun (web sitesi, mobil uygulama ve entegre widget'lar) tüm kullanıcılarının kişisel verilerinin hangi amaçlarla, ne kadar süreyle saklanacağını, hangi hukuki ve teknik gerekçelerle işlendiğini ve işleme amacının ortadan kalkması halinde hangi yöntemlerle güvenli bir şekilde imha edileceğini şeffaf bir şekilde açıklamaktadır. Şirketimiz bünyesindeki tüm departmanlar, çalışanlar ve dış hizmet sağlayıcılar (veri işleyenler) üzerinde bağlayıcı nitelikte olup, veri yönetişiminde tam şeffaflık ve hesap verebilirlik ilkelerinin uygulanmasını güvence altına almaktadır. Politika, kişisel verilerin korunması alanındaki ulusal ve uluslararası en iyi uygulamaları benimseyerek, ilgili kişilerin temel hak ve özgürlüklerinin korunmasını önceliklemektedir.

2. TANIMLAR VE KISALTMALAR

Bu Politika'nın uygulanmasında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 3 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m. 4 ile diğer ilgili mevzuatta yer alan tanımlar esas alınmıştır. Aşağıda, Politika kapsamında kullanılan bazı temel terimler ve kısaltmalar açıklanmıştır:

•Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder (KVKK m. 3/b). Yoursizer.com özelinde, özellikle algoritma iyileştirme ve toplu araştırma amaçlarıyla kullanılan verilerde, geri döndürülemez bir şekilde kimlik bağının koparılmasını kapsar.

•Biyometrik Veri (Beden Ölçüleri): Kişisel Verilerin Korunması Kanunu m. 6 kapsamında özel nitelikli kişisel veri olarak kabul edilen, kişisel vücut şeklini benzersiz ayırt etmeye yarayan, boy, bacak uzunluğu, bel çevresi, omuz genişliği, göğüs, kalça gibi fiziksel beden ölçülerini ifade eder.

•3D Avatar: Kullanıcının beden ölçülerinden algoritmalarımız aracılığıyla üretilen, kişinin fiziksel özelliklerini temsil eden dijital üç boyutlu modeli ifade eder. Bu avatar, biyometrik verinin işlenmesiyle oluşan benzersiz bir temsildir.

•Güvenli Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir (Yönetmelik m. 8). Yazılımsal olarak verilerin silinmesi ve üzerine başka verilerin yazılması gibi yöntemlerle gerçekleştirilir.

•İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder (KVKK m. 3/ç). Yoursizer.com özelinde, platform kullanıcılarını ifade eder.

•İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder (Yönetmelik m. 4/c).
•Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder (Yönetmelik m. 4/d).

•Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (KVKK m. 3/d).

•Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder (KVKK m. 3/e).

•Kriptografik İmha: Şifrelenmiş verilerin şifreleme anahtarlarının geri döndürülemez bir şekilde yok edilmesiyle verilerin okunamaz ve kullanılamaz hale getirilmesidir. Özellikle şifreli yedeklerde bu yöntem uygulanır.

•KVKK: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu ifade eder. ● Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder (Yönetmelik m. 4/ğ).

•Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder (KVKK m. 3/ı). Bu Politika kapsamında Yoursizer.com'u ifade eder.

•Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'i ifade eder.

•Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir (Yönetmelik m. 9). Fiziksel ortamların geri döndürülemez şekilde imhasını da kapsar.

3. SORUMLULUK VE GÖREV DAĞILIMI

Yoursizer.com bünyesinde kişisel verilerin saklama ve imha süreçlerinin etkin bir şekilde yürütülmesi, denetlenmesi ve sürdürülebilirliğinin sağlanması amacıyla, organizasyon şemasına uygun olarak belirli bir sorumluluk ve görev dağılımı yapılmıştır. Bu dağılım, "ihtiyaç kadar" (need-to-know) ve "en az yetki" (least privilege) prensiplerine sıkı sıkıya bağlı kalınarak oluşturulmuştur.

3.1. Üst Yönetim (Yönetim Ekibi):

•KVKK uyumunun kurumsal sahipliğini üstlenir, kişisel veri koruma politikalarını onaylar ve bu politikaların uygulanması için gerekli kaynakların tahsisini sağlar.

•Tedarikçi ve alt işleyen seçiminde nihai kararları verir, veri koruma risklerinin kabulü veya azaltılmasına yönelik stratejik kararları onaylar.

•Veri ihlali gibi kritik olaylarda kriz yönetimini başlatır ve resmi bildirim süreçlerinin onayını verir.

•Periyodik denetim raporlarını gözden geçirir ve gerekli iyileştirme aksiyonlarını onaylar. 3.2. Teknik Yönetim / CTO (Teknik Lider):

•Veri mimarisinin, saklama sürelerinin ve imha süreçlerinin teknik tasarımından sorumludur.
•Erişim kontrol modeli (RBAC), şifreleme anahtar yönetimi, loglama mekanizmaları, yedekleme politikaları ve diğer teknik güvenlik kontrollerinin uygulanmasını denetler. ● Üretim ortamına erişimlerin yönetimini ve kritik değişikliklerin onay süreçlerini yürütür. ● Biyometrik veriler için ayrı veri alanı, takma adlandırma (pseudonymization) stratejileri gibi özel güvenlik önlemlerinin teknik entegrasyonunu sağlar.

3.3. Yazılım Ekibi (Backend/Platform):

•Veri toplama ve işleme süreçlerini geliştiren sistemlerde veri minimizasyonu prensiplerine uygunluğu sağlar.

•Saklama süresi kurallarını, güvenli silme ve anonimleştirme fonksiyonlarını yazılım katmanında uygular.

•Kullanıcı taleplerinin (silme, erişim, düzeltme) teknik olarak uygulanmasından sorumludur. ● API ve entegrasyonlarda veri paylaşım sınırlarının korunmasını ve veri güvenliği standartlarının uygulanmasını temin eder.

•Kritik imha işlemlerinde "four-eyes" (çift kontrol) mekanizmasının uygulanmasını sağlar; yani, bir imha işleminin başlatılması ve onaylanması farklı yetkilere sahip iki kişi tarafından gerçekleştirilir.

3.4. Yazılım Ekibi (Frontend/Widget/Mobil):

•Çerez ve açık rıza mekanizmalarının kullanıcı arayüzünde doğru şekilde sunulmasından sorumludur.

•Kullanıcı onayına göre ilgili script ve SDK'ların tetiklenmesini sağlar.

•Veri giriş formlarında opsiyonel ve zorunlu alanların doğru ayrımını yapar. ● İstemci tarafı güvenliğini (örneğin XSS, CSRF koruması) sağlar.

3.5. DevOps/Sistem Sorumlusu (Yazılım Ekibi İçinde):

•Bulut altyapısının yönetimi, ağ güvenliği, sürekli entegrasyon/sürekli dağıtım (CI/CD) süreçleri ve ortam ayrımı (geliştirme, test, üretim) konularında sorumluluk sahibidir. ● Yedekleme rotasyonu, şifreleme anahtarlarının güvenli yönetimi, izleme ve uyarı sistemlerinin kurulumu ve güvenlik güncellemelerini takip eder.

•Veri kayıt sistemlerinin ve logların bütünlüğünü ve erişilebilirliğini sağlar. 3.6. KVKK Uyum Sorumlusu (Yönetim İçinde Atanmış Kişi):

•Aydınlatma metinleri ve açık rıza beyanlarının güncelliğini ve mevzuata uygunluğunu takip eder.

•Kişisel veri işleme envanterini güncel tutar, saklama ve imha politikasının uygulanmasını denetler.

•Tedarikçi sözleşmelerindeki veri koruma hükümlerinin uygunluğunu kontrol eder. ● İç denetim süreçlerini koordine eder, raporlama yapar ve mevzuat değişikliklerini takip eder.

3.7. Yetki Matrisi ve Kontrol Mekanizmaları: Şirketimiz, kişisel verilere erişim ve işleme yetkilerini detaylı bir yetki matrisi ile yönetmektedir. Bu matris, her bir rolün erişebileceği veri kategorilerini (örneğin, biyometrik veriler, loglar, iletişim verileri) ve gerçekleştirebileceği aksiyonları (okuma, yazma, silme, dışa aktarma) yazılı olarak belirler. Üretim ortamlarına erişimler için çok faktörlü kimlik doğrulama (MFA) ve güçlü kimlik doğrulama yöntemleri zorunlu tutulur. Tüm erişimler ve yönetici işlemleri detaylı olarak loglanır ve bu loglar düzenli olarak izlenir. Yedeklere erişim de sıkı bir şekilde sınırlandırılmış olup, yedekleme ve imha işlemleri kayıt altına alınır. Periyodik erişim gözden geçirmeleri (örneğin 6 ayda bir) yapılır ve ayrılan personelin yetkileri derhal kapatılır. Bu yapı, Yoursizer.com bünyesinde kişisel verilerin saklanması, korunması ve imha süreçlerinin şeffaf, izlenebilir ve denetlenebilir bir şekilde yürütülmesini sağlamaktadır.

4. KAYIT ORTAMLARI VE GÜVENLİK TEDBİRLERİ

Yoursizer.com tarafından işlenen kişisel veriler, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan çeşitli kayıt ortamlarında muhafaza edilmektedir. Bu ortamlar, verilerin niteliğine ve işleme amaçlarına göre farklılık göstermekle birlikte, her bir ortam için en üst düzeyde güvenlik tedbirleri alınmaktadır.

4.1. Kayıt Ortamları: Kişisel verileriniz başlıca aşağıdaki kayıt ortamlarında saklanmaktadır:

•Dijital Ortamlar:

•Bulut Altyapısı: Amazon Web Services (AWS), Google Cloud Platform (GCP) gibi uluslararası standartlara sahip bulut hizmet sağlayıcılarında, yüksek güvenlikli veri merkezlerinde barındırılmaktadır. Bu altyapılar, veri depolama, işleme ve yedekleme süreçlerinde kullanılmaktadır.

•Veritabanları: İlişkisel ve NoSQL veritabanları (örneğin PostgreSQL, MongoDB), kullanıcı hesap bilgileri, beden ölçüleri, 3D avatar parametreleri ve işlem verileri gibi yapısal verilerin saklandığı ana ortamlardır.

•Sunucular: Uygulama sunucuları ve log sunucuları, sistemin işleyişine dair teknik verileri ve erişim kayıtlarını barındırır.

•Yedekleme Ortamları: Bulut tabanlı yedekleme hizmetleri ve/veya ayrı depolama birimleri, veri kaybını önlemek amacıyla düzenli olarak alınan yedeklerin saklandığı ortamlardır.

•E-posta Sistemleri: Kullanıcı iletişimleri, destek talepleri ve bildirimler e-posta sunucularında saklanabilir.

•Dosya Depolama Sistemleri: Kullanıcı tarafından yüklenen veya sistem tarafından üretilen dosyalar (örneğin destek taleplerine eklenen belgeler) güvenli dosya

depolama hizmetlerinde muhafaza edilir.

•Fiziksel Ortamlar:

•Nadir durumlarda, yasal zorunluluklar veya operasyonel ihtiyaçlar gereği basılı formlar, sözleşmeler veya faturalar gibi fiziksel belgeler de arşivlenebilir. Bu tür belgeler, kilitli dolaplarda ve yetkisiz erişime kapalı alanlarda muhafaza edilir.

4.2. Güvenlik Tedbirleri: Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için KVKK m. 12 uyarınca gerekli her türlü teknik ve idari tedbir alınmaktadır. Özellikle biyometrik veriler gibi özel nitelikli kişisel veriler için ek ve daha sıkı önlemler uygulanmaktadır.

4.2.1. Teknik Tedbirler:

•Şifreleme:

•Aktarımda Şifreleme (TLS/SSL): Kişisel veriler, platform ile kullanıcı cihazları arasındaki tüm iletişimde (web, mobil uygulama, widget) Transport Layer Security
•(TLS) protokolü ile şifrelenerek korunur. Bu, verilerin yetkisiz kişilerce ele

geçirilmesini engeller.

•Depolamada Şifreleme (Encryption at Rest): Veritabanlarında ve dosya depolama sistemlerinde saklanan kişisel veriler, güçlü şifreleme algoritmaları kullanılarak şifrelenir. Şifreleme anahtarları, ayrı ve erişimi kısıtlı bir anahtar yönetim sistemi (Key Management System - KMS) aracılığıyla güvenli bir şekilde yönetilir. Bu, yetkisiz erişim durumunda dahi verilerin okunamaz olmasını sağlar.

•Erişim Kontrolü ve Yetkilendirme:

•Rol Bazlı Erişim Kontrolü (RBAC): Kişisel verilere erişim, çalışanların görev tanımlarına ve yetki matrisine uygun olarak rol bazlı yetkilendirme prensibiyle (least privilege – en az yetki) sınırlandırılmıştır. Her çalışanın sadece işini yapması için gerekli olan verilere erişimi sağlanır.

•Çok Faktörlü Kimlik Doğrulama (MFA): Hassas sistemlere ve verilere erişim için çok faktörlü kimlik doğrulama (MFA) yöntemleri zorunlu tutulur. Bu, yetkisiz erişim riskini önemli ölçüde azaltır.

•Erişim Logları: Kişisel verilere erişimler, kimin, ne zaman, hangi veriye eriştiği bilgisiyle birlikte detaylı olarak loglanır. Bu loglar düzenli olarak izlenir ve anomali tespiti için analiz edilir. Logların bütünlüğü ve erişilebilirliği sağlanır.

•Ağ Güvenliği:

•Güvenlik Duvarları (Firewall) ve Web Uygulaması Güvenlik Duvarları (WAF): Ağ trafiği, güvenlik duvarları ve WAF'lar aracılığıyla izlenir ve yetkisiz erişimler engellenir. WAF, özellikle web uygulamalarına yönelik saldırılara karşı koruma sağlar.

•Ağ Segmentasyonu: Veri tabanları, uygulama sunucuları ve diğer kritik sistemler, ağ segmentasyonu ile birbirinden ayrılarak olası bir güvenlik ihlalinin yayılması engellenir.

•Zafiyet Yönetimi ve Sızma Testleri: Sistemlerde düzenli olarak zafiyet taramaları ve sızma testleri (penetration tests) yapılır. Tespit edilen zafiyetler önceliklendirilerek giderilir. Güvenlik güncellemeleri ve yamalar düzenli olarak uygulanır.

•Biyometrik Veriler İçin Ek Önlemler:

•Ayrı Veri Alanı: Beden ölçüleri ve 3D avatar parametreleri gibi biyometrik veriler, diğer kişisel verilerden mantıksal olarak ayrılmış, yüksek güvenlikli ve erişimi daha kısıtlı veri alanlarında saklanır.

•Takma Adlandırma (Pseudonymization): Biyometrik veriler, doğrudan kimlik belirleyici bilgilerden ayrıştırılarak, bir token veya kullanıcı ID'si ile ilişkilendirilir. Bu sayede, veri setleri üzerinde analiz yapılırken doğrudan kimlik tespiti zorlaştırılır.

•Erişim Politikası: Biyometrik verilere erişim, çok daha dar bir yetki matrisi ile sınırlandırılmıştır. Bu verilere erişim yetkisi olan personel sayısı minimumda tutulur ve bu erişimler ek denetim mekanizmalarına tabidir.

4.2.2. İdari Tedbirler:

•Personel Eğitimleri ve Farkındalık: Tüm çalışanlara, kişisel verilerin korunması, veri güvenliği ve bu Politika hakkında düzenli eğitimler verilir. Çalışanların farkındalık düzeyleri sürekli olarak artırılır.

•Gizlilik Taahhütnameleri: Kişisel verilere erişimi olan tüm çalışanlar ve iş ortakları ile gizlilik taahhütnameleri imzalanır.
•İç Politikalar ve Prosedürler: Veri minimizasyonu, veri saklama, imha, erişim kontrolü, veri ihlali müdahale planı gibi konularda detaylı iç politikalar ve prosedürler oluşturulur ve güncel tutulur.

•Tedarikçi/Alt İşleyen Yönetimi: Hizmet aldığımız üçüncü taraf veri işleyenlerle yapılan sözleşmelerde, KVKK hükümlerine uygun veri güvenliği, gizlilik ve ihlal bildirim yükümlülükleri açıkça belirtilir ve bu yükümlülüklere uyumları periyodik olarak denetlenir. Yurt dışı aktarımlarda ise KVKK m. 9 uyarınca standart sözleşme maddeleri veya taahhütnameler gibi uygun güvenceler sağlanır.

•Denetim ve Olay Müdahale Planı: Veri işleme süreçleri ve güvenlik tedbirleri düzenli olarak denetlenir. Olası bir veri ihlali durumunda hızlı ve etkin müdahale için olay müdahale planı mevcuttur.

4.3. Yedekleme Politikası:

•Yedekleme Sıklığı ve Türü: İş sürekliliği ve veri kaybını önlemek amacıyla kişisel verilerin düzenli olarak yedekleri alınır. Yedekleme sıklığı, verinin kritiklik düzeyine göre belirlenir (örneğin, günlük, haftalık).

•Yedeklerin Güvenliği: Yedekler, canlı sistemlerden fiziksel veya mantıksal olarak ayrı ortamlarda, şifreli olarak saklanır ve erişimleri sıkı bir şekilde kısıtlanır. Yedekleme ortamlarına erişim, yalnızca yetkili personel ile sınırlıdır ve çok faktörlü kimlik doğrulama ile korunur.

•Yedek Saklama Süreleri: Yedek saklama süreleri, "asgari gereklilik" ilkesine göre belirlenir ve canlı sistemdeki azami saklama sürelerini aşmayacak şekilde yönetilir. Örneğin, biyometrik veri setleri için yedekler kısa döngülü tutulur (örneğin günlük/haftalık rotasyonla 30-90 gün aralığında), kullanım/log verilerine ilişkin yedekler ise operasyonel ihtiyaca göre benzer şekilde 30-180 gün aralığında tutulur. Bu süreler, kullanılan altyapı ve risk değerlendirmesine göre periyodik olarak gözden geçirilir.

•Yedeklerin İmhası: Süresi dolan yedekler, otomatik rotasyon mekanizmaları ile güvenli bir şekilde silinir. Şifreli yedeklerde ayrıca kriptografik imha (anahtarların güvenli şekilde yok edilmesi) uygulanır. Fiziksel ortamda tutulan yedekler için güvenli fiziksel imha prosedürleri işletilir. Bu süreçler periyodik kontrollerle doğrulanır ve kayıt altına alınır.

5. VERİ KATEGORİLERİNE GÖRE SAKLAMA SÜRELERİ MATRİSİ

Yoursizer.com, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirlerken, KVKK m. 4/2-d uyarınca "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkesini esas almaktadır. Saklama sürelerinin belirlenmesinde; işleme amacı, ilgili yasal yükümlülükler (örneğin vergi mevzuatı, ticari defter tutma yükümlülükleri), hakların tesisi/kullanılması/korunması için zamanaşımı süreleri ve ispat ihtiyacı, rızaya dayalı işlemlerde rızanın devamı/geri alınması ile veri minimizasyonu prensipleri dikkate alınır. Aşağıda, temel veri kategorilerine göre saklama süreleri matrisi sunulmuştur:

**Kimlik ve İletişim

Bilgileri** (Ad, Soyad, E-posta, Yaş,

Hesap yönetimi,

iletişim,

kişiselleştirme, hizmet sunumu.

Sözleşmenin

kurulması/ifası (KVKK m. 5/2-c); Meşru menfaat (KVKK m. 5/2-f);

Hesap aktif kaldığı sürece + 10 yıl (olası uyuşmazlıklar ve ispat yükümlülüğü için zamanaşımı süresi).

Veri Kategorisi	İşleme Amacı	Hukuki Sebep	Azami Saklama Süresi
Cinsiyet, Telefon)	Hukuki yükümlülük (KVKK m. 5/2-ç).
Biyometrik Veriler (Boy, bacak uzunluğu, bel çevresi, omuz genişliği gibi ölçüler)	3D avatar üretimi, kişiselleştirilmiş beden önerisi (çekirdek fonksiyon), algoritma iyileştirme, anonim/toplu araştırma.	Açık rıza (KVKK m. 6/3-a).	Kullanıcı hizmeti kullanmaya devam ettiği ve rızası devam ettiği sürece + 10 yıl (algoritma geliştirme ve istatistiksel analiz amaçlı, anonimleştirilmiş/takma adlandırılmış olarak).
3D Body Avatar (Beden ölçülerinden türetilen dijital avatar)	Kişiselleştirilmiş beden önerisi, çekirdek fonksiyon, anonim/toplu araştırma ve algoritma iyileştirme.	Açık rıza (KVKK m. 6/3-a).	Kullanıcı hizmeti kullanmaya devam ettiği ve rızası devam ettiği sürece + 10 yıl (algoritma geliştirme ve istatistiksel analiz amaçlı, anonimleştirilmiş/takma adlandırılmış olarak).
Ödeme Bilgileri (Kartın son 4 hanesi, fatura adresi)	Ödeme ve faturalama süreçleri, hukuki yükümlülüklerin yerine getirilmesi.	Sözleşmenin kurulması/ifası (KVKK m. 5/2-c); Hukuki yükümlülük (KVKK m. 5/2-ç).	10 yıl (Vergi Usul Kanunu ve ilgili mevzuat gereği).
İletişim / Destek Talepleri (Destek talebi içeriği, iletişim formu verileri)	Destek süreçleri, hizmet kalitesinin izlenmesi.	Sözleşmenin kurulması/ifası (KVKK m. 5/2-c); Meşru menfaat (KVKK m. 5/2-f).	Talebin sonuçlandırılmasından itibaren 3 yıl (olası itirazlar ve hizmet kalitesi denetimi için).
Cihaz ve Bağlantı Bilgileri (IP adresi, tarayıcı türü, işletim sistemi, dil tercihleri, erişim zaman damgaları)	Güvenlik, performans, kullanıcı deneyimi ve davranış analizi.	Meşru menfaat (KVKK m. 5/2-f); Hukuki yükümlülük (KVKK m. 5/2-ç).	2 yıl (Bilgi güvenliği, dolandırıcılık önleme ve sistem bütünlüğü amaçlarıyla).
Kullanım Verileri ve Çerez Kayıtları (Ziyaret edilen sayfalar, geçirilen süre, tıklanan öğeler, servis içi tercihler)	Tercih hatırlama, oturum yönetimi, performans analizi, kişiselleştirilmiş içerik, reklam kampanyası etkinliği ölçümü.	Açık rıza (KVKK m. 5/1); Sözleşmenin kurulması/ifası (KVKK m. 5/2-c); Meşru menfaat (KVKK m. 5/2-f).	Çerez türüne göre oturum sonu - 2 yıl (Çerez Politikası'nda detaylandırılmıştır).
Pazarlama İzinleri ve Tercih Kayıtları	Ticari elektronik ileti gönderimi, pazarlama faaliyetleri.	Açık rıza (KVKK m. 5/1).	İzin devam ettiği sürece; izin geri çekildiğinde ileti gönderimi

Bu süreler, düzenli aralıklarla gözden geçirilir. Süre dolduğunda veya işleme amacı ortadan kalktığında, kişisel veriler Yönetmelik hükümlerine uygun olarak güvenli silme, yok etme veya anonimleştirme yöntemleriyle imha edilir. Özellikle biyometrik veriler ve bunlardan türetilen çıktılar için belirlenen 10 yıllık saklama süresi, hizmetin doğruluğunu artırmaya yönelik istatistiksel analiz ve algoritma geliştirme amaçlarına hizmet etmekte olup, bu süre zarfında veriler anonimleştirilmiş veya takma adlandırılmış şekilde muhafaza edilir.

6. KİŞİSEL VERİLERİN İMHA VE ANONİMLEŞTİRME YÖNTEMLERİ

Yoursizer.com, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, KVKK m. 7 ve Yönetmelik m. 7 uyarınca kişisel verileri resen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hale getirme yükümlülüğünü yerine getirir. Bu süreçlerde, verinin niteliği, kayıt ortamı ve yeniden kimliklendirme riski göz önünde bulundurularak en uygun yöntem seçilir.

6.1. Silme ve Yok Etme Yöntemleri:

•Kalıcı Silme (Güvenli Silme): Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir (Yönetmelik m. 8). Bu yöntem, özellikle kimlik ve iletişim verileri, ödeme/faturalama ile ilişkilendirilebilir kayıtlar ve destek yazışmaları gibi kişiyi doğrudan belirleyen veya kişiyle ilişkilendirildiğinde gereksiz risk oluşturan veriler için tercih edilir. Yazılımsal olarak verilerin üzerine rastgele veriler yazılarak veya veri tabanı kayıtlarının geri döndürülemez şekilde silinmesiyle gerçekleştirilir.

•Kriptografik İmha (Anahtar Yok Etme): Şifrelenmiş verilerin şifreleme anahtarlarının geri döndürülemez bir şekilde yok edilmesiyle verilerin okunamaz ve kullanılamaz hale getirilmesidir. Bu yöntem, özellikle şifreli yedekleme ortamlarında saklanan veriler için uygulanır. Anahtarların yok edilmesiyle, şifreli veriye erişim imkansız hale gelir.

•Fiziksel İmha: Kişisel verilerin bulunduğu fiziksel ortamların (hard disk, CD, DVD, USB bellek vb.) geri döndürülemez bir şekilde yok edilmesidir (Yönetmelik m. 9). Bu, manyetik ortamların de-manyetize edilmesi, optik ortamların fiziksel olarak kırılması veya parçalanması, kağıt ortamların imha makineleriyle öğütülmesi gibi yöntemlerle gerçekleştirilir.

6.2. Anonimleştirme Yöntemleri: Anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir (KVKK m. 3/b, Yönetmelik m. 10). Yoursizer.com, özellikle biyometrik ölçülerden türetilen toplu istatistikler, model performans metrikleri ve araştırma amaçlı veri setleri gibi; kimlikten tamamen ayrıştırılıp geri döndürülemez şekilde kişiyle bağının koparılabildiği ve yalnızca toplu/istatistiksel çıktı üretmek için gerekli veri yapılarında anonimleştirme yöntemlerini uygular. Anonimleştirme işleminin geri döndürülemez olması esastır.

Anonimleştirme sırasında kullanılan başlıca teknikler şunlardır:

•Toplulaştırma (Aggregation): Tekil kayıtlar yerine, birden fazla kişiye ait verilerin bir araya getirilerek istatistiksel özetler (ortalamalar, toplamlar, yüzdeler) üretilmesidir. Bu sayede, tekil bir kişinin verisi üzerinden kimlik tespiti imkansız hale gelir. Örneğin, "bel çevresi 70-75 cm aralığındaki kullanıcıların ortalama boyu" şeklinde veriler sunulur.

•Maskeleme/Yuvarlama (Data Masking/Rounding): Kişisel verilerin hassasiyetini düşürmek amacıyla belirli kısımlarının gizlenmesi veya değerlerinin yuvarlanmasıdır. Örneğin, tam yaş

yerine yaş aralıkları (25-30 yaş), tam ölçü yerine yuvarlanmış değerler (72.3 cm yerine 70-75 cm aralığı) kullanılması.

•Aralıklandırma/Bucketlama (Generalization/Bucketization): Tekil değerlerin daha geniş aralıklara dönüştürülmesidir. Örneğin, "boy 175 cm" yerine "boy 170-180 cm aralığı" şeklinde ifade edilmesi.

•Gürültü Ekleme (Adding Noise): Verilere, istatistiksel analizleri etkilemeyecek ancak tekil kişiyi belirlemeyi zorlaştıracak küçük, rastgele sapmalar eklenmesidir. Bu, özellikle hassas verilerin anonimleştirilmesinde kullanılır.

•K-Anonimlik ve L-Çeşitlilik: Anonimleştirilmiş veri setinde, en az k sayıda kişinin aynı özellik kombinasyonuna sahip olmasını sağlayarak tekil kişiyi belirleme riskini azaltan tekniklerdir. L-çeşitlilik ise, hassas özellik değerlerinin her bir k-anonim kümede en az l farklı değere sahip olmasını sağlayarak çıkarım saldırılarına karşı koruma sağlar.

Bu teknikler, veriyi tekil kişiye geri bağlamayı zorlaştırır, "benzersiz kombinasyon" riskini azaltır ve raporlama/araştırma çıktılarının yalnızca toplu düzeyde kalmasını sağlar. Anonimleştirme kararları ve yöntemi, veri türü ve yeniden kimliklendirme riski dikkate alınarak periyodik olarak gözden geçirilir.

Anonimleştirme işlemlerinin geri döndürülemezliği, teknik raporlamalarla ve bağımsız denetimlerle doğrulanır. Özellikle model eğitiminde kullanılan veriler için, silinen kullanıcının verisinin modelden çıkarılması teknik olarak mümkün olmasa dahi, veri setleri kişiyi belirlenebilir olmaktan çıkaracak şekilde anonimleştirilir (toplulaştırma, aralıklandırma, maskeleme, gürültü ekleme gibi tekniklerle).

7. PERİYODİK İMHA VE DENETİM SÜREÇLERİ

Yoursizer.com, kişisel verilerin saklama ve imha süreçlerinin mevzuata uygunluğunu ve etkinliğini sağlamak amacıyla düzenli periyodik imha ve denetim süreçleri yürütmektedir. Bu süreçler, veri yaşam döngüsünün her aşamasında şeffaflık ve hesap verebilirlik prensiplerini pekiştirir.

7.1. Periyodik İmha Süreçleri: Yönetmelik m. 11/2 uyarınca, periyodik imha işlemleri veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenen zaman aralıklarında gerçekleştirilir. Yoursizer.com'da, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, veriler imha edilir. Bu periyodik imha süresi her halde altı ayı geçemez. Bu süreç, otomatik sistemler ve manuel kontrollerin birleşimiyle yürütülür.

7.2. Denetim ve Raporlama Süreçleri: Saklama ve imha süreçlerinin sürekliliğini sağlamak amacıyla, yazılı Saklama ve İmha Politikası, kişisel veri işleme envanteri, erişim ve işlem kayıtları (loglar) ve periyodik iç denetim mekanizmaları üzerinden ilerleyen bir yönetişim yapısı kurulmuştur.

•Denetim Sıklığı: Denetimler, en az 6 ayda bir gerçekleştirilir. Risk/ürün değişiklikleri, yeni entegrasyonlar veya mevzuat güncellemeleri gibi hallerde daha sık denetimler yapılabilir. ● Sorumlular: Denetim süreçlerinden sorumlu ana roller; KVKK Uyum Sorumlusu, Bilgi Güvenliği (ISO/IT Security) Ekibi ve Ürün/Operasyon Ekipleridir. Bu ekipler, işbirliği içinde denetim faaliyetlerini yürütür.

•Raporlama İçeriği: Denetim sonuçları, aşağıdaki başlıkları içeren detaylı raporlar halinde üst yönetime sunulur:

•Saklama süresi dolan kayıtlar ve veri setleri.

•Gerçekleştirilen silme, yok etme veya anonimleştirme işlemleri.

•Yedekleme rotasyonu ve imha kanıtları (işlem logları, onay kayıtları).

•Tedarikçi/alt işleyenlerin veri koruma uyumu ve imha süreçleri.

•Tespit edilen aksiyonlar, güvenlik zafiyetleri ve iyileştirme planları.
•KVKK m. 7/3 uyarınca, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve bu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

7.3. Politika Güncelleme Mekanizmaları: Bu Politika, dinamik bir belge olup, aşağıdaki durumlarda gözden geçirilerek güncellenir:

•Mevzuat değişiklikleri (KVKK, Yönetmelik veya ilgili diğer yasal düzenlemelerde yapılan değişiklikler).

•Yeni teknolojik gelişmeler veya altyapı sağlayıcı değişiklikleri.

•Yeni veri kategorilerinin işlenmeye başlanması (örneğin biyometrik veri kapsamının genişlemesi).

•Yeni ürün veya hizmet fonksiyonlarının eklenmesi.

•Kişisel Verileri Koruma Kurulu'nun kararları veya rehberleri.

•İç denetimler veya dış denetimler sonucunda tespit edilen bulgular ve öneriler. Politika güncellemeleri, ilgili ekiplerin (KVKK Uyum Sorumlusu, Teknik Yönetim, Yazılım Ekibi) katılımıyla yapılır ve üst yönetim tarafından onaylandıktan sonra yürürlüğe girer.

8. POLİTİKANIN YÜRÜRLÜĞÜ VE GÜNCELLEMELER

Bu Politika, Yoursizer.com Yönetim Kurulu tarafından onaylanarak 04.01.2026 tarihinde yürürlüğe girmiştir. Politika, Şirketimizin tüm birimlerinde ve dış hizmet sağlayıcılarında kişisel verilerin saklanması ve imhası süreçlerinde uygulanacak temel prensipleri ve usul ve esasları belirlemektedir.

Politika, Şirketimizin web sitesinde (www.yoursizer.com) ve ilgili diğer platformlarında (mobil uygulama, widget) ilgili kişilerin erişimine açık olarak yayımlanmaktadır. Belge, hem dijital ortamda (Şirket içi bilgi yönetim sistemleri) hem de fiziksel ortamda (gerekli durumlarda basılı kopya) muhafaza edilecektir.

Revizyon Takip Tablosu:

durdurulur, izin/ret kayıtları ispat yükümlülüğü için 3 yıl.
Revizyon Tarihi	Revizyon Numarası	Değişikliğin Açıklaması	Onaylayan Birim/Kişi
04.01.2026	V.1.0	İlk Yürürlük	Yönetim Kurulu
[Eksik Bilgi: Revizyon Tarihi]	[Eksik Bilgi: Revizyon Numarası]	[Eksik Bilgi: Değişikliğin Açıklaması]	[Eksik Bilgi: Onaylayan Birim/Kişi]

Yoursizer.com, işbu Politika'yı yürürlükteki mevzuatta yapılabilecek değişiklikler ve Kişisel Verileri Koruma Kurulu tarafından alınacak kararlar doğrultusunda güncelleme hakkını saklı tutar. Yapılan güncellemeler, Politika'nın yayımlandığı tarihte yürürlüğe girer.

Yoursizer.com