Kişisel Veri İşleme
YOUSIZER.COM KİŞİSEL VERİ İŞLEME FAALİYETLERİ ENVANTERİ 04.01.2026
1. VERİ SORUMLUSU BİLGİLERİ
| Ticari Unvan | : Yoursizer Teknolojileri |
|---|---|
| Mersis No | : 10274536334 |
| Adres | : Adnan Kahveci Mahallesi, Osmanlı Caddesi, Yeşilkent 3 Sitesi, Tanrıverdi Apartmanı, Kat:15, Daire:64 Beylikdüzü/İstanbul |
| E-posta | : contact@yoursizer.com |
Yoursizer Teknoloji olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca veri sorumlusu sıfatıyla hareket etmekteyiz. İşbu envanter, Şirketimizin kurumsal kimliğini ve hukuki muhatabını netleştirmekle birlikte, kişisel veri işleme faaliyetlerimizin şeffaf, sistematik ve mevzuata uygun bir şekilde kayıt altına alınmasını sağlamaktadır. Bu bilgiler, ilgili kişilerin haklarını kullanmaları ve Şirketimizle iletişim kurmaları için temel referans noktasıdır.
2. ENVANTER METODOLOJİSİ VE KAPSAMI
Bu Kişisel Veri İşleme Faaliyetleri Envanteri, Yoursizer Teknoloji'nin kişisel veri işleme süreçlerini, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik başta olmak üzere ilgili ikincil mevzuat hükümlerine tam uyum sağlamak amacıyla hazırlanmıştır. Envanterin oluşturulmasında, KVKK m. 4'te yer alan "Genel İlkeler" temel alınmıştır. Bu ilkeler; kişisel verilerin hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme zorunluluğunu içermektedir.
Envanterimiz, Şirketimizin yürüttüğü tüm kişisel veri işleme faaliyetlerini "faaliyet bazlı yaklaşım" ile ele almaktadır. Bu metodoloji, her bir iş sürecini (örneğin, hesap yönetimi, algoritma geliştirme, müşteri desteği) bir faaliyet olarak tanımlayarak, bu faaliyet kapsamında işlenen veri kategorilerini (örneğin, Kimlik Bilgileri, Biyometrik Veriler, İşlem Güvenliği Verileri), işleme amaçlarını, hukuki dayanaklarını, azami saklama sürelerini ve aktarıldığı alıcı gruplarını sistematik bir şekilde ilişkilendirmeyi amaçlamaktadır. Bu sayede, veri işleme süreçlerimizdeki şeffaflık artırılmakta, riskler daha etkin yönetilmekte ve ilgili kişilerin hakları daha güvenceli hale getirilmektedir.
Veri kategorizasyonu, KVKK'nın ruhuna uygun olarak, kişisel verilerin ortak özelliklerine göre gruplandırılması esasına dayanır. Örneğin, ad, soyad, e-posta gibi bilgiler "Kimlik ve İletişim Bilgileri" kategorisinde; boy, bel çevresi gibi ölçüler "Biyometrik Veriler" kategorisinde; IP adresi, tarayıcı bilgileri gibi teknik kayıtlar ise "İşlem Güvenliği Verileri" kategorisinde sınıflandırılmıştır. Bu detaylı sınıflandırma, her bir veri türüne özgü hukuki gerekliliklerin ve güvenlik tedbirlerinin doğru bir şekilde uygulanmasını temin etmektedir. Envanter, dinamik bir belge olup, Şirketimizin faaliyetlerinde veya mevzuatta meydana gelebilecek değişiklikler doğrultusunda düzenli olarak güncellenmektedir.
3. FAALİYET BAZLI VERİ İŞLEME MATRİSİ
Yoursizer Teknoloji'nin kişisel veri işleme faaliyetleri, platformumuzun temel işleyişini, sunduğu hizmetleri ve operasyonel süreçlerini kapsayan geniş bir yelpazede yürütülmektedir. Aşağıdaki matris, her bir faaliyetin kapsamını, işlenen veri kategorilerini, hukuki dayanaklarını, azami saklama sürelerini ve potansiyel alıcı gruplarını detaylandırmaktadır. Bu matris, KVKK'nın 4. maddesinde belirtilen "belirli, açık ve meşru amaçlar için işlenme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine uygun olarak hazırlanmıştır.
| İşleme Faaliyeti Veri Kategorisi | İşleme Amacı | Hukuki Dayanak (KVKK m.) | Azami Saklama Süresi | Aktarılan Alıcı Grubu | |
|---|---|---|---|---|---|
| 1. Hesap Yönetimi ve Hizmet Sunumu Kullanıcı hesabı oluşturma, yönetme, kişiselleştirme ve temel hizmetlerin sağlanması. | Kimlik ve İletişim Bilgileri (Ad, Soyad, E-posta, Yaş, Cinsiyet, Telefon) | Hesap yönetimi, iletişim, kişiselleştirm e, "tailored services" sunumu. | 5/2-c (Sözleşmeni n kurulması/if ası) | Hesap aktif kaldığı sürece + 10 yıl (Olası uyuşmazlıklar için zamanaşımı) | İç Yönetim Ekibi, Teknik Altyapı Sağlayıcıları (Veritabanı, Sunucu) |
| 2. 3D Avatar Üretimi ve Beden Önerisi Platformun çekirdek fonksiyonu olan beden önerisi hizmetinin sunulması. | Biyometrik Veriler (Boy, bacak uzunluğu, bel çevresi, omuz genişliği gibi ölçüler) 3D Body Avatar (Ölçülerden türetilen dijital avatar) | Kişiselleştiril miş öneri, çekirdek fonksiyon, anonim/toplu araştırma ve algoritma iyileştirme. | 6/3-a (Açık Rıza) | Kullanıcı hizmeti kullanmaya devam ettiği ve rızası devam ettiği sürece + 10 yıl (Algoritma geliştirme için anonimleştirilmiş/ta kma adlandırılmış olarak) | İç Yönetim Ekibi, Yazılım Geliştirme Ekibi, Teknik Altyapı Sağlayıcıları (Veritabanı, Sunucu) |
| 3. Algoritma İyileştirme ve Araştırma Hizmet kalitesini artırma, algoritmaları geliştirme ve makine öğrenimi modellerini eğitme. | Biyometrik Veriler (Anonimleştirilm iş/Takma Adlandırılmış) 3D Body Avatar (Anonimleştirilm iş/Takma Adlandırılmış) Kullanım Verileri (Anonimleştirilm iş) | Algoritma iyileştirme, anonim/toplu araştırma, ML eğitimi. | 5/2-f (Meşru Menfaat - anonim/tak ma adlandırılmı ş veri için); 6/3-a (Açık Rıza - biyometrik veri için, anonimleştir me sonrası devam eder) | 10 yıl (Anonimleştirilmiş/t akma adlandırılmış olarak) | İç Yönetim Ekibi, Yazılım Geliştirme Ekibi |
| 4. Ödeme ve Faturalama Süreçleri Ücretli hizmetlerin ödeme işlemlerinin yönetimi ve yasal yükümlülüklerin yerine getirilmesi. | Ödeme Bilgileri (Kartın son 4 hanesi, fatura adresi) Kimlik ve İletişim Bilgileri (Fatura için) | Ödeme ve faturalama süreçleri, vergi/muhase be yükümlülükl eri. | 5/2-c (Sözleşmeni n kurulması/if ası); 5/2-ç (Hukuki yükümlülük) | 10 yıl (Vergi Usul Kanunu, Türk Ticaret Kanunu gereği) | İç Yönetim Ekibi, Muhasebe/Finans Birimi, Ödeme Hizmet Sağlayıcıları |
|---|---|---|---|---|---|
| 5. Müşteri İletişim ve Destek Talepleri Kullanıcıların destek taleplerinin alınması, yanıtlanması ve çözümlenmesi. | Kimlik ve İletişim Bilgileri İletişim / Destek Talepleri İçeriği | Destek süreçleri, hizmet kalitesinin izlenmesi. | 5/2-c (Sözleşmeni n kurulması/if ası); 5/2-f (Meşru menfaat) | Talebin sonuçlandırılmasınd an itibaren 3 yıl (Olası itirazlar ve denetim için) | İç Yönetim Ekibi (Müşteri Destek Birimi) |
| 6. Platform Güvenliği ve Performans Analizi Sistem güvenliğinin sağlanması, performansın optimize edilmesi ve kullanıcı deneyiminin iyileştirilmesi. | Cihaz ve Bağlantı Bilgileri (IP adresi, tarayıcı türü, işletim sistemi, dil tercihleri, erişim zaman damgaları) Kullanım Verileri (Ziyaret edilen sayfalar, tıklanan öğeler, servis içi tercihler) | Güvenlik, performans, kullanıcı deneyimi ve davranış analizi, dolandırıcılığ ı önleme. | 5/2-f (Meşru Menfaat); 5/2-ç (Hukuki yükümlülük - siber güvenlik için) | 2 yıl (Bilgi güvenliği, dolandırıcılık önleme ve sistem bütünlüğü amaçlarıyla) | İç Yönetim Ekibi, Yazılım Geliştirme Ekibi, Teknik Altyapı Sağlayıcıları (Log Yönetimi, Güvenlik) |
| 7. Pazarlama ve Ticari İletişim Kullanıcılara ürünler, kampanyalar ve duyurular hakkında bilgi verilmesi. | Kimlik ve İletişim Bilgileri Pazarlama İzinleri ve Tercih Kayıtları | Pazarlama, kampanya duyuruları, kişiselleştiril miş içerik sunumu (biyometrik veri hariç). | 5/1 (Açık Rıza) | İzin devam ettiği sürece; izin geri çekildiğinde ileti gönderimi durdurulur, izin/ret kayıtları ispat yükümlülüğü için 3 yıl. | İç Yönetim Ekibi, Pazarlama Birimi, E-posta/SMS Hizmet Sağlayıcıları |
4. VERİ SAKLAMA, YEDEKLEME VE İMHA KRİTERLERİ
Yoursizer Teknoloji, kişisel verilerin saklanması, yedeklenmesi ve imhası süreçlerinde, KVKK'nın 4. maddesinde belirtilen "işlendikleri amaç için gerekli olan süre kadar muhafaza edilme" ilkesini ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerini titizlikle uygulamaktadır. Bu süreçler, veri yaşam döngüsünün her aşamasında veri güvenliğini ve gizliliğini sağlamayı hedefler.
4.1. Saklama Sürelerinin Belirlenmesi: Veri İşleme Matrisi'nde belirtilen azami saklama süreleri, her bir veri kategorisinin işleme amacı, ilgili yasal yükümlülükler ve olası hukuki uyuşmazlıklarda ispat ihtiyacı göz önünde bulundurularak belirlenmiştir. Özellikle finansal ve muhasebe kayıtları (fatura, ödeme/işlem kayıtları, sözleşme/irsaliye benzeri belgeler) için Türk Ticaret Kanunu (TTK) ve Vergi Usul Kanunu (VUK) gibi mevzuatlardan kaynaklanan 10 yıllık yasal saklama yükümlülüğü bulunmaktadır ve 10 yıllık süre ardından anonimleştirilerek veriler algoritma besleme için kullanılabilmektedir, silinmesi talebinde bulunulması halinde veriler mevzuata göre şifrelenerek geri döndürülemez şekilde imha edilir. Bu kayıtlar, ticari defterlerin ve belgelerin muhafazası zorunluluğu nedeniyle, envanterde belirtilen genel sürenin üzerinde, ilgili mevzuatın öngördüğü süre boyunca saklanmaktadır. Algoritma geliştirme ve istatistiksel analiz amaçlı kullanılan biyometrik veriler ve 3D avatar parametreleri ise, anonimleştirilmiş veya takma adlandırılmış şekilde, sistemin öğrenme ve doğruluk oranlarını artırma meşru menfaati kapsamında 10 yıl süreyle muhafaza edilir. Bu süre, ilgili kişinin kimliğine doğrudan ulaşılmasını engelleyecek teknik ve idari tedbirler altında uygulanır.
4.2. Yedekleme Politikası ve Rotasyon: Şirketimiz, iş sürekliliğini sağlamak ve olası veri kayıplarını önlemek amacıyla kişisel verilerin düzenli olarak yedeklerini almaktadır. Yedekleme ortamlarındaki veriler de canlı sistemdeki verilerle aynı güvenlik standartlarına tabidir. Yedekleme ortamlarında tutulan veriler için spesifik olarak 72 günlük bir rotasyon süresi belirlenmiştir. Bu, yedeklerin 72 gün boyunca saklandığı ve bu sürenin sonunda otomatik olarak silinerek yeni yedeklerle değiştirildiği anlamına gelmektedir. Bu süre, veri kurtarma ihtiyaçları ile veri minimizasyonu ve imha yükümlülükleri arasında dengeli bir yaklaşım sunmaktadır. Yedeklerin saklama süreleri, canlı sistemdeki azami saklama sürelerini hiçbir koşulda aşmayacak şekilde yönetilir. Özellikle biyometrik veri setlerine ait yedekler için, bu 72 günlük rotasyon süresi içerisinde dahi erişimler sıkı bir şekilde kısıtlanmış ve şifreleme ile korunmuştur.
4.3. İmha Yöntemleri ve Periyodik İmha: İşleme amacının ortadan kalkması veya yasal saklama süresinin dolması halinde, kişisel veriler Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'in 7. maddesi uyarınca resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Şirketimiz, bu işlemleri periyodik olarak, her halde altı ayı geçmeyecek zaman aralıklarında gerçekleştirmektedir.
Uygulanan imha yöntemleri şunlardır:
- •Güvenli Silme (Kalıcı Silme): Veritabanı kayıtlarının veya dosya sistemlerindeki verilerin, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. Bu, verilerin üzerine rastgele veriler yazılması veya veri tabanı kayıtlarının geri döndürülemez şekilde silinmesiyle sağlanır.
- •Kriptografik İmha: Şifreli verilerin şifreleme anahtarlarının geri döndürülemez bir şekilde yok edilmesiyle verilerin okunamaz hale getirilmesi. Özellikle şifreli yedekleme ortamlarında bu yöntem uygulanır.
- •Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. Bu teknik, özellikle algoritma geliştirme amaçlı uzun süreli veri saklamada kullanılır. Toplulaştırma, maskeleme, aralıklandırma ve gürültü ekleme gibi yöntemlerle verinin kişiyle bağı tamamen koparılır. Anonimleştirme işleminin geri döndürülemezliği, teknik raporlamalarla ve bağımsız denetimlerle doğrulanır.
- •Fiziksel İmha: Fiziksel kayıt ortamlarının (hard disk, USB bellek vb.) geri döndürülemez bir şekilde yok edilmesi.
Tüm imha işlemleri kayıt altına alınır ve bu kayıtlar, diğer hukuki yükümlülükler saklı kalmak üzere en az üç yıl süreyle saklanır.
5. VERİ AKTARIM VE ALICI GRUPLARI
Yoursizer Teknoloji, kişisel verilerin aktarımı süreçlerinde KVKK'nın 8. ve 9. maddelerinde belirtilen şartlara titizlikle uymaktadır. Veri aktarımları, yalnızca belirlenmiş ve meşru amaçlar doğrultusunda, veri minimizasyonu ilkesi gözetilerek ve gerekli güvenlik tedbirleri alınarak gerçekleştirilir.
5.1. Yurtiçi Aktarımlar: Şirketimiz bünyesinde işlenen kişisel veriler, temel olarak aşağıdaki yurtiçi alıcı gruplarına aktarılabilmektedir:
- •İç Yönetim Ekibi ve İlgili Departmanlar: Kişisel veriler, işleme amaçları doğrultusunda (örneğin hesap yönetimi için müşteri hizmetleri, algoritma geliştirme için yazılım ekibi, faturalama için muhasebe birimi) ilgili departmanlar ve yetkili personel arasında "ihtiyaç kadar bilme" (need-to-know) prensibiyle paylaşılmaktadır. Bu aktarımlar, Şirket içi operasyonların yürütülmesi ve hizmetlerin sunulması için zorunludur.
- •Teknik Altyapı Sağlayıcıları: Veritabanı hizmetleri (örn. PostgreSQL, MongoDB yapıları), sunucu barındırma, log yönetimi ve diğer teknik destek hizmetlerini sağlayan yurtiçi iş ortaklarımıza, hizmetlerin ifası için gerekli olan kişisel veriler aktarılabilmektedir. Bu aktarımlar, sözleşmesel yükümlülüklerimizin yerine getirilmesi ve platformumuzun kesintisiz çalışmasının sağlanması amacıyla KVKK m. 5/2-c (Sözleşmenin ifası) hukuki dayanağına dayanır.
- •Muhasebe/Finans Birimi: Ödeme ve faturalama süreçlerine ilişkin veriler, yasal yükümlülüklerin yerine getirilmesi amacıyla muhasebe ve finans birimimizle paylaşılmaktadır.
- •Yetkili Kamu Kurum ve Kuruluşları: Yasal bir yükümlülüğün yerine getirilmesi veya yetkili adli/idari makamların talebi üzerine, kişisel verileriniz ilgili kamu kurum ve kuruluşlarına aktarılabilmektedir (KVKK m. 5/2-ç).
5.2. Yurtdışı Aktarımlar: Şirketimizin mevcut durumda doğrudan bir yurt dışı veri aktarımı bulunmamaktadır. Tüm kişisel veriler, Türkiye sınırları içerisindeki veri merkezlerinde işlenmekte ve depolanmaktadır. Ancak, gelecekte uluslararası hizmet sağlayıcılarla işbirliği yapılması veya bulut altyapı hizmetlerinin veri merkezlerinin yurt dışında bulunması gibi durumlar söz konusu olduğunda, KVKK m. 9 ve ilgili mevzuat hükümlerine tam uyum sağlanacaktır. Bu tür bir aktarım gerçekleştiğinde, aşağıdaki güvencelerden biri veya birkaçı temin edilecektir:
- •Kişisel Verileri Koruma Kurulu tarafından yeterlilik kararı bulunan ülkelere aktarım yapılması,
- •Yeterlilik kararı bulunmayan durumlarda, Kurul tarafından ilan edilen standart sözleşme maddelerinin (SCC) kullanılması ve Kuruma bildirilmesi,
- •Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Her durumda, aktarılan verilerin güvenliği için şifreleme, erişim kısıtları, rol bazlı yetkilendirme ve loglama gibi teknik ve idari tedbirler uygulanacak; veri alıcısının da aynı koruma seviyesini sağlaması sözleşmesel olarak güvence altına alınacaktır.
6. VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
Yoursizer Teknoloji, kişisel verilerin güvenliğini sağlamak amacıyla KVKK'nın 12. maddesi uyarınca gerekli her türlü teknik ve idari tedbiri almakta ve bu tedbirleri sürekli olarak gözden geçirmektedir. Özellikle biyometrik veriler gibi özel nitelikli kişisel veriler için ek ve daha sıkı önlemler uygulanmaktadır.
6.1. Teknik Tedbirler:
- •Veritabanı Güvenliği:
- •Ağ İzolasyonu (VPC İzolasyonu): Veritabanları (PostgreSQL, MongoDB gibi ilişkisel ve doküman tabanlı sistemler), uygulama katmanından tamamen izole edilmiş özel sanal ağlar (VPC – Virtual Private Cloud) içinde konumlandırılmıştır. Bu sayede, veritabanlarına yalnızca yetkili uygulama sunucuları üzerinden erişim sağlanır, doğrudan internet erişimi engellenir.
- •Aktarımda Şifreleme (TLS): Veritabanları ile uygulama sunucuları ve diğer yetkili sistemler arasındaki tüm veri iletişimi, Transport Layer Security (TLS) protokolü kullanılarak uçtan uca şifrelenir. Bu, verilerin aktarım sırasında yetkisiz kişilerce ele geçirilmesini önler.
- •Saklamada Şifreleme (Encryption-at-Rest): Veritabanlarında depolanan kişisel veriler, disk seviyesinde (encryption-at-rest) güçlü şifreleme algoritmalarıyla korunur. Şifreleme anahtarları, ayrı ve erişimi kısıtlı bir Anahtar Yönetim Sistemi (KMS) aracılığıyla güvenli bir şekilde yönetilir.
- •Alan Bazlı Şifreleme: Özellikle biyometrik veriler gibi hassas alanlar için, veritabanı seviyesindeki şifrelemeye ek olarak uygulama katmanında alan bazlı şifreleme teknikleri uygulanabilir. Bu, verinin daha granüler bir seviyede korunmasını sağlar. ● Erişim Yönetimi ve Yetkilendirme (RBAC/MFA):
- •Rol Bazlı Erişim Kontrolü (RBAC): Kişisel verilere erişim, çalışanların görev tanımlarına ve yetki matrisine uygun olarak rol bazlı yetkilendirme prensibiyle (least privilege – en az yetki) sıkı bir şekilde sınırlandırılmıştır. Her çalışanın sadece işini yapması için gerekli olan verilere erişimi sağlanır.
- •Çok Faktörlü Kimlik Doğrulama (MFA): Üretim ortamına ve hassas verilere erişim sağlayan tüm sistemler için çok faktörlü kimlik doğrulama (MFA) zorunlu tutulur.
- •Erişim Logları: Kişisel verilere erişimler, kimin, ne zaman, hangi veriye eriştiği bilgisiyle birlikte detaylı olarak loglanır. Bu loglar düzenli olarak izlenir ve anomali tespiti için analiz edilir.
- •Pseudonymization (Takma Adlandırma): Özellikle biyometrik veriler (beden ölçüleri ve 3D avatar parametreleri) için, doğrudan kimlik belirleyici bilgilerden ayrıştırılarak, bir token veya kullanıcı ID'si ile ilişkilendirilir. Bu sayede, veri setleri üzerinde analiz yapılırken doğrudan kimlik tespiti zorlaştırılır. Bu teknik, KVKK m. 4/2-ç uyarınca "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesini destekler.
- •Güvenlik Güncellemeleri ve Zafiyet Yönetimi: Tüm sistemler ve yazılımlar düzenli olarak güvenlik güncellemeleri ve yamalarla güncel tutulur. Periyodik zafiyet taramaları ve sızma testleri (penetration tests) yapılarak olası güvenlik açıkları tespit edilir ve giderilir.
- •Sır Yönetimi (Secrets Management): Veritabanı bağlantı bilgileri, API anahtarları gibi hassas sırlar, güvenli sır yönetim sistemleri (örneğin HashiCorp Vault, AWS Secrets Manager) aracılığıyla yönetilir ve doğrudan kod içinde saklanmaz.
6.2. İdari Tedbirler:
- •Personel Eğitimleri ve Farkındalık: Tüm çalışanlara, kişisel verilerin korunması, veri güvenliği ve bu Envanter ile Saklama ve İmha Politikası hakkında düzenli eğitimler verilir. Çalışanların farkındalık düzeyleri sürekli olarak artırılır.
- •Gizlilik Taahhütnameleri: Kişisel verilere erişimi olan tüm çalışanlar ve iş ortakları ile gizlilik taahhütnameleri imzalanır.
- •Veri Minimizasyonu: Kişisel verilerin toplanmasında, hizmetin sunumu için sadece gerekli olan minimum ölçülerin alınması ilkesi benimsenir. Opsiyonel veriler için ayrı bir bilgilendirme ve açık rıza süreci işletilir.
- •Denetim ve Olay Müdahale Planı: Veri işleme süreçleri ve güvenlik tedbirleri düzenli olarak denetlenir. Olası bir veri ihlali durumunda hızlı ve etkin müdahale için olay müdahale planı mevcuttur.
7. İSTİSNAİ VE ÖZEL DURUMLARIN YÖNETİMİ
Yoursizer Teknoloji olarak, hizmetimizin doğası gereği kural olarak özel nitelikli kişisel verileri (KVKK m. 6) işlememekteyiz. Ancak, kullanıcıların kendi iradeleriyle, özellikle serbest metin alanlarında veya destek talepleri sırasında, hizmetin amacı dışında kalan özel nitelikli kişisel verileri (örneğin sağlık verileri, sendika üyeliği, din/mezhep, siyasi görüş, ceza mahkûmiyeti gibi) paylaşmaları istisnai durumlar olarak karşımıza çıkabilmektedir. Bu tür durumların yönetimi, KVKK'nın 4. maddesinde belirtilen "hukuka ve dürüstlük kurallarına uygun olma" ve "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkeleri çerçevesinde titizlikle yürütülür.
7.1. Veri İşleme Prensibi:
- •Asgari Ölçüde İşleme: Kullanıcı tarafından iradesi dışında paylaşılan özel nitelikli kişisel veriler, yalnızca ilgili talebin değerlendirilmesi ve destek sürecinin yürütülmesi amacıyla ve kesinlikle asgari ölçüde işlenir. Bu veriler, platformumuzun temel hizmetlerinin sunumu için gerekli olmadığından, sistemlerimizde kalıcı olarak depolanmamasına özen gösterilir.
- •Farkındalık ve Uyarı: Destek talebi formları veya serbest metin giriş alanlarında, kullanıcılara özel nitelikli kişisel veri paylaşmamaları yönünde hatırlatıcı uyarılar ve bilgilendirmeler yapılır.
- •Hukuki Dayanak: Bu tür verilerin işlenmesi, talebin niteliğine göre "sözleşmenin ifası" (destek hizmetinin sağlanması), "meşru menfaat" (talebin yönetimi ve ispat) veya ilgili kişinin "açık rızası" (paylaşım iradesi) hukuki dayanaklarına dayanabilir. Ancak, bu dayanaklar, verinin hizmetin temel amacı dışında işlenmesini meşrulaştırmaz; yalnızca mevcut durumun yönetilmesine imkan tanır.
7.2. Hızlı İmha ve Minimizasyon:
- •İradeleri dışında paylaşılan bu özel nitelikli veriler, destek kaydının tamamlanması ve olası uyuşmazlıklara karşı ispat ihtiyacı ile sınırlı olarak kısa süreli tutulur. Örneğin, destek talebinin sonuçlandırılmasını müteakip, ilgili veriler mümkün olan en kısa sürede (örneğin birkaç gün veya hafta içinde) güvenli bir şekilde silinir veya yok edilir.
- •Verilerin anonimleştirilmesi mümkünse, bu yöntem tercih edilir. Ancak, bu tür verilerin genellikle yapısal olmaması nedeniyle anonimleştirme yerine güvenli silme veya yok etme yöntemleri öncelikli olarak uygulanır.
- •Yurt dışına aktarım ve üçüncü taraflara paylaşım ise kural olarak yapılmaz. Zorunlu hizmet sağlayıcılar (örneğin e-posta iletimi) söz konusuysa, yalnızca talimatla, amaçla sınırlı ve gerekli sözleşmesel/teknik güvenceler altında gerçekleşir. Bu süreçlerde, KVKK m. 9 ve ilgili mevzuat hükümlerine tam uyum sağlanır.
Bu istisnai durumların yönetimi, Şirketimizin veri minimizasyonu ve veri güvenliği ilkelerine olan bağlılığını yansıtmaktadır.
8. ONAY VE YÜRÜRLÜK
Bu Kişisel Veri İşleme Faaliyetleri Envanteri, Yoursizer Teknoloji'nin kişisel veri işleme süreçlerini şeffaf ve mevzuata uygun bir şekilde kayıt altına almak amacıyla hazırlanmıştır. Envanter, Şirketimizin kişisel verilerin korunması konusundaki taahhüdünün bir göstergesidir ve tüm ilgili birimler için bağlayıcı niteliktedir.
Envanter, yürürlükteki mevzuatta veya Şirketimizin iş süreçlerinde meydana gelebilecek değişiklikler doğrultusunda düzenli olarak gözden geçirilecek ve güncellenecektir. Güncelleme periyodu, en az altı ayda bir olarak belirlenmiştir. Bu periyodik gözden geçirmeler, envanterin her zaman güncel, doğru ve eksiksiz olmasını sağlamayı hedeflemektedir.
İşbu Envanter, 04.01.2026 tarihinde Yönetim Kurulu onayı ile yürürlüğe girmiştir. Onaylayanlar:
| 8. Markalar İçin Analitik Değer Önerisi Entegre olunan markalara anonim/takma adlandırılmış "fit-related analytics" sunumu. | Kullanım Verileri (Anonimleştirilm iş/Takma Adlandırılmış) Beden Önerisi Çıktıları (Anonimleştirilm iş/Takma Adlandırılmış) | Markalar için "fit-related analytics", "data-driven insights" sunumu. | 5/2-f (Meşru Menfaat - anonim/tak ma adlandırılmı ş veri için) | 5 yıl (Anonimleştirilmiş/t akma adlandırılmış olarak) | İç Yönetim Ekibi, İş Geliştirme Birimi, Entegre Markalar/Perakend eciler (anonim/takma adlandırılmış veri) |
|---|---|---|---|---|---|
| Adı Soyadı | : [Eksik Bilgi: Yönetim Kurulu Başkanı Adı Soyadı] | ||||
| Unvanı | : Yönetim Kurulu Başkanı |
İmza : _________________________
| Adı Soyadı | : [Eksik Bilgi: KVKK Uyum Birimi Sorumlusu Adı Soyadı] |
|---|---|
| Unvanı | : KVKK Uyum Birimi Sorumlusu |
İmza : _________________________
| Adı Soyadı | : [Eksik Bilgi: İç Denetim Birimi Yöneticisi Adı Soyadı] |
|---|---|
| Unvanı | : İçDenetimBirimiYöneticisi |
| İmza | : _________________________ |