Ismarlıyo
GROVTEK VERİ SAKLAMA VE İMHA POLİTİKASI
Yürürlük Tarihi: 26.08.2025
Versiyon: 1.0
1. Amaç
İşbu politika, Valide-i Atik Mah. Nuhkuyusu Cad. No: 73A Üsküdar/İstanbul adresinde mukim GROVTEK TEKNOLOJİ A.Ş. ("Grovtek") bünyesinde işlenen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat kapsamında saklanması ve imha edilmesine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
2. Kapsam
İşbu politika, Grovtek'in faaliyetleri kapsamında işlediği tüm kişisel veriler ile bu verilerin tutulduğu fiziki ve dijital ortamlarda uygulanır.
Grovtek burada belirtilen kişisel verileri KVKK'ya, ilgili Kişisel Verileri Koruma Kurulu ("Kurul") kararlarına ve ikincil mevzuata uygun şekilde https://www.ismarliyo.com/aydinlatma'nde belirtilen sebeplere ve amaçlara uygun olarak işlemektedir. İşbu politika anılan her bir ilgili kişi grubu için işlenen kişisel verilerin saklama ve imhası bakımından ilgili Aydınlat Metni'nin tamamlayıcısı niteliğindedir.
3. Tanımlar
İşbu politika kapsamında,
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
- Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar,
- İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
- Kanun ya da KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nu,
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Kurul: Kişisel Verileri Koruma Kurulunu,
- Kurum: Kişisel Verileri Koruma Kurumunu,
- Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ve işbu Politika özelinde Grovtek'i ifade eder.
4. Sorumluluk ve Görev Dağılımları
Grovtek bünyesindeki tüm birimler ve çalışanlar, sorumlu birimlerin belirlediği teknik ve idari tedbirlerin etkili şekilde uygulanmasına; birim çalışanlarının eğitimi, farkındalığının artırılması, izlenmesi ve düzenli olarak denetlenmesine; kişisel verilerin hukuka aykırı işlenmesinin ve erişiminin engellenmesine; verilerin hukuka uygun şekilde saklanmasına yönelik tüm ortamlarda gerekli veri güvenliği önlemlerinin alınmasına aktif olarak destek sağlar.
5. Kayıt Ortamları
Grovtek sistematik günlük faaliyetleri kapsamında fiziksel ortamda kişisel veri işlememektedir. Ancak sistematik olmayan faaliyetler kapsamında yetkili kamu kurum ve kuruluşları ile gerçekleştirilebilecek olan yazışmalar veya doğrudan ilgili kişi grupları tarafından fiziksel ortamda veri sunulması ya da talep edilmesi durumunda arızi olarak fiziksel ortamda veri işleme faaliyeti gerçekleşebilmektedir.
| Elektronik Ortamlar | Fiziksel Ortamlar |
|---|---|
|
|
6. Saklamayı Gerektiren Hukuki Sebepler
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.
7. Saklamayı Gerektiren İşleme Amaçları
- Yazılım gelişme süreçlerini yürütmek.
- Kullanıcı sözleşmesinin ifasını gerçekleştirmek ve gerekli doğrulamaları yapmak.
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
8. İmhayı Gerektiren Sebepler
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması.
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması.
- Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Grovtek tarafından kabul edilmesi.
- Grovtek'in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması.
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
9. Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun şekilde saklanması ve imha edilmesi için Grovtek tarafından aşağıdaki teknik ve idari tedbirler alınır.
| VERİ GÜVENLİĞİ TEDBİRİ | TEDBİR TÜRÜ |
|---|---|
| Ağ güvenliği ve uygulama güvenliği sağlanmaktadır | Teknik |
| Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır | Teknik |
| Anahtar yönetimi uygulanmaktadır | Teknik |
| Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır | Teknik |
| Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır | Teknik |
| Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur | İdari |
| Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır | İdari |
| Çalışanlar için yetki matrisi oluşturulmuştur | İdari |
| Erişim logları düzenli olarak tutulmaktadır | Teknik |
| Gerektiğinde veri maskeleme önlemi uygulanmaktadır | Teknik |
| Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır | İdari |
| Güvenlik duvarları kullanılmaktadır | Teknik |
| Kişisel veri güvenliğinin takibi yapılmaktadır | İdari |
| Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır | İdari |
| Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır | İdari |
| Kişisel veri içeren ortamların güvenliği sağlanmaktadır | İdari |
| Kişisel veriler mümkün olduğunca azaltılmaktadır | İdari |
| Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır | Teknik |
| Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır | Teknik |
| Saldırı tespit ve önleme sistemleri kullanılmaktadır | Teknik |
| Siber güvenlik önlemleri alınmış olup uygulanması sürekli olarak takip edilmektedir | Teknik |
| Şifreleme yapılmaktadır | Teknik |
| Güvenli kodlama prensipleri ile güvenlik açıkları kapatılır | Teknik |
| Sanallaştırma ve konteyner güvenliği ile sistemler yalıtılmış şekilde çalıştırılır | Teknik |
| Veri saklama ve imha politikaları ile gereksiz veri tutulmaz | İdari |
| Tedarikçi ve üçüncü taraf sözleşmeleri veri güvenliğine uygun hale getirilir | İdari |
| Gizlilik politikaları kullanıcılarla açık şekilde paylaşılır | İdari |
10. Kişisel Verileri İmha Teknikleri
Grovtek, kişisel verilerin imhası sürecinde KVKK ve ilgili mevzuat kapsamında belirlenen teknik standartlara uygun olarak hareket etmektedir. Kişisel verilerin anonim hale getirilmesi işleminde, verilerin geri döndürülemeyecek şekilde işlenmesini sağlayan gelişmiş kriptografik yöntemler ve hash algoritmaları kullanılmaktadır. Bu teknikler, verilerin orijinal haline geri dönüşünü matematiksel olarak imkansız kılmakta ve veri güvenliğini en üst düzeyde tutmaktadır.
Anonim hale getirme işlemi, veri setlerinden doğrudan tanımlayıcı bilgilerin çıkarılması, kayıtları çıkartma, bölgesel gizleme, genelleştirme, kategorik verilerin genelleştirilmesi ve sayısal verilerin aralıklara bölünmesi gibi başta olmak üzere uygulamada sıklıkla kabul gören yöntemlerle gerçekleştirilmektedir. Bu süreçte, veri kalitesi korunurken, veri sahibinin kimliğinin belirlenmesi mümkün olmayacak şekilde veri dönüşümü sağlanmaktadır. Anonim hale getirilen veriler, artık kişisel veri niteliğinde olmadığından, KVKK kapsamı dışında kalarak araştırma, istatistik ve geliştirme amaçlarıyla kullanılabilmektedir.
11. Saklama ve İmha Süreleri
Aşağıda örnek saklama ve imha süreleri belirtilmiştir:
Bireysel Ismarlayan Verileri
| İLGİLİ KİŞİ | VERİ TÜRÜ | SAKLAMA ORTAMI | SAKLAMA SÜRESİ | İMHA SÜRESİ |
|---|---|---|---|---|
| Bireysel Ismarlayan | Ad Soyad | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Telefon Numarası | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | E-Posta Adresi | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Cinsiyet | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Meslek | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Profil Fotoğrafı | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Kullanıcı ID | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Hesap Oluşturma Değiştirme Verileri | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Çevrim içi Trafik Verileri | Elektronik Ortam | Ismarlıyo için özellikle tutulan log kayıtları 15 gün, trafik log kayıtları ise ilgili mevzuat kapsamında 2 yıl süre ile saklanmaktadır | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Ad Soyad (Şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | T.C. kimlik numarası (şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Vergi dairesi (şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Şirket adresi (şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Bireysel Ismarlayan | Şirket e-posta adresi (şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşletme Sahibi Ismarlayan Verileri
| İLGİLİ KİŞİ | VERİ TÜRÜ | SAKLAMA ORTAMI | SAKLAMA SÜRESİ | İMHA SÜRESİ |
|---|---|---|---|---|
| İşletme Sahibi Ismarlayan | İşyeri Adı | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Telefon Numarası | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | E-Posta Adresi | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Konum ve Adres | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Google İşletme Bağlantısı | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Kullanıcı ID | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Hesap Oluşturma Değiştirme Verileri | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Çevrim içi Trafik Verileri | Elektronik Ortam | Ismarlıyo için özellikle tutulan log kayıtları 15 gün, trafik log kayıtları ise ilgili mevzuat kapsamında 2 yıl süre ile saklanmaktadır | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | Cari isim (şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| İşletme Sahibi Ismarlayan | İşletme IBAN (şahıs şirketi için) | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Öğrenci Verileri
| İLGİLİ KİŞİ | VERİ TÜRÜ | SAKLAMA ORTAMI | SAKLAMA SÜRESİ | İMHA SÜRESİ |
|---|---|---|---|---|
| Öğrenci | Ad Soyad | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | Telefon Numarası | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | E-Posta Adresi | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | Cinsiyet | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | Profil Fotoğrafı | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | Cinsiyet | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | TC Kimlik Numarası | Elektronik Ortam | Öğrenci statüsü kontrol edilene kadar | Öğrenci statüsü kontrol edildikten sonra hemen |
| Öğrenci | Öğrenci Numarası | Elektronik Ortam | Öğrenci statüsü kontrol edilene kadar | Öğrenci statüsü kontrol edildikten sonra hemen |
| Öğrenci | Anne ve Baba Adı | Elektronik Ortam | Öğrenci statüsü kontrol edilene kadar | Öğrenci statüsü kontrol edildikten sonra hemen |
| Öğrenci | Doğum Yeri | Elektronik Ortam | Öğrenci statüsü kontrol edilene kadar | Öğrenci statüsü kontrol edildikten sonra hemen |
| Öğrenci | Kayıt Olunan Eğitim Kurumu | Elektronik Ortam | Öğrenci statüsü kontrol edilene kadar | Öğrenci statüsü kontrol edildikten sonra hemen |
| Öğrenci | Fakülte - Bölüm - Sınıf Bilgisi | Elektronik Ortam | Öğrenci statüsü kontrol edilene kadar | Öğrenci statüsü kontrol edildikten sonra hemen |
| Öğrenci | Kullanıcı ID | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | Hesap Oluşturma Değiştirme Verileri | Elektronik Ortam | Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Öğrenci | Çevrim içi Trafik Verileri | Elektronik Ortam | Ismarlıyo için özellikle tutulan log kayıtları 15 gün, trafik log kayıtları ise ilgili mevzuat kapsamında 2 yıl süre ile saklanmaktadır | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
12. Periyodik İmha
Kişisel veriler en geç 6 aylık periyotlarla gözden geçirilerek, saklama süresi sona eren veriler imha edilir.
13. Politikanın Güncellenmesi ve Yayınlanması
Politika sadece elektronik ortamda https://www.ismarliyo.com/veri-saklama-ve-imha-politikasi adresinde yayınlanır.
Politika, ihtiyaç duyuldukça Grovtek tarafından gözden geçirilip güncellenebilir. Bu durumda Politikanın başlığı altında yer alan güncelleme tarihleri, versiyon numarası ve yürürlük tarihi de uygun şekilde güncellenir.
Politika güncellemeleri ilgili kişilere e-posta, uygulama ya da internet sitesi arayüzünde pop-up, yazılı bilgilendirme ve Grovtek tarafından uygun görülen diğer yöntemlerle bildirilir.
Politika güncellemelerinin aksi açıkça belirtilmedikçe güncelleme tarihinden itibaren 30 gün sonra yürürlüğe girer.