Kişisel Veri Saklama ve İmha Politikası
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Kapsamında
Son güncelleme: 15 Mayıs 2026
1. Amaç
Bu politika, EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş. ("Şirket"), MyHirer.ai markası altında faaliyet gösteren veri sorumlusu tarafından 6698 sayılı KVKK ve "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" kapsamında, kişisel verilerin saklanma süreleri ve imha yöntemlerini düzenlemektedir.
2. Kapsam
Bu politika, MyHirer.ai platformu üzerinden toplanan tüm kişisel verileri kapsar:
- Kullanıcı (işveren) hesap verileri
- Aday kişisel verileri (kimlik, iletişim, CV, mülakat, test)
- Özel nitelikli kişisel veriler (ses kaydı, görüntü, psikometrik veri)
- Finansal veriler (fatura, ödeme)
- Teknik veriler (log, IP, oturum)
3. Hukuki Dayanak
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (m.4, m.7)
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
- 213 sayılı Vergi Usul Kanunu (fatura saklama yükümlülüğü)
- 5651 sayılı İnternet Kanunu (log saklama yükümlülüğü)
3.1. Saklama Süresinin Başlangıç Tarihi
Her veri kategorisi için saklama süresinin başladığı an (clock-start) aşağıdaki şekilde belirlenir:
- Kullanıcı hesap verileri: Hesabın deaktif edildiği veya silme talebinin alındığı tarih
- Aday verileri: Adayın Platform'a yüklendiği veya başvuruyu tamamladığı tarih
- Mülakat / test / ses / görüntü verileri: Mülakat veya testin tamamlandığı tarih
- AI değerlendirme raporları: Raporun üretildiği tarih
- Fatura ve ödeme verileri: Faturanın düzenlendiği mali yılın sonu (Vergi Usul Kanunu m.253)
- Erişim ve işlem logları: Log kaydının oluştuğu tarih
- E-posta / WhatsApp iletişim kayıtları: İletişimin gerçekleştiği tarih
- KVKK açık rıza kayıtları ve imza verileri: Rızanın verildiği tarih
- KVKK başvuru kayıtları (kvkk_requests) ve imha kayıtları (erasure_log): Başvurunun alındığı veya silmenin gerçekleştirildiği tarih
- E-posta etkileşim olayları (email_events): Olayın gerçekleştiği tarih (ilgili aday silindiğinde olay kayıtları da kademeli olarak silinir)
- B2B satış (CRM) kayıtları: Lead'in ilk eklendiği tarih; ilgili kişi iletişim kesilmesini talep ederse derhal pasifleştirilir, 12 ay içinde imha edilir
- KVKK doküman arşivi (kvkk_doc_archive): Yayımlanan KVKK metni sürümünün arşivlendiği tarih (insert-only — ispat amacıyla süresiz tutulur)
Veri sahibinin açık rızasını geri çekmesi veya silme talebinde bulunması halinde saklama süresi beklenmeksizin imha işlemi başlatılır (yasal saklama yükümlülüğü bulunan veriler hariç).
4. Saklama Süreleri
| Veri Kategorisi | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Kullanıcı hesap verileri (ad, e-posta, şifre hash) | Hesap aktif olduğu sürece + silme sonrası 30 gün | KVKK m.5/2-c (sözleşme) |
| Aday kimlik ve iletişim bilgileri | 2 yıl | KVKK m.5/1 (açık rıza) |
| Özgeçmiş (CV) içeriği ve dosyaları | 2 yıl | KVKK m.5/1 (açık rıza) |
| Mülakat ses kayıtları ve dökümleri | 2 yıl | KVKK m.5/1 (açık rıza) |
| Webcam görüntüleri (snapshot) | 2 yıl | KVKK m.5/1 (açık rıza) |
| Psikometrik test yanıtları ve sonuçları | 2 yıl | KVKK m.5/1 (açık rıza) |
| AI değerlendirme raporları | 2 yıl | KVKK m.5/1 (açık rıza) |
| Fatura ve ödeme verileri | 10 yıl | Vergi Usul Kanunu m.253 |
| Erişim logları (IP, oturum, işlem) | 2 yıl | 5651 sayılı Kanun, KVKK m.5/2-f |
| E-posta ve WhatsApp iletişim kayıtları | 2 yıl | KVKK m.5/2-c (sözleşme) |
| E-posta etkileşim olayları (açılma / tıklama / IP / user-agent) | İlgili adayla aynı süre (en fazla 2 yıl) | KVKK m.5/2-f (meşru menfaat) |
| İK kullanıcısı ses klonu (biyometrik) | Hesap aktif olduğu sürece + silme talebinden sonra 30 gün | KVKK m.6/2 (açık rıza — özel nitelikli) |
| Aday hakkında web araştırma çıktısı | Aday verisiyle aynı süre (2 yıl) | KVKK m.5/1 (açık rıza) |
| KVKK rıza imzaları, audit log ve doc-hash bağlantıları (consent_audit_log) | 3 yıl (ispat) | KVKK m.5/1 ispat yükümlülüğü, m.13 |
| KVKK m.11 başvuru kayıtları (kvkk_requests) | 3 yıl (ispat) | KVKK m.13, Başvuru Tebliği |
| İmha kayıtları (erasure_log) | 3 yıl (ispat) | KVKK İmha Yönetmeliği m.7 |
| Yayımlanmış KVKK metni sürüm arşivi (kvkk_doc_archive) | Süresiz (insert-only — ispat amaçlı) | KVKK m.10 ispat yükümlülüğü |
| B2B satış (CRM) lead, kontak ve aktivite kayıtları | Lead "kazanıldı" veya "kaybedildi" olduktan sonra en fazla 12 ay; ilgili kişi iletişim kesilmesini talep ederse derhal | KVKK m.5/2-f (meşru menfaat); ETK m.6/3 kurumsal alıcı muafiyeti |
| Veri ihlali olay günlüğü (incident log) | 3 yıl | KVKK m.12/5 |
5. İmha Yöntemleri
Saklama süresi dolan veya işleme amacı ortadan kalkan kişisel veriler aşağıdaki yöntemlerle imha edilir:
a) Silme
- Veritabanı kayıtları: İlgili satırlar veritabanından kalıcı olarak silinir (DELETE)
- Dosyalar: CV, ses kaydı ve görüntü dosyaları sunucudan kalıcı olarak silinir
- Yedekleme: Yedekleme sistemlerindeki kopyalar yedekleme döngüsü içinde silinir
b) Anonim Hale Getirme
- İstatistiksel analiz amacıyla gerekli durumlarda veriler, kişiyle ilişkilendirilemeyecek şekilde anonim hale getirilir
- Anonim hale getirme işlemi geri alınamaz nitelikte olup, kimlik bilgileri, iletişim bilgileri ve benzersiz tanımlayıcılar kaldırılır
c) Yok Etme
- Fiziksel ortamlarda (varsa) depolanan veriler, geri dönüşü mümkün olmayacak şekilde yok edilir
d) Kriptografik Silme (Crypto-Erasure)
- Şifrelenmiş olarak saklanan veri blokları için, ilgili şifreleme anahtarının sistemden silinmesi yoluyla da silme işlemi gerçekleştirilebilir; anahtarın kaybı verinin geri dönüşümsüz hale gelmesini sağlar.
- Bu yöntem özellikle yedekleme sistemlerinde saklanan, SQL DELETE ile anlık silme yapılamayan veriler için kullanılır.
5.1. Yedekleme (Backup) Saklama Döngüsü
Felaket kurtarma (disaster recovery) ve veri bütünlüğü amacıyla alınan yedekler, aşağıdaki rotasyon planına tabidir:
- Günlük artımlı yedekler: 30 gün süreyle saklanır, ardından otomatik silinir
- Haftalık tam yedekler: 90 gün süreyle saklanır, ardından otomatik silinir
- Aylık arşiv yedekleri: Yalnızca fatura verileri gibi yasal saklama yükümlülüğü bulunan kayıtlar için, 10 yıl süreyle saklanır
Bir veri sahibi silme talebinde bulunduğunda, ana veritabanından anında silinen kayıtlar yedeklerde en geç 90 gün içinde rotasyon yoluyla kaybolur. Bu süre zarfında yedekler yalnızca sistemin bütün olarak geri yüklenmesi amacıyla kullanılır; kısmi restore (tek veri kaydının geri getirilmesi) yapılmaz. Silme taahhütleri bu 90 günlük yedekleme rotasyonu dahil edilerek verilir.
6. Periyodik İmha
Şirket, aşağıdaki periyodik imha programını uygular:
- Günlük: Hesap silme talebi üzerine 30 günlük bekleme süresi dolan hesap verilerinin silinmesi
- Haftalık: Geçici dosyaların (upload buffer, geçici oturum dosyaları) temizlenmesi
- Aylık: Saklama süresi dolan mülakat, test ve aday verilerinin silinmesi
- Yıllık: Tüm veri kategorilerinin saklama sürelerinin gözden geçirilmesi
Periyodik imha işlemleri, otomatik zamanlanmış görevler (scheduled tasks) aracılığıyla gerçekleştirilir ve imha logları 2 yıl süreyle saklanır.
7. Veri Sahibi Talepleri
Veri sahiplerinin KVKK m.11 kapsamındaki silme/yok etme talepleri:
- kvkk@myhirer.ai adresine e-posta ile iletilir
- Kullanıcılar Platform üzerinden hesap silme işlemini doğrudan gerçekleştirebilir
- Talepler en geç 30 gün içinde karşılanır
- Yasal saklama yükümlülüğü bulunan veriler, yükümlülük sona erene kadar saklanmaya devam eder
7.1. Veri İhlali Halinde İmha ve Bildirim
Bir veri ihlali (yetkisiz erişim, sızıntı, kayıp) tespit edilmesi halinde:
- İhlalden etkilenen veriler derhal karantinaya alınır; yetkisiz erişim noktaları kapatılır.
- İhlalin kapsamı belirlendikten sonra, olay günlüğü (incident log) oluşturulur ve en az 3 yıl süreyle saklanır.
- Kişisel Verileri Koruma Kurulu'na, KVKK m.12/5 uyarınca en kısa sürede ve en geç 72 saat içinde bildirim yapılır.
- İhlalden etkilenen veri sahiplerine doğrudan bildirim yapılır (e-posta / WhatsApp / hesap içi bildirim).
- İhlal konusu verilerin silinmesi/anonim hale getirilmesi, olay yönetimi tamamlandıktan sonra bu politika kapsamında gerçekleştirilir.
8. Sorumluluk ve Yetki
- Bu politikanın uygulanmasından Şirket yönetimi sorumludur
- İmha işlemleri, yalnızca yetkili personel tarafından gerçekleştirilir
- İmha işlemleri kayıt altına alınır ve en az 3 yıl süreyle saklanır
- Bu politika yılda en az bir kez gözden geçirilir ve güncellenir
9. İletişim
Şirket: EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş.
Yetkili Kişi: NAZMİ AHMET EKER (Şirket Sahibi / Veri Sorumlusu Temsilcisi)
Ticaret Sicil No: 49183 · MERSIS: 0327003746700021
Vergi Dairesi / No: Setbaşı Vergi Dairesi / 3270037467
Adres: Odunluk Mah. Erdoğan Binyücel Cad. No:13/A Nilüfer / BURSA
KEP Adresi: ekersoft@hs01.kep.tr
Telefon: (0224) 451 27 27
Veri Koruma İrtibat: kvkk@myhirer.ai