Veri Saklama ve İmha Politikası
1. Politikanın Amacı
İşbu Veri Saklama ve İmha Politikası, KiralıYorum tarafından işlenen kişisel verilerin:
a) Hangi süreyle saklanacağını, b) Bu sürelerin sonunda hangi yöntemle imha edileceğini (silme, yok etme, anonim hâle getirme), c) Saklama-imha sürecinin yönetiminden kimin sorumlu olduğunu, d) Veri sahiplerinin talepleri ile resen yapılan imhanın nasıl uyumlandırılacağını
düzenlemek üzere hazırlanmıştır.
2. Kapsam
Bu politika; KiralıYorum platformu kullanıcılarının, ziyaretçilerinin, 3. taraf veri sahiplerinin (yorumda atıf yapılan ev sahibi-komşu) ve çalışanlarının kişisel verilerini kapsar.
3. Tanımlar
| Terim | Tanım |
|---|---|
| Saklama süresi | Kişisel verinin işleme amacına ve hukuki düzenlemelere bağlı olarak tutulabileceği azami süre |
| Silme | Kişisel verinin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi |
| Yok etme | Kişisel verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi |
| Anonim hâle getirme | Kişisel verinin, başka verilerle eşleştirilse dahi belirli bir kişiyle ilişkilendirilemeyecek hâle getirilmesi |
| Periyodik imha | KVKK m. 7 uyarınca, saklama süresi dolan kişisel verinin 6 aylık dönemler hâlinde resen silinmesi/imhası |
| Resen imha | Politika'da belirlenen sürelerin sonunda otomatik olarak yapılan imha |
| Talebe bağlı imha | Veri sahibinin başvurusu üzerine yapılan imha (KVKK m. 11/e) |
4. Veri Saklama Süreleri Tablosu
| Veri kategorisi | Saklama yeri | Saklama süresi | İmha yöntemi |
|---|---|---|---|
| Üyelik bilgileri (e-posta, ad, telefon) | Supabase auth.users + profiles |
Hesap aktif olduğu sürece + kapatma sonrası 30 gün | Hard delete (silme) |
| Yorum metni | Supabase reviews |
5 yıl | Anonim hâle getirme (user_id = NULL, metin saklı kalır) |
| Yapısal puanlar | Supabase review_ratings |
Süresiz | Anonim hâle getirildi sayılır (zaten kişiyi tanımlayan unsur yok) |
| e-Devlet barkod hash (SHA-256) | Supabase edevlet_verifications |
Hesap aktif olduğu sürece | Hesap silindiğinde silinir |
| Kira sözleşme fotoğrafı (OCR) | Supabase Storage documents/ |
30 gün | Otomatik silme (cron) |
| Yüz canlılık görüntüsü | AWS Rekognition (us-east-1) | 24 saat | AWS otomatik silmesi |
| Liveness sonuç skoru | Supabase liveness_results |
Hesap aktif olduğu sürece | Hesap silindiğinde silinir |
| K-Pass anahtar teslim foto zinciri | Supabase Storage keypass/ |
İade + 90 gün | Otomatik silme (cron) |
| Iyzico işlem kayıtları (token bazlı) | Supabase payments_log |
10 yıl (Vergi Usul Kanunu m. 253) | Hard delete |
| IP / log kayıtları (5651) | Vercel logs + DB access_log |
2 yıl (5651 sayılı Kanun m. 5/3) | Hard delete |
| Sentry hata kayıtları | Sentry SaaS | 90 gün | Sentry otomatik silmesi |
KVKK başvuruları (dsr_requests) |
Supabase | Süresiz (denetim) | İşlem tamamlanınca kişisel veriler anonim hâle getirilir |
| Çerez tercihleri | LocalStorage + cookies | 12 ay | Tarayıcı tarafından otomatik |
| Müşteri destek mesajları | Supabase support_tickets |
5 yıl (TBK genel zamanaşımı) | Anonim hâle getirme |
| Vergi belgeleri (fatura, gider) | Supabase Storage + Muhasebe | 10 yıl (VUK m. 253) | Hard delete |
| Çalışan özlük dosyaları | Şirket içi sistem | İş ilişkisi + 10 yıl (İş K. m. 75) | Hard delete |
5. İmha Yöntemleri
5.1 Silme (Deletion)
- Veritabanı (Supabase): İlgili satıra
DELETESQL komutu çalıştırılır. Soft delete sürecindedeleted_atdamgası konulduktan 30 gün sonra Cron jobDELETE'i tetikler. - Storage (Supabase): Dosyalar
supabase.storage.from('...').remove([...])ile silinir. CDN cache invalidate edilir. - Vercel log: Log retention 2 yıla ayarlıdır; otomatik silinir.
- 3. taraf: Sentry, Resend, NetGSM API'leri üzerinden silme talebi gönderilir.
5.2 Yok Etme (Destruction)
Fiziksel medya için: Çalışan özlük dosyalarının (kâğıt) imhası, diskdraft yöntemiyle veya yetkili imha firmasına teslim edilerek tutanak ile yapılır.
5.3 Anonim Hâle Getirme (Anonymization)
- Yorum anonimleştirme: 5 yıl sonra
reviews.user_id = NULLset edilir. Yorum metni kalır, ancak kullanıcıyla ilişkisi kalmaz. Bu işlem geri alınamaz (audit log tutulur ama log da anonim). - Yapısal puanlar: Zaten anonim (puanlar, mahalle bazında agregat).
- Destek mesajları (5 yıl sonra): İçerik genelleştirilir, kullanıcı kimliği silinir.
- K-anonymity kontrolü: Anonimleştirilen veride, 5 veya daha az kullanıcının birleştirme yoluyla yeniden tanımlanma riski test edilir.
6. Periyodik İmha
KVKK m. 7 uyarınca KiralıYorum, 6 aylık dönemler hâlinde (her yıl Ocak ve Temmuz aylarında) periyodik imha sürecini işletir:
- Veritabanı taraması:
WHERE saklama_suresi < NOW()kayıtları listelenir - Listede yer alan veriler imha kategorilerine ayrılır (silme / anonim hâle getirme)
- İlgili Cron job'lar (Supabase Edge Function veya Vercel Cron) çalıştırılır
- İmha sonrasında imha tutanağı oluşturulur (
audit_logs.imha_*) - Tutanak Veri Sorumlusu Temsilcisi (VST) tarafından onaylanır
7. Talebe Bağlı İmha (KVKK m. 11/e)
Veri sahibi talebi geldiğinde:
- Başvuru 30 gün içinde değerlendirilir
- Talep kabul edilirse ilgili veri derhal silinir/anonim hâle getirilir
- Talep reddedilirse gerekçeli yazılı cevap verilir (örn: yasal saklama yükümlülüğü — 5651 IP kaydı, VUK belge kaydı)
- Veri sahibine işlem sonrası teyit gönderilir
- Aktarımın yapıldığı 3. taraflara da silme bildirimi gönderilir (KVKK m. 11/f)
8. Cron Job ve Otomasyon
Aşağıdaki otomatik imha süreçleri kurulmuştur (veya kurulacaktır):
| İşlem | Sıklık | Mekanizma | Sorumlu |
|---|---|---|---|
| Kira sözleşme fotoğrafı 30 gün TTL | Günlük 03:00 | Supabase Edge Function | DevOps |
| Soft-delete edilmiş kullanıcı 30 gün → hard delete | Günlük 03:30 | Supabase Edge Function | DevOps |
| Yorum 5 yıl → anonimleştirme | Aylık 1. gün 04:00 | Supabase Edge Function | DevOps |
| K-Pass anahtar foto 90 gün | Günlük 04:30 | Supabase Edge Function | DevOps |
| IP log 2 yıl | Vercel built-in retention | Vercel | DevOps |
| Periyodik imha raporu | Ocak/Temmuz | Manuel tetikleme + script | KVKK Sorumlusu |
9. Sorumlular ve Yönetim
| Rol | Sorumluluk |
|---|---|
| Veri Sorumlusu Temsilcisi (VST) | KVKK uyumunun genel takibi; Kurul ile iletişim |
| DevOps Mühendisi | Cron job'ların çalışması, imha script'lerinin sürdürülmesi |
| Hukuk Danışmanı | Yasal değişikliklerin politika'ya yansıtılması |
| Veri İhlal Müdahale Ekibi | Md. 12 ihlal bildiriminin 72 saatte yapılması |
| Üst Yönetim | Politikanın onaylanması, yıllık gözden geçirme |
Şu an KiralıYorum tek developer (Koray Duman) aşamasındadır. Şirketleştiğinde bu roller resmen ayrılır; geçiş döneminde tüm sorumluluklar kurucuda birleşmektedir.
10. İmha Tutanağı (Template)
Her periyodik imha sonrasında aşağıdaki tutanak doldurulur ve audit_logs
tablosuna kaydedilir:
İMHA TUTANAĞI
Tutanak No: IMHA-YYYY-NN
Tarih: __/__/____
Periyot: __ / 20__ (Ocak veya Temmuz)
İmha edilen veri kategorileri:
- [ ] Yorum metni (5 yıl üstü) — adet: ____
- [ ] Kira sözleşme fotoğrafı (30 gün üstü) — adet: ____
- [ ] Soft-delete kullanıcılar (30 gün üstü) — adet: ____
- [ ] K-Pass anahtar fotoğrafları (90 gün üstü) — adet: ____
- [ ] Diğer: _____________
İmha yöntemi:
- [ ] Silme (DELETE)
- [ ] Anonim hâle getirme (user_id NULL)
- [ ] Yok etme (yetkili imha firması)
Sorumlu kişi: _____________ (Ad Soyad)
İmza/Onay: _____________
11. Politika'nın Gözden Geçirilmesi
İşbu Politika yılda bir kez (her yıl Mayıs ayında) gözden geçirilir. Aşağıdaki hâllerde derhal güncellenir:
- Yeni yasal düzenleme (KVKK değişikliği, yeni KVKK Kurulu kararı)
- Yeni veri kategorisi eklenmesi
- Yeni 3. taraf hizmet sağlayıcı eklenmesi
- Veri ihlali tespiti
Versiyon: v1.0 — 14 Mayıs 2026 (TASLAK) Sonraki gözden geçirme: Mayıs 2027 Onay: [VST imzası — doldurulacak] Hukuki dayanak:
- 6698 sayılı KVKK m. 4, 5, 6, 7, 12
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (28.10.2017 / RG: 30224)
- KVKK Kurulu rehberleri
- 5651 sayılı Kanun m. 5/3 (yer sağlayıcı log saklama)
- 213 sayılı Vergi Usul Kanunu m. 253 (10 yıl belge saklama)
- 4857 sayılı İş Kanunu m. 75 (özlük dosyası)