DİJİMU

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Bu Politika, 6698 sayılı KVKK m. 7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca, Dijimu tarafından işlenen kişisel verilerin saklanması ve imhasına ilişkin usul ve esasları belirler.


1. AMAÇ VE KAPSAM

Bu Politika; Dijimu (veri sorumlusu/veri işleyen) tarafından tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin kayıt ortamlarını, saklama sürelerini, güvenlik tedbirlerini, imha yöntemlerini ve periyodik imha takvimini düzenler. Kapsamı; Kullanıcı (mali müşavir/personel) verileri ile Kullanıcı'nın talimatıyla işlenen mükellef verilerini içerir.


2. TANIMLAR

Terim Açıklama
Kayıt ortamı Kişisel verilerin bulunduğu her türlü elektronik veya fiziksel ortam
Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi
Yok etme Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi
Anonim hâle getirme Verilerin başka verilerle eşleştirilse dahi kimliği belirli/belirlenebilir bir kişiyle ilişkilendirilemeyecek hâle getirilmesi
Periyodik imha Yönetmelik'te öngörülen, tekrar eden aralıklarla resen yapılan silme/yok etme/anonimleştirme işlemi

3. KAYIT ORTAMLARI

Kişisel veriler, hizmetin bulut tabanlı yapısı gereği esas olarak elektronik ortamlarda tutulur:

Elektronik ortamlar:

  • Uygulama ve veritabanı sunucuları (PostgreSQL) — yurt içinde (Türkiye) barındırılır
  • Yüklenen belge/dosya depolama alanı (fatura, banka ekstresi, OCR görselleri, e-belge XML'leri)
  • Şifreli yedekleme ortamları
  • Önbellek/oturum depoları (Redis vb.)
  • E-posta ve bildirim (WhatsApp/SMS) gönderim kayıtları
  • Log, oturum ve denetim (audit) kayıt sistemleri

Fiziksel ortamlar:

  • Dijimu hizmeti elektronik ortamda sunar; kişisel veriler kural olarak basılı evrak hâlinde tutulmaz. İstisnaen oluşabilecek basılı belgeler kilitli dolap/arşivde saklanır.

Tüm elektronik kayıt ortamlarına erişim rol bazlı yetkilendirme ile sınırlandırılır ve loglanır.


4. SAKLAMAYI GEREKTİREN HUKUKİ VE İŞ SEBEPLERİ

  • 213 sayılı VUK (m. 253 vd. — defter ve belgelerin 5 yıl, ilgili tarh zamanaşımı ile birlikte muhafazası)
  • 6102 sayılı TTK (m. 82 — ticari defter/belgelerin 10 yıl saklanması)
  • 6098 sayılı TBK (genel zamanaşımı — 10 yıl)
  • 5510 sayılı SGK Kanunu ve ilgili mevzuat
  • 5651 sayılı Kanun (trafik/log kayıtları)
  • 6563 sayılı Kanun ve İYS (ticari ileti onay/ret kayıtları)
  • KVKK ve ilgili ikincil mevzuat; hizmet sözleşmesinin ifası ve ispatı

5. SAKLAMA SÜRELERİ TABLOSU

Dijimu üyeliği süresiz ve kontör (kredi) esaslıdır; ilgili kontör tükendiğinde hesap salt görüntülemeye geçer ve atıl döneme girer. Saklama süreleri bu modele göre belirlenir:

Veri / Süreç Saklama Süresi Dayanak
Platforma yüklenen ve işlenen mükellef verileri (e-fatura/e-arşiv/e-defter, ekstre, dekont, makbuz, OCR çıktıları, fiş aktarımları) Hesap aktif olduğu sürece; ilgili kontör tükendikten ve hesap işlem yapmadan 1 (bir) yıl atıl kaldıktan sonra silinir/anonimleştirilir KVKK m. 4-7; DPA
Üyelik / hesap kimlik bilgileri Hesap mevcut olduğu sürece; atıl imha sonrasında yalnızca yasal gereklilik kadar KVKK, TBK
Dijimu'nun düzenlediği abonelik/kontör ödeme kayıtları İlgili mevzuat süresince (Dijimu kendi veri sorumlusu) VUK, TTK
Kötüye kullanım önleme kaydı (Luca kullanıcı kodu — hash'li) Süresiz (tekrar deneme istismarını önleme) Meşru menfaat
Sözleşme ve açık rıza/onay kayıtları İlişki süresince + ispat için 3 yıl TBK, KVKK
Destek talepleri ve yazışmalar 5 yıl TBK
WhatsApp/e-posta iletişim arşivi Hesap aktif olduğu sürece + atıl dönem sonuna kadar Meşru menfaat
Oturum/işlem logları, IP, güvenilir cihaz 2 yıl 5651, güvenlik
2FA kodları, doğrulama/şifre sıfırlama token'ları Geçerlilik süresi + azami 30 gün Güvenlik
Pazarlama açık rıza/etkileşim verileri Rıza geri alınana kadar + 3 yıl (ispat) KVKK, 6563
Çerez verileri Çerez Politikası'ndaki süreler KVKK

Mali belgelerin yasal saklanması: VUK m. 253 vd. ve TTK m. 82 uyarınca mali belgelerin kanuni süre (genel olarak 10 yıl) saklanması yükümlülüğü veri sorumlusu sıfatındaki mali müşavire aittir. Kullanıcı, hesabı atıl kalmadan önce verilerini dışa aktararak bu yükümlülüğü yerine getirir; Dijimu (veri işleyen) atıl dönem sonunda verileri platformdan imha eder.

Not: Yukarıdaki süreler azami saklama sürelerini gösterir. Mükellef verileri için saklama/iade/imha Veri İşleyen Sözleşmesi (DPA) hükümlerine tabidir (aşağıda m. 10).


6. TEKNİK VE İDARİ TEDBİRLER

KVKK m. 12 uyarınca kişisel verilerin güvenliği için alınan başlıca tedbirler:

Teknik tedbirler:

  • TLS 1.2+ ile şifreli iletim (HTTPS); parolaların hash'lenmesi; entegrasyon kimlik bilgilerinin (Luca/GİB/Zirve/SGK) şifreli saklanması
  • Rol bazlı erişim kontrolü, yetki matrisi ve erişim/işlem loglaması (audit log)
  • Resmî portal ve otonom (temassız/robotik) veri aktarımlarında güvenli ve denetimli ağ bağlantılarının kullanılması
  • Güvenlik duvarı, DDoS koruması, güvenlik açığı taraması ve güncel yama yönetimi
  • Düzenli ve şifreli yedekleme; felaket kurtarma planları
  • İki faktörlü kimlik doğrulama (2FA)

İdari tedbirler:

  • Personel ve iş ortağı gizlilik taahhütleri ile KVKK farkındalık eğitimleri
  • Veri İhlali Müdahale Prosedürü (ihlalde KVKK Kurulu'na 72 saat içinde bildirim)
  • Erişim yetkilerinin periyodik gözden geçirilmesi
  • Alt veri işleyenlerin sözleşmesel olarak bağlanması (DPA)

7. İMHA VE ANONİMLEŞTİRME YÖNTEMLERİ

Silme yöntemleri (yazılımsal):

  • İlgili veritabanı kayıtlarının geri dönüşü olmayan biçimde silinmesi veya erişimin kalıcı olarak kapatılması
  • Rol bazlı erişim yetkilerinin kaldırılması
  • Yedeklerdeki verilerin ilk erişimde silinmek üzere işaretlenmesi

Yok etme yöntemleri:

  • Fiziksel medya (disk/yedek) için güvenli silme, üzerine yazma (overwrite), de-manyetize etme (degauss) veya fiziksel imha
  • Bulut/sunucu sağlayıcısının güvenli imha mekanizmalarının kullanılması

Anonim hâle getirme yöntemleri:

  • Maskeleme — verinin tanımlayıcı kısımlarının gizlenmesi (ör. VKN/IBAN'ın bir bölümünün yıldızlanması)
  • Değişken/kayıt çıkarma — kimliği belirleyen alanların (ad-soyad, VKN, TCKN) atılması
  • Toplulaştırma (agregasyon) — verinin istatistiksel toplamlara dönüştürülmesi
  • Genelleştirme ve bölgesel gizleme

Muhasebe motoru öğrenme havuzunda tenant kimliği saklanmaz; kişi/firma adı ve VKN gibi tanımlayıcılar filtrelenerek yalnızca anonim örüntü tutulur.


8. PERİYODİK İMHA TAKVİMİ

  • Saklama süresi dolan kişisel veriler, 6 ayda bir (her yıl Haziran ve Aralık aylarında) resen silinir, yok edilir veya anonim hâle getirilir.
  • İlgili kişinin başvurusu üzerine yapılan silme talepleri, başvurudan itibaren en geç 30 gün içinde sonuçlandırılır.
  • İmha işlemleri kayıt altına alınır ve denetime hazır tutulur.

9. SORUMLULUK VE ROLLER

  • Politikanın uygulanmasından veri sorumlusu (Dijimu yetkilisi) sorumludur.
  • Erişim yetkileri rol bazlıdır (Süper Yönetici / Yönetici / Personel / Mükellef); imha işlemleri yetkili personelce yürütülür ve loglanır.

10. KONTÖR TÜKENMESİ / ATIL HESAP — VERİ İADESİ VE İMHA

Üyelik süresiz olduğundan veri imhası, üyeliğin "bitmesi" yerine kontörün tükenmesi ve hesabın atıl kalması esasına bağlıdır:

1. İlgili kontör tükendiğinde hesap salt görüntülemeye geçer; Kullanıcı bu dönemde dilediğinde kontör satın alarak devam edebilir veya verilerini dışa aktarabilir (export).

2. İmha öncesi bildirim (makul ihbar): Hesap işlem yapmadan yaklaşık 1 (bir) yıl atıl kaldığında ve imha gerçekleştirilmeden önce Dijimu, Kullanıcı'ya kayıtlı e-posta adresi üzerinden önceden bildirim yapar ve verilerini dışa aktarması için makul bir süre (en az 30 gün) tanır. Bu süre içinde kontör satın alınır veya veriler dışa aktarılırsa imha uygulanmaz.

3. Bildirimde tanınan sürenin sonunda hesap hâlâ atıl ise, platformdaki kişisel veriler periyodik imha takvimine göre silinir/anonimleştirilir; yalnızca yasal saklama yükümlülüğü bulunan kayıtlar ilgili süre kadar tutulur.

4. Mükellef verileri bakımından iade/imha şekli DPA hükümlerine göre belirlenir.

Veri kaybını önlemek için hesabınız atıl kalmadan önce verilerinizi dışa aktarmanız önemle önerilir.


11. GÜNCELLEME

Bu Politika güncellenebilir; güncel sürüm https://www.dijimu.com/saklama-imha-politikasi adresinde yayımlanır.


Versiyon: v1.0 · Yürürlük tarihi: 27.06.2026

Bu metin v1.0 — Yürürlük tarihi: 27.06.2026