DİJİMU
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Bu Politika, 6698 sayılı KVKK m. 7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca, Dijimu tarafından işlenen kişisel verilerin saklanması ve imhasına ilişkin usul ve esasları belirler.
1. AMAÇ VE KAPSAM
Bu Politika; Dijimu (veri sorumlusu/veri işleyen) tarafından tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin kayıt ortamlarını, saklama sürelerini, güvenlik tedbirlerini, imha yöntemlerini ve periyodik imha takvimini düzenler. Kapsamı; Kullanıcı (mali müşavir/personel) verileri ile Kullanıcı'nın talimatıyla işlenen mükellef verilerini içerir.
2. TANIMLAR
| Terim | Açıklama |
|---|---|
| Kayıt ortamı | Kişisel verilerin bulunduğu her türlü elektronik veya fiziksel ortam |
| Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi |
| Yok etme | Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi |
| Anonim hâle getirme | Verilerin başka verilerle eşleştirilse dahi kimliği belirli/belirlenebilir bir kişiyle ilişkilendirilemeyecek hâle getirilmesi |
| Periyodik imha | Yönetmelik'te öngörülen, tekrar eden aralıklarla resen yapılan silme/yok etme/anonimleştirme işlemi |
3. KAYIT ORTAMLARI
Kişisel veriler, hizmetin bulut tabanlı yapısı gereği esas olarak elektronik ortamlarda tutulur:
Elektronik ortamlar:
- Uygulama ve veritabanı sunucuları (PostgreSQL) — yurt içinde (Türkiye) barındırılır
- Yüklenen belge/dosya depolama alanı (fatura, banka ekstresi, OCR görselleri, e-belge XML'leri)
- Şifreli yedekleme ortamları
- Önbellek/oturum depoları (Redis vb.)
- E-posta ve bildirim (WhatsApp/SMS) gönderim kayıtları
- Log, oturum ve denetim (audit) kayıt sistemleri
Fiziksel ortamlar:
- Dijimu hizmeti elektronik ortamda sunar; kişisel veriler kural olarak basılı evrak hâlinde tutulmaz. İstisnaen oluşabilecek basılı belgeler kilitli dolap/arşivde saklanır.
Tüm elektronik kayıt ortamlarına erişim rol bazlı yetkilendirme ile sınırlandırılır ve loglanır.
4. SAKLAMAYI GEREKTİREN HUKUKİ VE İŞ SEBEPLERİ
- 213 sayılı VUK (m. 253 vd. — defter ve belgelerin 5 yıl, ilgili tarh zamanaşımı ile birlikte muhafazası)
- 6102 sayılı TTK (m. 82 — ticari defter/belgelerin 10 yıl saklanması)
- 6098 sayılı TBK (genel zamanaşımı — 10 yıl)
- 5510 sayılı SGK Kanunu ve ilgili mevzuat
- 5651 sayılı Kanun (trafik/log kayıtları)
- 6563 sayılı Kanun ve İYS (ticari ileti onay/ret kayıtları)
- KVKK ve ilgili ikincil mevzuat; hizmet sözleşmesinin ifası ve ispatı
5. SAKLAMA SÜRELERİ TABLOSU
Dijimu üyeliği süresiz ve kontör (kredi) esaslıdır; ilgili kontör tükendiğinde hesap salt görüntülemeye geçer ve atıl döneme girer. Saklama süreleri bu modele göre belirlenir:
| Veri / Süreç | Saklama Süresi | Dayanak |
|---|---|---|
| Platforma yüklenen ve işlenen mükellef verileri (e-fatura/e-arşiv/e-defter, ekstre, dekont, makbuz, OCR çıktıları, fiş aktarımları) | Hesap aktif olduğu sürece; ilgili kontör tükendikten ve hesap işlem yapmadan 1 (bir) yıl atıl kaldıktan sonra silinir/anonimleştirilir | KVKK m. 4-7; DPA |
| Üyelik / hesap kimlik bilgileri | Hesap mevcut olduğu sürece; atıl imha sonrasında yalnızca yasal gereklilik kadar | KVKK, TBK |
| Dijimu'nun düzenlediği abonelik/kontör ödeme kayıtları | İlgili mevzuat süresince (Dijimu kendi veri sorumlusu) | VUK, TTK |
| Kötüye kullanım önleme kaydı (Luca kullanıcı kodu — hash'li) | Süresiz (tekrar deneme istismarını önleme) | Meşru menfaat |
| Sözleşme ve açık rıza/onay kayıtları | İlişki süresince + ispat için 3 yıl | TBK, KVKK |
| Destek talepleri ve yazışmalar | 5 yıl | TBK |
| WhatsApp/e-posta iletişim arşivi | Hesap aktif olduğu sürece + atıl dönem sonuna kadar | Meşru menfaat |
| Oturum/işlem logları, IP, güvenilir cihaz | 2 yıl | 5651, güvenlik |
| 2FA kodları, doğrulama/şifre sıfırlama token'ları | Geçerlilik süresi + azami 30 gün | Güvenlik |
| Pazarlama açık rıza/etkileşim verileri | Rıza geri alınana kadar + 3 yıl (ispat) | KVKK, 6563 |
| Çerez verileri | Çerez Politikası'ndaki süreler | KVKK |
Mali belgelerin yasal saklanması: VUK m. 253 vd. ve TTK m. 82 uyarınca mali belgelerin kanuni süre (genel olarak 10 yıl) saklanması yükümlülüğü veri sorumlusu sıfatındaki mali müşavire aittir. Kullanıcı, hesabı atıl kalmadan önce verilerini dışa aktararak bu yükümlülüğü yerine getirir; Dijimu (veri işleyen) atıl dönem sonunda verileri platformdan imha eder.
Not: Yukarıdaki süreler azami saklama sürelerini gösterir. Mükellef verileri için saklama/iade/imha Veri İşleyen Sözleşmesi (DPA) hükümlerine tabidir (aşağıda m. 10).
6. TEKNİK VE İDARİ TEDBİRLER
KVKK m. 12 uyarınca kişisel verilerin güvenliği için alınan başlıca tedbirler:
Teknik tedbirler:
- TLS 1.2+ ile şifreli iletim (HTTPS); parolaların hash'lenmesi; entegrasyon kimlik bilgilerinin (Luca/GİB/Zirve/SGK) şifreli saklanması
- Rol bazlı erişim kontrolü, yetki matrisi ve erişim/işlem loglaması (audit log)
- Resmî portal ve otonom (temassız/robotik) veri aktarımlarında güvenli ve denetimli ağ bağlantılarının kullanılması
- Güvenlik duvarı, DDoS koruması, güvenlik açığı taraması ve güncel yama yönetimi
- Düzenli ve şifreli yedekleme; felaket kurtarma planları
- İki faktörlü kimlik doğrulama (2FA)
İdari tedbirler:
- Personel ve iş ortağı gizlilik taahhütleri ile KVKK farkındalık eğitimleri
- Veri İhlali Müdahale Prosedürü (ihlalde KVKK Kurulu'na 72 saat içinde bildirim)
- Erişim yetkilerinin periyodik gözden geçirilmesi
- Alt veri işleyenlerin sözleşmesel olarak bağlanması (DPA)
7. İMHA VE ANONİMLEŞTİRME YÖNTEMLERİ
Silme yöntemleri (yazılımsal):
- İlgili veritabanı kayıtlarının geri dönüşü olmayan biçimde silinmesi veya erişimin kalıcı olarak kapatılması
- Rol bazlı erişim yetkilerinin kaldırılması
- Yedeklerdeki verilerin ilk erişimde silinmek üzere işaretlenmesi
Yok etme yöntemleri:
- Fiziksel medya (disk/yedek) için güvenli silme, üzerine yazma (overwrite), de-manyetize etme (degauss) veya fiziksel imha
- Bulut/sunucu sağlayıcısının güvenli imha mekanizmalarının kullanılması
Anonim hâle getirme yöntemleri:
- Maskeleme — verinin tanımlayıcı kısımlarının gizlenmesi (ör. VKN/IBAN'ın bir bölümünün yıldızlanması)
- Değişken/kayıt çıkarma — kimliği belirleyen alanların (ad-soyad, VKN, TCKN) atılması
- Toplulaştırma (agregasyon) — verinin istatistiksel toplamlara dönüştürülmesi
- Genelleştirme ve bölgesel gizleme
Muhasebe motoru öğrenme havuzunda tenant kimliği saklanmaz; kişi/firma adı ve VKN gibi tanımlayıcılar filtrelenerek yalnızca anonim örüntü tutulur.
8. PERİYODİK İMHA TAKVİMİ
- Saklama süresi dolan kişisel veriler, 6 ayda bir (her yıl Haziran ve Aralık aylarında) resen silinir, yok edilir veya anonim hâle getirilir.
- İlgili kişinin başvurusu üzerine yapılan silme talepleri, başvurudan itibaren en geç 30 gün içinde sonuçlandırılır.
- İmha işlemleri kayıt altına alınır ve denetime hazır tutulur.
9. SORUMLULUK VE ROLLER
- Politikanın uygulanmasından veri sorumlusu (Dijimu yetkilisi) sorumludur.
- Erişim yetkileri rol bazlıdır (Süper Yönetici / Yönetici / Personel / Mükellef); imha işlemleri yetkili personelce yürütülür ve loglanır.
10. KONTÖR TÜKENMESİ / ATIL HESAP — VERİ İADESİ VE İMHA
Üyelik süresiz olduğundan veri imhası, üyeliğin "bitmesi" yerine kontörün tükenmesi ve hesabın atıl kalması esasına bağlıdır:
1. İlgili kontör tükendiğinde hesap salt görüntülemeye geçer; Kullanıcı bu dönemde dilediğinde kontör satın alarak devam edebilir veya verilerini dışa aktarabilir (export).
2. İmha öncesi bildirim (makul ihbar): Hesap işlem yapmadan yaklaşık 1 (bir) yıl atıl kaldığında ve imha gerçekleştirilmeden önce Dijimu, Kullanıcı'ya kayıtlı e-posta adresi üzerinden önceden bildirim yapar ve verilerini dışa aktarması için makul bir süre (en az 30 gün) tanır. Bu süre içinde kontör satın alınır veya veriler dışa aktarılırsa imha uygulanmaz.
3. Bildirimde tanınan sürenin sonunda hesap hâlâ atıl ise, platformdaki kişisel veriler periyodik imha takvimine göre silinir/anonimleştirilir; yalnızca yasal saklama yükümlülüğü bulunan kayıtlar ilgili süre kadar tutulur.
4. Mükellef verileri bakımından iade/imha şekli DPA hükümlerine göre belirlenir.
Veri kaybını önlemek için hesabınız atıl kalmadan önce verilerinizi dışa aktarmanız önemle önerilir.
11. GÜNCELLEME
Bu Politika güncellenebilir; güncel sürüm https://www.dijimu.com/saklama-imha-politikasi adresinde yayımlanır.
Versiyon: v1.0 · Yürürlük tarihi: 27.06.2026