Kişisel Veri Saklama ve İmha Politikası
Son güncelleme: 16.07.2026
| Veri Sorumlusu | Parça Gönder Otomotiv Ltd. Şti. |
|---|---|
| Vergi Dairesi / VKN | Ostim VD / 1234567890 |
| Adres | Başkent Oto Sanayi Sitesi 23. Cadde No:45 Yenimahalle/Ankara |
| Telefon | 0850 000 00 00 |
| E-Posta | info@parcagonder.com |
| Web Sitesi | https://parcagonder.tredyazilim.com |
| Yürürlük Tarihi | 16.07.2026 |
| Sürüm / Revizyon No | 1.0 |
1. Amaç
Bu Kişisel Veri Saklama ve İmha Politikası ("Politika"), Parça Gönder Otomotiv Ltd. Şti. ("Şirket" veya "Veri Sorumlusu") tarafından yürütülen https://parcagonder.tredyazilim.com alan adlı oto yedek parça e-ticaret platformu ve bağlı hizmetler kapsamında işlenen kişisel verilerin; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun/KVKK"), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") ve ilgili mevzuata uygun olarak saklanması ile silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket, kişisel verilerin işlenme amaçlarının ortadan kalkması, saklama sürelerinin sona ermesi veya ilgili kişinin talebi hâlinde verileri bu Politika ve mevzuata uygun biçimde imha etmeyi taahhüt eder.
2. Kapsam
Bu Politika; müşteriler, üyeler, üye olmadan sipariş veren/sipariş takibi yapan ziyaretçiler, site ziyaretçileri ve sohbet botu (chatbot) kullanıcıları başta olmak üzere Şirket tarafından kişisel verileri işlenen tüm gerçek kişileri ve bu kişilere ait kişisel verilerin işlendiği tüm kayıt ortamlarını ve faaliyetleri kapsar.
Politika; Şirketin sahip olduğu ya da yönettiği, kişisel verilerin işlendiği fiziksel ve elektronik tüm kayıt ortamlarında uygulanır.
3. Tanımlar
| Kavram | Tanım |
|---|---|
| Açık rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onay. |
| Alıcı grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
| Anonim hale getirme | Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
| İlgili kişi | Kişisel verisi işlenen gerçek kişi. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kayıt ortamı | Tamamen veya kısmen otomatik ya da otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Özel nitelikli kişisel veri | Kanun'un ilgili maddesinde sayılan (ırk, etnik köken, sağlık, biyometri vb.) veriler. |
| Kişisel verilerin işlenmesi | Kişisel verilerin elde edilmesinden imhasına kadar her türlü işlem. |
| Kişisel verilerin silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi. |
| Kişisel verilerin yok edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi. |
| Periyodik imha | Kanun'da yer alan işleme şartlarının tamamının ortadan kalkması durumunda, tekrar eden aralıklarla resen gerçekleştirilen silme, yok etme veya anonim hale getirme işlemi. |
| Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi. |
| Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen kişi. |
| VERBİS | Veri Sorumluları Sicil Bilgi Sistemi. |
| Kurul / Kurum | Kişisel Verileri Koruma Kurulu / Kişisel Verileri Koruma Kurumu. |
Bu Politikada yer almayan tanımlar bakımından Kanun ve ilgili mevzuattaki tanımlar geçerlidir.
4. Kayıt Ortamları
Şirket tarafından kişisel veriler aşağıdaki ortamlarda hukuka uygun olarak saklanır:
Elektronik ortamlar:
- Uygulama veritabanı (PostgreSQL) — üyelik, sipariş, adres, sadakat, yorum, iade vb. kayıtlar,
- Uygulama ve sunucu log/kayıt dosyaları (işlem güvenliği, erişim ve hata logları),
- Sohbet botu (chatbot) konuşma kayıtları ve kullanıcı tarafından yüklenen görseller,
- E-posta / SMTP hizmet sağlayıcısı üzerinde tutulan bildirim ve yazışma kayıtları,
- Barındırma (hosting) altyapısı ve yedekleme (backup) ortamları,
- Entegrasyon logları (kargo, ödeme/PSP, e-fatura, pazaryeri, tedarikçi ve yapay zekâ altyapısı entegrasyonlarına ilişkin kayıtlar),
- Kurumsal bilgisayarlar, taşınabilir bellekler ve diğer dijital medya (varsa).
Fiziksel ortamlar:
- Basılı belgeler, faturalar, sözleşmeler ve yazışmaların bulunduğu dosya ve arşiv ortamları (varsa).
Not: Ödeme kartı numarası (PAN), CVV ve benzeri kart bilgileri Şirket sistemlerinde saklanmaz; ödeme işlemleri yetkili ödeme kuruluşunun/bankanın kendi güvenli ödeme sayfasında gerçekleştirilir.
5. Saklamayı ve İmhayı Gerektiren Hukuki ve Teknik Sebepler
5.1. Saklamayı gerektiren sebepler
Kişisel veriler; sözleşmenin kurulması ve ifası, hukuki yükümlülüklerin yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması, Şirketin meşru menfaatleri ve gerektiğinde ilgili kişinin açık rızası hukuki sebeplerine dayanılarak, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süreler boyunca saklanır.
5.2. İmhayı gerektiren sebepler
Aşağıdaki hâllerde kişisel veriler resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir:
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değişmesi veya yürürlükten kalkması,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verilerin işlenmesini gerektiren tüm işleme şartlarının ortadan kalkması,
- İşlemenin yalnızca açık rıza şartına dayalı olduğu hâllerde ilgili kişinin açık rızasını geri alması,
- İlgili kişinin Kanun'un 11. maddesindeki hakları çerçevesinde yaptığı silme/yok etme başvurusunun Şirketçe kabul edilmesi,
- Saklama süresinin sona ermesi ve verinin daha uzun süre saklanmasını haklı kılan bir şartın bulunmaması.
6. İşlenen Kişisel Veri Kategorileri
Platform kapsamında aşağıdaki kişisel veri kategorileri işlenir:
- Kimlik: Ad, soyad,
- İletişim: E-posta adresi, telefon numarası,
- Adres: Teslimat ve fatura adresi, il/ilçe bilgisi,
- Müşteri İşlem: Sipariş geçmişi, sepet, favoriler, ürün yorumları, sadakat puanı, iade/talep kayıtları,
- Finans: Ödeme yöntemi bilgisi (kart PAN/CVV saklanmaz; ödeme kuruluşunun güvenli sayfasında işlenir),
- Pazarlama: Açık rıza bulunması hâlinde e-bülten/ileti tercihleri,
- İşlem Güvenliği: IP adresi, çerez kayıtları, oturum bilgisi, tarayıcı bilgisi, log kayıtları,
- Sohbet Botu (Chatbot) Verileri: Müşterinin sohbet mesajları, ürün bulma amacıyla yüklediği fotoğraflar, araç şasi/VIN numarası.
7. Saklama Süreleri Tablosu
Aşağıdaki tabloda yer alan süreler, ilgili mevzuat ve işleme amaçları esas alınarak belirlenmiş azami saklama süreleridir. Süre sonunda veriler ilk periyodik imha döneminde imha edilir.
| # | Veri Türü / Süreç | Saklama Süresi | Hukuki Dayanak / Gerekçe |
|---|---|---|---|
| 1 | Sipariş, fatura ve ticari işlem kayıtları | 10 yıl (yasal saklama süresi boyunca) | İlgili vergi ve ticaret mevzuatı uyarınca (VUK/TTK kapsamındaki defter ve belge saklama yükümlülükleri) |
| 2 | Üyelik / hesap bilgileri (kimlik, iletişim, adres, hesap verileri) | Üyelik ilişkisi devam ettiği sürece ve ilişkinin sona ermesinden itibaren ilgili zamanaşımı süreleri gözetilerek belirlenen makul süre | Sözleşmenin ifası, meşru menfaat, hukuki yükümlülük ve olası uyuşmazlıklarda hakkın korunması |
| 3 | Sadakat programı kayıtları (puan, kazanım/kullanım) | Üyelik ilişkisi süresince ve makul bir süre | Sözleşmenin ifası, meşru menfaat |
| 4 | Ürün yorumları | Yayında kaldığı süre boyunca / ilgili kişinin silme talebine kadar | Meşru menfaat; talep hâlinde silinir veya anonimleştirilir |
| 5 | İade ve talep/şikâyet kayıtları | İşlemin tamamlanmasından itibaren ilgili zamanaşımı süresi boyunca | Hakkın tesisi ve korunması, hukuki yükümlülük |
| 6 | Sohbet botu (chatbot) konuşmaları, yüklenen görseller ve VIN/şasi verileri | Yaklaşık 30 gün sonra silinir | İşleme amacının (anlık destek / ürün-uyum sorgusu) kısa sürede sona ermesi; açık rıza (yurt dışı aktarım bakımından) |
| 7 | İşlem güvenliği / erişim / sunucu log kayıtları | Yaklaşık 90 gün | Bilgi güvenliği, meşru menfaat, ilgili mevzuattan doğan yükümlülükler |
| 8 | Entegrasyon logları (kargo, ödeme, e-posta, e-fatura, pazaryeri, tedarikçi, yapay zekâ altyapısı) | İşlemsel gerekliliğin devamı ve ilgili mevzuatta öngörülen süre boyunca | Meşru menfaat, hukuki yükümlülük |
| 9 | Pazarlama / e-bülten verileri ve ileti tercihleri | Açık rıza geri alınana kadar (rıza geri alındığında imha edilir) | Açık rıza |
| 10 | Çerezler ve benzeri teknolojiler | Her bir çerezin Çerez Politikası'nda belirtilen kendi süresi kadar | Zorunlu çerezler: meşru menfaat / hizmetin sunumu; analitik ve işlevsel çerezler: açık rıza |
| 11 | Şifre sıfırlama token kayıtları | Kısa süreli (1 saat, tek kullanımlık) | Hesap güvenliği, meşru menfaat |
| 12 | Fiziksel belge ve arşiv kayıtları (varsa) | İlgili mevzuatta öngörülen süreler | Hukuki yükümlülük |
Yukarıdaki süreler, farklı mevzuat hükümlerinin daha uzun bir süre öngörmesi hâlinde ilgili mevzuat hükmüne göre uygulanır.
8. İmha Yöntemleri
Saklama süresi sona eren veya imhası gereken kişisel veriler, verinin niteliği ve kayıt ortamına göre aşağıdaki yöntemlerden uygun olanı ile imha edilir.
8.1. Kişisel verilerin silinmesi
- Veritabanı kayıtları: İlgili kaydın veritabanından kalıcı olarak silinmesi veya ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesi; yasal saklama gereken alanların maskelenmesi.
- Elektronik dosyalar / log kayıtları: Dosyaların işletim sistemi veya uygulama üzerinden geri getirilemeyecek biçimde silinmesi, erişim yetkilerinin kaldırılması.
- E-posta ve entegrasyon kayıtları: İlgili kayıtların silinmesi ve erişim yetkilerinin kısıtlanması.
- Fiziksel belgeler (varsa): İlgili bölümün karartılması/okunamaz hâle getirilmesi ya da belgenin güvenli imha kutularına konulması.
8.2. Kişisel verilerin yok edilmesi
- Fiziksel ortamlar için kâğıt imha (kıyma) makineleri ile geri getirilemez biçimde yok etme.
- Elektronik medya (disk, taşınabilir bellek vb.) için de-manyetizasyon, fiziksel yok etme veya güvenli üzerine yazma (overwrite) yöntemleri.
8.3. Kişisel verilerin anonim hale getirilmesi
- Kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli/belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi (ör. maskeleme, toplulaştırma, değişken çıkarma gibi kabul görmüş anonimleştirme teknikleri). Özellikle istatistik/analiz amacıyla saklanması istenen kayıtlar anonimleştirilerek muhafaza edilebilir.
Yedekleme (backup) ortamlarında yer alan ve silinmesi gereken kişisel veriler, ilk erişim anına kadar teknik olarak izole edilir; yedeklerin döngüsel olarak yenilenmesiyle birlikte söz konusu veriler imha edilir ve bu ortamlara erişim uygun şekilde kısıtlanır.
9. Periyodik İmha
Şirket, Kanun ve Yönetmelik uyarınca işleme şartlarının tamamı ortadan kalkmış kişisel verileri periyodik imha süreciyle resen imha eder.
- Periyodik imha aralığı: Her 6 (altı) ayda bir (yılda iki kez, Haziran ve Aralık aylarında).
- Periyodik imha işlemleri, saklama süresi dolan veriler tespit edilerek gerçekleştirilir ve işlem kayıt altına alınır.
- Otomatik imhaya uygun süreçlerde (ör. chatbot konuşmalarının yaklaşık 30 gün sonra silinmesi, logların yaklaşık 90 gün sonra temizlenmesi) imha, tanımlı otomatik mekanizmalar aracılığıyla da yürütülebilir.
- Periyodik imhaya ilişkin kayıtlar, Yönetmelikte öngörülen asgari süre boyunca (aksi mevzuatta öngörülmedikçe en az üç yıl) saklanır.
10. Saklama ve İmha Süreçlerinin Sorumluları ve Görev Dağılımı
Politikanın uygulanması, gözetimi ve güncellenmesinden Şirket üst yönetimi adına ilgili birim/kişiler sorumludur.
| Rol / Unvan | Görev ve Sorumluluk |
|---|---|
| KVKK Koordinatörü / İrtibat Kişisi | Politikanın hazırlanması, güncellenmesi, uygulanmasının gözetimi ve saklama/imha süreçlerinin koordinasyonu |
| Bilgi İşlem / IT Sorumlusu | Elektronik ortamlardaki verilerin saklanması, güvenliği ve teknik imha işlemlerinin gerçekleştirilmesi |
| Muhasebe / Finans Sorumlusu | Mali ve yasal saklama yükümlülüğüne tabi kayıtların ilgili süreler boyunca muhafazası |
| Müşteri Hizmetleri Sorumlusu | İlgili kişi taleplerinin alınması, yönlendirilmesi ve yanıtlanmasının takibi |
| Yönetim / İlgili Yönetici | Süreçlerin denetimi ve nihai onay |
Tüm çalışanlar, görevleri kapsamında eriştikleri kişisel verileri bu Politikaya ve mevzuata uygun olarak işlemek ve korumakla yükümlüdür.
11. İlgili Kişinin Talebi Üzerine İmha ("Hesabımı Sil" / Unutulma Hakkı)
İlgili kişi, Kanun'un 11. maddesi kapsamında kişisel verilerinin silinmesini veya yok edilmesini talep edebilir. Platform üzerinde sunulan "hesabımı sil" işlevi veya doğrudan başvuru yoluyla iletilen talepler aşağıdaki şekilde değerlendirilir:
- Başvurunun alınması: Talep, işbu Politikanın 12. maddesindeki başvuru kanalları üzerinden alınır ve kimlik teyidi yapılır.
- Değerlendirme: Talebe konu verilerin işlenmesini gerektiren tüm şartların ortadan kalkıp kalkmadığı incelenir.
- İmha: İşleme şartları ortadan kalkmışsa, ilgili kişisel veriler silinir veya anonim hale getirilir.
- Yasal saklama yükümlülüğü olan kayıtlar: Sipariş, fatura ve benzeri, mevzuat gereği belirli süre saklanması zorunlu olan kayıtlar tamamen silinemeyebilir. Bu durumda söz konusu kayıtlar, yalnızca yasal yükümlülüğün gerektirdiği ölçüde ve kişisel veriler mümkün olduğunca maskelenerek/erişim kısıtlanarak saklanır; saklama süresi dolduğunda periyodik imha kapsamında imha edilir.
- Bilgilendirme: Talebin sonucu, mevzuatta öngörülen süre içinde (kural olarak en geç 30 gün içinde) ilgili kişiye bildirilir.
- Açık rızaya dayalı işlemeler: İlgili kişinin açık rızasını geri alması hâlinde, yalnızca açık rızaya dayanan işlemeler (ör. pazarlama iletileri, chatbot verilerinin yurt dışına aktarımı) durdurulur ve ilgili veriler imha edilir.
12. İlgili Kişinin Hakları ve Başvuru Usulü
İlgili kişi, Kanun'un 11. maddesi uyarınca Şirkete başvurarak; kişisel verisinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini isteme, silinmesini/yok edilmesini isteme, düzeltme ve silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, münhasıran otomatik sistemlerle analiz sonucu aleyhine bir sonucun ortaya çıkmasına itiraz etme ve zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Başvurular, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun olarak aşağıdaki kanallardan iletilebilir:
- Yazılı başvuru (ıslak imzalı): Başkent Oto Sanayi Sitesi 23. Cadde No:45 Yenimahalle/Ankara
- Kayıtlı e-posta / güvenli elektronik imza ile: info@parcagonder.com
- Kurul tarafından belirlenen diğer yöntemler.
Başvurular, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılır; işlemin ayrıca bir maliyet gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir.
13. Yürürlük ve Güncelleme
Bu Politika, Parça Gönder Otomotiv Ltd. Şti. tarafından https://parcagonder.tredyazilim.com üzerinde yayımlandığı 16.07.2026 tarihi itibarıyla yürürlüğe girer. Mevzuat değişiklikleri veya Şirket süreçlerindeki değişiklikler doğrultusunda Politika güncellenebilir; güncel sürüm web sitesinde yayımlanır. Politika ile ilgili mevzuat arasında uyumsuzluk bulunması hâlinde mevzuat hükümleri uygulanır.