Veri Saklama ve İşleme

End.STP, "gerektiği kadar topla, gerektiği süre kadar sakla" prensibiyle çalışır. Veriler yalnızca tanımlı bir amaca hizmet ettiği sürece tutulur, bu amaç ortadan kalktığında silinir veya anonimleştirilir.

Saklama kararları üç temel soruya verdiğimiz cevaba dayanır:

• Bu veri neden gerekli? Açık ve tanımlı bir amacı olmayan veri toplanmaz.
• Ne kadar süre gerekli? Her veri kategorisi için mantıksal bir saklama süresi tanımlanır.
• Süre dolduğunda ne olur? Veri silinir, anonimleştirilir ya da yasal yükümlülük gereği arşivlenir.

Verilerin işlenmesi sürecinde aşağıdaki temel ilkeleri uygularız:

• Amaca bağlılık: Veri yalnızca toplanma amacıyla uyumlu biçimde kullanılır.
• Veri minimizasyonu: Hizmet için gerekli olmayan veri toplanmaz.
• Doğruluk: Verilerin güncel ve doğru kalması için kullanıcılara düzeltme imkânı sağlanır.
• Saklama sınırı: Veriler yalnızca gerekli olduğu süre boyunca tutulur.
• Bütünlük ve gizlilik: Veriler yetkisiz erişime karşı uygun teknik ve organizasyonel önlemlerle korunur.
• Şeffaflık: Hangi verinin neden işlendiği bu sayfalar üzerinden açıkça paylaşılır.

Saklama süreleri; verinin türüne, işlenme amacına ve uygulanabilir yasal yükümlülüklere göre belirlenir. Aşağıda temel kategoriler özetlenmiştir:

• Hesap verileri: Hesap aktif olduğu sürece tutulur. Hesap silindikten sonra, yasal yükümlülüklerin izin verdiği ölçüde, makul bir süre içinde (genellikle 30 gün içinde) kaldırılır.
• Öğrenme ve performans verileri: Hizmetin değerini oluşturan temel veridir; hesabınız aktif olduğu sürece tutulur, istek üzerine silinebilir veya anonimleştirilebilir.
• İletişim kayıtları: Bizimle yaptığınız yazışmalar, ihtiyaç duyulan referans süresi boyunca (tipik olarak 2 yıl) tutulur.
• Sistem günlükleri: Güvenlik ve hata ayıklama için gerekli minimum süre boyunca (tipik olarak 90 gün) tutulur, ardından otomatik olarak silinir.
• Pazarlama verileri (varsa): Açık rızanız sürdüğü sürece; rızanın geri çekilmesi durumunda en kısa sürede silinir.
• Ödeme ve fatura kayıtları (varsa): Vergi mevzuatının öngördüğü zorunlu saklama süreleri uygulanır (genellikle 10 yıl).
• Yasal kayıtlar: İlgili mevzuatın öngördüğü zorunlu saklama süreleri uygulanır.

Yukarıdaki süreler genel referans niteliğindedir; somut süreler işleme amacına ve mevzuata göre değişebilir.

Saklama süresi dolan ya da işleme amacı ortadan kalkan veriler için aşağıdaki yöntemler uygulanır:

• Silme: Verilerin tüm sistemlerden geri döndürülemez biçimde kaldırılması.
• Yok etme: Fiziksel veya elektronik kayıt ortamlarının kullanılamaz hâle getirilmesi.
• Anonimleştirme: Verinin kişisel veri niteliğini yitirecek biçimde dönüştürülmesi; kimlik tespiti yapılması mümkün olmayacak hâle getirilmesi.

Anonimleştirilmiş veriler; toplam istatistikler, hizmet kalitesi analizi ve ürün gelişimi için kullanılmaya devam edebilir.

Veri kaybını önlemek için düzenli aralıklarla yedek alınır. Yedekler; canlı veriyle aynı güvenlik standartlarıyla korunur ve şifrelenir.

Yedekleme rotasyonu, tanımlı bir yaşam döngüsüne sahiptir; süresi dolan yedekler güvenli biçimde imha edilir.

Felaket kurtarma senaryoları için tanımlı kurtarma noktaları (RPO) ve süreleri (RTO) bulunur; bu hedefler düzenli olarak gözden geçirilir.

End.STP, hizmetin işletilmesi için sözleşmesel yükümlülüklere bağladığı bazı üçüncü taraf hizmet sağlayıcılarını kullanır. Bu sağlayıcılar; verileri yalnızca bizim talimatımız doğrultusunda ve bu Politikadaki saklama prensiplerine uygun biçimde işler.

Tedarikçi seçiminde veri güvenliği, saklama uygulamaları ve uyum standartları kriter olarak değerlendirilir.

Verilerinizin silinmesi, düzeltilmesi, anonimleştirilmesi veya işlenmesinin sınırlandırılması yönündeki taleplerinizi her zaman iletebilirsiniz.

Talepleriniz için iletisim@endstp.com adresine yazabilirsiniz. Mevzuatın öngördüğü süreler içinde size yanıt verilir.

Hesabınızın silinmesi durumunda; öğrenme ilerlemeniz, performans verileriniz ve aktif oturumlarınız sona erer. Yasal saklama yükümlülüğüne tabi olan kayıtlar saklı kalır.

Olası bir veri ihlali durumunda; yasal bildirim yükümlülükleri (KVKK kapsamında 72 saat içinde Kurul ve etkilenen kişilere bildirim) eksiksiz biçimde yerine getirilir.

Kullanıcılara; ihlalin niteliği, kapsamı, alınacak önlemler ve risklerin azaltılması için yapabilecekleri konusunda açık biçimde bilgi verilir. Detaylı güvenlik yaklaşımı için

Veri Güvenliği sayfasını inceleyebilirsiniz.