KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

10 Şub 2025

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Bu makalemizde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatıyla hareket eden tüzel kişilerin, kişisel verileri saklama ve imha süreçlerinde nelere dikkat etmesi gerektiğini ele aldık. Kişisel verilerin doğru, güncel, meşru amaçlarla ve yalnızca gerektiği sürece saklanması; sonrasında da uygun yöntemlerle silinmesi, yok edilmesi ya da anonimleştirilmesi, hem hukuki uyum hem de kurumsal itibar açısından büyük önem taşıyor.

Günümüzde artan dijitalleşme ve veri odaklı iş yapma modelleri, kurumları her zamankinden daha fazla veri güvenliği ve mahremiyet konularında sorumluluk sahibi olmaya itiyor. Eğer siz de veri sorumlusu sıfatı taşıyan bir tüzel kişi olarak “Verilerimi ne kadar süre saklamalıyım?”, “İmha işlemlerinde hangi yöntemleri kullanmalıyım?” gibi sorularla ilgileniyorsanız, doğru yerdesiniz!

1. GİRİŞ

Kişisel veriler işlenirken, aşağıdaki temel ilkelerin göz önüne alınması gerekmektedir.

  • Doğruluk ve Güncellik: Verilerin doğru, eksiksiz ve gerektiğinde güncellenmesi gerekmektedir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması ile ilgili özen yükümlülüğü veri sorumlusunda olup, veri sorumlusu aynı zamanda her zaman için ilgili kişinin kişisel verilerini doğru ve güncel olmasını sağlayacak kanallarını da açık tutması gerekmektedir. 

  • Amaç Sınırlılığı: Verilerin yalnızca bildirilen işleme amaçları doğrultusunda kullanılması gerekmektedir. Bu ilke, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. 

  • İşlem Sınırlandırması: Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde toplanması gerekmektedir. İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerekmektedir.

  • Saklama Süresi: Kişisel verilerin; yasal veya iş amaçları doğrultusunda belirlenen süreden fazla tutulmaması gerekmektedir. Buna göre; veri sorumluları, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye uyacak; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklayabilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek veya anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.

2. KİŞİSEL VERİLERİN SAKLANMASI

Kişisel Veriler; genel olarak aşağıdaki amaçlarla saklanmalıdır.

  • Şirket güvenliğini sağlamak.

  • İstatistiksel çalışmalar yapabilmek.

  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.

  • İnsan kaynakları süreçlerini yürütmek. 

  • Kurumsal iletişimi sağlamak.

  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

  • Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

  • Çağrı merkezi süreçlerini yönetmek.

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmelidir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler silinmeli veya anonim hale getirilmelidir.

Tablo 1 Saklama Süreleri

VERİ

SAKLAMA SÜRESİ 

Çağrı Merkezi Ses Kayıtları


3 Yıl


Üyeliklere İlişkin Kayıtlar

10 Yıl


Çerezler ve Log Kayıtları


6 Ay - 2 Yıl

Ticari Elektronik Mail Onay Kayıtları


Onayın geri alındığı tarihten itibaren 3 Yıl


Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri


2 Yıl

Müşterilere İlişkin Kişisel Veriler


Hukuki ilişki sona erdikten sonra 10 Yıl

Tedarikçilere İlişkin Kişisel Veriler


Hukuki ilişki sona erdikten sonra 10 Yıl


Sözleşmeler

Sözleşmenin Sona Ermesinden İtibaren 10 Yıl

Kamera Kayıtları


2 Yıl


İş Kanunu Kapsamında Saklanan Veriler 

İş İlişkisinin sona ermesinden itibaren 5 Yıl


İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler

1 Yıl


Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay Defterinde Yer Alanlar Hariç)

10 Yıl


Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler


10 Yıl


Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler


5 Yıl


Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları


2 Yıl (İş Davalarına Konu Olması Halinde 10 Yıl)


Açık Rıza Gerektiren Kişisel Verilerde; Veri Sahibinin Açık Rızasını Geri Alması

Anında imha edilir.

3. KİŞİSEL VERİLERİN İMHA SÜRECİ VE TEKNİKLERİ

Kişisel verilerin işlenme şartları ortadan kalktığında ve saklama süreleri sona erdiğinde; veri sorumlusu kendiliğinden ya da ilgili kişinin talebi hâlinde, verileri silmek, yok etmek veya anonimleştirmek zorundadır. İşlenme şartlarının ortadan kalkması; yasal saklama süresinin dolması, ilgili kişinin rızasını geri çekmesi veya rızaya dayanılmayan hallerde de meşru işleme sebebinin sona ermesi gibi durumlarda ortaya çıkar.

A. Kişisel Verilerin İmha Teknikleri

Kişisel Verilerin imhası; silinerek, yok edilerek veya anonim hale getirilerek gerçekleştirilir.

Tablo 2: Kişisel verilerin silinmesi 

SAKLANAN VERİLER

İMHA ŞEKLİ (SİLİNME)

Sunucularda Yer Alan Kişisel Veriler 

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılmalıdır.

Elektronik Ortamda Yer Alan Kişisel Veriler 

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. 

Fiziksel Ortamda Yer Alan Kişisel Veriler 

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmelidir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanmalıdır. 

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanmalıdır.

Tablo 3: Kişisel verilerin yok edilmesi

SAKLANAN VERİLER

İMHA ŞEKLİ (YOK EDİLME)

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kağıt ortamında yer alan kişisel veriler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilmelidir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması, kırılması veya toz haline getirilmesi gibi fiziksel olarak yok edilme işlemleri uygulanabilir.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.  Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.

B.Resen İmha Süreleri 

Kişisel Veri Saklama ve İmha Politikası olan veri sorumluları, işlenme şartının ortadan kalktığı (Saklama süresinin bittiği) tarihten sonraki ilk periyodik imha sürecinde (en geç 6 ayda bir) verileri silmeli, yok etmeli veya anonimleştirmelidir. Politika sahibi olmayan veri sorumluları ise işlenme şartının ortadan kalkmasından itibaren 3 ay içinde bu işlemleri gerçekleştirmekle yükümlüdür. 

C.İlgili Kişi Talebi Üzerine İmha Süreleri

İlgili kişi, kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Eğer işleme şartları tamamen ortadan kalkmışsa, veri sorumlusu en geç 30 gün içinde talebi yerine getirmeli ve ilgili kişiye bilgi vermelidir. Veriler üçüncü kişilere aktarılmış ise, veri sorumlusu bu durumu üçüncü kişilere bildirerek silme veya yok etme işlemlerinin onların nezdinde de yapılmasını sağlamalıdır. İlgili kişinin talebinin reddedilmesi halinde, bu ret cevabı gerekçesiyle birlikte 30 gün içinde yazılı veya elektronik ortamda bildirilmelidir.

D.İmha Kayıtlarının Saklanması

Silme, yok etme veya anonimleştirme işlemlerine ilişkin tüm kayıtlar en az 3 yıl saklanmalıdır.

4. İMHA SÜREÇLERİNDE ALINACAK TEKNİK VE İDARİ TEDBİRLER

İmha süreçlerinin hukuka uygun ve güvenli şekilde yapılabilmesi için teknik ve idari tedbirlerin alınması gereklidir.

A.Teknik Tedbirler

  • Veri erişim kontrolü: İlgili kullanıcılar dışında kimsenin silme veya yok etme işlemlerine erişememesi sağlanmalıdır.

  • Güvenlik yazılımları: Anti-virüs, güvenlik duvarı, IDS/IPS sistemleri, düzenli sızma testleri, güçlü şifreleme yapılmalıdır.

  • Veri tabanı yönetimi: Silme komutlarının doğru ve tam olarak uygulanması, geri getirilemeyecek şekilde işlem yapılması sağlanmalıdır.

  • Loglama: Tüm silme, yok etme, anonimleştirme işlemleri log kayıtlarına alınmalı ve denetlenmelidir.

B.İdari Tedbirler

  • Kişisel Veri Saklama ve İmha Politikası: Yürürlükteki mevzuata uygun şekilde Kişisel Veri Saklama ve İmha Politikası hazırlanmalı, güncel tutulmalı ve tüm çalışanlara duyurulmalıdır.

  • Eğitim: İmha süreçlerinden sorumlu personele düzenli eğitim verilmeli, genel farkındalık sağlanmalıdır.

  • İç denetim: Düzenli aralıklarla politika uygulamaları ve imha süreçleri denetlenmelidir.

  • Veri işleme envanteri: Tüm veri kategorileri, saklama süreleri ve işlenme amaçları net şekilde kayıt altına alınmalı; kişisel veri envanteri, imha politikası ile uyumlu olmalıdır

5.SONUÇ

KVKK, veri sorumlusu tüzel kişilerin kişisel veri işleme süreçlerine dair ciddi yükümlülükler öngörmekte ve uyumsuzluk durumunda önemli yaptırımlar içermektedir. Kişisel verilerin ne kadar süreyle saklanacağı, hangi yöntemle imha edileceği ve kimlerin bu süreçlerden sorumlu olacağı gibi konuları açıkça belirlemiş bir Kişisel Veri Saklama ve İmha Politikası hazırlamak gerekmekte; ayrıca şirket personelini düzenli eğitimlerle desteklemek, teknik ve idari tedbirleri sürekli güncel tutmak da bu süreçlerin başarıyla yürütülmesi için büyük önem taşır.

Unutmayın, kişisel verileri korumak ve güvenli şekilde imha etmek yalnızca bir yasal yükümlülük değil, aynı zamanda dijital çağın gerektirdiği temel bir sorumluluktur.

Av. Mehmet Emre DARICI

Geri Dön
Benzer Makaleler
GECE ÇALIŞMASINDA FAZLA MESAİ HESAPLAMASI Teknolojik Çalışma Modeli Olan Uzaktan Çalışmanın Yasal Çerçevesi BELİRLİ SÜRELİ İŞ SÖZLEŞMELERİNDE CEZAİ ŞART Rekabet Kurumu’nun Yabancı Şirketlere Verdiği Para Cezaların Tahsil Edilebilirliği ULUSLARARASI HUKUKTA KİŞİSEL VERİLERİN KORUNMASI VE TÜRK MEVZUATI İLE KARŞILAŞTIRILMASI REKABET KURUMU'NUN GOOGLE'A 2.6 MİLYAR TL'LİK CEZASI BELEDİYELERİN OTOPARK YAPMA YÜKÜMLÜLÜĞÜ AÇIKLAMASIZ HAVALE EDİLEN PARALARIN HUKUKİ MAHİYETİ BAE Pazarına Giriş: Merak Edilenler