Kişisel Veriler Ne Kadar Süre ile Muhafaza Edilebilir? KVKK’ya Göre Saklama, Silme, Yok Etme ve Anonimleştirme
Teknolojinin gelişmesi ve iletişim ağının yaygınlaşmasıyla birlikte dünyada veri paylaşımı giderek artıyor. Ancak maalesef paylaşılan veri arttıkça, bu verilerin kötü niyetli kullanımı da artıyor. Kişisel verilerimizi korumak, rıza verdiğimiz yerler dışında kullanılmasının önüne geçmek için devlet kurumları; Avrupa’da GDPR (General Data Protection Regulation), Amerika’da CCPA (California Consumer Privacy Act) ve Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) gibi düzenlemeleri yürürlüğe koymuş durumdadır.
Bu kanun ve yönetmelikler her geçen gün daha da gelişmekte, sıkılaşmakta ve caydırıcı yaptırımlar içermektedir. Öte yandan bazı sistemlerin işleyebilmesi için, ilgili kişinin veri güvenliğini tehlikeye atmadan belirli verilerin işlenmesi ve belirli sürelerle saklanması gerekir. Peki KVKK’ya göre kişisel veriler ne kadar süreyle muhafaza edilebilir ve hangi koşullarda silinmeli, yok edilmeli veya anonimleştirilmelidir?
KVKK’ya göre kişisel veri saklama, yalnızca verinin hizmet ettiği amacın süresiyle sınırlıdır. Amaç ortadan kalktığında veri; silinmeli, yok edilmeli veya anonim hale getirilmelidir. Saklama süresi, veri sorumlusunun politikası ve ilgili mevzuat çerçevesinde belirlenir.
Periyodik imha periyotları en fazla 6 ay olabilir; kişisel veri saklama ve imha politikası olmayan veri sorumluları ise en geç 3 ay içinde veri imhasını gerçekleştirmekle yükümlüdür.
2. KVKK’ya Göre Kişisel Veri İşleme Tanımı
6698 sayılı KVKK’nın 3. maddesine göre kişisel verilerin işlenmesi:
“Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.” (6698 s. KVK m.3/1–e)
Yani kişisel veriyle ilgili neredeyse her temas, KVKK anlamında bir “veri işleme faaliyeti”dir. Bu nedenle saklama süresi de dahil olmak üzere tüm yaşam döngüsü, kanuna uygun şekilde yönetilmelidir.
3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
KVKK, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için özel şartlar öngörür. Kanuna göre kişisel veri saklama işlemi, sadece verinin hizmet ettiği amacın süresiyle sınırlıdır.
KVKK m.7/1 bunu açıkça şöyle ifade eder:
“…Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.”
Dolayısıyla veri sorumlusu; veriyi saklamaya gerekçe olan hukuki/fiili sebep ortadan kalktığında, ilgili kaydı sistemlerinden kaldırmakla veya anonimleştirmekle yükümlüdür. Anonimleştirme, verinin artık herhangi bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi anlamına gelir.
4. Kişisel Veriler Ne Kadar Süre ile Muhafaza Edilebilir?
Resmî Gazete’de yayınlanan 30224 sayılı “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”’in 11. maddesine göre; veri sorumlusu kişisel veri saklama ve imha politikası hazırlamış ise, kişisel verileri danışmaksızın silme, yok etme veya anonim hale getirmesi için ihtiyaç duyduğu süreyi kendi belirler.
Ancak bu süre keyfi değildir; işleme amacı, ilgili mevzuattaki zorunlu saklama süreleri ve ölçülülük ilkesi çerçevesinde belirlenmelidir.
Yönetmelik uyarınca:
- Periyodik yok etmenin gerçekleşeceği zaman aralığı veri sorumlusunun saklama ve imha politikasında açıkça belirtilmeli ve her hâlükârda 6 ayı geçmemelidir.
- Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlama yükümlülüğü yoksa, kişisel verileri silme, yok etme veya anonimleştirme sorumluluğunun başladığı tarihten itibaren en geç 3 ay içinde bu işlemi gerçekleştirmelidir.
Kısaca; KVKK, verilerin “ne kadar uzun süre saklanabileceğini” değil, “ne kadar kısa ve amaçla sınırlı saklanması gerektiğini” tarifler.
5. İlgili Kişi Başvuruları ve Süreler
İlgili kişi (veri sahibi), KVKK’nın 13. maddesine göre veri sorumlusuna başvurarak kişisel verilerinin silinmesini, yok edilmesini veya anonimleştirilmesini talep edebilir. Bu durumda süreler değişebilir:
- Talep alındıktan sonra, verileri işleme şartlarının tamamı ortadan kalkmışsa, veri sorumlusu talebi en geç 30 gün içinde sonuçlandırarak ilgili kişiye bildirmelidir.
- Veriler, talep edilmeden önce işleme amacıyla üçüncü taraflara aktarılmışsa; veri sorumlusu, durumu söz konusu üçüncü kişilere bildirir ve 30224 sayılı yönetmelik kapsamında gereken işlemleri yaptırır.
- Kişisel verileri işleme şartları tamamen ortadan kalkmadıysa, ilgili kişinin talebi gerekçeleri açıklanarak en geç 30 gün içinde yazılı veya elektronik ortamda reddedilebilir.
Eğer veri sorumlusu iseniz ve bir kişi verilerinin silinmesi, imha edilmesi veya anonimleştirilmesi konusunda size başvurursa; mutlaka hukuk biriminiz veya avukatınızla birlikte süreci yönetmeniz gerekir.
6. Bulut Hizmetleri ve KVKK’ya Göre Saklama
Kişisel Verileri Koruma Kurulu’nun “Örneklerle KVKK” yayınında bulut hizmetlerine ilişkin şu örnek yer alır:
“Bir özel şirketin, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme yapması halinde, bulut hizmeti sağlayıcısı veri işleyen durumundadır. Çünkü taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için işlemesi mümkün değildir. Ayrıca, bulut hizmeti sağlayıcısının kendisi de bilgileri toplamamaktadır. Tek faaliyeti şirketten gelen kişisel verileri yine özel şirketin talimatlarına uygun olarak depolamaktır.”
Buna göre bulut hizmetlerinde saklanan veriler, sözleşme ve teknik/idari tedbirler doğru kurgulandığı sürece KVKK’ya aykırı bir durum oluşturmaz. Asıl sorumluluk, verilerin amaçla sınırlı işlenmesini ve saklama sürelerinin KVKK’ya uygun yönetilmesini sağlamakla yükümlü olan veri sorumlusundadır.
7. Çerezler (Cookies), Veri Saklama ve KVKK & GDPR İlişkisi
Dijital ortamda kişisel veri topladığımız internet platformları ve web sitelerinde, kişisel veri saklama için çoğunlukla çerezler (cookies) kullanılır. Çerezler; bir web sitesi ziyaret edildiğinde tarayıcılarda depolanan küçük veri dosyalarıdır. Bilgisayarınıza veya telefonunuza küçük veriler kaydedip, daha sonra sayfaya tekrar girdiğinizde bu bilgileri kullanabilirler.
Çerezler genel olarak internette gezinme deneyimini iyileştirmek ve siteleri kişiselleştirmek için kullanılır. Kişilerin web sitesinde aradıkları bilgileri tarayıcı deposuna aktarır ve geçmişte tutar. Web sitesi üzerindeki hareketleri tarayıcıda saklayarak, kullanıcı deneyimini ve pazarlama performansını artırmak için kullanılır.
Günümüzde en popüler tarayıcılar (Internet Explorer, Firefox, Safari, Opera, Google Chrome) çerezlere izin verme konusunda kullanıcılara ayarlar paneli üzerinden yetki verir. Tarayıcılar ilk yüklendiğinde çerezlere genellikle varsayılan olarak izin verilir.
KVKK’ya Göre Çerez Rızası ve Saklama
Çerezlerin (cookies) doğru şekilde toplanması ve saklanması, web sitesini ziyaret eden kullanıcıların veri güvenliğini sağlamak için kritik öneme sahiptir. Bu nedenle çerezlerin KVKK’ya uygun şekilde toplanması ve saklanması gerekir.
KVKK kapsamında çerez rızası (cookie consent) sıkı anlamda her zaman açık bir zorunluluk olarak yazılmamış olsa da; site hizmetleriyle kişisel bilgileri topluyorsanız, kullanıcıları bu konuda bilgilendirmeniz ve rıza almanız beklenmektedir. Şeffaf bir çerez politikası, kullanıcılara gizliliklerine önem verdiğinizi gösterir ve uyum sürecinin önemli bir parçasıdır.
GDPR, CCPA ve Uluslararası Yükümlülükler
2018 yılında yürürlüğe giren GDPR (General Data Protection Regulation) gereğince, Avrupa Birliği ülkelerinden birinde şirketiniz bulunuyorsa veya AB’den web sitenize ziyaretçi geliyorsa; çerez politikası ve bildirimi yasal zorunluluk haline gelir. Web sitenizin İngilizce versiyonu varsa ve yurtdışına satış yapıyorsanız, çerez politikası ve rıza yönetimi yükümlülüğü yine geçerlidir.
Benzer şekilde ABD’de CCPA ve diğer veri koruma düzenlemeleri, kullanıcıların kişisel verileri üzerinde daha fazla kontrol sahibi olmasını öngörür. Bu da çerezler ve benzeri teknolojilerle toplanan verilerin saklama süresi, paylaşımı ve silinmesi açısından ek yükümlülükler getirir.
Çerezler hakkında detaylı bilgilendirme yapmak ve yerli sunucularda, yerli platformlarla çerezlerinizi yönetmek için Nesil Teknoloji’nin rıza yönetimi platformu gibi çözümlerden yararlanabilirsiniz.
8. Sık Sorulan Sorular (SSS)
1. Kişisel veriler KVKK’ya göre ne kadar süre saklanabilir?
KVKK, verilerin belirli bir “yıl” sayısı ile saklanacağını söylemez. Veriler; yalnızca işleme amacının gerektirdiği süre boyunca ve ilgili mevzuattaki zorunlu süreler kadar saklanabilir. Amaç ortadan kalktığında veri silinmeli, yok edilmeli veya anonimleştirilmelidir.
2. Periyodik imha periyodu en fazla ne kadar olabilir?
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e göre periyodik imha periyodu en fazla 6 ay olabilir. Veri saklama ve imha politikanızda bu periyodu açıkça tanımlamanız gerekir.
3. Veri saklama ve imha politikam yoksa ne yapmalıyım?
Politikanız olmasa bile, kişisel verileri silme, yok etme veya anonimleştirme sorumluluğunuz doğduğu anda başlar. Yönetmelik gereği bu durumda ilgili verileri en geç 3 ay içinde sistemlerinizden kaldırmanız gerekir.
4. Kullanıcı verilerinin silinmesini isterse ne kadar sürede yanıt vermeliyim?
İlgili kişi KVKK m.13 uyarınca başvurduğunda; verileri işleme şartları tamamen ortadan kalkmışsa, talebi en geç 30 gün içinde sonuçlandırmalı ve sonucu yazılı veya elektronik ortamda kişiye bildirmelisiniz.
5. Bulut ortamında veri saklamak KVKK’ya aykırı mı?
Hayır. Bulut hizmeti sağlayıcısı, sözleşme gereği çoğunlukla “veri işleyen” konumundadır. Verilerin saklanması veri sorumlusunun talimatına göre yapılır. Teknik ve idari tedbirler alınırsa, bulut ortamında veri saklamak KVKK’ya aykırılık oluşturmaz.
6. Çerezler için rıza almak gerçekten zorunlu mu?
KVKK’da çerez rızası doğrudan isim verilerek düzenlenmese de; kişisel veri toplayan çerezler için aydınlatma ve birçok durumda açık rıza aranır. GDPR kapsamındaysanız ise çerez politikası ve rıza yönetimi açık bir yasal zorunluluktur.
