Kişisel veriler süresiz saklanabilir mi?

Hayır. Kişisel veriler işleme amacına ve mevzuatta öngörülen saklama sürelerine uygun olarak tutulur; süre dolduğunda silme, yok etme veya anonimleştirme yapılmalıdır.

Periyodik imha dönemi nedir?

Saklama süresi dolan verilerin, politika belgesinde belirlenen periyotlarda toplu şekilde imha edilmesidir. Uygulamada yılda 2 kez periyodik imha dönemi planlanması yaygındır.

KVKK Kişisel Veri Saklama ve İmha Politikası: Saklama Süreleri, Periyodik İmha ve İmhayı Gerektiren Haller

KVKK · Saklama Süresi · Periyodik İmha · Silme / Yok Etme / Anonimleştirme

KVKK Kişisel Veri Saklama ve İmha Politikası Saklama Süreleri, Periyodik İmha ve İmhayı Gerektiren Haller

Q: Açık rıza geri çekilirse periyodik imha beklenir mi?

Veri işlemenin tek hukuki sebebi açık rıza ise ve ilgili kişi rızasını geri çekerse, periyodik imha dönemi beklenmeden imha süreci işletilmelidir.

Veri sorumluları tarafından işlenen kişisel verilerin süresiz saklanması kural olarak mümkün değildir. Kişisel veriler, işleme amacının gerektirdiği süre ve varsa ilgili mevzuatta öngörülen saklama süreleri kadar muhafaza edilmeli; süre sona erdiğinde silme, yok etme veya anonim hâle getirme yöntemlerinden uygun olanı ile imha edilmelidir.

Saklama süreleri; sektör, süreç ve tabi olunan kanunlara göre değişebilir. Bu nedenle kurumların; Kişisel Veri Saklama ve İmha Politikası ile (i) veriyi sınıflandırması, (ii) süreleri belirlemesi, (iii) yılda 2 defa planlanan periyodik imha dönemlerinde süresi dolan verileri imha etmesi beklenir. Öte yandan, veri işlemenin tek hukuki sebebi açık rıza ise ve ilgili kişi rızasını geri çekerse, periyodik imha dönemi beklenmeden imha süreci işletilmelidir.

Politikanın Mantığı Saklama Süreleri Tablosu

İçindekiler 1. Temel İlkeler: Neden Süresiz Saklanamaz? 2. İmhayı Gerektiren Haller 3. Saklama Sürelerine Etki Eden Mevzuat 4. Örnek Saklama Süreleri Tablosu 5. Periyodik İmha: Yılda 2 Dönem Planı 6. Kurumsal En İyi Uygulamalar 7. Sık Sorulan Sorular

Hızlı Özet

Prensip: Veri amaçla sınırlı süreyle saklanır; süre dolunca imha edilir.
Periyodik imha: Uygulamada yılda 2 kez planlanır ve politika belgesinde yazılı olur.
İstisna: İşleme yalnızca açık rızaya dayanıyorsa ve rıza geri çekilirse beklemeden imha gerekir.
Ana çıktılar: Veri envanteri + saklama çizelgesi + imha tutanakları + denetim izi.

Saklama Çizelgesi Silme / Yok Etme Anonimleştirme Denetim İzi

İncelemek isterseniz:
https://www.kvkk.gov.tr/Icerik/5386/KVKK-KISISEL-VERI-SAKLAMA-ve-IMHA-POLITIKASI
https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/

1. Temel İlkeler: Neden Kişisel Veriler Süresiz Saklanamaz?

Kişisel veri saklama süresi, “ne kadar uzun saklarsam o kadar iyi” yaklaşımıyla değil; amaçla bağlantılı, sınırlı ve ölçülü bir şekilde belirlenmelidir. Veri sorumlusu, işlediği her veri kategorisi için:

İşleme amacını açıkça tanımlar,
Hukuki sebebi belirler (kanuni yükümlülük, sözleşme, meşru menfaat, açık rıza vb.),
Saklama süresini mevzuata ve iş ihtiyacına göre tespit eder,
Süre bitince imha yöntemini (silme / yok etme / anonimleştirme) uygular.

1.1. “Süre dolduysa imha” yaklaşımı neden kritiktir?

Risk azaltımı: Gereksiz saklanan veri, ihlal anında zararı büyütür.
Uyum: Denetimlerde “neden hâlâ saklı?” sorusuna yazılı cevap gerekir.
Operasyonel düzen: Arşiv, yedek ve sistem kaynaklarının verimli yönetilmesini sağlar.

Not: Saklama süresi, yalnızca “aktif kullanım” süresi değildir. Mevzuat, ispat yükü ve zamanaşımı gibi faktörler de süre belirlemede rol oynayabilir.

2. İmhayı Gerektiren Haller

Kişisel veri saklama ve imha yaklaşımında “imha”, yalnızca süre bittiğinde değil; bazı koşullar oluştuğunda da gündeme gelir. Politika yaklaşımına göre imhayı gerektiren başlıca haller:

2.1. İmhayı gerektiren başlıca nedenler (kurumsal kontrol listesi)

Mevzuat değişikliği/ilga: İşlemeyi dayandırdığınız hüküm değişir veya kaldırılırsa.
Amacın ortadan kalkması: Saklamayı gerektiren işleme amacı sona ererse.
Açık rızanın geri çekilmesi: İşleme yalnızca rızaya dayanıyorsa ve rıza geri çekilirse.
İlgili kişi başvurusu kabulü: Silme/yok etme/anonimleştirme talebi kabul edilirse.
Kurul değerlendirmesi: Veri sorumlusu talebi reddeder/yanıtlamaz ve Kurul talebi uygun bulursa.
Azami sürenin dolması: Saklamayı haklı kılacak başka şart yoksa süre dolunca.

Hızlı yorum: “Periyodik imha” planı önemlidir; ancak rızanın geri çekilmesi gibi bazı senaryolarda “beklemeden imha” akışı ayrıca tanımlanmalıdır.

3. Saklama Sürelerine Etki Eden Mevzuat

Saklama süresi, çoğu zaman tek bir kaynaktan değil; farklı mevzuat yükümlülüklerinin kesişiminden doğar. Kurumlar; faaliyetleri çerçevesinde işlenen kişisel verileri, ilgili mevzuatta öngörülen süre kadar muhafaza eder.

3.1. Sık karşılaşılan mevzuat başlıkları (örnek liste)

KVKK (6698) ve ikincil düzenlemeler
Türk Ticaret Kanunu (6102), Vergi Usul Kanunu (213)
Türk Borçlar Kanunu (6098), Tüketicinin Korunması Hakkında Kanun (6502)
İş Kanunu (4857), İSG Kanunu (6331), SGK Mevzuatı (5510)
5651 (trafik bilgileri / log kayıtları gibi süreçlerde)
Elektronik Ticaret Kanunu (6563) (ticari elektronik ileti izin/onay kayıtları vb.)

Pratik: Saklama süresi belirlerken “en uzun süre”yi otomatik seçmek yerine; veri kategorisi ve amaç bazında gerekçe yazın (denetimde en çok bu sorulur).

4. Örnek Saklama Süreleri Tablosu

Aşağıdaki tablo, kurum içi saklama çizelgesi tasarlarken kullanılabilecek örnek bir çerçeve sunar. Nihai süreler; kurumun iş süreçleri, veri kategorileri, sistem mimarisi (yedekler dâhil) ve tabi olunan özel mevzuata göre netleştirilmelidir.

Kişisel Veri Kaynağı	Süre	Yasal Dayanak / Referans
Çağrı Merkezi Ses Kayıtları	3 yıl	6563 ve ilgili mevzuat
Üyelik / Rezervasyon Kayıtları	10 yıl	6098 ve sözleşmesel ilişki
Muhasebe & Finansal İşlemler Kayıtları	10 yıl	6102, 213
Çerezler ve Log Kayıtları	6 ay – en fazla 2 yıl	5651 ve ilgili düzenlemeler
Ticari Elektronik İleti Onay Kayıtları	Rıza geri alındıktan sonra 1 yıl	6563 ve ilgili mevzuat
Çevrim içi ziyaretçi trafik bilgileri	2 yıl	5651
Müşteri kişisel verileri	İlişkinin niteliğine göre 3 yıl / ilişki bitince 10 yıl	6563, 6102, 6098, 213, 6502
Tedarikçi kişisel verileri	İlişki bitince 10 yıl	6102, 6098, 213
İK süreçleri (genel)	Faaliyetin/ilişkinin sona ermesinden itibaren 10 yıl	Kurum politikası + hukuki gereklilikler
Donanım/yazılıma erişim süreçleri	2 yıl	Kurum politikası + güvenlik ihtiyacı
Ziyaretçi / toplantı kayıtları	2 yıl	Kurum politikası
Kamera kayıtları	2 yıl (uygulamada farklı süreler olabilir)	Kurum politikası / sektörel teamül
İş Kanunu kapsamı (ör. bordro, izin, tazminat ihtimali doğuran veriler)	İş ilişkisinin bitiminden itibaren 5 yıl	4857 ve ilgili mevzuat
Özlük dosyası verileri	İş ilişkisinin bitiminden itibaren 10 yıl	4857 / 6098
İSG kayıtları (ör. işe giriş sağlık, İSG eğitimleri)	İş ilişkisinin bitiminden itibaren 15 yıl	6331 ve ilgili yönetmelikler
SGK kayıtları (ör. bildirgeler, prim/hizmet)	İş ilişkisinin bitiminden itibaren 10 yıl	5510 ve ilgili mevzuat
Vergisel kayıtlar (kişisel veri içerebilen belgeler)	5 yıl	213
Mesafeli sözleşmelerde tüketicinin bilgilendirilmesine ilişkin sesli/elektronik kayıtlar	3 yıl	Mesafeli sözleşmelere ilişkin ikincil düzenlemeler
Potansiyel müşteri verileri (ör. çerez, profilleme)	13 ay	AB uygulamaları / sektörel teamül

Önemli not: Saklama çizelgesi hazırlanırken “ana sistem + yedekler + arşivler + e-posta kutuları + dosya sunucuları” birlikte değerlendirilmelidir. Aksi halde imha “kâğıt üzerinde” kalır.

5. Periyodik İmha: Yılda 2 Dönem Planı

Saklama süresi biten kişisel veriler, takip eden ilk periyodik imha döneminde imha edilir. Kurumlar, uygulamada çoğunlukla yılda iki defa periyodik imha dönemi belirler ve bunu Kişisel Veri Saklama ve İmha Politikası içinde açıkça yazar.

5.1. Örnek periyodik imha takvimi (örnek)

1. dönem: Ocak–Şubat (bir önceki yılın kapanış değerlendirmesiyle)
2. dönem: Temmuz–Ağustos (yıl ortası kontrol ve denetim iziyle)

5.2. Periyodik imhaya girmeden “derhal imha” gereken senaryolar

İşlemenin tek hukuki sebebi açık rıza ise ve ilgili kişi rızasını geri çekmişse
İlgili kişi başvurusu kabul edilmişse ve saklamayı haklı kılan başka zorunlu neden yoksa
İşleme amacının ortadan kalkmasıyla birlikte saklama için hukuki dayanak kalmamışsa

İpucu: Periyodik imha çıktısı mutlaka kayıt altına alınmalı (tutanak/log/rapor). “Ne silindi, ne zaman, hangi yöntemle?” sorusuna net cevap üretmelidir.

6. Kurumsal En İyi Uygulamalar

Saklama ve imha süreçleri sadece bir “politika dokümanı” değil; BT, hukuk/uyum, İK ve operasyon birimlerinin birlikte yürüttüğü yaşayan bir yönetişim alanıdır. Uygulanabilir ve denetlenebilir olması için aşağıdaki pratikler önerilir:

6.1. Operasyonel kontrol listesi

Veri envanteri ve veri işleme faaliyetleri envanteri güncel olmalı.
Her veri kategorisi için saklama süresi gerekçesi yazılmalı (mevzuat/amaç/riske göre).
İmha yöntemi veri tipine göre tanımlanmalı: silme (mantıksal), yok etme (fiziksel/geri döndürülemez), anonimleştirme.
Yedekleme stratejileri (retention) imha planıyla uyumlu olmalı.
İlgili kişi talepleri için SLA ve doğrulama adımları belirlenmeli.
Periyodik imha sonuçları denetime hazır biçimde saklanmalı.

6.2. Zamanaşımı / ispat ihtiyacı yaklaşımı

Bazı süreçlerde mevzuattaki saklama süresi bitse bile, uyuşmazlık ve ispat ihtiyacı nedeniyle saklama yaklaşımı tartışılabilir. Bu tür durumlarda; “saklama gerekçesi” mutlaka temel hak ve özgürlüklere zarar vermeme ve ölçülülük ilkeleriyle birlikte değerlendirilmelidir.

Özet öneri: Saklama & imha politikasını; saklama çizelgesi + periyodik imha planı + talep yönetimi + imha kayıtları olarak 4 parçalı kurgulayın.

7. Sık Sorulan Sorular

Saklama süresi dolduktan sonra “hemen” mi imha edilmelidir?

Uygulamada saklama süresi dolan veriler, politika belgesinde tanımlanan ilk periyodik imha döneminde imha edilir. Ancak açık rıza geri çekilmesi gibi bazı senaryolarda “beklemeden imha” gerekir.

Silme, yok etme ve anonimleştirme arasındaki fark nedir?

Silme, veriye erişimi ortadan kaldırmayı; yok etme, veriyi geri getirilemeyecek şekilde fiziksel/mantıksal yok etmeyi; anonimleştirme ise veriyi kişiyle ilişkilendirilemez hale getirmeyi hedefler. Seçim; veri türü, sistem mimarisi ve risk seviyesine göre yapılır.

Periyodik imha yılda kaç kez olmalı?

Kurumlar, risk ve veri hacmine göre farklı periyotlar belirleyebilir. Ancak pratikte yılda 2 kez periyodik imha dönemi planlanması yaygın bir yaklaşımdır ve politika belgesinde açıkça yazılmalıdır.

İlgili kişi silme talep ederse her durumda silmek zorunda mıyım?

Talep değerlendirmesinde, veriyi saklamayı zorunlu kılan mevzuat yükümlülükleri ve hukuki gereklilikler dikkate alınır. Saklama için geçerli bir zorunluluk varsa veri “sırf talep geldi” diye silinemez; ancak saklama amacı dışında kullanılmama ve erişimlerin kısıtlanması gibi tedbirler gündeme gelebilir.

KVKK Saklama ve İmha Periyodik İmha Saklama Süresi Silme Yok Etme Anonimleştirme İlgili Kişi Başvurusu 5651 Log 6563 Onay Kaydı