Mevzuata Öngörülen Süre Kadar Kişisel Veri Muhafazası
Mevzuata öngörülen süre muhafaza edilmesi, kişisel verilerin işlendikleri amaç için gerekli olan süre kadar saklanmasını ifade eder. Veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyarak, kişisel verileri yalnızca işlendikleri amaç için gerekli olan süre kadar muhafaza edebilirler.
Veriler, daha fazla saklama için geçerli ve hukuki bir sebep olmadığı sürece silinmeli, yok edilmeli veya anonim hale getirilmelidir. Gelecekte tekrar kullanılmak amacıyla veya soyut gerekçelerle kişisel verilerin süresiz muhafazası kabul edilemez.
1. Mevzuata Öngörülen Süre Kadar Muhafaza İlkesi
Kişisel verilerin, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyarak, kişisel verileri sadece işlendikleri amaç için gerekli olan süre kadar saklayabilirler.
Veriler, daha fazla saklama için geçerli bir sebep olmadığı sürece silinecek, yok edilecek veya anonim hale getirilecektir. Gelecekte tekrar kullanılmak amacıyla veya başka bir gerekçe ile kişisel verilerin süresiz muhafaza edilmesi kabul edilemez.
Önemle belirtilmelidir ki, mevzuat kapsamında öngörülen sürelerin aşılmaması gerekmektedir. Amaç sona ermiş, saklama süresi dolmuş olmasına rağmen verilerin tutulmaya devam edilmesi, veri minimizasyonu ve saklama süresi ilkelerine aykırıdır.
Not: Kişisel verilerin saklanmasına ilişkin süreler; KVKK, özel kanunlar, ikincil mevzuat, sektörel regülasyonlar ve iç politika/prosedürler birlikte değerlendirilerek belirlenmelidir.
2. VERBİS’e Bildirilecek Saklama Süresi
Veri Sorumluları Siciline (VERBİS) başvuru yaparken, Kanunun 16. maddesi gereği kişisel verilerin işlenme amacı için gereken en uzun sürenin bildirilmesi zorunludur. Bu süre, veri sorumlusunun belirlediği saklama süresiyle ilgili mevzuatta öngörülen sürelerden farklı olabilir.
Eğer mevzuatta azami muhafaza edilme süresi öngörülmüşse, bu süre tercih edilmeli; mevzuatta süre öngörülmemişse, iç politikalarda belirlenen saklama süreleri arasında en uzun olanı Sicile bildirim için esas alınmalıdır.
2.1 Saklama Süresi ile Mevzuat Süresinin Çakışması
Veri sorumlusu, farklı süreçler için farklı saklama süreleri belirleyebilir. Ancak ilgili mevzuatta açıkça bir süre öngörülmüş ise, iç politika ile belirlenen süreden daha uzun süreler kullanılamaz.
Kısaca:
- Mevzuatın öngördüğü süreler alt sınır değil, çoğu zaman üst sınırdır.
- Veri sorumlusu, süreyi daha da uzatacak şekilde keyfi karar veremez.
- Mevzuatın belirttiği süreler dolduğunda, ilgili veri seti için saklama faaliyeti sonlandırılmalı, silme–yok etme–anonimleştirme işlemi başlatılmalıdır.
3. Mevzuatın Sınırları ve Aşılanmaması Gereken Süreler
Önemle belirtilmelidir ki, mevzuat kapsamında öngörülen sürelerin aşılmaması gerekmektedir. Eğer veri sorumlusu tarafından belirlenen saklama süreleri, mevzuatın öngördüğü sürelerin üzerinde ise, bu durumda söz konusu faaliyetler yalnızca ilgili mevzuatın belirttiği yükümlülükleri yerine getirmek amacıyla sınırlı bir saklama ve işleme faaliyeti olarak gerçekleştirilebilmelidir.
Yani pratiğe dökersek:
- Mevzuat 10 yıl saklama öngörüyorsa, 15 yıllık saklama politikası belirlenemez.
- Mevzuatta hiç süre yoksa, risk temelli bir değerlendirme ile makul saklama süresi belirlenmelidir.
- İşleme amacı ortadan kalktığında, mevzuat saklama süresi henüz dolmamış olsa dahi mümkün olduğunca minimizasyon ve erişim kısıtlama yöntemleri uygulanmalıdır.
Saklama sürelerinin yanlış belirlenmesi, hem KVKK ihlali hem de gereksiz veri yığılması nedeniyle veri ihlali riskini artıran bir faktör hâline gelebilir.
4. Verilerin Sonlandırılması ve Güvenliğinin Sağlanması
Veri sorumlusu, verilerin belirlenen sürelerin sonunda silinmesini, yok edilmesini veya anonim hale getirilmesini temin etmelidir. Bu noktada, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri dikkate alınarak veriler, işleme amacına uygun şekilde imha edilmelidir.
Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi; veri güvenliği ve gizliliğin sağlanmasının temel araçlarıdır. Bu şekilde, kişisel verilerin gereksiz ve ilgisiz bir şekilde muhafaza edilmesi önlenerek aşağıdaki faydalar sağlanır:
- Veri sızıntısı ve yetkisiz erişim risklerinin azaltılması,
- Depolama ve yedekleme maliyetlerinin düşürülmesi,
- Mevzuata uyumun güçlendirilmesi ve idari para cezası riskinin azaltılması,
- Kurumsal veri yönetiminde şeffaflık ve düzenin artırılması.
5. Mevzuata Öngörülen Sürelerin Takibi ve Saklama Süresinin Belirlenmesi
Mevzuata öngörülen sürelerin takibi, etkili bir saklama-imha politikasının temel unsurudur.
5.1 Mevzuata Öngörülen Sürelerin Takibi
- Kişisel verilerin uygun bir şekilde muhafaza edilmesi, mevzuata sıkı sıkıya bağlıdır.
- Veri sorumluları, ilgili mevzuatta verilerin saklanması için belirli bir süre öngörülmüşse bu süreye uymakla yükümlüdür.
- Veri sorumlularının, kişisel verileri yalnızca işlendikleri amaç için gerekli olan süre kadar muhafaza etmesi gerekmektedir.
5.2 Saklama Süresinin Belirlenmesi
Veri Sorumluları Sicili’ne başvururken, kişisel verilerin işlenme amacı için gerekli en uzun süre bildirilmelidir. Bu süre:
- Veri sorumlusunun belirlediği saklama süresi ile ilgili mevzuatta öngörülen sürelerden farklı olabilir.
- Mevzuatta azami muhafaza edilme süresi öngörülmüşse, bu süre tercih edilir.
- Mevzuatta açık bir azami süre yoksa, iç politikalarda belirlenen sürelerden en uzun olanı Sicile bildirim için esas alınır.
5.3 Verilerin Sonlandırılması ve Güvenliği
Veri sorumlusu, belirlenen sürelerin sonunda kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini sağlamalıdır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca, veriler işleme amacına uygun şekilde ve kayıt tutulmak suretiyle imha edilmelidir.
Bu şekilde kişisel verilerin gereksiz ve ilgisiz bir şekilde muhafaza edilmesi önlenerek, veri güvenliği ve gizliliği sağlanmış olur.
Özet: Saklama sürelerinin belirlenmesi ve takibi, yalnızca bir “liste” hazırlanmasından ibaret değildir; düzenli gözden geçirme, imha takvimi ve sorumlu birim atamalarıyla desteklenmelidir.
Sık Sorulan Sorular: Mevzuata Öngörülen Süre Kadar Muhafaza
Kişisel veriler ne kadar süre saklanabilir?
Kişisel veriler, işlendikleri amaç için gerekli olan süre kadar ve varsa ilgili mevzuatta öngörülen azami saklama süresiyle sınırlı olarak saklanabilir. Amaç sona erdiğinde ve mevzuattaki süre dolduğunda, veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Mevzuatta süre yoksa saklama süresini nasıl belirlemeliyiz?
Mevzuatta açık bir saklama süresi öngörülmemişse, veri sorumlusu; işleme amacını, riskleri ve sektör uygulamalarını dikkate alarak makul bir saklama süresi belirlemelidir. Bu süre, saklama-imha politikasında ve VERBİS kaydında açıkça gösterilmelidir.
Mevzuat 10 yıl derken biz 15 yıl saklayabilir miyiz?
Hayır. Mevzuatın öngördüğü saklama süreleri, genellikle üst sınır niteliğindedir. İç politika ile daha uzun bir süre belirlenmesi, KVKK’nın saklama süresi ve veri minimizasyonu ilkeleriyle çelişir ve hukuka aykırı işleme riski doğurur.
VERBİS’e bildirilen süre ile fiili saklama süresi farklı olabilir mi?
Fiili saklama süresi, VERBİS’e bildirilen süreden daha uzun olamaz. Daha kısa tutulması ise mümkündür; zira amaç sona erdiğinde veriler her hâlükârda imha edilmelidir. Uyum için, envanter, saklama-imha politikası ve VERBİS kayıtlarının birbiriyle tutarlı olması gerekir.
Saklama süresi dolunca tüm verileri hemen silmek zorunda mıyız?
Saklama süresi dolduğunda, ilgili veri seti için hukuki bir saklama zorunluluğu kalmamışsa verilerin silinmesi, yok edilmesi veya anonimleştirilmesi gerekir. Bu işlem, periyodik imha takvimine bağlanarak (örneğin 6 ayda bir) toplu ve kayıtlı şekilde yürütülebilir.
Silme, yok etme ve anonimleştirme arasında nasıl seçim yapmalıyız?
Eğer veriye artık hiçbir şekilde ihtiyaç yoksa yok etme veya silme tercih edilebilir. Verinin istatistik, raporlama veya araştırma amacıyla kullanımı devam edecekse ve kimlikle bağının tamamen koparılması mümkünse, anonimleştirme daha uygun bir yöntemdir.

