Kişisel Veriler Ne Kadar Süre Muhafaza Edilebilir?

Günümüz dijital çağında teknoloji geliştikçe ve iletişim ağları genişledikçe veri paylaşımı da oldukça yaygınlaşmış ve güncel bir konu haline gelmiştir. Bu verilerin kullanım alanları iyi amaçlı olduğu gibi kötü niyetlerle verilerin dağıtılmasını destekleyen insanlar da mevcut. Teknolojiyle bu kadar içli dışlı olduğumuz bir çağda da kişisel verilerimizin saklanması ve korunması için de yasal yükümlülükler ve gerekli kanunlar getirilmesi de kaçınılmaz.
Örnek verecek olursak Avrupa’da GDPR (General Data Protection Regulation), Amerika’da CCPA (California Consumer Protection Act) ve Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) gibi kanunlar ve düzenlemeler kişisel verilerin korunması açısından oldukça önemli adımlardır. Gelin bugünkü yazımızda beraber KVKK’nin derinlerine inip kişisel verilerin ne kadar süre muhafaza edilebildiğini, imha sürelerini ve birçok detayı beraber inceleyelim.

Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?


KVKK, Türkiye Cumhuriyeti’nde kişisel verilerin korunması amacıyla oluşturulmuş olan bir hukuki düzenlemedir. “Kişisel Verilerin Korunması Kanunu” olarak bilinen KVKK, bireylerin kişisel verilerinin işlenmesini düzenleyen ve bu verilerin korunmasını amaçlayan bir mevzuattır.
KVKK’nın temel amacı, bireylerin kişisel verilerinin hukuka uygun bir şekilde işlenmesini sağlamak ve bu verilerin güvenliğini korumaktır. Birey haklarını korurken, hukuka uygunluğu ve veri güvenliğini göz önünde bulundurur. KVKK, kişisel verilerin işlenmesini düzenleyerek, bu süreçlerin şeffaf, adil ve meşru bir biçimde gerçekleşmesini amaçlar. Bu çerçevede, bireylerin rızasını almak, veri sorumlusunun yükümlülükleri, veri işleyenin sorumlulukları gibi konularda detaylar verir.

Ayrıca, KVKK, veri sorumlusu ve veri işleyen kavramlarını tanımlayarak, bu kişi veya kuruluşların belirli yükümlülükleri ve sorumlulukları olduğunu vurgular. Veri sorumlusu, kişisel verilerin işleme amaçlarını belirleyen ve bu işlemleri gerçekleştiren, veri işleyen ise bu işlemleri adına gerçekleştiren kişidir. KVKK, bu tanımlarla birlikte, veri sorumluları ve veri işleyenlerin kişisel verilere ilişkin gerçekleşen durumlarda kişisel verilerin güvenliğinden sorumluğu olduğunu belirtir.

Kanunlara Göre Kişisel Veriler Ne Kadar Süre Muhafız Edilebilir?

Yukarıda da tanımladığımız üzere veri sorumlularının elde ettiği veriler sonsuza kadar saklanmaz, saklanamaz, saklanmamalıdır. Çünkü saklanması hem etik değil hem de gereksizdir. Kullanılma amacına uygun olarak belli bir süre tutulmalı sonra da bu kişisel veriler imha edilmelidir. Ancak, kişisel verilerin saklanma süresi bağlı oldukları sektöre ve kanunlara göre değişiklik gösterebilmektedir. Kanunlara göre verilerin muhafaza süresi yazımızın ilerideki tabloda gösterilmektedir.
Kişisel verilerin saklanma süresi bittikten sonra ilk periyodik imha döneminde bu veriler imha edilmelidir. Yılda 2 defa periyodik imha dönemi şirkete göre planlanmalı ve bu bilgi, kurumların Kişisel Veri Saklama ve İmha Politikasında da belirtilmelidir. Yalnız, eğer verilerinin paylaşılmasına açık rıza veren bir kişi rızasını geri çektiyse, gerekli kurumlar imha periyodunu beklemeden bu kişisel verileri yok etmekle yükümlüdür.

Kişisel Verilerin Saklanma Süreleri ve Belirtilen Kanunlar

Kişisel Veri KaynağıSüreYasal Dayanak
Çağrı Merkezi Ses Kayıtları3 Yıl6563 Sayılı Kanun ve İlgili Mevzuat
Üyelik ve Rezervasyona İlişkin Kayıtlar10 Yıl6098 Sayılı Kanun
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar10 Yıl6102 Sayılı Kanun, 213 Sayılı Kanun
Çerezler ve Log Kayıtları6 Ay – En Fazla 2 Yıl5651 Sayılı İnternet Kanunu
Ticari Elektronik Mail Onay KayıtlarıOnayın geri alındığı tarihten itibaren 1 Yıl6563 Sayılı Kanun ve İlgili Mevzuat
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri2 Yıl5651 Sayılı Kanun
Müşterilere İlişkin Kişisel Veriler6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl.6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun
Tedarikçilere İlişkin Kişisel VerilerHukuki ilişki sona erdikten sonra 10 Yıl6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Kişisel Verileri Koruma Kurulu İşlemleri10 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
SözleşmelerSözleşmenin Sona Ermesinden İtibaren 10 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kurum İletişim FaaliyetleriFaaliyetin Sona Ermesinden İtibaren 10 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İnsan Kaynakları SüreçleriFaaliyetin Sona Ermesinden İtibaren 10 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Donanım ve Yazılıma Erişim Süreçleri2 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Ziyaretçi ve Toplantı Kullanıcıların KaydıEtkinliğin Sona ermesinden İtibaren 2 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kamera Kayıtları2 YılKVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.)İş İlişkisinin sona ermesinden itibaren 5 Yıl4857 Sayılı İş Kanunu ve İlgili Mevzuat
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Verilerİş İlişkisinin sona ermesinden itibaren 10 Yıl4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.)İş İlişkisinin sona ermesinden itibaren 10 Yıl6098 Sayılı Türk Borçlar Kanunu
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.)İş İlişkisinin sona ermesinden itibaren 15 Yıl6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.)İş İlişkisinin sona ermesinden itibaren 10 Yıl5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanmasıİş İlişkisinin sona ermesinden itibaren 10 Yıl4857 Sayılı İş Kanunu ve İlgili Mevzuat
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleriİş İlişkisinin sona ermesinden itibaren 10 Yıl4857 Sayılı İş Kanunu ve İlgili Mevzuat
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kâr payı ödemeleri vb.)10 Yıl6102 Sayılı Türk Ticaret Kanunu
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler)Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz6102 Sayılı Türk Ticaret Kanunu
Burs ödemesi / Çalışan Avans Ödemesi10 Yıl6102 Sayılı Türk Ticaret Kanunu
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.)1 YılSektörel teamüller geçerli.
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler10 Yıl6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.)İş İlişkisinin sona ermesinden itibaren 10 YılSektörel Teamül
Çalışan Memnuniyet Anketlerine İlişkin VerilerAnketin doldurulduğu yılın sona ermesine müteakiben 1 YılSektörel Teamül
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler10 Yıl6102 sayılı Türk Ticaret Kanunu
Genel Kurul İşlemleri Uyarınca İşlenen Veriler10 Yıl6102 sayılı Türk Ticaret Kanunu
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler10 Yıl6102 sayılı Türk Ticaret Kanunu
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli veya Elektronik Ortamdaki Bilgiler3 Yıl27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları1 Yıl29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler1 Yıl29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.)Sözleşmenin Sona Ermesine Müteakip 10 Yıl6098 Sayılı Türk Borçlar Kanunu
Vergisel Kayıtlara İlişkin Kişisel Veriler5 Yıl213 Sayılı Vergi Usul Kanunu
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler5 Yıl213 Sayılı Vergi Usul Kanunu
Ziyaretçilerin Kişisel Verileri2 Yıl5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin)
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları)90 GünSektörel Teamül
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log KayıtlarıEn Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.)2 Yıl5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri)15 Yıl6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler10 Yıl6102 Sayılı Türk Ticaret Kanunu
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.)10 Yıl6098 Sayılı Türk Borçlar Kanunu
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, LinkedIn üzerinden profillemeye ilişkin veriler)13 AyAvrupa Birliği / Sektörel Teamül Uygulaması
Ölmüş Bir Kişinin Kişisel VerileriEn Az 20 Yıl21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmeli
Kişisel Verilerin Korunmasına İlişkin Saklama Yılı ve Dayanağı Tablosu

Kişisel Verilerin İmhasını Gerektiren Durumlar

KVKK’ye göre 10.03.2019 yılında yayınlanan Kişisel Veri Saklama ve İmha Politikasında imha durumunu gerektiren altı durum belirtilmiştir. Bu durumlar:

  • İşlenmesi esas alınan ilgili mevzuat hükümlerinin değiştirilmesi ya da kaldırılması,
  • Verilerin işlenmesi veya saklanması için verilen amacın artık geçerli olmaması,
  • Kişinin kişisel verileri için verdiği açık rızayı geri çekmesi,
  • KVKK’nın 11. maddesine göre, kişinin kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu kabul etmemesi durumunda kullanıcının Kurula şikâyette bulunması ve bu talebin Kurul tarafından kabul edilmesi,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın olmaması,

Durumlarında kişisel veriler Kurum veya Kurul tarafından imha edilir, geri çekilir veya anonim hale getirilir.

Kişisel Verilerin Korunması ve İşletmeler için Uyum Süreçleri


Türkiye’de kişisel verilerin korunması amacıyla oluşturulan Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin nasıl işleneceğini düzenleyerek, bu verilerin güvenliğini ve verilerin korunmasını sağlamakla yükümlüdür. Bu düzenleme, bireylerin kişisel verileri üzerinde kontrol sahibi olmalarını, veri işleme faaliyetlerini hukuka uygun bir zeminde gerçekleştirmeyi ve kişisel verilerin güvenliğini sağlama almayı hedeflemektedir. Veri sorumlusu ve veri işleyen tanımlarıyla birlikte, KVKK, bu kurumların belirli yükümlülükleri ve sorumluluklarını da belirler.
Sonuç olarak, kişisel verilerin korunması, birey haklarının ve gizlilik prensiplerinin korunması açısından oldukça önemlidir. İşletmeler, KVKK’ya uyum sağlamak adına gerekli politika ve prosedürleri oluşturarak, veri sorumlusu ve veri işleyen rollerini anlayarak, kişisel verilerin güvenliğini sağlamak için çaba göstermelidir. Bu uyum süreçleri, sadece yasal yükümlülükleri yerine getirmekle kalmayıp, aynı zamanda müşteri güvenini ve kurumsal itibarı güçlendirecek önemli bir adımdır.

Bu Yazıları da Sevebilirsiniz
Dönüşüm Oranı Nedir? Nasıl Hesaplanır?
Dönüşüm Oranı Nedir? Nasıl Hesaplanır?

Günümüzde internet ve sosyal medyayla içli dışlı oldukça hayatımıza yeni terimler girmekte, analiz için yöntemler üretilmekte. Tüketici memnuniyeti de...

Chatbot Nedir? Nasıl Kullanılır?
Chatbot Nedir? Nasıl Kullanılır?

1950’li yıllarda yaptığı çalışmalarla günümüzdeki yapay zekâ çalışmalarının ve kavramının temelini ortaya atan Alan Turing, hepimizin diline pelesenk ...

Hakkında Sıkça Sorulan Sorular

Kişisel verilerin korunması, bireylerin gizliliğini ve haklarını korumak adına kritik bir öneme sahiptir. Aynı zamanda, veri güvenliği sağlanarak, kişisel bilgilerin kötüye kullanılması ve yetkisiz erişim riskleri en aza indirgenir.

Kişisel veri, bir bireyi doğrudan veya dolaylı olarak tanımlayabilen, belirli bir kişinin kimliğine ilişkin her türlü bilgiyi içerir. Ad, soyadı, adres, telefon numarası gibi bilgiler kişisel veri örneklerindendir.

KVKK, Türkiye’de kişisel verilerin işlenmesini düzenleyen bir kanundur. Türkiye’de faaliyet gösteren tüm gerçek ve tüzel kişiler, KVKK hükümlerine uymakla yükümlüdür.

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen kişidir. Veri işleyen ise veri sorumlusunun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

KVKK, kişisel verilerin belirli bir süreyle sınırlı tutulmasını öngörür. Genel olarak, kişisel veriler işleme amacının gerektirdiği süre kadar saklanır. Ancak belirli durumlarda yasal düzenlemeler veya veri sorumlusunun iş gereksinimleri doğrultusunda daha uzun süre saklanabilir.

Bu Yazıları da Sevebilirsiniz
Kişisel Veriler Ne Kadar Süre Muhafaza Edilebilir? Hakkında İlk Yorum Yapan Sen Ol

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

(Toplam: 0 Ortalama: 0 )

Gösterilecek yorum yok.