Günümüz dijital çağında teknoloji geliştikçe ve iletişim ağları genişledikçe veri paylaşımı da oldukça yaygınlaşmış ve güncel bir konu haline gelmiştir. Bu verilerin kullanım alanları iyi amaçlı olduğu gibi kötü niyetlerle verilerin dağıtılmasını destekleyen insanlar da mevcut. Teknolojiyle bu kadar içli dışlı olduğumuz bir çağda da kişisel verilerimizin saklanması ve korunması için de yasal yükümlülükler ve gerekli kanunlar getirilmesi de kaçınılmaz.
Örnek verecek olursak Avrupa’da GDPR (General Data Protection Regulation), Amerika’da CCPA (California Consumer Protection Act) ve Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) gibi kanunlar ve düzenlemeler kişisel verilerin korunması açısından oldukça önemli adımlardır. Gelin bugünkü yazımızda beraber KVKK’nin derinlerine inip kişisel verilerin ne kadar süre muhafaza edilebildiğini, imha sürelerini ve birçok detayı beraber inceleyelim.
Table of Contents
Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?
KVKK, Türkiye Cumhuriyeti’nde kişisel verilerin korunması amacıyla oluşturulmuş olan bir hukuki düzenlemedir. “Kişisel Verilerin Korunması Kanunu” olarak bilinen KVKK, bireylerin kişisel verilerinin işlenmesini düzenleyen ve bu verilerin korunmasını amaçlayan bir mevzuattır.
KVKK’nın temel amacı, bireylerin kişisel verilerinin hukuka uygun bir şekilde işlenmesini sağlamak ve bu verilerin güvenliğini korumaktır. Birey haklarını korurken, hukuka uygunluğu ve veri güvenliğini göz önünde bulundurur. KVKK, kişisel verilerin işlenmesini düzenleyerek, bu süreçlerin şeffaf, adil ve meşru bir biçimde gerçekleşmesini amaçlar. Bu çerçevede, bireylerin rızasını almak, veri sorumlusunun yükümlülükleri, veri işleyenin sorumlulukları gibi konularda detaylar verir.
Ayrıca, KVKK, veri sorumlusu ve veri işleyen kavramlarını tanımlayarak, bu kişi veya kuruluşların belirli yükümlülükleri ve sorumlulukları olduğunu vurgular. Veri sorumlusu, kişisel verilerin işleme amaçlarını belirleyen ve bu işlemleri gerçekleştiren, veri işleyen ise bu işlemleri adına gerçekleştiren kişidir. KVKK, bu tanımlarla birlikte, veri sorumluları ve veri işleyenlerin kişisel verilere ilişkin gerçekleşen durumlarda kişisel verilerin güvenliğinden sorumluğu olduğunu belirtir.
Kanunlara Göre Kişisel Veriler Ne Kadar Süre Muhafız Edilebilir?
Yukarıda da tanımladığımız üzere veri sorumlularının elde ettiği veriler sonsuza kadar saklanmaz, saklanamaz, saklanmamalıdır. Çünkü saklanması hem etik değil hem de gereksizdir. Kullanılma amacına uygun olarak belli bir süre tutulmalı sonra da bu kişisel veriler imha edilmelidir. Ancak, kişisel verilerin saklanma süresi bağlı oldukları sektöre ve kanunlara göre değişiklik gösterebilmektedir. Kanunlara göre verilerin muhafaza süresi yazımızın ilerideki tabloda gösterilmektedir.
Kişisel verilerin saklanma süresi bittikten sonra ilk periyodik imha döneminde bu veriler imha edilmelidir. Yılda 2 defa periyodik imha dönemi şirkete göre planlanmalı ve bu bilgi, kurumların Kişisel Veri Saklama ve İmha Politikasında da belirtilmelidir. Yalnız, eğer verilerinin paylaşılmasına açık rıza veren bir kişi rızasını geri çektiyse, gerekli kurumlar imha periyodunu beklemeden bu kişisel verileri yok etmekle yükümlüdür.
Kişisel Verilerin Saklanma Süreleri ve Belirtilen Kanunlar
Kişisel Veri Kaynağı | Süre | Yasal Dayanak |
Çağrı Merkezi Ses Kayıtları | 3 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
Üyelik ve Rezervasyona İlişkin Kayıtlar | 10 Yıl | 6098 Sayılı Kanun |
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar | 10 Yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler ve Log Kayıtları | 6 Ay – En Fazla 2 Yıl | 5651 Sayılı İnternet Kanunu |
Ticari Elektronik Mail Onay Kayıtları | Onayın geri alındığı tarihten itibaren 1 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri | 2 Yıl | 5651 Sayılı Kanun |
Müşterilere İlişkin Kişisel Veriler | 6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. | 6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Kişisel Verileri Koruma Kurulu İşlemleri | 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kurum İletişim Faaliyetleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Donanım ve Yazılıma Erişim Süreçleri | 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Ziyaretçi ve Toplantı Kullanıcıların Kaydı | Etkinliğin Sona ermesinden İtibaren 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kamera Kayıtları | 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) | İş İlişkisinin sona ermesinden itibaren 5 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) | İş İlişkisinin sona ermesinden itibaren 15 Yıl | 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kâr payı ödemeleri vb.) | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) | Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz | 6102 Sayılı Türk Ticaret Kanunu |
Burs ödemesi / Çalışan Avans Ödemesi | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) | 1 Yıl | Sektörel teamüller geçerli. |
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler | 10 Yıl | 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Sektörel Teamül |
Çalışan Memnuniyet Anketlerine İlişkin Veriler | Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl | Sektörel Teamül |
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Genel Kurul İşlemleri Uyarınca İşlenen Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli veya Elektronik Ortamdaki Bilgiler | 3 Yıl | 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) | Sözleşmenin Sona Ermesine Müteakip 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
Ziyaretçilerin Kişisel Verileri | 2 Yıl | 5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 90 Gün | Sektörel Teamül |
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları | En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl | 5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) | 2 Yıl | 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) | 15 Yıl | 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği |
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.) | 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, LinkedIn üzerinden profillemeye ilişkin veriler) | 13 Ay | Avrupa Birliği / Sektörel Teamül Uygulaması |
Ölmüş Bir Kişinin Kişisel Verileri | En Az 20 Yıl | 21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmeli |
Kişisel Verilerin İmhasını Gerektiren Durumlar
KVKK’ye göre 10.03.2019 yılında yayınlanan Kişisel Veri Saklama ve İmha Politikasında imha durumunu gerektiren altı durum belirtilmiştir. Bu durumlar:
- İşlenmesi esas alınan ilgili mevzuat hükümlerinin değiştirilmesi ya da kaldırılması,
- Verilerin işlenmesi veya saklanması için verilen amacın artık geçerli olmaması,
- Kişinin kişisel verileri için verdiği açık rızayı geri çekmesi,
- KVKK’nın 11. maddesine göre, kişinin kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu kabul etmemesi durumunda kullanıcının Kurula şikâyette bulunması ve bu talebin Kurul tarafından kabul edilmesi,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın olmaması,
Durumlarında kişisel veriler Kurum veya Kurul tarafından imha edilir, geri çekilir veya anonim hale getirilir.
Kişisel Verilerin Korunması ve İşletmeler için Uyum Süreçleri
Türkiye’de kişisel verilerin korunması amacıyla oluşturulan Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin nasıl işleneceğini düzenleyerek, bu verilerin güvenliğini ve verilerin korunmasını sağlamakla yükümlüdür. Bu düzenleme, bireylerin kişisel verileri üzerinde kontrol sahibi olmalarını, veri işleme faaliyetlerini hukuka uygun bir zeminde gerçekleştirmeyi ve kişisel verilerin güvenliğini sağlama almayı hedeflemektedir. Veri sorumlusu ve veri işleyen tanımlarıyla birlikte, KVKK, bu kurumların belirli yükümlülükleri ve sorumluluklarını da belirler.
Sonuç olarak, kişisel verilerin korunması, birey haklarının ve gizlilik prensiplerinin korunması açısından oldukça önemlidir. İşletmeler, KVKK’ya uyum sağlamak adına gerekli politika ve prosedürleri oluşturarak, veri sorumlusu ve veri işleyen rollerini anlayarak, kişisel verilerin güvenliğini sağlamak için çaba göstermelidir. Bu uyum süreçleri, sadece yasal yükümlülükleri yerine getirmekle kalmayıp, aynı zamanda müşteri güvenini ve kurumsal itibarı güçlendirecek önemli bir adımdır.
Günümüzde internet ve sosyal medyayla içli dışlı oldukça hayatımıza yeni terimler girmekte, analiz için yöntemler üretilmekte. Tüketici memnuniyeti de...
1950’li yıllarda yaptığı çalışmalarla günümüzdeki yapay zekâ çalışmalarının ve kavramının temelini ortaya atan Alan Turing, hepimizin diline pelesenk ...
Gösterilecek yorum yok.