Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında VERBİS’e kayıtlı olmakla yükümlü olan tüm veri sorumluları ayrıca bir kişisel veri işleme envanteri ve buna uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
Ancak bu politikayı hazırlamakla mükellef olmayan veri sorumlularının da Kanun uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.
Veri sorumlularının tüm yükümlülükleri için ilgili yazımıza göz atabilirsiniz.
Kişisel veri saklama ve imha politikasına ilişkin detaylar Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te (Yönetmelik) düzenlenmiştir. Yönetmelikte kişisel veri saklama ve imha politikası; “Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika” olarak tanımlanmaktadır.
Veri sorumlusunun sorumlulukları arasında; işlenen verinin güncel ve doğru olması, işlenme sebebi ortadan kalkan verinin silinmesi, yok edilmesi veya anonim hale getirilmesi, veri güvenliğinin sağlanması da bulunmaktadır. İşlenme sebebi ortadan kalkan bir verinin silinmesi, yok edilmesi veya anonim hale getirilmesi bu politikası kapsamında gerçekleştirilecektir.
Politikanın Kapsamı
Kişisel veri saklama ve imha politikası asgari olarak aşağıdaki hususların bulunması zorunludur:
- Kişisel veri saklama ve imha politikasının hazırlanma amacı
- Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları
- Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları
- Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar
- Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler
- Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler
- Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları
- Saklama ve imha sürelerini gösteren tablo
- Periyodik imha süreleri
- Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklik.
Azami Muhafaza Edilme Süresi Nasıl Belirlenmelidir?
Veri sorumluları, VERBİS’e başvuruda bildirecekleri veri kategorilerini için mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresini de bildirmekle ve envanterlerinde, saklama ve imha politikalarında da bu süreleri belirtmekle yükümlüdür.
Örneğin İş Kanunu’nda 5 yıllık ve 10 yıllık zamanaşımı süreleri mevcuttur. İşten ayrılan işçi 10 yıl boyunca birtakım davaları açmaya yetkilidir. Dolayısıyla işçinin işlenen verileri, işten ayrılma tarihinden sonra 10 yıl daha tutulmalıdır. Burada azami süre 10 yıl olarak belirlenmelidir. Bu süreden sonra veri işleme faaliyeti durdurulmalı ve ilgili veri silinmelidir. Ancak bunun gibi bir hukuki mecburiyetin olmadığı durumlarda veri daha kısa süre ile işlenmelidir. Burada azami süre olarak 6 aydan uzun bir süre belirlenmesi Kanuna aykırı olacaktır.
Hemen belirtmek gerekir ki; Yönetmelik uyarınca Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. Bu nedenle kanuna ve Yönetmeliğe uygun bir politika hazırlanmalı ve bu Politikaya uygun olarak hareket edilmelidir.
