USLU & TEMEL

A V U K A T L A R

A T T O R N E Y S  A T  L A W

Kişisel Verileri Saklama ve İmha Politikasının Hazırlanmasında Dikkat Edilmesi Gereken Hususlar

 

Kişisel Verileri Koruma Kanunu’nun 5'inci ve 6'ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

 

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun'un 4'üncü maddesindeki genel ilkeler ile 12'nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

 

Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğinin 5. maddesi uyarınca Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla da yükümlü tutulmuştur.

 

Aynı Yönetmelik’in 6. maddesi uyarınca Kişisel veri saklama ve imha politikası asgari olarak;

 

  • Kişisel veri saklama ve imha politikasının hazırlanma amacına,
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
  • Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
  • Saklama ve imha sürelerini gösteren tabloya,
  • Periyodik imha sürelerine,
  • Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe

 

ilişkin bilgileri içermelidir.

 

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

 

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

 

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 

Kişisel Verileri Saklama ve İmha Politikasının hazırlanması ve uygulanması, KVKK uyum sürecinin önemli bir parçasıdır. Veri sorumlusunun işletmesinin dinamiklerine uygun bir sürecin geliştirilmesi, KVKK uyarınca yerleştirilecek uygulamanın işletmenin organik bir parçası haline gelebilecek şekilde planlanması, gerçekli ve uygulanabilir önemlidir. Bu nedenlerle süreç boyunca konu hakkında uzman bir avukattan destek alınması tavsiye edilmektedir.