Veri Sorumluları tarafından işlenen kişisel veriler, sonsuz sürede ya da süresiz saklanması mümkün veya olasılığı yoktur. İşlenme amacına uygun sürede tutulmalı ve daha sonra imha edilmelidir. Fakat bu süreler, şirketlerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir. Kanunlara göre kişisel verilerin işlenme zamanı aşağıdaki tabloda çıkarılmıştır. Bu süreler sonlandıktan sonra, ilk periyodik dönemde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmiştir. Diğer taraftan, ilgili kişinin kişisel verilerinin işlenmesini, istememesi veya geçmiş zaman da verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklemeden imha edilmelidir.
İmhayı Gerektiren Haller
Kişisel Verileri Koruma Kanunu tarafından 10.03.2019 tarihinde yayımlanan Kişisel Veri Saklama ve İmha Politikasına göre imha gereken 6 neden belirtilmiştir.
Bu nedenler şunlardır;
- İşlenmesine esasa alınan ilgili mevzuat hükümlerinin değiştirilmesi ya da ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, kişinin açık rızasını geri alması,
- Kanunun 11nci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu kabul etmemesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir veya re’sen silinir veya anonim hale getirilir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Söz Konusu Kanunlar
Saklama süreci sona eren verilerin imha edilmesi veri sorumlusunun sorumluluğundadır.
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Kişisel Verilerin Korunması Kanunu (6698 Sayılı),
Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563)
Türk Ticaret Kanunu (6102 Sayılı),
Vergi Usul Kanunu (213 Sayılı),
Tüketicinin Korunması Hakkında Kanun (6502 Sayılı),
Sendikalar ve Toplu İş Sözleşmesi (6356 Sayılı),
Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu (5510 Sayılı),
Türk Borçlar Kanunu (6098 Sayılı),
Kamu İhale Kanunu (4734 Sayılı),
Devlet Memurları Kanunu (657 Sayılı),
Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu (5510 Sayılı),
İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (5651 Sayılı),
Kamu Mali Yönetimi Kanunu (5018 Sayılı),
İş Sağlığı ve Güvenliği Kanunu (6331 Sayılı),
Bilgi Edinme Kanunu (4982 Sayılı),
Dilekçe Hakkının Kullanılmasına Dair Kanun (3071 Sayılı),
İş Kanunu (4857 Sayılı),
Yükseköğretim Kanunu (2547 Sayılı),
Emekli Sağlığı Kanunu (5434 Sayılı),
Sosyal Hizmetler Kanunu (2828 Sayılı),
Medeni Kanun (4721 Sayılı),
Gelir Vergisi Kanunu (193 Sayılı),
Türk Ceza Kanunu (5237 Sayılı),
Adli Sicil Kanunu (5352 Sayılı),
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik,
Resmî Gazetelerde Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik (27866 Sayılı),
| Kişisel Veri Kaynağı | Süreler | Yasal Dayanak |
| Çağrı Merkezi Ses Kayıtları | 3 Sene | 6563 Sayılı Yazılı Kanun ile İlgili Mevzuat |
| Üyelik ve Rezervasyona İlişkin Kayıtlar | 10 Sene | 6098 Sayılı Yazılı Kanun |
| Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar | 10 Sene | 6102 Sayılı Yazılı Kanun, 213 Sayılı Yazılı Kanun |
| Çerezler ve Log Kayıtları | 6 Ay – En Fazla 2 Sene | 5651 Sayılı Yazılı İnternet Kanunu |
| Ticari Elektronik E-Mail Onay Kayıtları | Onayın geri alındığı tarihten itibaren 1 Sene | 6563 Sayılı Yazılı Kanun ve İlgili Mevzuat |
| Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri | 2 Sene | 5651 Sayılı Yazılı Kanun |
| Müşterilere İlişkin Kişisel Veriler | 6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl, Hukuki ilişki son erdikten sonra 10 Sene. | 6563 Sayılı Yazılı Kanun, 6102 Sayılı Yazılı Kanun, 6098 Sayılı Yazılı Kanun, 213 Sayılı Yazılı Kanun, 6502 Sayılı Yazılı Kanun |
| Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 Sene | 6102 Sayılı Yazılı Kanun, 6098 Sayılı Yazılı Kanun ve 213 Sayılı Yazılı Kanun |
| Kişisel Verileri Koruma Kurulu İşlemleri | 10 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| Kurum İletişim Faaliyetleri | Faaliyetin Sona Ermesinden İtibaren 10 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| Donanım ve Yazılıma Erişim Süreçleri | 2 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| Ziyaret ve Toplantı Kullanıcıların Kaydı | Etkinliğin Sona ermesinden İtibaren 2 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| Kamera Kayıtları | 2 Sene | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası |
| İş Kanunu Kapsamında Saklanan Veriler (Örneğin. Kıdem tazminatı, ihbar tazminatı, kötü niyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) | İş İlişkisinin sona ermesinden itibaren 5 Sene | 4857 Sayılı Yazılı İş Kanunu ve İlgili Mevzuat |
| İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Sene | 4857 Sayılı Yazılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Yazılı Türk Borçlar Kanunu |
| İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örneğin: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) | İş İlişkisinin sona ermesinden itibaren 10 Sene | 6098 Sayılı Yazılı Türk Borçlar Kanunu |
| İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örneğin: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) | İş İlişkisinin sona ermesinden itibaren 15 Sene | 6331 Sayılı Yazılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
| SGK Mevzuatı kapsamında tutulan veriler (Örneğin: İşe giriş bildirgeleri, pirim/hizmet belgeleri vs.) | İş İlişkisinin sona ermesinden itibaren 10 Sene | 5510 Sayılı Yazılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
| İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması | İş İlişkisinin sona ermesinden itibaren 10 Sene | 4857 Sayılı Yazılı İş Kanunu ve İlgili Mevzuat |
| Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri | İş İlişkisinin sona ermesinden itibaren 10 Sene | 4857 Sayılı Yazılı İş Kanunu ve İlgili Mevzuat |
| Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örneğin: Huzur hakkı ve Kâr payı ödemeleri vb.) | 10 Sene | 6102 Sayılı Yazılı Türk Ticaret Kanunu |
| Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) | Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz | 6102 Sayılı Yazılı Türk Ticaret Kanunu |
| Burs ödemesi / Çalışan Avans Ödemesi | 10 Sene | 6102 Sayılı Yazılı Türk Ticaret Kanunu |
| İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örneğin: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) | 1 Sene | Sektörel olarak teamüller geçerli. |
| Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler | 10 Sene | 6356 Sayılı Yazılı Sendikalar ve Toplu İş Sözleşmesi |
| Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örneğin: Katılımcı Listesi vb.) | İş İlişkisinin sona ermesinden itibaren 10 Sene | Sektörel Teamül |
| Çalışan Memnuniyet Anketlerine İlişkin Veriler | Anketin doldurulduğu yılın sona ermesine müteakiben 1 Sene | Sektörel Teamül |
| Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler | 10 Sene | 6102 sayılı Yazılı Türk Ticaret Kanunu |
| Genel Kurul İşlemleri Uyarınca İşlenen Veriler | 10 Sene | 6102 Sayılı Yazılı Türk Ticaret Kanunu |
| Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler | 10 Sene | 6102 Sayılı Yazılı Türk Ticaret Kanunu |
| Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli veya Elektronik Ortamdaki Bilgiler | 3 Sene | 27866 Sayılı Yazılı Resmî Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
| Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları | 1 Sene | 29417 Sayılı 15.07.2015 Tarihli Yazılı Resmî Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
| Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler | 1 Sene | 29417 Sayılı 15.07.2015 Tarihli Yazılı Resmî Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
| Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örneğin: Şirket Yetkilisi, Ad ve Soyadı imza sirküleri vs.) | Sözleşmenin Sona Ermesine Müteakip 10 Sene | 6098 Sayılı Yazılı Türk Borçlar Kanunu |
| Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Sene | 213 Sayılı Yazılı Vergi Usul Kanunu |
| Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler | 5 Sene | 213 Sayılı Yazılı Vergi Usul Kanunu |
| Ziyaretçilerin Kişisel Verileri | 2 Sene | 5651 Sayılı Yazılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
| CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 2 Buçuk Ay | Sektörel Teamül |
| Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları | En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Sene | Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri (5651 Sayılı) |
| Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örneğin: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) | 2 Sene | İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (5651 Sayılı) |
| Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örneğin: Ürün kurulum tarihi, müşteri iletişim bilgileri), (6502 Sayılı Kanun) | 15 Sene | Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih (6502 Sayılı) ve Resmî Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği (29029 Sayılı) |
| Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler | 10 Sene | Türk Ticaret Kanunu (6102 Sayılı) |
| Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikâyet/önerilerine İlişkin Çağrı Kayıtları vs.) | 10 Sene | Türk Borçlar Kanunu (6098 Sayılı) |
| Potansiyel Müşterilere İlişkin Veriler (Örneğin: cookies (çerez), linkedin üzerinden profillemeye ilişkin veriler) | 13 Ay | Avrupa Birliği / Sektörel Teamül Uygulaması |
| Ölmüş Bit Kişinin Kişisel Verileri | En Az 20 Sene | 21.06.2018 Tarih ve Resmî Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik (30808 Sayılı) |
15.07.2015 Tarihli Resmî Gazetelerde Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik (29417 Sayılı),
21.06.2018 Tarihli Resmî Gazetelerde Yayınlanan Kişisel Sağlık verileri Hakkında Yönetmelik (30808 Sayılı),
13.06.2014 Tarihli Resmî Gazetelerde Yayınlanan Satış Sonrası Hizmetler Yönetmeliği (29029 Sayılı),
Bu kanunlar uyarınca yürürlükte olan diğer 2nci düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Kişisel Verilerin Saklama Sürelerinin Yer Aldığı Kanunlar
Periyodik İmha Dönemi
Saklama süresi biten kişisel veriler, takip eden ilk periyodik imha süresinde imha edilir.
Süresi dolan ve kişisel verinin saklanmasını gerektirecek başka herhangi veri işleme amacı mevcut olmayan kişisel verileri, saklama sürelerinin bitmesinin takiben 6 ay içerisinde anonim hale getirilmektedir.
Fakat veri sorumlusunun savunduğu yol olduğu durumlarda, işlenme amacının ile ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin 10 Sene sonra sona ermesine kadar saklanacaktır. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek ve yahut anonim hale getirilecektir.
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/5386/KVKK-KISISEL-VERI-SAKLAMA-ve-IMHA-POLITIKASI
İncelemek isterseniz: https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/
