Teknoloji

Kişisel Veri Saklama ve İmha Politikası Hazırlama: Bölüm Bölüm Yöntem

By Elif Demir 0 Yorum

Veri koruma uyumunun en çok ertelenen belgesi saklama ve imha politikasıdır; çoğu işletmede ya hiç yoktur ya da internetten indirilen bir şablonun başlığı değiştirilmiştir. Oysa bu politika, “hangi veriyi ne kadar tutarım, süresi dolunca ne yaparım” sorularının yazılı yanıtıdır ve denetimde ilk istenen belgeler arasındadır. Biyometrik mesai kayıtlarının imhası gündeme geldiğinde de başvurulacak çerçeve budur; o gündemin ayrıntısı biyometrik mesai takibi ve iş yeri kamerası yazımızda. Burada politikanın kendisini, maddeden maddeye nasıl kurulacağını anlatıyoruz.

Bu Politika Kimin İçin Zorunlu?

Saklama ve imha politikası hazırlama yükümlülüğü, Veri Sorumluları Siciline kayıt yükümlülüğüyle bağlantılıdır; sicile kayıtla yükümlü veri sorumluları bu politikayı hazırlamak zorundadır. Kapsam dışında kalan küçük işletmeler için bile politika hazırlamak akılcıdır: saklama sürelerini ve imha düzenini tanımlamayan işletme, “süresi dolan veriyi silme” yükümlülüğünü el yordamıyla yönetmek zorunda kalır ve kanunun genel ilkeleri herkes için geçerlidir.

Belgenin Omurgası: Zorunlu Bölümler

Mevzuatın aradığı içerik bellidir ve belge şu bölümler üzerine kurulur: hazırlanma amacı ve kapsam; kayıt ortamlarının listesi; hukuki ve teknik tanımlar; saklamayı ve imhayı gerektiren sebepler; güvenli saklama ile hukuka aykırı erişimin önlenmesi için alınan teknik ve idari tedbirler; imha yöntemleri; saklama ve imha süreçlerinde görev alanların unvan ve sorumlulukları; saklama süreleri tablosu; periyodik imha aralığı.

Kayıt ortamı listesi çoğu şablonda eksik kalan bölümdür. Sunucu ve veri tabanları, çalışan bilgisayarları, e-posta kutuları, bulut hesapları, mobil cihazlar, kâğıt arşiv, yazıcı-tarayıcı hafızaları, PDKS ve kamera kayıt cihazları; veri nerede oluşuyor ve birikebiliyorsa orası listeye girer. Listede olmayan ortam, imha sürecinin de dışında kalır ve unutulan her ortam bir denetim bulgusudur.

ortasından yırtılmış beyaz kağıt

Saklama Süreleri Tablosu Nasıl Kurulur?

Politikanın kalbi, veri kategorisi bazında saklama sürelerini gösteren tablodur. Süreler kafadan atılmaz; her satırın bir dayanağı olmalıdır. Bordro ve ücret kayıtları için vergi ve iş mevzuatının öngördüğü uzun süreler, sağlık gözetimi kayıtları için iş sağlığı mevzuatındaki özel süreler, ticari defter ve faturalara bağlanan veriler için ticaret mevzuatı esas alınır. Mevzuatın süre öngörmediği verilerde ölçü, işleme amacının gerektirdiği süredir: işe alınmayan adayın özgeçmişi için bir sonraki pozisyon ihtimaliyle sınırlı kısa bir süre, ziyaretçi kaydı için güvenlik amacına yetecek kadar bir süre tanımlanır.

Tabloda her satır şu üç soruya yanıt vermelidir: hangi veri kategorisi, hangi süreyle, hangi gerekçeyle. “Tüm veriler on yıl saklanır” gibi torba satırlar, amaçla sınırlılık ilkesine aykırıdır ve politikayı kâğıt üzerinde bırakır.

Üç İmha Yöntemi: Silme, Yok Etme, Anonimleştirme

Mevzuat üç yöntem tanır ve aralarındaki fark uygulamada önemlidir. Silme, verinin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesidir; veri tabanında ilgili satırların geri döndürülemez biçimde kaldırılması bu kapsama girer. Yok etme, verinin bulunduğu ortamın fiziksel imhasıdır; diskin parçalanması, kâğıdın kıyılması gibi. Anonimleştirme ise verinin başka verilerle eşleştirilse bile kimseyle ilişkilendirilemeyecek hâle getirilmesidir; istatistik amaçlı veri tutmak isteyen işletmenin yoludur.

Yöntem seçimi ortama göre değişir: kâğıt arşivde kıyma makinesi, sunucuda güvenli silme komutları, hurdaya ayrılan disklerde fiziksel imha, raporlamada anonimleştirme. Politika, hangi ortam için hangi yöntemin uygulanacağını eşleştirmelidir.

Periyodik İmha Düzeni

Saklama süresi dolan veriler, izleyen ilk periyodik imha döneminde ortadan kaldırılır. Periyodik imha aralığını veri sorumlusu belirler; mevzuat bu aralığa altı aylık bir üst sınır çizer. Pratik kurulum şöyledir: yılda iki imha dönemi takvime bağlanır, her dönemde saklama tablosu üzerinden süresi dolanlar taranır, imha gerçekleştirilir ve tutanağa bağlanır. İmha tutanakları da kayıttır ve uzunca bir süre saklanması gerekir; “sildik ama kanıtımız yok” durumu, denetimde silmemiş olmakla aynı kapıya çıkar.

Politikayı Kağıttan Uygulamaya Taşıyan Üç Bağlantı

Birinci bağlantı envanterdir: politika, kişisel veri işleme envanteriyle aynı kategori adlarını ve aynı süreleri kullanmalıdır; iki belge birbirinden farklı konuşuyorsa ikisi de güvenilirliğini yitirir. İkinci bağlantı görevlendirmedir: hangi birimin hangi ortamdan sorumlu olduğu unvan bazında yazılmalı, “ilgili birim” gibi sahipsiz ifadelerden kaçınılmalıdır. Üçüncü bağlantı tedarikçilerdir: bulut sağlayıcısı, PDKS firması, arşiv deposu gibi veri işleyenlerin elindeki kopyaların imhası sözleşmeyle güvence altına alınmalı; işten ayrılan personelin verileri gibi süreçlerle de tutarlılık kurulmalıdır. O sürecin ayrıntısı işten ayrılan çalışanın kişisel verileri yazısında.

Sık Yapılan Beş Hata

Sahada en çok karşılaşılan hatalar şunlar: internetten alınan şablonun işletmeye uyarlanmadan yayımlanması; kayıt ortamı listesinde yazıcı hafızası, yedekler ve eski cihazların unutulması; saklama tablosunda gerekçesiz süreler; periyodik imhanın takvime bağlanıp hiç işletilmemesi; politikanın yayımlanıp çalışanlara hiç anlatılmaması. Belgeyi hazırlamak işin yarısıdır; işletmek ve kanıtlamak diğer yarısı.

Sıkça Sorulan Sorular

Politikayı internet sitemizde yayımlamak zorunda mıyız?

Sicile kayıt yükümlüsü veri sorumlularının politikayı hazırlaması ve kurum içinde erişilebilir kılması gerekir; kamuya açık yayım, şeffaflık açısından yaygın ve önerilen uygulamadır.

Yedeklerdeki veriler de imha kapsamında mı?

Kapsamdadır. Canlı sistemden silinen verinin yedekte yaşamaya devam etmesi, imhanın tamamlanmadığı anlamına gelir. Yedek rotasyonu, saklama süreleriyle uyumlu kurulmalıdır.

Süresi dolan veriyi hemen silmek yerine periyodik dönemi beklemek sorun olur mu?

Olmaz; mevzuat süresi dolan verinin izleyen ilk periyodik imha döneminde kaldırılmasını öngörür. Sorun, dönemin gelmesine rağmen imhanın yapılmamasındadır.

İmha tutanağında ne yazmalı?

İmha tarihi, imha edilen veri kategorisi ve kapsamı, ortam, kullanılan yöntem ve işlemi yapan ile onaylayanın bilgisi. Tutanak, üçüncü kişiye iş yaptırıldıysa onun beyanını da içermelidir.

Bu içerik bilgilendirme amacıyla hazırlanmıştır; hukuki danışmanlık yerine geçmez. Uygulamaya geçmeden önce güncel mevzuat metinlerini Kişisel Verileri Koruma Kurumu’nun resmî kanallarından doğrulamanız ve gerektiğinde uzman desteği almanız önerilir.

By Elif Demir

Elif Demir, hukuk ve mevzuat alanında uzmanlaşmış, on yılı aşkın deneyime sahip bir araştırmacı yazardır. Yargıtay ve Danıştay içtihatlarını, Resmî Gazete'de yayımlanan güncel düzenlemeleri ve emsal kararları yakından takip ederek; gayrimenkul hukuku, kira ve tapu uyuşmazlıkları, miras paylaşımı ve tüketici hakları gibi vatandaşı doğrudan ilgilendiren konuları sade ve anlaşılır bir dille aktarır. Bilgi Dairesi'ndeki hukuk içeriklerinin tamamı, yayımlanmadan önce yürürlükteki kanun maddeleri ve güncel içtihatlarla karşılaştırılarak hazırlanır. Elif Demir, hukuki metinlerin yalnızca bilgi verme amacı taşıdığını, somut bir uyuşmazlıkta mutlaka bir avukata danışılması gerektiğini her yazısında özenle vurgular. Amacı, okuyucunun haklarını ve yükümlülüklerini doğru anlamasını sağlayacak güvenilir bir başvuru kaynağı oluşturmaktır.

Related Post

Teknoloji

İşten Ayrılan Çalışanın Kişisel Verileri: Saklama Süreleri ve İmha

Elif Demir
Teknoloji

Çalışan Fotoğrafının Web Sitesi ve Tanıtımda Kullanımı

Elif Demir
Teknoloji

İşe Alımda Aday Kişisel Verileri: CV, Referans ve Mülakat Kuralları

Elif Demir

Popüler Yazılar

Teknoloji

İşten Ayrılan Çalışanın Kişisel Verileri: Saklama Süreleri ve İmha

Teknoloji

Çalışan Fotoğrafının Web Sitesi ve Tanıtımda Kullanımı

Teknoloji

İşe Alımda Aday Kişisel Verileri: CV, Referans ve Mülakat Kuralları

Teknoloji

Çalışan Aydınlatma Metni Hazırlama: Şablondan Değil Sahadan