Veri Saklama ve İmha Politikası Nedir? Nasıl Hazırlanır?

Veri saklama ve imha politikası; Kişisel Verilerin Korunması Kanunu ile getirilen imha yükümlülüğünün bir sonucu olarak oluşturulan belgedir. Veri sorumlusu tarafından, ilgili politikanın hazırlanmasıyla imha ve saklama süreçleri açık hale getirilmektedir. Politika hazırlanırken Kurul tarafından belirlenen asgari unsurların bulunmasına dikkat edilmelidir. 

Veri Saklama ve İmha Politikası Nedir?

Veri saklama ve imha politikası; veri sorumlusu bünyesinde gerçekleştirilen veri işleme faaliyetlerine ilişkin saklama ve imha politikalarının belirlendiği ve yayınlandığı belgedir. Veri sorumlusu tarafından yayınlanan bu belge ile veri işleme süreçlerinde uygulanacak saklama ve imha prosedürleri ilgili kişi açısından ulaşılabilir hale getirilmektedir. 

Veri Saklama ve İmha Politikası Hazırlamakla Yükümlü Olan Veri Sorumluları Kimlerdir?

Veri saklama ve imha politikası hazırlamakla yükümlü olan veri sorumluları; VERBIS kayıt yükümlülüğü bulunan veri sorumlularıdır. Kişisel Verilerin Korunması Kanunu m.16 hükmüne göre, kişisel veri işleyen gerçek ve kamu- özel tüzel kişileri VERBİS kayıt yükümlülüğü altındadır. 

Belirtilen kapsama girmekle beraber, veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumluları şunlardır:

• Herhangi bir veri kayıt sisteminin parçası olan ve yalnızca otomatik olmayan yollarla veri işleyen veri sorumluları,
• Türkiye’de yerleşik olan, ilgili kanunlara göre kurulmuş dernekler, vakıflar, sendikalardan mevzuata uygun olarak ve faaliyet alanıyla sınırlı olarak, çalışan, üye, bağışçı, kendisine bağış yapılanlar ve mensuplarına ilişkin verileri işleyenler,
• Noterlik Kanunu uyarınca faaliyet gösteren noterler,
• Siyasi Partiler Kanununa uygun olarak faaliyet gösteren siyasi partiler,
• Avukatlık Kanununa uygun olarak faaliyet gösteren avukatlar,
• Serbest muhasebeci mali müşavirler ile yeminli mali müşavirler,
• Gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri,
• Arabulucular,
• Yıllık çalışan sayısı 50’den az olan ve yıllık mali bilanço toplamı 100 milyon liradan az olan gerçek veya tüzel kişilerden ana faaliyet konusu özel nitelikli kişisel veri olmayanlar.

Veri Saklama ve İmha Politikasında Bulunması Gereken Unsurlar Nelerdir?

Veri saklama ve imha politikasında bulunması gereken başlıklar şunlardır:

• Hazırlanan veri saklama ve imha politikasının amacı ve kapsamı,
• Politikada kullanılan terminolojiye ve kısaltmalara ilişkin açıklamalar,
• Kişisel verilerin Kanuna uyum süreçlerinde görev alacak kişiler, kişilerin hizmet verdiği departmanlar ve kişisel verilerin korunmasına ilişkin görev ve yükümlülükleri,
• Toplanan kişisel verilerin saklama yöntemleri, elektronik ve elektronik olmayan ortamlar (sunucular, dvd cd gibi diskler, bulut hizmetler, tarayıcılar, bilgi güvenliği cihazları, yazılı yahut basılı görsel ortamlar vb.)
• Sayılan kişisel verilerin veri sorumlusu bünyesinde saklandığına ilişkin açıklamalar,
• Saklanan her verinin türüne göre saklamayı gerektiren amaçlar ve hukuki sebepler,
• Mevzubahis kişisel verilerin imhasını gerektiren sebepler,
• İmha süreçlerinde tercih edilen usul ve imha teknikleri, (bu noktada hangi ortamlarda saklanan verilerin silindiği, hangilerinin yok edildiği yahut anonim hale getirildiğine ilişkin detaylı açıklamalar yapılmalıdır,
• İşlenen kişisel verilerin saklama ve imha süreleri,
• Periyodik imha süresi,
• Kişisel verilerin hukuka uygun şekilde saklanması için alınan teknik ve idari tedbirler,
• Hazırlanan veri saklama ve imha politikasının geçerlilik süresi,
• Politika üzerinde yapılan değişikliklere ilişkin güncelleme bilgileri.

Sayılan unsurlar her veri sorumlusunun niteliklerine göre ayrıca değerlendirilmelidir. Bununla birlikte, bu unsurlar asgari unsurlar olup veri sorumlusunun ve işlenen verilerin niteliği gereği belirtilmesi gereken diğer unsurlar da yetkili kişiler tarafından belirlenip politikaya eklenmelidir. Bu noktada, alanında uzman bir KVKK avukatından danışmanlık almak fayda sağlamaktadır.

Veri Saklama ve İmha Politikasının Hukuki Dayanağı Nedir?

Veri saklama ve imha politikasının hukuki dayanağı, Kişisel Verilerin Korunması Kanunu madde 5,6,7 ve 12 hükümleridir. 

İlgili hükümlere göre veri sorumlusu, bir veri işleme faaliyeti olan saklama işlemlerini kanunda sayılan hallerde yapabilecektir. Aynı şekilde, imha işlemlerinin de kanunda sayılan şartlar taşınarak periyodik olarak gerçekleştirilmesi gerekmektedir. Tüm bunların yanında, veri güvenliğinin sağlanabilmesi için sayılan işlemlere ilişkin kurum içi politikaların oluşturulması gerekmektedir.

Veri Saklama ve İmha Politikasının Amacı Nedir?

Veri saklama ve imha politikasının amacı, kişisel veri işleme faaliyetlerinden olan saklama ve imha süreçlerinde uygulanacak usul ve esasların veri sorumlusu tarafından belirlenmesidir. 

Mevzubahis politikanın hazırlanması ile veri saklama yöntemleri, saklama yöntemlerine ilişkin güvenlik tedbirleri, tercih edilen imha yöntemleri gibi hususlar ilgililer tarafından ulaşılabilir ve açık kılınmaktadır.

Veri Saklama ve İmha Politikasının Kapsamı Nedir?

Veri saklama ve imha politikası; veri sorumlusunun etkileşim halinde olduğu tüm ilgili kişilerin kişisel verilerini kapsamaktadır.

Bu itibarla, veri sorumlusu bünyesinde hizmet veren çalışanlar, müşteriler, ziyaretçiler yahut veri işleyenlere ilişkin kişisel veriler gibi veri sorumlusunun işlediği tüm kişisel veriler politika kapsamında değerlendirilmektedir.

Sonuç

Veri saklama ve imha politikası, Kişisel Verilerin Korunması Kanunu ile VERBIS yükümlüsü olan veri sorumlularına getirilen yükümlülüklerdendir. Yükümlülüğün yerine getirilmemesi yahut politikanın kanuna uygun şekilde oluşturulmaması sonucunda veri sorumlusu çeşitli yaptırımlarla karşı karşıya kalabilmektedir. Bu itibarla, alanında uzman bir veri koruma avukatından danışmanlık almak oldukça önemlidir.