Kanunlara Göre Kişisel Verilerin Saklanması, İmhası ve İlgili Süreler

Kanunlara Göre Kişisel Verilerin Saklanması, İmhası ve İlgili Süreler

Kanunlara Göre Kişisel Verilerin Saklanması, İmhası ve İlgili Süreler
 
Veri Sorumluları tarafından işlenen kişisel veriler, sonsuz sürede veya süresiz saklanması mümkün ve gerekli değildir. İşlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Ancak bu süreler, işletmelerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir. Kanunlara göre kişisel verilerin işlenme süreleri aşağıdaki tabloda çıkarılmıştır. Bu süreler bittikten sonra, ilk periyodik imha döneminde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir. Diğer taraftan, ilgili kişinin kişisel verilerinin işlenmesini istememesi veya daha önce verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklenmeksizin imha edilmelidir.
 
Kişisel Verilerin İşlenmesinin Dayanağı Olan Söz Konusu Kanunlar

Saklama süresi sona eren verilerin imha edilmesi veri sorumlusunun sorumluluğundadır.
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
 
6698 sayılı Kişisel Verilerin Korunması Kanunu, 6563 Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
6102 Sayılı Türk Ticaret Kanunu, 213 Sayılı Vergi Usul Kanunu,
6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi,
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu, 657 sayılı Devlet Memurları Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 sayılı Kamu Mali Yönetimi Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu, 2547 sayılı Yükseköğretim Kanunu,
5434 sayılı Emekli Sağlığı Kanunu, 2828 sayılı Sosyal Hizmetler Kanunu,
4721 Sayılı Medeni Kanun, 193 Sayılı Gelir Vergisi Kanunu,
5237 sayılı Türk Ceza Kanunu, 5352 sayılı Adli Sicil Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Arşiv Hizmetleri Hakkında Yönetmelik,
27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik, 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik,
30808 Sayılı ve 21.06.2018 Tarihli Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik, 29029 Sayılı ve 13.06.2014 Tarihli Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
 
Kişisel Verilerin Kanunlardan Kaynaklanan Saklama Süreleri
 
Kişisel Veri Kaynağı Süre Yasal Dayanak
Çağrı Merkezi Ses Kayıtları 3 Yıl 6563 Sayılı Kanun ve İlgili Mevzuat
Üyelik ve Rezervasyona İlişkin Kayıtlar 10 Yıl 6098 Sayılı Kanun
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar 10 Yıl 6102 Sayılı Kanun, 213 Sayılı Kanun
Çerezler ve Log Kayıtları 6 Ay – En Fazla 2 Yıl 5651 Sayılı İnternet Kanunu
Ticari Elektronik Mail Onay Kayıtları Onayın geri alındığı tarihten itibaren 1 Yıl 6563 Sayılı Kanun ve İlgili Mevzuat
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri 2 Yıl 5651 Sayılı Kanun
Müşterilere İlişkin Kişisel Veriler 6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. 6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun
Tedarikçilere İlişkin Kişisel Veriler Hukuki ilişki sona erdikten sonra 10 Yıl 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Kişisel Verileri Koruma Kurulu İşlemleri 10 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Sözleşmeler Sözleşmenin Sona Ermesinden İtibaren 10 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kurum İletişim Faaliyetleri Faaliyetin Sona Ermesinden İtibaren 10 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İnsan Kaynakları Süreçleri Faaliyetin Sona Ermesinden İtibaren 10 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Donanım ve Yazılıma Erişim Süreçleri 2 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Ziyaretçi ve Toplantı Kullanıcıların Kaydı Etkinliğin Sona ermesinden İtibaren 2 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kamera Kayıtları 2 Yıl KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) İş İlişkisinin sona ermesinden itibaren 5 Yıl 4857 Sayılı İş Kanunu ve İlgili Mevzuat
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl 4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) İş İlişkisinin sona ermesinden itibaren 10 Yıl 6098 Sayılı Türk Borçlar Kanunu
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) İş İlişkisinin sona ermesinden itibaren 15 Yıl 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) İş İlişkisinin sona ermesinden itibaren 10 Yıl 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması İş İlişkisinin sona ermesinden itibaren 10 Yıl 4857 Sayılı İş Kanunu ve İlgili Mevzuat
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri İş İlişkisinin sona ermesinden itibaren 10 Yıl 4857 Sayılı İş Kanunu ve İlgili Mevzuat
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) 10 Yıl 6102 Sayılı Türk Ticaret Kanunu
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz 6102 Sayılı Türk Ticaret Kanunu
Burs ödemesi / Çalışan Avans Ödemesi 10 Yıl 6102 Sayılı Türk Ticaret Kanunu
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) 1 Yıl Sektörel teamüller geçerli.
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler 10 Yıl 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) İş İlişkisinin sona ermesinden itibaren 10 Yıl Sektörel Teamül
Çalışan Memnuniyet Anketlerine İlişkin Veriler Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl Sektörel Teamül
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler 10 Yıl 6102 sayılı Türk Ticaret Kanunu
Genel Kurul İşlemleri Uyarınca İşlenen Veriler 10 Yıl 6102 sayılı Türk Ticaret Kanunu
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler 10 Yıl 6102 sayılı Türk Ticaret Kanunu
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler 3 Yıl 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları 1 Yıl 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler 1 Yıl 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) Sözleşmenin Sona Ermesine Müteakip 10 Yıl 6098 Sayılı Türk Borçlar Kanunu
Vergisel Kayıtlara İlişkin Kişisel Veriler 5 Yıl 213 Sayılı Vergi Usul Kanunu
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler 5 Yıl 213 Sayılı Vergi Usul Kanunu
Ziyaretçilerin Kişisel Verileri 2 Yıl 5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin)
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) 90 Gün Sektörel Teamül
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl 5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) 2 Yıl 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) 15 Yıl 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler 10 Yıl 6102 Sayılı Türk Ticaret Kanunu
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.) 10 Yıl 6098 Sayılı Türk Borçlar Kanunu
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler) 13 Ay Avrupa Birliği / Sektörel Teamül Uygulaması
Ölmüş Bir Kişinin Kişisel Verileri En Az 20 Yıl 21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik
 
İşlenen Verilerin İmhasını Gerektiren Haller Nelerdir?
 
Kişisel Verileri Koruma Kurumu tarafından 10.03.2019 tarihinde yayımlanan Kişisel Veri Saklama ve İmha Politikası’na göre imhayı gerektiren 6 sebep belirtilmiştir.

Bu sebepler;
  1. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  2. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  3. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  4. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  5. Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  6. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
 
Periyodik  İmha Dönemi
 
Saklama süresi dolan kişisel veriler, saklama süresinin bitimini takip eden ilk periyodik imha zamanında imha edilir.
Süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama sürelerinin sona ermesini takiben 180 gün (6 ay) içerisinde anonim hale getirilir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.