Kanunlara Göre Kişisel Verilerin Saklanma Süreleri
Kanunlara Göre Kişisel Verilerin Saklanma Süreleri
Veri Sorumluları tarafından işlenen kişisel veriler, sonsuz sürede veya süresiz saklanması mümkün ve gerekli değildir. İşlenme amacına uygun bir süre tutulmalı ve daha sonra imha edilmelidir. Ancak bu süreler, işletmelerin faaliyet gösterdiği sektörler ve bağlı bulundukları kanunlara göre değişiklik göstermektedir. Kanunlara göre kişisel verilerin işlenme süreleri aşağıdaki tabloda çıkarılmıştır. Bu süreler bittikten sonra, ilk periyodik imha döneminde imha edilmelidir. Yılda 2 defa periyodik imha dönemi planlanmalı ve bu bilginin kurumların Kişisel Veri Saklama ve İmha Politikası belgesinde yer verilmelidir. Diğer taraftan, ilgili kişinin kişisel verilerinin işlenmesini istememesi veya daha önce verdiği Açık Rıza Beyanını çekmesi durumunda periyodik imha dönemi beklenmeksizin imha edilmelidir.
İmhayı Gerektiren Haller
KVKK tarafından 10.03.2019 tarihinde yayımlanan Kişisel Veri Saklama ve İmha Politikası’na göre imhayı gerektiren 6 sebep belirtilmiştir.
Bu sebepler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.
Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Söz Konusu Kanunlar
Saklama süresi sona eren verilerin imha edilmesi veri sorumlusunun sorumluluğundadır.
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6563 Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
6102 Sayılı Türk Ticaret Kanunu,
213 Sayılı Vergi Usul Kanunu,
6502 Sayılı Tüketicinin Korunması Hakkında Kanun,
6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi,
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu,
657 sayılı Devlet Memurları Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 sayılı Kamu Mali Yönetimi Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
2547 sayılı Yükseköğretim Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu,
4721 Sayılı Medeni Kanun,
193 Sayılı Gelir Vergisi Kanunu,
5237 sayılı Türk Ceza Kanunu,
5352 sayılı Adli Sicil Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik,
27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik,
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik,
30808 Sayılı ve 21.06.2018 Tarihli Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik,
29029 Sayılı ve 13.06.2014 Tarihli Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Kişisel Verilerin Saklama Sürelerinin Yer Aldığı Kanunlar
Kişisel Veri Kaynağı | Süre | Yasal Dayanak |
Çağrı Merkezi Ses Kayıtları | 3 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
Üyelik ve Rezervasyona İlişkin Kayıtlar | 10 Yıl | 6098 Sayılı Kanun |
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar | 10 Yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler ve Log Kayıtları | 6 Ay – En Fazla 2 Yıl | 5651 Sayılı İnternet Kanunu |
Ticari Elektronik Mail Onay Kayıtları | Onayın geri alındığı tarihten itibaren 1 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri | 2 Yıl | 5651 Sayılı Kanun |
Müşterilere İlişkin Kişisel Veriler | 6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. | 6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Kişisel Verileri Koruma Kurulu İşlemleri | 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kurum İletişim Faaliyetleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Donanım ve Yazılıma Erişim Süreçleri | 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Ziyaretçi ve Toplantı Kullanıcıların Kaydı | Etkinliğin Sona ermesinden İtibaren 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kamera Kayıtları | 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) | İş İlişkisinin sona ermesinden itibaren 5 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) | İş İlişkisinin sona ermesinden itibaren 15 Yıl | 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) | Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz | 6102 Sayılı Türk Ticaret Kanunu |
Burs ödemesi / Çalışan Avans Ödemesi | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) | 1 Yıl | Sektörel teamüller geçerli. |
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler | 10 Yıl | 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Sektörel Teamül |
Çalışan Memnuniyet Anketlerine İlişkin Veriler | Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl | Sektörel Teamül |
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Genel Kurul İşlemleri Uyarınca İşlenen Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler | 3 Yıl | 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) | Sözleşmenin Sona Ermesine Müteakip 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
Ziyaretçilerin Kişisel Verileri | 2 Yıl | 5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 90 Gün | Sektörel Teamül |
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları | En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl | 5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) | 2 Yıl | 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) | 15 Yıl | 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği |
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları vb.) | 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler) | 13 Ay | Avrupa Birliği / Sektörel Teamül Uygulaması |
Ölmüş Bit Kişinin Kişisel Verileri | En Az 20 Yıl | 21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik |
Periyodik İmha Dönemi
Saklama süresi dolan kişisel veriler, saklama süresinin bitimini takip eden ilk periyodik imha zamanında imha edilir.
Süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama sürelerinin sona ermesini takiben 180 gün (6 ay) içerisinde anonim hale getirilir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, politika belgesinde belirlenen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.