kişisel veri saklama ve imha politikası

Kişisel Veri Saklama ve İmha Politikası

Kişisel veri saklama ve imha politikası nedir?

Veri sorumlularının kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade eder. 

Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını sağlarlar.

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar Kişisel Verilerin Silinmesi, Yok Edilmesi veya anonim Hale Getirilmesi Hakkında Yönetmelik ile belirlenmiştir.

Bu kapsamda;

– İmha; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

– Periyodik imha; kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

– Silinme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

– Yok etme; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

– Anonim hale getirme; kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Kişisel veri işleme envanteriveri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri, ifade etmektedir.

Veri sorumlusu; silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için, ayrıca kişisel verilerin yok edilmesiyle ve anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kişisel Veri Saklama ve İmha Politikasına İlişkin Esaslar

  • Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
  • Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
  • Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

Kişisel Veri Saklama ve İmha Politikası, asgari olarak asağıdaki bilgileri kapsar;

  • Kişisel veri saklama ve imha politikasının hazırlanma amacı,
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları,
  • Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları,
  • Saklama ve imha sürelerini gösteren tablo,
  • Periyodik imha süreleri,
  • Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklik.