KVKK kapsamında kişisel verilerimin, örneğin ad, soyad, adres, telefon numarası, e-posta adresi gibi bilgilerimin, bir şirket, kurum veya kuruluş tarafından hangi yasal dayanaklara göre ve ne kadar süreyle saklanabileceği, bu sürelerin belirlenmesinde hangi kriterlerin dikkate alındığı, saklama süresi dolduktan sonra verilerin nasıl imha edildiği ve bu süreçle ilgili olarak benden ayrıca bir onay alınması gerekip gerekmediği hakkında detaylı bilgi alabilir miyim? Farklı türdeki kişisel veriler için farklı saklama süreleri geçerli mi, örneğin fatura bilgilerim ile üyelik bilgilerim aynı süreyle mi saklanıyor? Ayrıca, saklama süresinin uzatılması gerekirse bunun için ne gibi bildirimler alırım ve itiraz etme hakkım var mı?
Cevap
Kişisel verilerin saklanma süresi, birçok faktöre bağlıdır ve genel bir "saklama süresi" belirlemek mümkün değildir. Saklama süresini etkileyen temel faktörler şunlardır:
1. Veri İşleme Amacı:
- Amacın Niteliği: Verilerin hangi amaçla toplandığı ve işlendiği, saklama süresinin belirlenmesinde en önemli faktördür. Örneğin, bir kerelik bir işlem için toplanan veriler (örneğin, bir yarışmaya katılım), sürekli bir hizmetin sağlanması için toplanan verilere (örneğin, bir abonelik) göre daha kısa süre saklanabilir.
- Amacın Devamlılığı: Veri işleme amacı ortadan kalktığında, verilerin saklanması da genellikle sona ermelidir. Örneğin, bir siparişin tamamlanmasıyla siparişle ilgili kişisel verilerin saklanmasına gerek kalmayabilir (yasal yükümlülükler saklı kalmak kaydıyla).
- Yeni Amaçlar: Veriler, başlangıçta belirtilen amaçlar dışında başka amaçlar için kullanılmak istenirse, bu yeni amaçlar için de yasal bir dayanak bulunması ve veri sahibinin bilgilendirilmesi gerekir. Bu yeni amaçlar da saklama süresini etkileyebilir.
2. Yasal Yükümlülükler:
- Kanunlar ve Yönetmelikler: Birçok kanun ve yönetmelik, belirli türdeki kişisel verilerin belirli sürelerle saklanmasını zorunlu kılar. Örneğin:
- Vergi Kanunları: Mali kayıtlar genellikle belirli bir süre (örneğin, 5 veya 10 yıl) saklanmalıdır.
- Ticaret Kanunları: Ticari defterler ve belgeler belirli bir süre saklanmalıdır.
- İş Kanunları: Çalışanların kişisel verileri (örneğin, özlük dosyaları) belirli bir süre saklanmalıdır.
- Sağlık Mevzuatı: Hasta kayıtları belirli bir süre saklanmalıdır.
- Bankacılık Mevzuatı: Bankacılık işlemleriyle ilgili veriler belirli bir süre saklanmalıdır.
- Yasal Süreler: Dava açma, itiraz etme veya diğer yasal hakları kullanma süreleri, kişisel verilerin daha uzun süre saklanmasını gerektirebilir.
3. Meşru Menfaatler:
- Veri Sorumlusunun Meşru Menfaatleri: Veri sorumlusunun meşru menfaatleri (örneğin, dolandırıcılığı önleme, ağ ve bilgi güvenliğini sağlama, müşteri ilişkilerini geliştirme) bazen kişisel verilerin daha uzun süre saklanmasını gerektirebilir. Ancak bu durumda, veri sorumlusunun menfaatleri ile veri sahibinin hakları ve özgürlükleri arasında bir denge kurulması gerekir.
- Delil Niteliği: Kişisel veriler, gelecekte olası bir uyuşmazlıkta delil olarak kullanılmak üzere saklanabilir. Ancak bu durumda da, saklama süresinin makul ve orantılı olması gerekir.
4. Veri Sahibinin Rızası:
- Açık Rıza: Veri sahibi, kişisel verilerinin belirli bir süreyle saklanmasına açıkça rıza gösterebilir. Bu rıza, bilgilendirilmiş ve özgür iradeyle verilmiş olmalıdır.
- Rızanın Geri Alınması: Veri sahibi, verdiği rızayı her zaman geri alabilir. Rızanın geri alınması durumunda, kişisel verilerin saklanmasına derhal son verilmelidir (yasal yükümlülükler saklı kalmak kaydıyla).
5. Veri Kategorileri:
- Hassas Veriler: Hassas nitelikteki kişisel verilerin (örneğin, sağlık verileri, dini inançlar) saklanması, daha sıkı kurallara tabidir ve genellikle daha kısa sürelerle sınırlıdır.
- Anonimleştirilmiş Veriler: Kişisel veri niteliğini kaybeden anonimleştirilmiş veriler, süresiz olarak saklanabilir ve kullanılabilir.
6. Teknik İmkanlar ve Maliyet:
- Saklama Kapasitesi: Veri sorumlusunun saklama kapasitesi ve maliyeti de saklama süresini etkileyebilir.
- Teknolojik Gelişmeler: Teknolojik gelişmeler, daha fazla verinin daha düşük maliyetle saklanmasını mümkün kılarak saklama sürelerini uzatabilir.
Saklama Sürelerinin Belirlenmesi ve Bildirilmesi:
- Veri sorumlusu, kişisel verilerin saklama sürelerini belirlemeli ve bu süreleri veri sahiplerine bildirmelidir (örneğin, gizlilik politikası aracılığıyla).
- Saklama süreleri, somut verilere ve veri işleme faaliyetlerine göre belirlenmelidir.
- Saklama süreleri periyodik olarak gözden geçirilmeli ve güncellenmelidir.
Özetle:
Kişisel verilerin saklanma süresi, yukarıda belirtilen faktörlerin bir kombinasyonuna bağlıdır. Veri sorumlusu, her bir veri işleme faaliyeti için ayrı ayrı saklama süreleri belirlemeli ve bu sürelerin yasalara, yönetmeliklere ve veri sahibinin haklarına uygun olmasını sağlamalıdır. Verilerin saklanma amacı ortadan kalktığında veya yasal bir dayanak kalmadığında, verilerin silinmesi, yok edilmesi veya anonimleştirilmesi gerekir.
