Kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilerin korunması, bireylerin temel haklarının korunması açısından kritik öneme sahiptir. Bu doğrultuda, Türkiye’de de 2016 yılında Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesi ve korunmasına ilişkin temel ilkeleri ve usulleri düzenleyen bir kanundur.

KVKK’nın 8. maddesinde, kişisel verilerin saklama ve imha süreleri düzenlenmiştir. Buna göre, kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır. Bu sürenin sonunda kişisel veriler, re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel Verilerin Saklanması Süreçleri

Kişisel verilerin saklanmasında aşağıdaki hususlara dikkat edilmesi gerekmektedir:

• Kişisel veriler, hukuka uygun olarak işlenmelidir.

• Kişisel veriler, yalnızca işlendikleri amaçlar için gerekli olan süre kadar saklanmalıdır.

• Kişisel veriler, güvenli bir şekilde saklanmalıdır.

Kişisel verilerin saklanmasında kullanılan yöntemler, kişisel verilerin niteliğine ve işlenme amacına göre değişebilir. Kişisel veriler, elektronik ortamda veya kâğıt ortamında saklanabilir. Elektronik ortamda saklanan kişisel veriler, veri güvenliğini sağlamak için gerekli teknik ve idari tedbirlerin alınması gerekmektedir. Kâğıt ortamında saklanan kişisel veriler, uygun bir şekilde saklanması ve muhafaza edilmesi gerekmektedir.

Kişisel Verilerin İmha Süreçleri

Kişisel verilerin imhasında aşağıdaki hususlara dikkat edilmesi gerekmektedir:

• Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.

• Kişisel veriler, re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin imhası, kişisel verilerin hiç var olmamış gibi yok edilmesi işlemidir. Kişisel veriler, silinme, yok etme veya anonim hale getirme yöntemlerinden biri kullanılarak imha edilebilir. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verileri tamamen ortadan kaldıracak şekilde yok etme işlemidir. Kişisel veriler, silinirken veri sorumlusu tarafından aşağıdaki hususlara dikkat edilmesi gerekmektedir:

• Kişisel veriler, fiziki veya elektronik ortamlardan tamamen kaldırılmalıdır.

• Kişisel verilere erişim sağlayan tüm sistemlerden silinmelidir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verileri fiziksel veya elektronik ortamlardan tamamen ortadan kaldıracak şekilde imha etme işlemidir. Kişisel veriler, yok edilirken veri sorumlusu tarafından aşağıdaki hususlara dikkat edilmesi gerekmektedir:

• Kişisel veriler, fiziki olarak yakılabilir, öğütülebilir veya toz haline getirilebilir.

• Kişisel veriler, elektronik ortamda sabit diskten silinebilir veya şifrelenerek erişilemez hale getirilebilir.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka bir kişiyle ilişkilendirilemeyecek şekilde düzenlenmesi işlemidir. Kişisel veriler, anonim hale getirilirken veri sorumlusu tarafından aşağıdaki hususlara dikkat edilmesi gerekmektedir:

• Kişisel verilerden kimlik bilgileri çıkarılmalıdır.

• Kişisel veriler, başka bir kişiyle ilişkilendirilmeyecek şekilde düzenlenmelidir.

KVKK Standartları

KVKK, kişisel verilerin saklanması ve imha süreçleri için aşağıdaki standartları belirlemiştir:

• Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.

• Kişisel veriler, güvenli bir şekilde saklanmalıdır.

• Kişisel veriler, re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

KVKK’nın bu standartlarına uymak, veri sorumlularının kişisel verilerin korunmasını sağlamaları açısından önemlidir.