KVKK ilkesi: "Amaçla bağlantılı süre kadar saklanır." Süresi dolan veri imha edilmelidir.
Saklama Sürelerini Belirleyen Faktörler
- Sözleşme süresi + zamanaşımı
- Vergi mevzuatı (10 yıl)
- İş hukuku (5 yıl)
- Sağlık (20 yıl - genelde)
- Bankacılık (10 yıl)
- Sosyal medya/oyun: amaca göre
İmha Yöntemleri
- Silme: Veriden çıkarma, yedeklerden de
- Yok etme: Fiziksel ortamı yok etme (kâğıt, disk)
- Anonim hâle getirme: Kimliği belirsizleştirme
İmha Politikası
- Her veri kategorisi için saklama süresi
- İmha sebepleri
- İmha yöntemleri
- İmha eden personel
- Periyodik kontrol (her 6 ay)
İmha Logları
- Hangi veri
- Ne zaman imha edildi
- Hangi yöntemle
- Kim tarafından
- Loglar 3 yıl saklanır
İhlal Senaryoları
- Süresi geçmiş verinin saklanması
- İmha politikası olmaması
- Yedeklerden silinmemiş veri
- Kâğıt belge çöpe atılmış (yok edilmemiş)
KVKK Kurulu Kararı
KVKK Kurulu, "veri minimizasyonu" ilkesini ihlâl eden şirketlere ağır cezalar vermekte, eski müşteri verisini gereksiz saklayan şirketleri doğrudan denetlemektedir.
Pratik Tavsiyeler
- Veri envanteri ile saklama süresi belirleyin
- Otomatik imha sistemi kurun
- Çalışanları imha politikası konusunda eğitin
KVKK uzmanı avukat önerilir.