Veri Saklama Süreleri KVKK Kapsamında Düzenlenmiş Midir?
İşçiye ait birçok kişisel veriyi içinde barındıran özlük dosyaları, işverenler tarafından ‘’çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerinin yerine getirilmesi’’ amacıyla iş yerinde veya bağlı yerlerde muhafaza edilmektedir. İşverenler hukuki bir yükümlülüğü yerine getirse de sonsuz süre ile kişisel verileri saklanması mümkün olmadığından, veri işlenmesine ilişkin amaç ortadan kalktığında söz konusu verileri imha etmelidir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’KVKK’’) kapsamında kişisel verilerin işlenmesi başlığı altında kişisel verilerin ne kadar süreyle muhafaza edileceği; kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi başlığı altında da kişisel verilerin muhafaza süreleri bittikten sonra ne şekilde imha edileceği düzenlenmiştir. Genel bir kural olarak kişisel veriler ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek olup, ilgili mevzuatta veya işlendikleri amaç için gerekli süre kadar muhafaza edilecektir. Bir başka deyişle, eğer mevzuatta gösterilen sürelerden farklı olarak bir süre belirlenmişse bu halde belirlenen sürenin veri işleme amacı için gerekli olması aranmaktadır. Bununla birlikte, mevzuatlara uygun olarak işlenen kişisel verilerin işlenmelerini gerektiren sebepler ortadan kalktığında bu veriler veri sorumlusu tarafından veya ilgili kişinin talebi ile silinmeli, yok edilmeli ya da hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek bir hale getirilerek ‘’anonimleştirilmesi’’ gerekmektedir. Saklama süresi sona eren verilerin imha edilmesi veri sorumlusunun sorumluluğundadır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi başta olmak üzere doğru ve güncel bilgi dışında bir veri tutmamak amacıyla alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
İlgili kişisel verilerin silinmesi-yok edilmesi veya anonim hale getirilmesi ile ilgili süreç bakımından da bu süreçlerin sistematik ve güncel bir şekilde yürütülebilmesi ve KVKK kapsamında düzenli bir imha prosedürünün tespit edilmesi için periyodik bir imha süreci belirlenerek ilgili veriler kapsamında söz konusu imha işlemlerinin sistematik bir şekilde gerçekleştirilmesi gerekmektedir.
Sonuç olarak, KVKK’da hangi tip kişisel verinin hangi süre ile imha edileceğine ilişkin özel bir süre belirlenmemiş olup işlenen verilerin düzenlediğini mevzuatlara genel bir atıf yapılma yoluna gidilmiştir. Bu konuda verilebilecek en somut örnek, yazımıza konu özlük dosyaları 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu kapsamında işçi bir şekilde iş yerinden ayrıldıktan sonra 10 yıl süreyle saklanmasına ilişkin yükümlülüktür. Başka bir deyişle, KVKK kapsamında özlük dosyaları kanunda düzenlenmiş bir süre olan işçi iş yerinden ayrıldıktan sonra en fazla 10 yıl süreyle saklanmalıdır. Eğer işveren daha uzun bir süre öngörmüşse, bu sürenin veri işleme amacı için gerekli ve makul olması aranmaktadır. Günümüzde iş davalarında mahkeme tarafından işverenden talep edilen özlük dosyalarının ya da SGK tarafından tutulması gereken ilgili SGK evraklarının yine işverenlerden talep edildiği düşünüldüğünde kanunda belirtilmiş olan 10 yıllık süreye uymak pek mümkün görünmese de KVKK kapsamında durum şimdilik bundan ibarettir.
Özlük Dosyalarını Saklama Süresini Bildirmek Zorunlu Mudur? Bildirdikten Sonra Süre Değiştirilebilir Mi?
Kişisel Verileri Koruma Kurulu’nun (‘’Kurul’’) gözetiminde, kamuya açık olarak Veri Sorumluları Sicili (‘’Sicil’’) tutulmaktadır. Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce kural olarak sicile kaydolmak zorundalardır.
Sicile kayıt olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Kişisel veri envanterinde Kurum tarafından belirtilmiş olan veri sorumlusunun kişisel veriyi işlemesine yönelik, birçok başlık bulunmaktadır ve bunlardan biri de Kişisel Verinin Saklama Süresi’dir. Envantere işlendikten sonra VERBİS’e yüklenecek olan veri saklama sürelerine ilişkin olarak, söz konusu sürelerin değiştirilmesi için Kurum’a değişikliğin sebebine ilişkin olarak somut emareler sunulmalıdır.
Örneğin, saklama süresi 10 yıl olan özlük dosyalarının VERBİS’e kayıt sırasında saklama sürelerinin 10 yıl olarak bildirilmesinden sonra bu sürenin 15 yıla çıkarılmak istenmesi durumunda ne yapılmalıdır? Böyle bir durumda veri sorumlusu, Kurum’un veri işleme süresinin neden bu şekilde değişikliğe gidildiğine ilişkin süresi içinde bilgilendirerek bu değişikliği VERBİS’e girmekle yükümlüdür. Bu sebeple veri saklama süreleri üzerinde iyi düşünülmeli, VERBİS’e kayıt için Kurum tarafından açıklanan tarihe kadar iş yerinde hem KVKK hem de diğer mevzuatlar açısından gerekli düzenlemeler yapılmalıdır.
Bildirdiğim Veri Saklama Süresi Bittikten Sonra Ne Yapılmalıdır?
Yukarıda bahsettiğimiz imha süreçlerini detaylıca açıklayacak olursak öncelikle, veri işlenmesine ilişkin amaç ortadan kalktığında veri sorumlusu söz konusu verileri imha etmelidir.
Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemine periyodik imha denilmektedir. Bu süre her halde altı ayı geçemeyeceği ilgili mevzuatta açıkça düzenlenmiştir.
Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının da, KVKK ve ilgili mevzuatlar uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam etmektedir. İlgili ve sorumlusunun bu yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidir.