Veri Saklama ve İmha Politikası Nasıl Hazırlanır? 2026 Güncel Rehber
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Kişisel verilerin işlenme amacı ortadan kalktığında resen silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur (KVKK m. 7).
VERBİS'e kayıtlı tüm veri sorumluları Kişisel Veri Saklama ve İmha Politikası hazırlamak zorundadır.
Politikada her veri kategorisi için azami saklama süresi, imha yöntemi ve periyodik imha takvimi yer almalıdır.
Periyodik imha en geç 6 ayda bir yapılmalıdır; ilk periyodik imha, saklama süresinin dolduğu tarihi takip eden ilk periyodik imha döneminde gerçekleştirilir.
İlgili kişi silme/yok etme talep ederse ve tüm şartlar oluşmuşsa 30 gün içinde yerine getirilmelidir.
Silme, yok etme ve anonimleştirme birbirinden farklı kavramlardır; her birinin hukuki ve teknik sonuçları ayrıdır.
Saklama süreleri tek bir kanundan ibaret değildir: İş Kanunu, Vergi Usul Kanunu, Türk Ticaret Kanunu, SGK Kanunu, İSG mevzuatı ve sektörel düzenlemeler farklı süreler öngörür.
Neden Veri Saklama ve İmha Politikası Zorunlu?
KVKK'nın 7. maddesi açıkça düzenler: kişisel veriler, işlenme amacı ortadan kalktığında resen veya ilgili kişinin talebi üzerine silinmek, yok edilmek veya anonim hale getirilmek zorundadır.
Bu hükmün somutlaştırılması için çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, VERBİS'e kayıtlı tüm veri sorumlularının yazılı bir Kişisel Veri Saklama ve İmha Politikası hazırlamasını zorunlu kılmıştır.
Veri saklama ve imha politikası nedir? Şirketin hangi kişisel verileri, hangi amaçla, ne kadar süre sakladığını ve saklama süresi dolan verilerin hangi yöntemle imha edileceğini düzenleyen iç politika belgesidir.
VERBİS'e kayıt yükümlülüğü bulunmayan veri sorumluları da kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğüne tabidir; ancak yazılı politika hazırlama zorunluluğu yalnızca VERBİS'e kayıtlı olanları kapsar.
Politikada Bulunması Zorunlu Unsurlar
Yönetmeliğin 6. maddesi, politikanın asgari içeriğini belirler.
1. Hazırlanma amacı: Politikanın hangi yasal çerçevede ve ne amaçla hazırlandığı belirtilir.
2. Kişisel veri işleme envanterine atıf: Politika, veri envanterindeki kategorilerle uyumlu olmalıdır.
3. Saklama ve imhayı gerektiren hukuki, teknik ve diğer sebepler: Her veri kategorisi için saklama gerekçesi ve imha gerekçesi açıkça yazılır.
4. Her veri kategorisi için azami saklama süresi: "Gerektiği kadar" gibi belirsiz ifadeler yeterli değildir; somut süre (ay veya yıl olarak) belirtilmelidir.
5. Periyodik imha süresi: En fazla 6 ayda bir periyodik imha yapılmalıdır.
6. İmha yöntemleri: Silme, yok etme veya anonimleştirme yöntemlerinden hangisinin hangi veri kategorisi için uygulanacağı açıklanır.
7. İlgili kişi başvuru süreci: İlgili kişinin silme/yok etme talebinde bulunma hakkı ve bu talebin nasıl karşılanacağı düzenlenir.
Sektörel Saklama Süreleri Tablosu
Kişisel veri saklama süreleri tek bir kanundan ibaret değildir. Farklı mevzuat farklı veriler için farklı süreler öngörür. Politika hazırlanırken her veri kategorisinin hangi mevzuata tabi olduğunun ayrı ayrı tespit edilmesi gerekir.
Genel İşletme Verileri
Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
Ticari defterler ve belgeler | 10 yıl | TTK m. 82 |
Fatura ve muhasebe kayıtları | 5 yıl (vergi açısından) / 10 yıl (ticari açıdan) | VUK m. 253 / TTK m. 82 |
Vergi beyannameleri ve ekleri | 5 yıl | VUK m. 114 |
Sözleşmeler (genel) | 10 yıl (zamanaşımı süresi) | TBK m. 146 |
Ticari yazışmalar | 10 yıl | TTK m. 82 |
Çalışan Verileri
Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
İş sözleşmesi | İş ilişkisi + 10 yıl | TBK m. 146 |
SGK bildirgeleri ve prim belgeleri | İş ilişkisi + 10 yıl | SGK Kanunu m. 93 |
Bordro ve ücret kayıtları | İş ilişkisi + 10 yıl | TTK m. 82, VUK m. 253 |
İşe giriş sağlık raporu | İş ilişkisi + 15 yıl | İSG Yönetmeliği |
İş kazası kayıtları | İş ilişkisi + 15 yıl | İSG Yönetmeliği |
Meslek hastalığı kayıtları | İş ilişkisi + 40 yıl | SGK Kanunu (meslek hastalığı zamanaşımı) |
Yıllık izin kayıtları | İş ilişkisi + 5 yıl | İş Kanunu m. 59, TBK m. 146 |
Disiplin tutanakları | İş ilişkisi + 5 yıl | İş Kanunu (dava riski) |
Performans değerlendirmeleri | İş ilişkisi + 5 yıl | İş Kanunu (dava riski) |
Güvenlik kamerası kayıtları | En fazla 30 gün | Kurul uygulaması |
Müşteri ve Tüketici Verileri
Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
Müşteri kimlik ve iletişim bilgileri | Sözleşme ilişkisi + 10 yıl | TBK m. 146 |
Sipariş ve satış kayıtları | 10 yıl | TTK m. 82 |
E-ticaret işlem kayıtları | 3 yıl (tüketici hukuku) / 10 yıl (ticari) | TKHK m. 83 / TTK m. 82 |
Çerez verileri | Oturum çerezleri: oturum sonuna kadar / Kalıcı çerezler: 2 yıl | Kurul Çerez Rehberi |
İletişim formu verileri | İlgili talebin sonuçlandırılması + 1 yıl | Makul süre |
İşe Alım Verileri
Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
İşe alınan adayın CV'si | Özlük dosyasına aktarılır — çalışan verisi süreleri geçerli | İş Kanunu, TTK |
İşe alınmayan adayın CV'si | 6 ay – 1 yıl (rıza yoksa) | Kurul uygulaması |
İşe alınmayan adayın CV'si (rıza varsa) | Rızada belirtilen süre (genellikle 1-2 yıl) | KVKK m. 5/1 |
Sektörel Özel Süreler
Sektör / Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
Bankacılık müşteri kayıtları | İlişki + 10 yıl | Bankacılık Kanunu, MASAK |
Sağlık hizmeti kayıtları (hasta dosyası) | 20 yıl | Hasta Hakları Yönetmeliği m. 17 |
Telekomünikasyon trafik verileri | 1-2 yıl | 5651 sayılı Kanun, BTK düzenlemeleri |
İYS ticari ileti onay kayıtları | 10 yıl | 6563 sayılı Kanun |
Otel konaklama kayıtları | 2 yıl | İl İdaresi Kanunu, Kurul kararları |
Silme, Yok Etme ve Anonimleştirme: Aralarındaki Fark
Bu üç kavram pratikte karıştırılır; oysa hukuki ve teknik sonuçları birbirinden farklıdır.
Silme
Kişisel verinin hiçbir şekilde erişilemez ve yeniden kullanılamaz hale getirilmesidir. Dijital ortamda dosyanın kalıcı silinmesi, veritabanı kaydının kaldırılması; fiziksel ortamda belgenin karartılması veya üzerinin kapatılması bu kapsamdadır.
Dikkat edilmesi gereken nokta: geri dönüşüm kutusuna atma veya arşive kaldırma "silme" sayılmaz. Verinin teknik olarak geri getirilemeyecek biçimde kaldırılması gerekir.
Yok Etme
Kişisel verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve yeniden kullanılamaz hale getirilmesidir. Silmeden daha güçlü bir imha yöntemidir.
Dijital ortamda üzerine yazma (overwriting), manyetik ortamın bozulması (degaussing) veya fiziksel imha bu kapsamdadır. Fiziksel ortamda kağıt imha makinesiyle (cross-cut shredder) parçalama veya yakma yok etme yöntemleridir.
Anonimleştirme
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir suretle belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Anonimleştirmenin silme ve yok etmeden temel farkı: veri tamamen ortadan kalkmaz; ancak kişisel veri niteliğini kaybeder. Anonimleştirilmiş veri KVKK kapsamından çıkar ve serbestçe kullanılabilir.
Hangi Yöntem Ne Zaman Kullanılmalı?
Durum | Önerilen Yöntem |
|---|---|
Saklama süresi dolan ve artık hiçbir amaca hizmet etmeyen veri | Silme veya yok etme |
Yasal yükümlülükler nedeniyle veri kısmen korunmalı ama kişisel bağlantısı koparılmalı | Anonimleştirme |
İlgili kişi silme/yok etme talebinde bulundu ve yasal saklama süresi dolmuş | Silme veya yok etme |
İstatistiksel analiz veya araştırma amaçlı kullanılacak veri | Anonimleştirme |
Özel nitelikli kişisel veri (sağlık, biyometrik) | Yok etme (en güçlü imha) |
Anonimleştirme mi, Silme mi? Tartışma
Şirketler sıklıkla şu soruyla karşılaşır: "Veriyi silmek yerine anonimleştirip kullanmaya devam edebilir miyiz?"
Teknik olarak evet; ancak dikkat edilmesi gereken ciddi riskler vardır.
Gerçek anonimleştirme çok zordur. Kurul, anonimleştirmenin geçerli sayılabilmesi için verinin "başka verilerle eşleştirilerek dahi" kişiyle ilişkilendirilemez olmasını arar. Yalnızca isim-soyisim alanını silmek yeterli değildir. Kalan demografik veriler (yaş, şehir, meslek, işlem tarihi) birleştirildiğinde kişi yeniden belirlenebilir hale gelebilir.
Pseudo-anonimleştirme (takma ad kullanma) yeterli değildir. İsim yerine numara vermek, e-postayı maskelemek gibi yöntemler "anonimleştirme" değil "takma adla veri işleme" kapsamındadır. Takma adla işlenen veri hâlâ kişisel veridir ve KVKK kapsamında kalmaya devam eder.
Güvenilir anonimleştirme teknikleri: Toplulaştırma (aggregation — bireysel kayıtlar yerine grup verileri), gürültü ekleme (noise addition — verilere rastgele sapmalar ekleme), genelleştirme (generalization — "32 yaş" yerine "30-35 yaş aralığı"), k-anonimlik modeli (her bir kayıdın en az k-1 başka kayıtla ayrıştırılamaz olması).
Şirketlerin istatistiksel analiz veya raporlama amaçlı veri tutması gerekiyorsa doğru anonimleştirme tekniği uygulanmalı; aksi halde "anonimleştirildi" deniyor ama veri hâlâ kişisel veri niteliğinde kalıyorsa KVKK ihlali söz konusu olur.
Periyodik İmha Nasıl Yönetilir?
Yönetmelik, periyodik imhanın en geç 6 ayda bir yapılmasını zorunlu kılar. Pratikte bu sürecin doğru yönetimi için sistematik bir yapı kurulmalıdır.
Periyodik İmha Takvimi Oluşturma
Adım 1: Veri envanterinden her veri kategorisi için azami saklama süresini belirleyin.
Adım 2: Yılda en az iki periyodik imha tarihi belirleyin (örneğin 1 Ocak ve 1 Temmuz).
Adım 3: Her periyodik imha tarihinde, saklama süresi dolmuş verileri tespit edin.
Adım 4: İlgili imha yöntemini (silme, yok etme, anonimleştirme) uygulayın.
Adım 5: İmha işlemini tutanakla kayıt altına alın: hangi veriler, ne zaman, hangi yöntemle imha edildi, kim tarafından gerçekleştirildi.
Otomatik Silme Mekanizmaları
Manuel imha süreci hata riski taşır ve iş yükü yaratır. Teknik altyapı müsaitse otomatik silme mekanizmaları kurulmalıdır.
Veritabanı düzeyinde: Veritabanı tablolarına TTL (Time to Live) veya saklama süresi alanı eklenmeli; süre dolan kayıtlar otomatik olarak silinmeli veya arşivden kaldırılmalıdır.
Dosya sistemi düzeyinde: Belge yönetim sistemlerinde (DMS) saklama süresi dolduğunda otomatik bildirim veya silme işlevi yapılandırılmalıdır.
E-posta düzeyinde: E-posta sunucularında belirli süre geçmiş e-postaların otomatik arşivden kaldırılması politikaları ayarlanmalıdır.
Yedekleme düzeyinde: Yedekleme sistemlerindeki veriler de imha kapsamındadır. Ana sistemden silinen bir veri yedekleme ortamında kalmaya devam ediyorsa imha tamamlanmamış sayılır. Bu nedenle yedekleme döngülerinin saklama süreleriyle uyumlu olması gerekir.
İlgili Kişi Silme/Yok Etme Talebinde Bulunursa
KVKK m. 11/1-e uyarınca ilgili kişi, kişisel verilerinin silinmesini veya yok edilmesini talep etme hakkına sahiptir. Bu talep üzerine şirketin izlemesi gereken adımlar şöyledir.
1. Talebin alınması: Talep yazılı olarak (fiziksel veya KEP) alınmalıdır.
2. Yasal saklama yükümlülüğü kontrolü: İlgili veri için devam eden yasal bir saklama süresi var mı? Varsa talep reddedilir ve gerekçesi ilgili kişiye bildirilir.
3. Diğer hukuki dayanak kontrolü: Yasal saklama süresi dolmuş olsa bile, başka bir hukuki dayanak (devam eden bir dava, meşru menfaat) mevcutsa bu değerlendirilir.
4. İmha ve bildirim: Tüm şartlar oluşmuşsa veri 30 gün içinde silinir veya yok edilir. İlgili kişiye sonuç bildirilir. Veri üçüncü kişilere aktarılmışsa onlara da bildirilir.
İmha Kayıtları: Tutanak Zorunluluğu
Yönetmeliğin 8. maddesi uyarınca, her imha işlemi kayıt altına alınmak zorundadır. İmha kayıtları en az 3 yıl süreyle saklanmalıdır.
Kayıtta yer alması gereken unsurlar: imha edilen veri kategorisi, imha tarihi, imha yöntemi (silme/yok etme/anonimleştirme), imha gerekçesi (süre dolması veya ilgili kişi talebi), imhayı gerçekleştiren kişi.
Bu kayıtlar Kurul incelemesinde talep edilir ve imha sürecinin usulüne uygun yönetildiğinin ispatında kritik rol oynar.
Sık Sorulan Sorular
Kişisel veri saklama süresi ne kadardır?
Tek bir saklama süresi yoktur; her veri kategorisi farklı mevzuata tabidir. Vergi belgeleri 5-10 yıl, çalışan özlük dosyaları 10-15 yıl, sağlık kayıtları 15-40 yıl, güvenlik kamerası kayıtları genellikle 30 gün, çerezler oturum süresinden 2 yıla kadar değişen sürelerle saklanır. Politikanızda her kategori için somut süre belirtilmelidir.
Veri saklama ve imha politikası hazırlamak her şirket için zorunlu mu?
Yazılı politika hazırlama zorunluluğu VERBİS'e kayıtlı veri sorumluları için geçerlidir. Ancak kişisel verilerin saklama süresi dolduğunda imha edilmesi yükümlülüğü tüm veri sorumlularını bağlar.
Periyodik imha ne sıklıkla yapılmalıdır?
Yönetmelik gereği en geç 6 ayda bir yapılmalıdır. Şirketler bu süreyi kısaltabilir (örneğin 3 ayda bir); ancak uzatamaz.
Yedekleme dosyalarındaki veriler de silinmeli mi?
Evet. Ana sistemden silinen veri yedekleme ortamında kalmaya devam ediyorsa imha tamamlanmamış sayılır. Yedekleme döngülerinin saklama süreleriyle uyumlu olması ve periyodik imha kapsamında yedeklerdeki verilerin de değerlendirilmesi gerekir.
Anonimleştirme yeterli mi, yoksa silmek mi gerekir?
Her ikisi de Kanun'un 7. maddesini karşılar. Ancak anonimleştirme yalnızca verinin "hiçbir suretle kişiyle ilişkilendirilemez" hale getirilmesi koşuluyla geçerlidir. Yalnızca isim alanını kaldırmak veya takma ad vermek anonimleştirme sayılmaz. Gerçek anonimleştirme yapılamıyorsa silme veya yok etme tercih edilmelidir.
İmha kayıtlarını ne kadar süre saklamalıyım?
İmha kayıtları en az 3 yıl süreyle saklanmalıdır. Bu kayıtlar, Kurul incelemesinde imha sürecinin usulüne uygun yürütüldüğünün ispatında kullanılır.
Okuyucular Bunları da Soruyor
Çalışan işten ayrıldığında tüm verileri hemen silmeli miyim?
Hayır. Çalışanın bazı verileri yasal zorunluluklar nedeniyle uzun süreler boyunca saklanmak zorundadır. SGK belgeleri 10 yıl, iş sağlığı kayıtları 15-40 yıl, vergi belgeleri 5 yıl saklanmalıdır. Ancak bu sürelerin dışında kalan ve artık herhangi bir amaca hizmet etmeyen veriler (örneğin işe alım sırasındaki hobiler, referans mektupları) periyodik imha döneminde silinmelidir.
Müşteri "verilerimi silin" dedi, faturayı da silmeli miyim?
Hayır. Fatura, Vergi Usul Kanunu uyarınca 5 yıl ve Türk Ticaret Kanunu uyarınca 10 yıl saklanmak zorundadır. Bu süre dolmadan müşteri talebiyle dahi silinemez. Müşteriye verilen yanıtta bu yasal gerekçe açıkça belirtilmelidir.
Kağıt belgelerin imhası nasıl yapılmalıdır?
Cross-cut (çapraz kesim) kağıt imha makinesiyle parçalama en yaygın yöntemdir. Strip-cut (şerit kesim) makineler yeterli güvenlik sağlamaz; çünkü parçalar birleştirilerek belge yeniden okunabilir. Yüksek güvenlikli belgeler için DIN 66399 standardının P-4 veya üstü seviyesinde imha önerilir. İmha işlemi tutanakla kayıt altına alınmalıdır.
Bulut ortamındaki verileri nasıl silerim?
Bulut sağlayıcınızla yapılan veri işleme sözleşmesinde (DPA) silme mekanizması ve süreci düzenlenmiş olmalıdır. Bulut ortamında "silme" genellikle verinin erişilemez hale getirilmesi ve belirli süre sonra fiziksel olarak yok edilmesi anlamına gelir. Sağlayıcıdan silme teyit belgesi talep edilmeli ve imha kayıtlarına eklenmelidir.
Sonuç
Veri saklama ve imha politikası, KVKK uyumunun en operasyonel ve en teknik boyutudur. Doğru kurgulandığında şirketinizi hem Kurul cezalarından hem de veri ihlali risklerinden korur. Yanlış veya eksik kurgulandığında ise "uyumluyuz" yanılgısıyla hareket ederken milyonlarca TL'lik yaptırımlarla karşılaşmanıza yol açabilir.
Her veri kategorisinin farklı mevzuata tabi saklama süreleri olduğu gerçeği, bu politikanın şirketin hukuk, BT ve İK departmanlarının koordinasyonuyla hazırlanmasını zorunlu kılar. Tek başına bir BT çalışanının veya tek başına bir avukatın hazırlayabileceği bir belge değildir.
Güneş Partners olarak veri saklama ve imha politikası hazırlığı, periyodik imha süreçlerinin kurgulanması, teknik yöntemlerin hukuki değerlendirmesi ve Kurul incelemelerinde temsil alanlarında şirketlere kapsamlı hukuki destek sağlıyoruz. Politikanızı değerlendirmek veya sıfırdan hazırlamak için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 7, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Vergi Usul Kanunu, Türk Ticaret Kanunu, İş Kanunu, SGK Kanunu, İSG mevzuatı ve Kurul rehberleri temelinde hazırlanmıştır. Veri saklama ve imha süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.