ISO 27701’de Kişisel Veri Saklama ve Silme Süreçleri Nasıl Yönetilir? (2025 Uyumlu Prosedürler)
Kişisel verilerin işlenmesi kadar, ne zaman ve nasıl silineceği de hem KVKK hem de GDPR açısından yasal zorunluluk taşır.
ISO 27701 standardı, bu süreçleri kurumsal düzeyde güvenli ve sistematik bir şekilde yönetmeyi hedefler.
"Veri, artık işleme amacını taşımıyorsa saklanmamalıdır."
Bu ilke, veri yaşam döngüsünün son aşaması olan saklama ve silme süreçlerini zorunlu kılar.
Hangi Mevzuatlar Silme ve Saklama Sürecini Zorunlu Kılar?
| Standart/Yasa | Açıklama |
|---|---|
| KVKK (Türkiye) | 6698 sayılı kanun md.4 ve md.7: Amaca uygun, sınırlı işlenmeli; gerek kalmadığında silinmeli |
| GDPR (AB) | Madde 5 ve 17: Saklama süresi sınırlı, “unutulma hakkı” açıkça tanımlanmış |
| ISO/IEC 27701 | PIMS kapsamında saklama ve silme politikalarının oluşturulması zorunludur |
Saklama Süresi Ne Kadar Olmalı?
Her veri türü için yasal veya iş gerekliliklerine uygun saklama süresi tanımlanmalıdır.
Örnek tablo:
| Veri Türü | Saklama Süresi | Mevzuat Kaynağı |
|---|---|---|
| Personel özlük dosyası | 10 yıl | İş Kanunu |
| Kamera kayıtları | 30 gün | KVKK + Emniyet Genelgesi |
| Müşteri talep e-postaları | 2 yıl | KVKK + Ticaret Mevzuatı |
Saklama süreleri, “Kişisel Veri Saklama ve İmha Politikası” içinde yazılı hale getirilmelidir.
ISO 27701’e Göre Saklama ve Silme Süreci Nasıl Kurulur?
1. Kişisel Veri Envanterini Güncelleyin
-
Hangi veri türü?
-
Hangi sistemde tutuluyor?
-
Hangi birim sorumlu?
-
Saklama süresi?
2. Saklama Sürelerini Belirleyin
-
Yasal yükümlülükler analiz edilir
-
İlgili tarafların ihtiyaçları dikkate alınır
-
Gereksiz saklama riskleri değerlendirilir
3. Silme, Yok Etme ve Anonimleştirme Yöntemlerini Tanımlayın
| Yöntem | Açıklama |
|---|---|
| Fiziksel yok etme | Kağıt üzerindeki verilerin imha edilmesi (makine ile kesilmesi, yakılması vb.) |
| Dijital silme | Verinin sistemden geri getirilemeyecek şekilde silinmesi |
| Anonimleştirme | Kişisel veri niteliğini tamamen ortadan kaldıracak şekilde dönüştürme |
Her yöntemin ne zaman ve kim tarafından uygulanacağı prosedürle açıklanmalıdır.
4. Sorumlulukları Tanımlayın
-
Her birim kendi verisinden sorumludur
-
Silme işlemi sistem yöneticisi veya ilgili veri sorumlusu tarafından gerçekleştirilmelidir
-
İşlem kayıt altına alınmalıdır (log, imha tutanağı vb.)
Gerekli Dokümantasyonlar
-
Kişisel Veri Saklama ve İmha Politikası
-
Veri Saklama Süresi Tablosu
-
İmha Talep Formu
-
İmha Tutanağı Örneği
-
Silme ve Anonimleştirme Prosedürü
Denetimlerde Sık Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Saklama süresi belirlendi mi? | Veri Saklama Süreleri Tablosu |
| Saklama süresi dolunca veri siliniyor mu? | İmha kayıtları, loglar |
| Kişisel veri silme yönteminiz nedir? | Politika ve prosedür |
| Kim sorumlu? | Görev tanımları |
| Silme işlemine dair bir kanıt var mı? | İmha tutanağı, sistem log’ları |
YYS Danışmanlık Ne Sunuyor?
YYS olarak ISO 27701 uyumu kapsamında:
-
Kişisel veri envanteri ve sınıflandırması
-
Saklama ve silme politikalarının hazırlanması
-
Otomatik silme senaryolarının oluşturulması
-
Personel bilgilendirme ve imza süreçleri
-
Denetime hazır prosedür ve dokümantasyon desteği
sunuyoruz.
Sonuç:
“Veriyi toplamak kadar, ne zaman ve nasıl silineceğini bilmek de bir sorumluluktur.”
ISO 27701, bu sorumluluğu yerine getirmeniz için kapsamlı bir rehber sunar.