ISO 27701’de Veri İmha Politikası Nasıl Yazılır? (2025 Uygulamalı Şablonlarla)
KVKK ve GDPR gibi kişisel veri koruma yasaları, yalnızca verilerin nasıl toplandığını değil, aynı zamanda nasıl silinip imha edileceğini de denetler.
ISO/IEC 27701 standardı ise bu süreci yönetmek için kurumsal düzeyde yazılı bir politika oluşturulmasını zorunlu kılar.
Kişisel veri saklama ve imha politikası, denetimlerde ilk incelenen belgelerden biridir.
ISO 27701 ve Yasal Zorunluluklar
| Mevzuat / Standart | Gereklilik |
|---|---|
| KVKK Md. 7 | “İlgili mevzuatta öngörülen sürelerin sona ermesi hâlinde kişisel veriler silinir, yok edilir veya anonim hâle getirilir.” |
| GDPR Mad. 5 & 17 | Saklama süresinin bitiminde “unutulma hakkı” kapsamında veri silinmelidir. |
| ISO 27701 Madde 7.2.3 | Veri saklama ve imha politikası yazılı hale getirilmelidir. |
Veri İmha Politikası Nedir?
Kurumun sahip olduğu kişisel verileri:
-
Ne kadar süre saklayacağını
-
Hangi yöntemle sileceğini
-
Kimlerin yetkili olduğunu
-
Nasıl kayıt altına alacağını
belirleyen yazılı dokümandır.
Veri İmha Politikası Nasıl Yazılır?
Aşağıdaki şablon başlıkları, uyumlu bir politika oluşturmak için temel yapı taşlarını sunar:
1. Amaç ve Kapsam
Kişisel verilerin güvenli şekilde saklanmasını, süresi dolduğunda uygun yöntemlerle silinmesini ve bu işlemlerin kayıt altına alınmasını amaçlar.
Kapsam:
Çalışan, müşteri, tedarikçi, ziyaretçi vb. tüm kişisel verileri kapsar.
2. Tanımlar
Politikada geçen teknik terimler açıklanır:
-
Kişisel Veri
-
Veri Sorumlusu
-
Silme, Yok Etme, Anonimleştirme
-
Saklama Süresi
-
İmha
3. Yasal Dayanaklar
-
KVKK ve GDPR hükümleri
-
ISO/IEC 27701 standardı
-
Sektöre özgü mevzuatlar (ör. sağlık, finans gibi)
4. Saklama Sürelerinin Belirlenmesi
Her veri türü için yasal ve operasyonel gereklilikler doğrultusunda süreler belirlenmelidir.
| Veri Türü | Süre | Gerekçe |
|---|---|---|
| Bordro kayıtları | 10 yıl | İş Kanunu |
| Ziyaretçi kayıtları | 2 yıl | KVKK + iç güvenlik |
| E-posta logları | 1 yıl | İç prosedür |
5. İmha Yöntemleri
| Yöntem | Açıklama |
|---|---|
| Silme | Verinin kullanıcılar için erişilemez hale getirilmesi |
| Yok Etme | Fiziksel ortamdan geri getirilemeyecek şekilde imha |
| Anonimleştirme | Verinin kimlikle ilişkilendirilemeyecek hale getirilmesi |
Her yöntem için:
-
Uygulama zamanı
-
Uygulama şekli
-
Sorumlu kişi/birim
belirlenmelidir.
6. Yetki ve Sorumluluklar
-
BGYS / KVKK Komitesi
-
Bilgi İşlem
-
İnsan Kaynakları
-
Hukuk Birimi
Her birim kendi verilerinin imhasından sorumludur.
7. İzleme ve Kayıt Altına Alma
Silme ve yok etme işlemleri mutlaka kayıt altına alınmalıdır:
-
İmha Tutanağı
-
Silme Logları (sistemsel kanıtlar)
-
İmha Talep Formları
Bu belgeler denetime sunulmak üzere saklanmalıdır.
8. Politika Gözden Geçirme ve Güncelleme
Politika en az yılda 1 kez gözden geçirilmelidir.
Yasal değişiklikler, yeni iş süreçleri ya da yeni veri türleri olduğunda politika revize edilir.
Hazır Şablon Başlıkları Önerisi
-
Veri Saklama ve İmha Politikası (Word)
-
Saklama Süreleri Listesi (Excel)
-
Kişisel Veri İmha Talep Formu
-
İmha Tutanağı
-
Anonimleştirme Uygulama Rehberi
Denetimlerde Sık Sorulan Sorular
| Soru | Aranan Kanıt |
|---|---|
| İmha politikası var mı? | Yazılı politika belgesi |
| Saklama süreleri tanımlı mı? | Liste / prosedür |
| İmha işlemi kayıt altına alınıyor mu? | Tutanağın örneği |
| Kim sorumlu? | Görev tanımları |
| Ne sıklıkla güncelleniyor? | Revizyon geçmişi |
YYS Danışmanlık Olarak Ne Sağlıyoruz?
-
Kurumunuza özel veri imha politikası hazırlanması
-
Saklama sürelerinin mevzuata uygun analiz edilmesi
-
Uygulanabilir prosedürlerin ve formların hazırlanması
-
Denetime hazır belge setlerinin kurulumu
-
Personel eğitimi ve iç kontrol desteği
Sonuç:
Veri toplamak bir sorumluluktur.
Ancak veriyi vaktinde ve doğru şekilde imha etmek, hem hukuki riskleri önler hem de kurumsal güven oluşturur.