Büken Hukuk
Kişisel veri saklama ve imha politikası nedir, nasıl hazırlanır? Mersin KVKK avukatı. Silme, yok etme, anonimleştirme yöntemleri, periyodik imha, saklama süreleri ve KVKK yaptırımları. 2026 güncel rehber.

Kişisel Veri Politikası-Saklama ve İmha: KVKK Kapsamlı Rehber 2026

Aile ve Şahıs Hukuku
15 dakika okuma

Giriş: Neden Kişisel Veri İmhası Bu Kadar Önemli?

2024 yılında Kişisel Verileri Koruma Kurumu'na (KVKK) iletilen başvuru sayısı 8.186'ya ulaştı; kurum bu başvurular sonucunda toplamda 552.668.000 TL idari para cezası uyguladı. Bu rakamlar, KVKK uyumsuzluğunun artık teorik bir hukuki risk olmaktan çıkıp somut ve ağır mali yaptırımlara dönüştüğünü göstermektedir.

Pek çok şirket, kişisel veri toplamaya ve işlemeye odaklanırken veri saklama sürelerini ve zamanında imhayı göz ardı etmektedir. Oysa 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 2017 tarihli İmha Yönetmeliği, verinin işlenme amacı ortadan kalktığında derhal silinmesini, yok edilmesini veya anonim hale getirilmesini zorunlu kılmaktadır.

Bu rehberde, Kişisel Veri Saklama ve İmha Politikası'nın ne olduğunu, hangi şirketlerin politika hazırlamak zorunda olduğunu, silme-yok etme-anonimleştirme yöntemlerini ve uyumsuzluk halinde karşılaşılan yaptırımları KVKK Kurul kararları ile destekleyerek ele alıyoruz.

1. Kişisel Veri Saklama ve İmha Politikası Nedir?

Kişisel Veri Saklama ve İmha Politikası; veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemleri için dayanak yaptıkları yazılı politika belgesidir (İmha Yönetmeliği md. 3/1-ç).

Kısaca: Bu politika, şirketinizin hangi kişisel veriyi ne kadar süre saklayacağını ve süre dolduğunda nasıl imha edeceğini belgeleyen; hem idari denetim hem de olası davalar açısından kritik bir kalkan görevi gören hukuki bir dokümandır.

1.1. Politikanın Amacı

  • Kişisel verilerin hukuka uygun biçimde işlendiğinin ispat edilmesi
  • Saklama süresi dolan verilerin otomatik olarak tespit edilmesi
  • İmha işlemlerinin yetkili kişilerce usulüne uygun yapılmasının sağlanması
  • İlgili kişi taleplerinin yasal süre içinde karşılanması
  • Veri güvenliği ihlalinin yaşanması halinde sorumluluğun sınırlandırılması

2. Hukuki Dayanak

Kişisel Veri Saklama ve İmha Politikası'nın yasal çerçevesini oluşturan başlıca mevzuat şunlardır:

6698 sayılı KVKK md. 7: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunluluğu

KVKK md. 12: Veri güvenliğine ilişkin yükümlülükler ve teknik/idari tedbirler

KVKK md. 18: İdari para cezaları

İmha Yönetmeliği (R.G. 28.10.2017/30224) Silme, yok etme ve anonimleştirme usul ve esasları

5237 sayılı TCK md. 138: Verileri yok etmeme suçu (2 yıla kadar hapis)

5651 sayılı Kanun: İnternet ortamındaki kişisel veri saklama

6493 sayılı Kanun md. 23: Ödeme hizmetleri kayıtlarında 10 yıl saklama zorunluluğu

Kritik Nokta: Türk Ceza Kanunu'nun 138. maddesine göre kişisel verileri kanunun öngördüğü süre geçtiği halde imha etmeyenleri 2 yıla kadar hapis cezası öngörülmüştür. Bu, konunun salt idari değil cezai boyutunun da bulunduğunu ortaya koymaktadır.

3. Politika Hazırlamak Zorunlu mu? Kimler Yükümlü?

Kişisel veri işleme envanteri (VERBİS) kaydı yaptırmakla yükümlü olan tüm veri sorumluları, kişisel veri saklama ve imha politikası hazırlamak zorundadır (İmha Yönetmeliği md. 5).

KVKK Kurul Kararı 2025/1572 (04.09.2025) ile belirlenen güncel muafiyet kriterleri:

Yıllık çalışan sayısı 50'den az VE yıllık mali bilanço toplamı 100 milyon TL'nin altında olan veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar VERBİS yükümlülüğünden muaf tutulmuştur.

Uygulamada şu durumlarda politika zorunludur:

  • 50 ve üzeri çalışana sahip tüm şirketler
  • 100 milyon TL ve üzeri bilançoya sahip işletmeler
  • Ana faaliyeti sağlık, hukuk, finans, eğitim, güvenlik vb. özel nitelikli veri işleme olan tüm kurumlar
  • Kamu kurumları ve yerel yönetimler

4. Temel Kavramlar: Silme, Yok Etme ve Anonim Hale Getirme Arasındaki Fark

Bu üç kavram sıkça birbiriyle karıştırılır; ancak hukuki ve teknik açıdan birbirinden farklı işlemlerdir:

4.1. Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Veri fiziksel olarak ortadan kalkmamış olabilir; ancak yetkili kullanıcılar artık o veriye ulaşamamaktadır.

Önemli ayrım: Silme işleminde veri hâlâ sistemde var olabilir; fakat erişim yetkisi kaldırılmıştır. Yok etmeden farklıdır.

4.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Silmeden daha kapsamlı bir işlemdir.

4.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirilen veriler artık KVKK kapsamı dışında değerlendirilebilir (KVKK md. 28).

5. Hangi Veriler Ne Kadar Saklanır? Saklama Süreleri Tablosu

Saklama süreleri, ilgili sektörel mevzuat ve genel hukuk kurallarına göre belirlenir. Aşağıdaki tablo yaygın veri kategorileri için standart süreleri göstermektedir:

  • Kimlik | 10 Yıl | Borçlar Kanunu genel zamanaşımı |
  • Hukuki İşlem | 10 Yıl | HMK md. 235 vd. |
  • Müşteri İşlem | 10 Yıl | TTK md. 64 |
  • Finans | 10 Yıl | VUK md. 253 |
Özel Durum: 6493 sayılı Kanun md. 23 uyarınca ödeme hizmetleri ve elektronik para işlemlerinden kaynaklanan belgeler ve kayıtlar Merkez Bankası'nın erişimine olanak sağlayacak biçimde en az 10 yıl süreyle yurt içinde güvenli şekilde saklanmak zorundadır.

6. İmhayı Gerektiren Durumlar

Kişisel veriler aşağıdaki hallerde derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir:

  1. Mevzuat değişikliği: Kişisel verinin işlenmesine dayanak oluşturan kanun/yönetmelik hükmünün değiştirilmesi veya kaldırılması
  2. Amacın ortadan kalkması: İşleme amacı gerçekleştikten sonra verinin saklanmasını meşrulaştıran başka bir gerekçenin bulunmaması
  3. Açık rızanın geri alınması: Yalnızca açık rızaya dayanılarak işlenen verilerde ilgili kişinin rızasını geri alması
  4. İlgili kişinin talebi: Kişinin silme/yok etme talebinin şirket tarafından kabul edilmesi
  5. Azami sürenin dolması: Saklama ve imha politikasında öngörülen azami saklama süresinin geçmiş olması ve bunu haklı kılacak başkaca bir koşulun bulunmaması
  6. KVKK Kurul kararı: İlgili kişinin Kurula şikâyeti ve talebin Kurul tarafından uygun bulunması

Şirketin 30 Günlük Yanıt Yükümlülüğü

İlgili kişi, verilerinin silinmesi veya yok edilmesini talep ettiğinde şirket en geç 30 gün içinde yanıt vermek zorundadır. Eğer talebi reddedecekse, ret gerekçesini ilgili kişiye yazılı olarak veya elektronik ortamda bildirmelidir.

Veriler üçüncü kişilere aktarılmışsa, bu üçüncü kişilerin de imha yükümlülüğünü yerine getirmesi için gerekli adımlar atılmalıdır.

7. Kişisel Verilerin Silinmesi: Teknik Yöntemler

KVKK Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (Ocak 2018, ISBN: 978-975-19-6807-4), kayıt ortamına göre uygulanacak silme yöntemlerini ayrıntılı biçimde açıklamaktadır.

7.1. Silme İşleminin Aşamaları

  1. Silme işlemine konu kişisel verilerin tespit edilmesi
  2. Erişim yetki ve kontrol matrisi kullanılarak her veri için ilgili kullanıcıların belirlenmesi
  3. İlgili kullanıcıların erişim, geri getirme ve tekrar kullanma yetkilerinin tespit edilmesi
  4. Bu yetkilerin ve yöntemlerin kapatılarak ortadan kaldırılması

7.2. Ortama Göre Silme Yöntemleri

a) Bulut Sistemleri (Office 365, Salesforce, Dropbox vb.)

Bulut sistemindeki veriler silme komutu verilerek silinmelidir. İşlem sırasında ilgili kullanıcının silinmiş verileri geri getirme yetkisinin olmadığı doğrulanmalıdır.

b) Kağıt Ortamındaki Veriler (Karartma Yöntemi)

Kağıt ortamındaki kişisel veriler karartma yöntemiyle silinir. İlgili evrak üzerindeki kişisel veriler:

  • Mümkünse kesilir,
  • Mümkün değilse geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünmez hale getirilir.

c) Merkezi Sunucudaki Ofis Dosyaları

Dosya işletim sisteminin silme komutuyla silinmeli ya da dosya/dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmalıdır. İşlemi yapan kişinin sistem yöneticisi sıfatını taşımamasına dikkat edilmelidir.

ç) Taşınabilir Medya (Flash Disk, USB)

Flash tabanlı saklama ortamlarındaki veriler şifreli olarak saklanmalı ve bu ortamlara özgü yazılımlar kullanılarak silinmelidir.

d) Veri Tabanları

Kişisel verilerin bulunduğu satırlar veri tabanı komutları (ör. DELETE) ile silinmelidir. İşlemi yapan kullanıcının veri tabanı yöneticisi olmadığına dikkat edilmelidir.

8. Kişisel Verilerin Yok Edilmesi: Teknik Yöntemler

Yok etme işleminde verinin tüm kopyalarının tespit edilerek bulunduğu sistemin türüne göre aşağıdaki yöntemlerden biri ya da birkaçı uygulanmalıdır.

8.1. Yerel Sistemler İçin Yok Etme Yöntemleri

i) De-Manyetize Etme (Degaussing)

Manyetik medyanın, özel bir degausser cihazından geçirilerek son derece yüksek değerde manyetik alana maruz bırakılmasıyla üzerindeki verilerin okunamaz hale getirilmesidir. Sabit diskler (HDD) ve manyetik bantlar için etkin bir yöntemdir.

ii) Fiziksel Yok Etme

Optik ve manyetik medyanın eritilmesi, yakılması, toz haline getirilmesi veya metal öğütücüden geçirilmesiyle verilerin tamamen erişilmez kılınmasıdır. Katı hal disklerde (SSD) üzerine yazma veya de-manyetize etme yöntemlerinin başarısız olduğu durumlarda fiziksel yok etme zorunlu hale gelir.

iii) Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az 7 kez 0 ve 1'lerden oluşan rastgele veriler yazılarak eski verinin kurtarılmasının önüne geçilmesidir. Bu işlem özel yazılımlarla gerçekleştirilir.

8.2. Çevresel Sistemler

  • Ağ cihazları (switch, router) | Üreticinin silme komutu + gerekirse fiziksel yok etme |
  • Flash tabanlı diskler (SSD, SATA) | block erase komutu veya üreticinin önerisi |
  • Manyetik bantlar | De-manyetize etme veya yakma/eritme |
  • Mobil telefonlar (SIM + dahili hafıza) | Güvenli silme yazılımı + gerekirse fiziksel yok etme |
  • Optik diskler (CD, DVD) | Yakma, küçük parçalara ayırma, eritme |
  • Yazıcı/parmak izi sistemleri | Çıkartılabilir medya: söküp yok etme; sabit medya: üzerine yazma |

8.3. Kağıt ve Mikrofiş Ortamları

Söz konusu ortamlardaki veriler, kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, tercihen yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmelidir.

8.4. Bulut Ortamı

Bulut hizmet ilişkisi sona erdiğinde verileri kullanılır hale getiren şifreleme anahtarlarının tüm kopyaları yok edilmelidir. Depolama ve kullanım sürecinde veriler kriptografik yöntemlerle şifreli tutulmalı; mümkünse her bulut çözümü için ayrı şifreleme anahtarı kullanılmalıdır.

8.5. Bakım/Onarıma Gönderilen Cihazlar

  • Cihazlar üçüncü tarafa gönderilmeden önce içindeki kişisel veriler yok edilmelidir.
  • Yok etmenin mümkün olmadığı durumlarda veri saklama ortamı sökülerek şirkette saklanmalı, cihazın arızalı kısmı gönderilmelidir.
  • Dışarıdan bakım personelinin verileri kopyalayarak çıkartmasını engelleyecek fiziksel ve teknik önlemler alınmalıdır.

9. Kişisel Verilerin Anonim Hale Getirilmesi: Yöntemler

Anonim hale getirme, veri ile bu veriyi tanımlayan kişi arasındaki bağın kalıcı olarak kopartılması işlemidir. Bu işlemin geçerli sayılması için; kişisel verinin, veri sorumlusu, alıcı veya alıcı grupları tarafından dahi geri döndürülmesi ve başka verilerle eşleştirilmesiyle kimliğin tespit edilmesinin imkânsız hale gelmesi gerekmektedir.

9.1. Değer Düzensizliği Sağlamayan Yöntemler

Bu yöntemlerde veri değerleri değiştirilmez; bunun yerine veri kümesindeki satır veya sütunlarda yapısal değişiklik yapılır.

a) Değişkenleri Çıkartma: Doğrudan kimlik belirleyici olan bir sütunun (ör. T.C. Kimlik No, isim-soyisim) tablodan tamamen kaldırılmasıdır.

b) Kayıtları Çıkartma: Veri kümesinde yalnızca bir kişiye özgü olan (tekillik içeren) satırın silinerek anonimliğin güçlendirilmesidir.

c) Bölgesel Gizleme: Belirli bir değişkendeki bazı gözlemlerin, doğrudan tanımlama riski oluşturması halinde gizlenmesidir.

ç) Genelleştirme: Hassas verinin daha geniş bir kategoriye sokulmasıdır. Örn: Doğum tarihi yerine yaşın; açık adres yerine yaşanılan ilçenin kullanılması.

d) Alt ve Üst Sınır Kodlama: Değerlerin belirli bir aralık içinde tutularak uç değerlerin gizlenmesidir.

e) Global Kodlama: Belirli bir değişkendeki tüm değerlerin genel bir kategoriye dönüştürülmesidir.

f) Örnekleme: Orijinal veri kümesinden yalnızca bir alt kümesinin paylaşılmasıdır.

9.2. Değer Düzensizliği Sağlayan Yöntemler

Bu yöntemlerde veri kümesindeki değerlerin kendisi değiştirilir.

a) Mikro Birleştirme: Veri kümesindeki kayıtların gruplara bölünerek, her grubun değerlerinin ortalamayla değiştirilmesidir.

b) Veri Değiş Tokuşu: İki veya daha fazla kayıttaki belirli değerlerin birbirleriyle yer değiştirmesidir.

c) Gürültü Ekleme: Sayısal değerlere kontrollü rastgele miktarların eklenerek ya da çıkartılarak verinin bulanıklaştırılmasıdır.

9.3. Anonimliği Kuvvetlendiren İstatistiksel Yöntemler

K-Anonimlik: Veri kümesindeki her kaydın, aynı değerlere sahip en az k-1 başka kayıtla ayırt edilemez olmasının sağlanmasıdır.

L-Çeşitlilik: K-anonimlik koşulunu karşılamanın yanı sıra, her gruptaki hassas değerlerin yeterince çeşitli olmasını (en az l farklı hassas değer) gerektiren güçlendirilmiş bir yöntemdir.

T-Yakınlık: Bir grup içindeki hassas bir özniteliğin dağılımının, tüm veri kümesindeki dağılımdan t mesafesini aşmamasını öngören en kapsamlı anonimlik modelidir.

10. Alınması Gereken Teknik ve İdari Tedbirler

10.1. Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliğinin sağlanması
  • Kapalı sistem ağ kullanılarak veri aktarımı
  • Anahtar yönetimi uygulaması
  • Erişim loglarının düzenli tutulması
  • Veri maskeleme yönteminin gerektiğinde uygulanması
  • Saldırı tespit ve önleme sistemlerinin kullanılması
  • Sızma testi (penetration test) yapılması
  • Şifreleme ve kriptografik anahtar yönetimi
  • Özel nitelikli kişisel verilerin e-posta yoluyla ancak şifreli ve KEP/kurumsal hesapla gönderilmesi
  • Veri kaybı önleme (DLP) yazılımları
  • Yetki matrisi ve kullanıcı hesap yönetimi

10.2. İdari Tedbirler

  • Veri güvenliği konusunda periyodik personel eğitimi ve farkındalık çalışmaları
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri
  • Gizlilik taahhütnameleri imzalanması
  • Sözleşmelere veri güvenliği hükümleri eklenmesi
  • Kağıt ortamında aktarılan verilerin gizlilik dereceli belge formatında gönderilmesi
  • Kurum içi periyodik ve rastgele denetimlerin yapılması
  • Özel nitelikli kişisel veriler için ayrı protokol ve prosedürler

10.3. İmha Kayıtlarının Saklanması

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin tüm işlemler kayıt altına alınmalı ve bu kayıtlar, diğer hukuki yükümlülükler saklı kalmak kaydıyla en az 3 yıl süreyle saklanmalıdır (İmha Yönetmeliği md. 11).

11. Periyodik İmha: 6 Aylık Döngü Yükümlülüğü

İmha Yönetmeliği'nin öngördüğü periyodik imha mekanizması aşağıdaki esaslara göre işler:

  • Politika hazırlayan veri sorumluları: İmha yükümlülüğünün doğduğu tarihi takip eden ilk periyodik imha döneminde veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
  • Periyodik imha aralığı: Veri sorumlusu tarafından belirlenmekle birlikte, bu süre her hâlde 6 ayı aşamaz.
  • Süresi dolan verilerin imhası: Saklama süresi dolduğundan itibaren en geç 180 gün içinde imha gerçekleştirilmelidir.
  • Politika olmayan veri sorumluları: İmha yükümlülüğünün doğduğu tarihten itibaren 3 ay içinde imha yapılmalıdır.

12. KVKK Kurul Kararları: Emsal Niteliğindeki İmha İhlalleri

12.1. Kurul Kararı 2023/1321 — İşten Ayrılan Çalışanın E-Posta Verisi İmha Edilmedi

Karar Tarihi: 03.08.2023 | Ceza: 50.000 TL + imha talimatı

Veri sorumlusu şirket, bir çalışanın ortaklıktan ayrılmasının ardından kurumsal e-posta adresini aktif bırakmaya devam etti. İşlenme şartı ortadan kalktığı hâlde veriler imha edilmemişti. Kurul, bu durumu KVKK md. 12 kapsamında veri güvenliği yükümlülüğünün ihlali olarak değerlendirdi. Bu karar, veri imha yükümlülüğüne doğrudan ilişkin nadir kararlardan biridir.

12.2. Kurul Kararı 2024/1385 — E-Ticaret Platformu Veri İhlali

Karar Tarihi: 08.08.2024 | Ceza: 3.250.000 TL

02.02.2024–06.02.2024 tarihleri arasında 673 satıcı ve 7.202 müşteriye ait kimlik, iletişim ve finansal veriler ele geçirildi. Şirketin yetersiz teknik tedbirleri (iki faktörlü doğrulama yokluğu, bot engelleme eksikliği) KVKK md. 12(1) ihlali olarak tescil edildi.

12.3. Kurul Kararı 2024/1176 — Yanıltıcı Arayüzle Hukuka Aykırı Veri Toplama

Karar Tarihi: 18.07.2024 | Ceza: 450.000 TL

Resmi bir telekomünikasyon sağlayıcısının sitesini taklit eden bir bayi, ilgili kişinin rızası olmaksızın kişisel verilerini toplayarak istenmeyen abonelik tesisine kullandı. KVKK md. 12(1)(a) ihlali.

12.4. Veri İhlalinin Geç Bildirilmesi

İhlali ilgili kişilere 17 ay, KVKK'ya ise 10 ay geç bildiren veri sorumlusu hakkında KVKK md. 12(5) uyarınca yaptırım uygulandı. İhlal bildiriminin "en kısa sürede" yapılması zorunludur.

13. İdari Para Cezaları: Ne Kadar Risk Var?

6698 sayılı KVKK'nın 18. maddesi, imha yükümlülüklerini yerine getirmeyen veri sorumlularına uygulanacak ceza bantlarını düzenlemektedir:

Aydınlatma yükümlülüğü ihlali | 5.000 TL ila 100.000 TL

Veri güvenliği yükümlülüğü ihlali | 15.000 TL ila 1.000.000 TL

Kurul kararına uymama | 25.000 TL ila 1.000.000 TL

VERBİS yükümlülüğü ihlali | 20.000 TL ila 1.000.000 TL

Önemli: Bu tutarlar Vergi Usul Kanunu Mük. md. 298 kapsamında her yıl yeniden değerleme oranıyla artırılmaktadır. 2024 yılında uygulanan toplam idari para cezası 552.668.000 TL'ye ulaşmıştır. Güncel ceza tutarları için kvkk.gov.tr adresini inceleyiniz.

Ayrıca 5237 sayılı TCK md. 138 uyarınca kişisel verileri yok etmeme fiili, cezai yaptırım gerektiren bir suç olarak düzenlenmektedir.

14. Uygulama Senaryosu: E-Ticaret Şirketinin Periyodik İmha Süreci

Senaryo: 120 çalışanlı bir e-ticaret şirketi, müşteri ve çalışan verilerini işlemektedir.

1. Adım — Veri Envanteri Çıkarma: Hangi veri kategorilerinin işlendiği, amacı, saklama ortamı ve saklama süresi tespit edilir.

2. Adım — Politika Hazırlama: Her veri kategorisi için azami saklama süresi belirlenir. Şirket, 10 yıllık genel saklama süresi ile KVKK'nın özel düzenlemelerini harmanlar.

3. Adım — 6 Aylık Periyodik İmha Takvimi: Her Ocak ve Temmuz ayında saklama süresi dolmuş veriler tespit edilir.

4. Adım — Ortama Göre İmha:

  • CRM sistemindeki müşteri kayıtları: DELETE komutu + erişim yetkisi iptali
  • İnsan kaynakları dosyaları (kağıt): Çapraz kesme imha makinesi
  • Eski çalışan e-posta hesapları: Hesap kapatma ve sunucu log silme
  • Yedekleme bantları: Degausser ile de-manyetize etme

5. Adım — Kayıt Tutma: Her imha işlemi; tarih, yöntem, sorumlu ve imha edilen veri kategorileriyle kayıt altına alınır. Bu kayıtlar 3 yıl saklanır.

6. Adım — VERBİS Güncelleme: İmha edilen veriler kişisel veri işleme envanterinden çıkarılır.

15. Personelin Görev ve Sorumlulukları

Kişisel veri saklama ve imha süreçlerinde yer alan başlıca birimler:

  • Bilgi İşlem Birimi Yöneticisi: Tüm bilgi işlem süreçlerinin ve teknik imhanın yönetimi
  • Hukuk Birimi Yöneticisi: Hukuki uyum, ilgili kişi talepleri ve Kurul bildirimleri
  • İnsan Kaynakları Yöneticisi: Personel verilerine ilişkin imha süreçleri
  • Satış/Pazarlama Yöneticisi: Müşteri ve pazarlama verilerinin imhası

Her birimin imha yetkisi ve sorumluluğu yazılı görev tanımları ile açıkça belirlenmeli; bu belgeler düzenli aralıklarla güncellenmelidir.

16. KVKK Uyum Sürecinde Sık Yapılan Hatalar

Hata 1: Saklama süresini belirsiz bırakmak. "Gerektiği sürece" gibi muğlak ifadeler, Kurul denetimlerinde ihlal sayılmaktadır. Her kategori için somut süre belirtilmelidir.

Hata 2: Silme ile yok etmeyi karıştırmak. Yalnızca çöp kutusuna taşımak veya geri dönüştürme kutusunu boşaltmak, hukuki anlamda silme/yok etme sayılmaz; kurtarılabilir veriler işlenmiş sayılmaya devam eder.

Hata 3: Bulut verisini göz ardı etmek. Şirketin sunucularından silinen veriler, bulut servis sağlayıcısının yedeklerinde kalmaya devam edebilir. Servis sözleşmesi bu durumu açıkça düzenlemelidir.

Hata 4: İmha kayıtlarını tutmamak. İmhayı gerçekleştirdiğinizi kanıtlamanın tek yolu belgedir. Belge yokluğu, idari denetimde ihlalin varlığına karine oluşturur.

Hata 5: Çalışan verilerini unutmak. İşten ayrılan çalışanların e-posta hesapları, insan kaynakları kayıtları ve disiplin soruşturması dosyaları, süre dolduğunda imha kapsamındadır.

17. Sıkça Sorulan Sorular (SSS)

Kişisel veri saklama ve imha politikası zorunlu mu?

VERBİS'e kayıtlı olmakla yükümlü tüm veri sorumluları için zorunludur. 2025/1572 sayılı Kurul kararıyla belirlenen kriterlerin altında kalan küçük ölçekli işletmeler VERBİS yükümlülüğünden muaf olabilir; ancak bu muafiyet imha yükümlülüğünü ortadan kaldırmaz.

Periyodik imha ne sıklıkla yapılmalıdır?

En az 6 ayda bir. Veri sorumlusu bu süreyi daha kısa tutabilir. Önemli olan, saklama süresi dolan verilerin 180 günü aşmadan imha edilmesidir.

İlgili kişi silme talep ederse ne kadar sürede yanıt verilmeli?

En geç 30 gün içinde yanıt verilmesi zorunludur. Talebin reddi halinde ret gerekçesi ilgili kişiye yazılı veya elektronik ortamda bildirilmelidir.

Anonim hale getirilen veriler KVKK kapsamında mıdır?

Hayır. Gerçek anlamda anonim hale getirilmiş veriler KVKK'nın uygulama alanı dışında kalmaktadır (KVKK md. 28). Bu veriler araştırma, planlama ve istatistik amacıyla serbestçe işlenebilir.

İmha kayıtları ne kadar süre saklanmalıdır?

Diğer hukuki yükümlülükler saklı kalmak kaydıyla asgari 3 yıl.

Şirket verilerinin bulut sağlayıcısında da silinmesi gerekiyor mu?

Evet. Veri sorumlusu, kendi sistemlerinden sildiği verilerin bulut sağlayıcısı dahil tüm ortamlarda da silinmesini sağlamakla yükümlüdür. Sözleşmede bu yükümlülük açıkça yer almalıdır.

Kağıt ortamındaki kişisel verileri nasıl imha etmeliyim?

Çapraz (yatay ve dikey) kesim yapan kağıt imha makineleri kullanılmalıdır. Sıradan kâğıt parçalama yeterli değildir; parçalar birleştirilemeyecek boyutta olmalıdır.

18. KVKK Uyum Desteği: Büken Hukuk

KVKK uyum süreci çok katmanlı bir yapıya sahiptir: hukuki, teknik ve organizasyonel boyutları bir arada yönetmeyi gerektirmektedir. KVKK Kurulu'nun idari para cezaları her geçen yıl artarken, proaktif uyum stratejisi benimsemek yalnızca yasal zorunluluk değil; itibar ve güven açısından da kritik bir yatırımdır.

Büken Hukuk & Danışmanlık olarak şirketlere şu hizmetleri sunmaktayız:

  • Kişisel Veri İşleme Envanteri (KVKK Madde 10) hazırlanması
  • VERBİS kaydı ve güncellenmesi
  • Kişisel Veri Saklama ve İmha Politikası hazırlanması
  • Teknik ve idari tedbirlerin belirlenmesi
  • İlgili kişi talep yönetim süreçlerinin kurulması
  • Veri ihlali müdahale planı hazırlanması
  • KVKK denetimine hazırlık ve Kurul şikâyetlerine yanıt

Mersin ve çevre illerindeki şirketler için yerinde ve uzaktan danışmanlık hizmeti vermekteyiz. KVKK uyum sürecinizi güvence altına almak için bizimle iletişime geçin.

Yasal Uyarı: Bu makalede yer alan bilgiler genel hukuki bilgilendirme amacı taşımakta olup avukatlık hizmeti veya hukuki tavsiye niteliği taşımamaktadır. Şirketinizin KVKK uyum süreci için bir hukuk profesyonelinden destek almanız önerilir.

Bağlantılı Makaleler

Bu Makalede Bahsedilen Yazılar (3)

Mersin şirket avukatı hizmeti. Kurumsal danışmanlık, şirket kuruluşu, sözleşme hazırlama ve ticari dava takibi için profesyonel destek.

Mersin Şirket Avukatı - Kurumsal Hukuki Danışmanlık 2026

Mersin şirket avukatı hizmeti. Mersin anonim şirket avukatı, kurumsal danışmanlık, şirket kuruluşu, sözleşme hazırlama ve ticari dava takibi profesyonel destek.

- kvkk-idari-para-cezalari-2026-tablo: "2026 yılı KVKK idari para cezası tutarları tablosu" - kvkk-itiraz-sureci-diyagram: "KVKK idari para cezasına itiraz süreci akış şeması" - kvkk-savunma-dilekce-ornek: "KVKK savunma dilekçesi hazırlama kontrol listesi"

KVKK Kurulu İdari Para Cezaları 2026: Güncel Tutarlar, İtiraz ve Savunma Rehberi

KVKK Kurulu idari para cezaları 2026 güncel tutarları, ceza hesaplama kriterleri, itiraz süreci, iptal davası ve savunma dilekçesi rehberi. Mersin KVKK avukat

kvkk-uyum-sureci-adimlari: "KVKK uyum süreci adımları infografik" - kvkk-uyum-dosyasi-kontrol-listesi: "KVKK uyum dosyasında bulunması gereken belgeler kontrol listesi" - verbis-kayit-sureci: "VERBİS kayıt süreci akış şeması" - kvkk-risk-analizi-diyagram: "KVKK risk analizi değerlendirme süreci diyagramı"

KVKK Uyum Süreci Rehberi 2026 | Adım Adım Kılavuz

KVKK uyum süreci rehberi 2026: KVKK Uyum Danışmanlığı, avukatı, Veri envanteri, aydınlatma metni, Mersin VERBİS kaydı, teknik tedbirler ve politika hazırlama.