SAKLAMA VE İMHA POLİTİKASI

Veri Sorumlusu: [Duygu Engin] – [İsmetpaşa Mahallesi, Ortanca Sokak, No:14/18, Daire:3] (İşbu politikada “Şirket” veya “İşveren” olarak anılacaktır)

Amaç ve Kapsam

Bu Kişisel Veri Saklama ve İmha Politikası, [Duygu Engin] ([İsmetpaşa Mahallesi, Ortanca Sokak, No:14/18, Daire:3]]) tarafından 6698 sayılı KVKK ve ilgili mevzuat uyarınca hazırlanmıştır. Politika; [Duygu Engin]’in faaliyetleri kapsamında işlediği tüm kişisel veri türlerini (danışan/müşteri verileri, çalışan verileri, finans ve muhasebe verileri vb.) kapsar. Amaç, bu verilerin saklama sürelerini ve süresi dolan verilerin güvenli şekilde imha edilmesine (silinme, yok edilme veya anonimleştirme) ilişkin usul ve esasları düzenlemektir. [Duygu Engin], işlediği kişisel verileri yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Bu sürelerin sonunda veya yasal gereklilik ortadan kalktığında veriler, bu politika kapsamında belirlenen yöntemlerle imha edilir.

Saklama Süreleri

Kişisel veriler, ilgili mevzuat ve [Duygu Engin]’in veri işleme amaçları doğrultusunda belirlenen süreler kadar saklanır. Başlıca veri kategorileri için öngörülen saklama süreleri aşağıda belirtilmiştir:

  • Danışan Verileri: Danışan ile profesyonel ilişki (terapi/danışmanlık) sona erdikten sonra azami 5 yıl süreyle saklanır. Bu kategori; danışanın kimlik ve iletişim bilgileri, seans kayıt notları, test ve değerlendirme sonuçları, fatura kayıtları vb. verileri içerir. 5 yıllık sürenin belirlenmesinde, ilgili mevzuattaki zamanaşımı süreleri ve sağlık hizmeti veren meslek mensupları için genel uygulamalar dikkate alınmıştır. Süre bitiminde veya işleme amacı ortadan kalktığında, danışan verileri ilk periyodik imha döneminde silinir, yok edilir veya anonim hale getirilir.
  • Çalışan Verileri: İş sözleşmesi sona eren (ayrılan) çalışanlara ait kişisel veriler iş ilişkisinin bitiminden itibaren 10 yıl süreyle saklanır. Çalışan özlük dosyasındaki bilgiler, bordro ve maaş kayıtları, izin ve devamsızlık kayıtları, performans verileri, iş kazası kayıtları gibi veriler bu kapsamdadır. İş sağlığı ve güvenliği mevzuatı gereği çalışanların sağlık raporları gibi bazı özel kayıtlar 15 yıl süreyle saklanabilir (6331 sayılı İş Sağlığı ve Güvenliği Kanunu) – bu tür durumlarda kanunda öngörülen daha uzun saklama süresine uyulur. Saklama süresi dolan çalışan verileri, ilk periyodik imha döneminde uygun yöntemlerle imha edilir (silme, yok etme veya anonimleştirme). Ayrıca, herhangi bir zamanda çalışan tarafından kişisel verilerin silinmesi talep edilirse veya daha önce verilen rızalar geri çekilirse, söz konusu veriler için PERİYODİK imha süresi beklenmeksizin derhal silme/yok etme işlemi gerçekleştirilir.
  • Finansal ve Muhasebe Kayıtları: Mali tablolar, faturalar, makbuzlar, sözleşmeler, bordrolar, banka ekstresi ve benzeri finansal kayıtlar ilgili mevzuat uyarınca 10 yıl süreyle saklanır. (6102 sayılı Türk Ticaret Kanunu ve Vergi Usul Kanunu, defter ve belge saklama yükümlülüğü kapsamında 10 yıllık süre öngörmektedir.) Bu süre sonunda finansal içerikli kişisel veriler, ilk periyodik imha döneminde geri döndürülemeyecek şekilde imha edilir. Yasal saklama süresinin (örneğin vergi incelemesi için) uzaması halinde, veriler mevzuatta belirtilen ilave süre kadar muhafaza edilmeye devam edilir.
  • Diğer Veri Kategorileri: Kamera kayıtları 1 yıl; ziyaretçi kayıtları 1 yıl; hukuki işlem kayıtları (dava, icra evrakı vb.) 10 yıl veya ilgili zamanaşımı süresi boyunca; elektronik posta yazışmaları 5 yıl (veya iş ilişkisi süresine göre) gibi sürelerle saklanır. Özel kanunlarda daha uzun bir saklama süresi öngörülmüş ise (ör. bazı sağlık verileri için 20 yıl), bu süreler dikkate alınır. Aksi halde, ilgili veri işleme amacının ortadan kalkmasıyla birlikte veriler silme/yok etme yoluyla imha edilir.

[Not: Yukarıdaki süreler asgari tutma sürelerini göstermekte olup, hukuki bir uyuşmazlık çıkması halinde delil teşkil etmesi amacıyla, ilgili zamanaşımı süresi boyunca veriler saklanabilir.]

İmha Yöntemleri

Kişisel verilerin imhası, verilerin bulunduğu ortama uygun yöntemlerle gerçekleştirilir. [Duygu Engin], verilerin güvenli şekilde yok edilmesi için teknik ve idari tedbirleri alır. İmha işlemleri, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine ve Kişisel Verileri Koruma Kurumu’nun rehberlerine uygun olarak yapılır. Başlıca imha yöntemlerimiz şunlardır:

  • Fiziksel Ortam (Kağıt/Belge) İmhası: Basılı veya fiziksel evrak üzerinde tutulan kişisel veriler, artık saklanma süresi dolduğunda kağıt imha (parçalama) makineleri ile imha edilir. Evraklar, bütünlüğü bozulup okunamayacak şekilde küçük parçalara ayrılarak veya gerekiyorsa yakılarak yok edilir. Özellikle belge üzerindeki kişisel veriler, geri birleştirilemeyecek biçimde yatay ve dikey kesilerek imha edilir. Fiziksel arşivlerdeki evrak imha edilirken, mümkün olduğunda yetkili bir geri dönüşüm/yok etme hizmeti alınarak güvenli imha sağlanır.
  • Dijital Ortam (Elektronik) İmhası: Elektronik ortamlarda tutulan kişisel veriler, ilgili sistem ve cihazların türüne uygun güvenli silme veya yok etme yöntemleriyle imha edilir. Sunucular ve bilgisayarlar: Dijital ortamdaki dosyalar için standart silme komutu uygulanır ve ilgili kullanıcıların bu silinen verilere erişim yetkisi tamamen kaldırılır. Gerekli durumlarda silinen verilerin kurtarılamaması için üzerine rastgele verilerle üzerine yazma (overwrite) yöntemleri kullanılabilir. Taşınabilir medya (USB, harici disk): İçerdiği veriler şifrelenmiş değilse, imha öncesi mümkünse güvenli silme yazılımları kullanılır; donanım artık kullanılmayacaksa manyetik medyalar de-manyetize etme cihazlarından geçirilerek içindeki veriler okunamaz hale getirilir veya fiziksel olarak tahrip edilir (ör. disk plakalarının delinmesi, eritilmesi).. Optik medyalar (CD/DVD): Parçalanarak veya kimyasal/fiziksel yöntemlerle geri dönüşsüz biçimde yok edilir. Bulut hizmetleri: Kişisel verilerin tutulduğu bulut sistemlerinde, veriler ilgili hesaptan silinir ve sağlayıcının sisteminde kurtarılamayacak şekilde kaldırılır; hizmet ilişkisi sona erdiğinde varsa şifreleme anahtarları da kalıcı olarak silinir. Silme işlemi yapılırken, bulut sisteminde silinen verileri geri getirme yetkimin olmadığı kontrol edilir.
  • Anonimleştirme: [Duygu Engin], saklama süresi dolan veya işleme amacı sona eren bazı verileri, eğer analiz veya istatistik amacıyla tutması gerekliyse anonim hale getirerek de imha edebilir. Anonimleştirme, ilgili verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi demektir]. Bu amaçla kişisel verilerden isim, T.C. kimlik no, iletişim bilgisi gibi tanımlayıcı öğeler çıkarılır veya maskelenir; böylece veri, belirli veya belirlenebilir bir gerçek kişiyi işaret etmez hale gelir. Anonimleştirilmiş veriler artık KVKK kapsamında kişisel veri sayılmadığından, istatistiki amaçlarla süresiz olarak saklanabilir.

[Not: İmha süreçlerine ilişkin yapılan tüm işlemler kayıt altına alınır ve bu kayıtlar, diğer hukuki yükümlülükler saklı kalmak kaydıyla, en az 3 yıl süreyle saklanır.]

Periyodik İmha Prosedürü

[Duygu Engin], işlenmesini gerektiren hukuki sebepler ortadan kalkmış ve saklama süresi dolmuş kişisel verileri, periyodik imha takvimine uygun olarak re’sen siler, yok eder veya anonimleştirir. Periyodik İmha Süresi 6 ay olarak belirlenmiştir. Buna göre her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. Bu dönemlerde, saklama süresini doldurmuş tüm kişisel veri setleri tespit edilir ve uygun imha yöntemiyle ortadan kaldırılır. Periyodik imha işleminde öncelikle imha edilmesi gereken veriler ve ilgili sistemler tespit edilir; ardından silme, yok etme veya anonimleştirme yöntemlerinden uygun olanı uygulanarak kayıtlar imha edilir.

Eğer kişisel verilerin işlenme şartları (KVKK m.5 ve 6’de belirtilen şartlar) tamamen ortadan kalkmışsa,  [Duygu Engin] veri sorumlusu sıfatıyla, ilgili verileri ilk periyodik imha döneminde silmek/yok etmek veya anonimleştirmekle yükümlüdür. Veri sahibi kişi tarafından silme/yok etme talebi gelmesi halinde ise, talebe konu veriler en geç 30 gün içinde değerlendirilip ilk periyodik imha zamanını beklemeksizin imha edilir; eğer bu veriler üçüncü taraflara aktarılmışsa, ilgili üçüncü tarafların da bilgilendirilerek gerekli imha işlemlerini yapması sağlanır.

Bu politika, [Duygu Engin] bünyesinde uygulanmakta olup gerektiğinde yasal düzenlemelere veya Kurul kararlarına göre güncellenecektir. Tüm çalışanlar, bu politikanın gerekliliklerine uymakla ve kişisel verilerin güvenli bir şekilde saklanıp imha edilmesi konusunda gereken özeni göstermekle yükümlüdür. Politikanın güncel versiyonu [Psikoloğun Adı Soyadı]’nın ofisinde ve talep edilmesi halinde ilgililere sunulacaktır.

Yürürlük: İşbu Kişisel Veri Saklama ve İmha Politikası, [25.12.2025] tarihinde yürürlüğe girmiştir ve o tarihten itibaren elde edilen tüm kişisel veriler için geçerlidir. Bundan önce toplanmış olup saklama süresi dolmamış veriler de bu politika çerçevesinde işlenecek ve süresi dolduğunda imha edilecektir.

Onay ve İmza: Bu politika [Psikoloğun Adı Soyadı] tarafından onaylanmış ve  ilan edilmiştir. Politikanın uygulanmasından sorumlu kişi: [Duygu Engin] – Ünvanı: [Klinik Psikolog]. Politika hükümlerine aykırı bir durum tespit edilmesi halinde derhal [Duygu Engin]’e bildirilecek ve gerekli aksiyonlar alınacaktır.