KVKK POLİTİKALARI NEDİR?
Kişisel verileri korunmasına ilişkin hazırlanan politikalar esasında veri sorumlusunun ilgili kişilerden elde ettiği kişisel verileri nasıl toplayacağını, bu verileri işlemekteki amaçlarını, hangi güvenlik önlemleri altında muhafaza edeceğini, faaliyetleri doğrultusunda bu verileri kimlerle paylaşabileceklerini, verileri saklama ve imha sürelerini aleni olarak belirli hale getiren kurum içi prosedürler olarak tanımlanabilmektedir.
6698 sayılı Kişisel Verileri Koruma Kanunu’nda, veri sorumlusunun kişisel verileri işleme faaliyetlerine ilişkin her türlü idari ve teknik tedbirleri alması gerekliliği belirtilmekte ancak bu tedbirlerin ne olduğuna ilişkin açık bir düzenleme Kanun’da mevcut bulunmamaktadır. Bununla beraber Kişisel Verileri Koruma Kurumu yayınlamış olduğu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinde ve idari ve teknik tedbirlere ilişkin yayınladığı Kişisel Veri Güvenliği Rehberinde, veri sorumlusu tarafından alınması gereken idari tedbirler arasında kişisel veri güvenliği politikalarının ve prosedürlerinin hazırlanması da sayılmaktadır. Veri sorumluları Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlarlar ve uygulama rehberleri ışığında veri işleme faaliyetlerine ilişkin kendi bünyelerinde politikalar oluşturmalı ve böylece veri işleme faaliyetlerini daha sistemli hale getirmelidir.
İLGİLİ YÖNETMELİK
Öte yandan, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte açıkça öngörüldüğü üzere veri sorumlularının kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme veya anonim hale getirme işlemi için dayanak yaptıkları bir politikanın olması gerekmektedir. Veri sorumluları hazırladıkları bu politikalar doğrultusunda kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha sürecinde kişisel verileri imha etmelidir.