KVKK m.7, 'işlenmesini gerektiren sebeplerin ortadan kalkması halinde' kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğini düzenlemektedir. Bir şirketin, işten ayrılan bir çalışanına ait kişisel verileri (özlük dosyası, maaş bordroları vb.) ne kadar süreyle saklaması gerekir? Bu 'saklama süresinin' belirlenmesindeki hukuki dayanaklar nelerdir?

İşlenmesini gerektiren sebeplerin ortadan kalkması, her veri kategorisi için ayrı ayrı değerlendirilmelidir. İşten ayrılan bir çalışanın verileri için 'iş sözleşmesinin ifası' amacı sona ermiştir. Ancak, veri sorumlusunun (şirketin) uymakla yükümlü olduğu başka 'hukuki yükümlülükler' veya koruması gereken 'meşru menfaatler' devreye girer. Bu nedenle veriler derhal silinemez. Saklama süresinin belirlenmesindeki temel hukuki dayanaklar şunlardır: 1) İş Kanunu: İş Kanunu m.75, işverenin bir özlük dosyası tutma yükümlülüğünü düzenler. Bu dosyaya ilişkin belgelerin saklanması, olası bir işe iade veya alacak davasında delil niteliği taşıması açısından önemlidir. 2) Sosyal Güvenlik Mevzuatı: 5510 sayılı Kanun, prim belgeleri ve ilgili kayıtların 10 yıl süreyle saklanmasını zorunlu kılar. 3) Vergi Mevzuatı: Vergi Usul Kanunu, ticari defter ve belgelerin 5 yıl süreyle saklanmasını gerektirir. 4) Türk Borçlar Kanunu: İşçi alacakları için genel zamanaşımı süresi (kıdem, ihbar tazminatı vb. için) 5 yıldır. Bu süreler, şirketin 'bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması' (KVKK m.5/2-e) ve 'hukuki yükümlülüğünü yerine getirmesi' (KVKK m.5/2-ç) kapsamında veri saklamaya devam etmesini meşru kılar. Dolayısıyla, şirket, bu yasal sürelerin en uzunu olan 10 yıllık süre boyunca ilgili verileri saklamakla yükümlü ve aynı zamanda yetkilidir.