Birçok web sitesi, blog ya da dijital platform, zaman içinde kullanıcılarından çeşitli bilgiler toplar: yorum yazarken bırakılan ad-soyad, e-posta adresi, iletişim formlarındaki bilgiler, abonelik kayıtları gibi. Ancak bir kez alınan bu veriler, çoğu zaman ne zaman silineceği düşünülmeden sistemde tutulmaya devam eder. İşte bu noktada “verileri süresiz arşivlemek” dediğimiz hata ortaya çıkar. KVKK’ye göre kişisel veriler, yalnızca toplandığı amaç gerçekleşene kadar saklanabilir. Amaç ortadan kalktıysa, verinin de sistemde tutulmaması gerekir.

Basit bir örnekle açıklayalım: Diyelim ki bir blogda çekiliş yapıldı ve katılımcıların ad, soyad, e-posta adresi gibi bilgileri alındı. Çekiliş tamamlandı, kazananlar belli oldu, hediyeler gönderildi. Bu durumda, o verilerin hâlâ veri tabanınızda durması artık bir gereklilik değil. Yani siz veriyi saklamaya devam ettikçe, aslında artık onu “gereksiz yere” işliyor ve mevzuata aykırı davranmış oluyorsunuz. Aynı şey yıllar önce bırakılmış bir yorum için de geçerli olabilir. Eğer o yorumun artık bir anlamı yoksa ve o kişisel veriyle işiniz kalmadıysa, silinmesi gerekir.

Bir diğer sorun da şu: Süresiz veri arşivlemek sadece hukuki değil, güvenlik açısından da risklidir. Eski veriler zamanla unutulur, kontrol edilmez hale gelir. Oysa bu veriler, olası bir siber saldırıda hedef olabilir. Kullanıcı bilgilerinin çalınması durumunda, sadece yeni veriler değil yıllar öncesinden kalan eski kayıtlar da tehlikeye girmiş olur. Halbuki o veriler çoktan sistemden çıkarılmış olsaydı, böyle bir risk hiç doğmazdı.

Ayrıca kullanıcıların da beklentisi artık bu yönde. Kimse, 5 yıl önce bıraktığı bir e-postanın hâlâ bir sistemde tutulmasından memnun olmaz. Hatta birçok kişi, kendisi istemeden verisinin hala durduğunu öğrendiğinde güvensizlik hisseder. Bu da sitenize ya da markanıza olan güveni zedeler. O yüzden verileri silmek ya da anonimleştirmek sadece yasal bir zorunluluk değil, etik bir sorumluluk da haline gelmiştir.

Kısacası: Veriyi saklamak kadar, ne zaman sileceğini bilmek de önemlidir. Her sistemin bir veri saklama politikası olmalı. Hangi veri ne kadar tutulacak, süresi dolunca ne yapılacak gibi konular net bir şekilde tanımlanmalı. Çünkü veriyle ilişkiniz, o verinin kullanım amacına göre sınırlı kalmalı. KVKK’nin temel mesajı da zaten bu: “İşin bittiğinde, veriyi de bırak.”