Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunVeri Saklama Politikaları ve Otomasyon: İhtiyacınız Olanı Tutun, İhtiyacınız Olanı Silin
Şirketler yasal olarak ihtiyaç duyduklarından ortalama %33 daha fazla veri saklıyor, bu da hem depolama maliyetlerini hem de ihlal riskini artırıyor. Veri saklama, yasal uyumluluk, maliyet optimizasyonu ve güvenliğin birleştiği yerdir. Çok fazla tutarsanız saldırı yüzeyinizi artırırsınız. Çok azını elinizde tutarsanız yasal bekletme gerekliliklerini ihlal etmiş olursunuz.
Bu kılavuz, saklama politikası tasarımını, veri türüne göre yasal gereklilikleri ve kuruluşunuzun manuel müdahaleye gerek kalmadan uyumlu kalmasını sağlayan otomatik yaptırımı kapsar.
Önemli Çıkarımlar
- Saklama süreleri yasal gereklilikler, iş ihtiyaçları ve gizlilik yükümlülüklerinin kesişimine göre belirlenir
- Otomatik yaptırım önemlidir --- manuel silme işlemlerinin başarısızlık oranı %40'tır
- Aynı sistemdeki farklı veri türlerinin saklama süreleri farklı olabilir
- Davanın beklendiği durumlarda yasal saklama, standart saklama politikalarını geçersiz kılmalıdır
Düzenlemeye Göre Saklama Süresi Gereksinimleri
Minimum Saklama Gereksinimleri
| Veri Türü | GDPR | SOX (ABD) | Vergi Hukuku (değişmektedir) | HIPAA | Endüstri Standardı |
|---|---|---|---|---|---|
| Mali kayıtlar | Minimum yok (amaç sınırlaması) | 7 yıl | 3-10 yıl (ülkeye göre) | Yok | 7 yıl |
| Çalışan kayıtları | Çalışma süresi + 2-6 yıl | Yok | fesih sonrası 3-7 yıl | Yok | fesihten 7 yıl sonra |
| Müşteri Kimlik Bilgisi | Amaç için gerekli olduğu sürece | Yok | Yok | Yok | İlişki bittiğinde sil + 2 yıl |
| Sağlık kayıtları | Yok | Yok | Yok | Yaratılıştan/son yürürlük tarihinden itibaren 6 yıl | Eyalete göre değişir (30 yıla kadar) |
| Vergi belgeleri | Yok | 7 yıl | 3-10 yıl (ülkeye göre) | Yok | 7 yıl |
| Sözleşmeler | Yok | Süre + 7 yıl | Yok | Yok | Süre + 6 yıl (zamanaşımı) |
| İşe alım verileri | Maksimum 6 ay (en iyi uygulama) | Yok | Yok | Yok | 6-24 ay |
| Destek biletleri | Gerektiği sürece | Yok | Yok | Yok | Kapatıldıktan 3 yıl sonra |
| Denetim günlükleri | Gerektiği sürece | 7 yıl | Yok | 6 yıl | 7 yıl |
| Pazarlama izni | Onayın süresi | Yok | Yok | Yok | Geri çekilinceye kadar + 2 yıl |
Ülkeye Özel Vergi Saklama
| Ülke | Saklama Süresi | Notlar |
|---|---|---|
| Amerika Birleşik Devletleri | 3-7 yaş | IRS: Genel olarak 3 yıl, dolandırıcılıktan 7 yıl |
| Birleşik Krallık | 6 yıl | HMRC gereksinimi |
| Almanya | 10 yıl | AB'de en katı |
| Fransa | 6 yıl (bazıları için 10) | Ticaret Kuralları |
| Hollanda | 7 yıl | Fiscale bewaarplicht |
| Avustralya | 5 yıl | ATO gereksinimi |
| Kanada | 6 yıl | CRA gerekliliği |
| Hindistan | 8 yıl | Gelir Vergisi Kanunu |
| BAE | 5 yıl | Federal Vergi Dairesi |
Saklama Planı Tasarlama
Adım 1: Envanter Veri Kategorileri
| Kategori | Sistemler | Sahibi | Veri Örnekleri |
|---|---|---|---|
| Müşteri verileri | CRM, e-Ticaret, Destek | Satış | İsimler, e-postalar, sipariş geçmişi |
| Çalışan verileri | HRIS, Bordro, Avantajlar | İK | SSN, maaş, performans değerlendirmeleri |
| Finansal veriler | Muhasebe, ERP, Bankacılık | Finans | Faturalar, makbuzlar, vergi beyanları |
| Pazarlama verileri | E-posta platformu, Analitik | Pazarlama | Kampanya verileri, izin kayıtları |
| Ürün verileri | ERP, eCommerce | Operasyonlar | Ürün özellikleri, fiyatlandırma, envanter |
| Operasyonel günlükler | Uygulama sunucuları, veritabanları | BT | Erişim günlükleri, hata günlükleri, denetim izleri |
2. Adım: Saklama Sürelerini Belirleyin
Her kategori için bu hiyerarşiyi kullanarak saklama süresini belirleyin:
- Yasal minimum: Yasalar neye uymanızı gerektiriyor?
- Yasal maksimum: Yasa neyi silmenizi gerektiriyor? (GDPR amacı sınırlaması)
- İş ihtiyacı: Aslında buna ne kadar süreliğine ihtiyacınız var?
- Risk toleransı: Saklamanın ve silmenin maliyeti nedir?
The retention period is: MAX(legal minimum, business need) but NOT LONGER THAN legal maximum (if applicable).
Adım 3: İmha Eylemlerini Tanımlayın
| Eylem | Açıklama | Ne Zaman Kullanılmalı |
|---|---|---|
| Sil | Tüm kopyaları kalıcı olarak kaldırın | Süresi dolmuş veriler için varsayılan |
| Anonimleştir | Tanımlayıcı unsurları kaldırın, toplu halde tutun | Analitik, araştırma |
| Arşiv | Kısıtlı, şifreli depolamaya geçin | Yasal bekletme, uyumluluk arşivi |
| Agrega | Bireysel kayıtları özetlerle değiştirin | Finansal raporlama |
Otomatik Saklama Uygulaması
PostgreSQL Uygulaması
-- Retention policy table
CREATE TABLE retention_policies (
id UUID DEFAULT gen_random_uuid() PRIMARY KEY,
table_name VARCHAR(100) NOT NULL,
date_column VARCHAR(100) NOT NULL,
retention_days INTEGER NOT NULL,
action VARCHAR(20) NOT NULL, -- 'DELETE', 'ANONYMIZE', 'ARCHIVE'
condition TEXT, -- Optional WHERE clause
enabled BOOLEAN DEFAULT TRUE,
last_run TIMESTAMP,
records_affected INTEGER DEFAULT 0
);
-- Insert policies
INSERT INTO retention_policies (table_name, date_column, retention_days, action, condition) VALUES
('support_tickets', 'closed_at', 1095, 'ANONYMIZE', 'status = ''closed'''),
('recruitment_candidates', 'applied_at', 730, 'DELETE', 'status != ''hired'''),
('session_logs', 'created_at', 90, 'DELETE', NULL),
('newsletter_unsubscribed', 'unsubscribed_at', 365, 'DELETE', NULL),
('audit_logs', 'created_at', 2555, 'ARCHIVE', NULL);
-- Enforcement function
CREATE OR REPLACE FUNCTION enforce_retention_policies()
RETURNS TABLE(policy_id UUID, table_name TEXT, records_affected BIGINT) AS $$
DECLARE
policy RECORD;
affected BIGINT;
query TEXT;
BEGIN
FOR policy IN
SELECT * FROM retention_policies WHERE enabled = TRUE
LOOP
IF policy.action = 'DELETE' THEN
query := format(
'DELETE FROM %I WHERE %I < NOW() - INTERVAL ''%s days''',
policy.table_name, policy.date_column, policy.retention_days
);
IF policy.condition IS NOT NULL THEN
query := query || ' AND ' || policy.condition;
END IF;
ELSIF policy.action = 'ANONYMIZE' THEN
-- Anonymization requires table-specific logic
-- This is a simplified example
query := format(
'UPDATE %I SET email = ''[email protected]'', name = ''Anonymized'' WHERE %I < NOW() - INTERVAL ''%s days''',
policy.table_name, policy.date_column, policy.retention_days
);
IF policy.condition IS NOT NULL THEN
query := query || ' AND ' || policy.condition;
END IF;
END IF;
EXECUTE query;
GET DIAGNOSTICS affected = ROW_COUNT;
UPDATE retention_policies
SET last_run = NOW(), records_affected = affected
WHERE id = policy.id;
RETURN QUERY SELECT policy.id, policy.table_name::TEXT, affected;
END LOOP;
END;
$$ LANGUAGE plpgsql;
Planlama
# Run retention enforcement daily at 3 AM
# /etc/cron.d/retention-enforcement
0 3 * * * postgres psql -d ecosire -c "SELECT * FROM enforce_retention_policies();" >> /var/log/retention-enforcement.log 2>&1
Yasal Bekletmeler
Hukuki Durdurma Uygulandığında
Davanın beklendiği, beklemede veya devam ettiği durumlarda, yasal bekletme normal saklama politikalarını askıya alır. Potansiyel olarak ilgili tüm veriler, saklama programlarına bakılmaksızın korunmalıdır.
Uygulama
-- Legal hold table
CREATE TABLE legal_holds (
id UUID DEFAULT gen_random_uuid() PRIMARY KEY,
matter_name VARCHAR(255) NOT NULL,
description TEXT,
custodians TEXT[], -- Users whose data is held
tables_affected TEXT[], -- Tables where retention is suspended
created_at TIMESTAMP DEFAULT NOW(),
released_at TIMESTAMP,
created_by UUID REFERENCES users(id)
);
-- Modified retention enforcement respects legal holds
CREATE OR REPLACE FUNCTION enforce_retention_with_holds()
RETURNS void AS $$
BEGIN
-- Skip tables under active legal hold
DELETE FROM session_logs
WHERE created_at < NOW() - INTERVAL '90 days'
AND 'session_logs' NOT IN (
SELECT UNNEST(tables_affected)
FROM legal_holds
WHERE released_at IS NULL
);
END;
$$ LANGUAGE plpgsql;
Doğrulama ve Uyumluluk
Aylık Saklama Denetimi
- Tüm saklama politikaları belgelenmiştir ve günceldir
- Otomatik yaptırım başarıyla çalıştırıldı (günlükleri kontrol edin)
- Saklama süresinin ötesinde veri mevcut değil (örnek kontrolü)
- Devam eden tüm davalar için yasal bekletmeler etkin
- Yeni veri kategorilerine saklama süreleri atandı
- Üçüncü taraf işleyiciler saklama gerekliliklerine uygundur
Sıkça Sorulan Sorular
Verileri GDPR kapsamında gerekenden daha uzun süre saklarsak ne olur?
Kişisel verilerin gerekli saklama süresinin ötesinde saklanması, GDPR'nin depolama sınırlama ilkesini ihlal eder (Madde 5(1)(e)). Denetleyici otoriteler 20 milyon Euro'ya kadar veya küresel yıllık cironun %4'üne kadar para cezası verebilir. Daha pratik olarak, fazla veri, ihlale maruz kalma olasılığınızı artırır; sahip olmamanız gereken verilerden siz sorumlusunuz.
Yedek kopyaların saklanmasını nasıl gerçekleştireceğiz?
Yedeklemeler, belirli zaman noktalarındaki verilerin anlık görüntülerini içerdikleri için saklamayı karmaşık hale getirir. Seçenekler: (1) yedeklemeleri en uzun saklama sürenize uygun bir programa göre dönüşümlü yapın, (2) yedeklemeleri şifreleyin ve saklama süresi dolduğunda şifreleme anahtarını yok edin ("kripto parçalama"), (3) yedeklemelerin süresi dolmuş veriler içerebileceğini kabul edin ancak bunu telafi edici kontrollerle teknik bir sınırlama olarak belgeleyin.
Odoo'da saklamayı nasıl uygularız?
Odoo'nun yerleşik saklama otomasyonu yoktur. Bunu kullanarak uygulayın: (1) eski kayıtları arşivleyen veya anonimleştiren zamanlanmış eylemler (cron işleri), (2) belirli modellerde saklama kurallarını uygulayan özel modüller, (3) toplu işlemler için veritabanı düzeyinde işlevler. ECOSIRE, otomatik veri yaşam döngüsü yönetimi için Odoo özelleştirmesi sağlar.
Sırada Ne Var?
Veri saklama, eksiksiz bir yönetişim programının bir bileşenidir. Yeni sistemler için tasarım gereği gizlilik, İK verileri için çalışan veri gizliliği ve üçüncü taraf işleyiciler için satıcı sözleşme yönetimi ile birleştirin.
Veri saklama politikası tasarımı ve uygulama danışmanlığı için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin verileri tüm yaşam döngüsü boyunca yönetmelerine yardımcı olur.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
Muhasebe Otomasyonu: 2026'da Manuel Defter Tutmayı Ortadan Kaldırın
2026'da banka akışı otomasyonu, makbuz tarama, fatura eşleştirme, AP/AR otomasyonu ve ay sonu kapanış hızlandırma ile defter tutmayı otomatikleştirin.
İşletmeler için Yapay Zeka Aracıları: Kesin Kılavuz (2026)
İşletmelere yönelik yapay zeka aracılarına yönelik kapsamlı kılavuz: nasıl çalışırlar, kullanım örnekleri, uygulama yol haritası, maliyet analizi, yönetişim ve 2026 için gelecekteki eğilimler.
Yapay Zeka Aracıları ve RPA: İşletmeniz için Hangi Otomasyon Teknolojisi Uygun?
LLM destekli yapay zeka aracılarıyla geleneksel RPA botlarının kapsamlı karşılaştırması: yetenekler, maliyetler, kullanım örnekleri ve doğru yaklaşımı seçmeye yönelik karar matrisi.
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.