Saklama ve İmha Politikası Nasıl Oluşturulur? (Dijital Arşiv Yaşam Döngüsü Rehberi)

Dijital arşiv projelerinde en büyük yanlışlardan biri, “ne kadar çok saklarsak o kadar iyi” düşüncesidir. Uyumlu ve sürdürülebilir bir arşiv; belgeleri sonsuza kadar biriktirmek değil, belgenin yaşam döngüsünü (oluşturma–kullanım–saklama–imha) yönetmektir. Saklama ve imha politikası; KVKK uyumunu güçlendirir, denetimlerde düzen sağlar ve gereksiz veri birikimini engeller.

Serinin ana yol haritası: Dijital Arşiv Sistemine Geçiş Nasıl Olur?

Saklama ve İmha Politikası Nedir?

Saklama ve imha politikası; her belge türü için:

  • hangi süreyle saklanacağını,
  • süresi dolunca hangi işlem yapılacağını,
  • imha kararının nasıl onaylanacağını,
  • imha işleminin nasıl kayıt altına alınacağını,
  • imha sonrası kanıtın nasıl saklanacağını
    tanımlayan kurumsal kural setidir.

Bu politika; yetkilendirme ve loglama ile birlikte çalışır:
Rol Bazlı Yetkilendirme Nasıl Tasarlanır?
Dijital Arşivde Loglama ve İzlenebilirlik

1) Politika Oluşturmadan Önce: Belge Sınıflandırması Şart

Saklama süresi, belgenin türüne ve riskine göre belirlenir. Bu yüzden ilk adım:

  • Belge türleri sözlüğünü çıkarmak
  • Riskli belgeleri ayrı işaretlemek
  • Aktif–pasif arşiv ayrımını yapmak

Belge türleri ve öncelik: Hangi Belgeler Önce Dijitalleşmeli?
Aktif/pasif ayrımı: Aktif Arşiv – Pasif Arşiv Ayrımı Nasıl Yapılır?
Risk tespiti: Riskli Belgeler Nasıl Tespit Edilir?

2) Saklama Süresi Nasıl Tanımlanır?

Kurumsal saklama süreleri, çoğu zaman üç kaynaktan beslenir:

  • Mevzuat/denetim gereksinimleri
  • Kurum içi operasyonel ihtiyaçlar (ihtilaf, garanti, süreç izleme)
  • KVKK kapsamında veri minimizasyonu yaklaşımı

Politika yazarken en kritik nokta şudur:
Aynı kurum içinde bile “her belge aynı süreyle saklanmaz”.

3) Saklama ve İmha Politikası 9 Adımda Nasıl Kurulur? (Snippet Uyumlu)

  1. Belge türleri sözlüğünü oluştur (kurum ortak dili)
  2. Her belge türüne sahiplik belirle (hangi birim sorumlu?)
  3. Risk seviyesini etiketle (KVKK hassas / denetim kritik)
  4. Saklama süresini tanımla (yıl/ay bazında)
  5. Süre bitince yapılacak işlemi belirle (arşivle/kısıtla/imha)
  6. İmha onay akışını tasarla (kim başlatır, kim onaylar?)
  7. Loglama ve kanıt gereksinimini yaz (imha kaydı, rapor)
  8. Erişim ve dışa aktarma kontrollerini bağla (RBAC + gizlilik)
  9. Pilotla test et ve periyodik gözden geçirme planı yap

KVKK mimarisine bağlamak için: KVKK Uyumlu Dijital Arşiv Mimarisi

4) “Süre Dolunca Ne Olacak?” Karar Türleri

Politikada süre dolumu için tek bir karar yerine, belge grubuna göre 3 yaklaşım tanımlanır:

A) Erişimi kısıtla + arşivle

Süre dolsa bile kurum içi ihtilaf/denetim nedeniyle belge tutulabilir; ancak erişim daraltılır.

B) İmha et (geri döndürülemez)

Kişisel veri ve gereksiz birikim riski taşıyan belgelerde, süre dolunca imha devreye girer.

C) Dondur (legal hold)

Devam eden dava/denetim varsa, imha askıya alınır. Bu durumda sistem; belgeyi işaretleyip süre sayacını durdurmalıdır.

Bu kararlar, yetkilendirme ve loglama ile birlikte yürür:
Rol Bazlı Yetkilendirme Nasıl Tasarlanır?
Dijital Arşivde Loglama ve İzlenebilirlik

5) İmha Süreci Nasıl Tasarlanır? (Kanıt Üreten Model)

İmha “sil” demek değildir. Kurumsal imha süreci şu bileşenlere sahip olmalıdır:

  • İmha listesi üretimi (hangi belgeler, hangi gerekçeyle?)
  • Yetkili onay (en az iki göz prensibi)
  • Geri döndürülemez imha yöntemi
  • İmha raporu (tarih, kapsam, onaylayanlar)
  • Log kaydı ve denetim izi
  • İmha kanıtlarının saklanması (rapor + hash/ID mantığı)

Logların raporlanabilir olması bu yüzden kritiktir:
Dijital Arşivde Loglama ve İzlenebilirlik

6) Politikanın Sahada Çalışması İçin 6 Teknik Şart

  1. Belge türü alanı zorunlu olmalı
  2. Saklama etiketi (retention label) meta veriye bağlanmalı
  3. Gizlilik seviyesi ile erişim matrisi birlikte çalışmalı
  4. İndirme/dışa aktarma ayrı yetki olarak yönetilmeli
  5. İmha akışı görev/onay olarak tanımlanmalı
  6. Raporlar periyodik olarak incelenmeli

Meta veri ve indeks kurgusu: Kurumsal Meta Veri Standardı Nasıl Oluşturulur?

7) En Sık Yapılan 7 Hata

  • Her belgeye tek saklama süresi vermek
  • Belge sahipliğini tanımlamamak (kim karar verecek?)
  • İmha onay akışını yazmamak
  • “Silindi” bilgisini kanıtlayacak rapor/log üretmemek
  • Legal hold mekanizması kurmamak
  • İndirme/export kontrollerini ihmal etmek
  • Politika yazıp uygulamayı otomasyona bağlamamak

Mini Kontrol Listesi

  • Belge türleri sözlüğü var mı?
  • Her belge türünün sahibi belli mi?
  • Saklama süresi belge bazında tanımlı mı?
  • Süre dolunca aksiyon (arşivle/kısıtla/imha) net mi?
  • İmha onay akışı yazılı mı?
  • İmha kanıtı raporlanabiliyor mu?
  • Legal hold var mı?
  • Pilotla test edildi mi?

Pilot doğrulaması: Dijital Arşiv Pilot Çalışması Nasıl Yapılır?

Saklama–İmha Politikanızı Kurumunuza Özel Netleştirelim

Kurumsal operasyon modeli: Kurumsal Dijital Arşiv Hizmetleri
Planlama ve teklif için: Fiyat Teklifi Alın

dijitaleaktarma