Publications Come back

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK TASLAĞI KAMUOYUNUN GÖRÜŞÜNE SUNULDU

01.06.2017

 

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK TASLAĞI

KAMUOYUNUN GÖRÜŞÜNE SUNULDU

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun[1] (“Kanun”) 7nci maddesi ile birlikte gerçek ve tüzel kişi veri sorumlularına, işlemiş oldukları kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu verileri re’sen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hâle getirme yükümlülüğü getirilmiştir. Kanun’un 7nci maddesinin üçüncü fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Bu kapsamda, Kurul tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmelik Taslağı (“Yönetmelik Taslağı”) 29 Mayıs 2017 tarihinde kamuoyunun görüşüne sunulmuştur. Yönetmelik Taslağı’na ilişkin görüş ve öneriler info@kvkk.gov.tr adresine 12 Haziran 2017 tarihine kadar iletilebilecektir.

Yönetmelik Taslağı’nın getirdiği düzenlemeler, genel hatları ile aşağıdaki şekilde özetlenebilir:     

1. Kişisel Verilerin İşlenme Şartlarını Ortadan Kaldıran Haller

Kanun’un 5 inci maddesinde genel nitelikli kişisel verilerin, 6 ncı maddesinde ise özel nitelikli kişisel verilerin hangi sebeplere dayalı olarak işlenebileceği belirtilmiştir. Yönetmelik Taslağı’nın 5 inci maddesinin ikinci fırkasında, verilerin işlenmesini gerektiren sebeplerin hangi hallerde ortadan kalkmış sayılacağı düzenlenmiştir. Bu haller şunlardır:

(a) Kişisel verileri işlemeye ilişkin mevzuat hükümlerinin değiştirilmesi veya ilgası,

(b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

(c) Verilerin işlenmesini gerektiren amacın ortadan kalkması,

(ç) Veri işlemenin hukuka veya dürüstlük kuralına aykırı olması,

(d) Açık rızanın zorunlu olduğu hallerde ilgili kişinin rızasının alınması,

(e) ilgili kişinin kişisel verilerinin silinmesine veya yok edilmesine ilişkin başvurusunun veri sorumlusu tarafından kabul edilmesi,

(f) veri sorumlusu tarafından ilgili kişinin başvurusunun sonuçlandırılmaması, reddi veya cevabın yetersizliği üzerine ilgili kişinin Kurula ilettiği şikayetin uygun bulunması,

(g) herhangi bir şarta dayanmadan kişisel verilerin gerekli olan azami süreden daha uzun süre saklanması,

(ğ) kişisel verilerin işlenmesini gerektiren Kanun’un 5 ve 6 ıncı maddelerinde belirtilen şartların ortadan kalkması.

Yönetmelik Taslağı’nın 5 inci maddesinde sayılan bu haller sınırlayıcı olmamakla birlikte, (ğ) bendi çok genel olduğu için bu bendin kapsamına girmeyen verilerin silinmesini, yok edilmesini veya anonimleştirilmesini gerektiren bir halin bulunması söz konusu olmayacaktır.

Yönetmelik Taslağı’nın 5 inci maddesinin ikinci fırkasında belirtilen hallerden birinin gerçekleşmesi halinde, veri sorumlusu resen veya ilgili kişinin talebi üzerine ilgili kişisel verileri siler, yok eder veya anonim hale getirir.

2. Kişisel Veri Saklama ve İmha Politikası Hazırlama Yükümlülüğü

5 Mayıs 2017 tarihinde kamuoyunun görüşüne sunulan Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı’nın[2] 9 uncu maddesinde, Veri Sorumluları Sicili’ne (“Sicil”) kaydolmak zorunda olan veri sorumlularına, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası (“Saklama ve İmha Politikası”) hazırlayarak, bu Politika’nın uygulanmasını temin etme yükümlülüğü getirilmiştir. Yönetmelik Taslağı’nın 6 ncı ve 7 inci maddelerinde de Sicil’e kayıt yükümlülüğü olan veri sorumlularının Saklama ve İmha Politikası hazırlama yükümlülüğü tekrar edilmiş, bu kapsamda söz konusu Politika’nın hazırlanmasına ilişkin ilkeler ile Politika’da içeriğinde bulunması gereken hususlar düzenlenmiştir.

2.1. Kişisel Verilerin Saklanması ve İmhasına İlişkin İlkeler

Yönetmelik Taslağı’nın 6 ncı maddesi kişisel verilerin saklanması ve imhası konusunda aşağıdaki ilkelerin geçerli olacağı belirtilmiştir:

a) Kanun’un 4 üncü maddesindeki kişisel verilerin işlenmesine ilişkin genel ilkelere uyulması zorunludur.

b) Politika’nın hazırlanmış olması, kişisel verilerin Kanun ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.

c) Sicil’e kayıtlı olma yükümlülüğüne tabi olmadıkları için Politika hazırlama yükümlülüğü altında bulunmayanların, kişisel verileri Kanun ve Yönetmelik uyarınca saklama, silme, yok etme ve anonim hale getirme yükümlülükleri devam eder.

ç) Kişisel verilerin saklanmasında ve imhasında, Kanunun 12 nci maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuat hükümlerine, Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

2.2. Kişisel Veri Saklama ve İmha Politikasının Kapsamı

Yönetmelik Taslağı’nın 7 nci maddesi uyarınca, Saklama ve İmha Politikası’nda aşağıdaki bilgilerin yer alması gerekir:

(i) Politika’nın hazırlanma amacı,

(ii) Politika ile düzenlenen kayıt ortamları,

(iii) Politika’da yer verilen hukuki ve teknik terimlerin tanımları,

(iv) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama,

(v) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,

(vi) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,

(vii) Kişisel verileri saklama ve imha süreçlerinde yer alanların isimleri ve sorumlulukları,

(viii) Kişisel verileri saklama ve imha sürelerini gösteren tablo,

(ix) Periyodik imha süreleri bilgileri.

Aynı maddenin 2 nci fıkrasında, Kurul’un Politika hazırlama ve uygulama esasları ile usulünü belirlemek konusunda karar alma yetkisine sahip olduğu ve Kurul tarafından alınacak bu kararların uygun yöntemlerle kamuoyuna duyurulacağı ifade edilmiştir.

3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Usul ve Esaslar

3.1. Kişisel Verilerin Silinmesi

Yönetmelik Taslağı’nın 8 inci maddesinde kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin veri sorumlusunun yedeklemeler dahil tüm ortamlarından geri dönülmez şekilde silinmesi gereklidir.

Bununla birlikte, Yönetmelik Taslağı’nın 8 inci maddesinin üçüncü fıkrasında geri dönülmez şekilde silinme zorunluluğu konusunda önemli bir istisna öngörülmüştür. Buna göre, veri sorumluları tarafından gerçekleştirilen kişisel verilerin silinmesi işleminin, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak olması halinde,

(i) kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,

(ii) başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,

(iii) kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması

kaydıyla kişisel veriler silinmiş sayılacaktır. Veri sorumluları, kişisel verilerin silinmiş sayılmasına ilişkin koşulları ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

Yönetmelik Taslağı’nın 8 inci maddesinin son fıkrasında, herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesinin nasıl yapılacağı da düzenlenmiştir. Buna göre, söz konusu silme işlemi, (i) gerekli olmayan kişisel verilerin karartılması ve (ii) tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi, yoluyla gerçekleştirilecektir.

3.2. Kişisel Verilerin Yok Edilmesi

Yönetmelik Taslağı’nın 9 uncu maddesinde kişisel verilerin yok edilmesi; bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi olarak tanımlanmıştır. Bu kapsamda, veri sorumlularının kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alması zorunludur. Yönetmelik Taslağı’nın 8 inci maddesinin üçüncü fırkasında verilerin geri dönülmez şekilde silinmesi açısından öngörülen istisna, verilerin yok edilmesi işlemi açısından öngörülmemiştir.

3.3. Kişisel Verilerin Anonim Hale Getirilmesi

Yönetmelik Taslağı’nın 10 uncu maddesinde kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Aynı maddenin ikinci fıkrası uyarınca, kişisel verilerin anonim hale getirilmiş sayılabilmesi için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı grupları tarafından; (i) kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması ve (ii) geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmesinin mümkün olmayan hale getirilmesi gereklidir.

3.4. Kişisel Verileri Silme, Yok Etme veya Anonim Hale Getirme Süreleri

Yönetmelik Taslağı’nın 11 ve 12 inci maddelerinde, veri sorumlularının kişisel verileri silme, yok etme veya anonimleştirilmesi için gerekli olan sürelere, bu silme işleminin resen ve veri sahibinin talebi üzerine yapılması durumları açısından ayrı ayrı düzenlenmiştir.

3.4.1. Veri Sorumlusu Tarafından Re’sen

Yönetmelik Taslağı’nın 11 inci maddesi uyarınca, veri sorumlularının kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında dikkate alınması gereken süreler belirlenmiştir. Buna göre, Saklama ve İmha Politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirirler. 11 inci maddenin ikinci fırkasında, periyodik imhanın gerçekleştirileceği zaman aralıklarının, faaliyet alanı ve sektörün özellikleri dikkate alınarak Kurul tarafından belirlenebileceği, ancak bu sürenin her halde doksan günden uzun olamayacağı belirtilmiştir.

Politika hazırlamamış olan veri sorumluları ise, yükümlülüğün ortaya çıktığı tarihi takip eden otuz gün içerisinde kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlü olacaktır.

11 inci maddenin son fıkrası uyarınca, yukarıda belirtilen otuz ve doksan günlük süreler, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kurul tarafından kısaltılabilecektir.

3.4.2. İlgili Kişinin Talebi Üzerine

Yönetmelik Taslağı’nın 12 nci maddesi uyarınca; veri sahibi tarafından, veri sorumlusuna başvuru yapılarak kendisine ait kişisel verilerin silinmesi veya yok edilmesi talep edildiğinde, veri sorumlusu tarafından kişisel verileri işleme şartlarının tamamı ortadan kalkıp kalkmadığı dikkate alınarak hareket edilmelidir.

Kişisel verilerin işlenme şartları ortadan kalkmışsa, veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. Veri sahibinin söz konusu talebi veri sorumlusu tarafından en geç otuz gün içinde sonuçlandırılmalıdır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanun’un 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

LBF PARTNERS OLARAK SUNDUĞUMUZ HUKUKİ HİZMETLER

LBF Partners olarak, kişisel verilerin korunması mevzuatına uyum çerçevesinde müvekkillerimize sunduğumuz hizmetler aşağıdaki gibidir:

  • Müvekkilin veri envanterinin çıkarılması, verilerinin işlenmesi için rızası gereken kişilerin tespiti ve rızanın alınması ve veri sahiplerine aydınlatma bildiriminde bulunulması için gerekli metinlerin hazırlanması;
  • Kişisel Verilerin Korunması Kanunu’na uyumun sağlanması amacıyla müşteriler, çalışanlar, tedarikçiler ve kişisel verileri elde edilen veya verilerin aktarıldığı veya verilere erişimi olan diğer üçüncü kişilerle yapılan sözleşmelerin gözden geçirilmesi ve tadili;
  • Kişisel verilerin toplanmasına, işlenmesine, saklanmasına ve bunlara erişimin sağlanmasına ilişkin kuralları içeren kurum içi politikaların, yönetmeliklerin, iş akışlarının ve bilgilendirme dokümanlarının hazırlanması,
  • Müvekkilin Veri Sorumluları Siciline kaydının gerekli olması halinde, bu kayıt için gerekli bilgi ve belgelerin hazırlanarak kayıt başvurusunda bulunulması
  • Kişisel verilerin korunması konusunda gerekli olması halinde kurum içi eğitimlerin verilmesi;

Bu konuda hukuki desteğe ihtiyaç duymanız halinde, info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.

 

 

[1] Kişisel Verilerin Korunması Kanunu’na ilişkin detaylı bilgiye ulaşmak için 24 Nisan 2016 tarihli “Kişisel Verilerin Korunması Kanunu’nun Getirdikleri” başlıklı bilgi notumuzu www.lbfpartners.com/dosyalar/012855.pdf adresinden okuyabilirsiniz.

[2] Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı hakkında detaylı bilgi için, 8 Mayıs 2017 tarihli “Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı Yayınlandı” başlıklı bilgi notumuzu http://www.lbfpartners.com/dosyalar/061304.pdf adresinden okuyabilirsiniz.

View in PDF Format