Publications Come back

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK YAYIMLANDI

07.12.2017

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK YAYIMLANDI

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 7 nci maddesi ile birlikte gerçek ve tüzel kişi veri sorumlularına, işlemiş oldukları kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu verileri re’sen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hâle getirme yükümlülüğü getirilmiştir. Kanunun 7 nci maddesinin üçüncü fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Bu kapsamda, hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanmıştır. Yönetmeliğin 14 üncü maddesi uyarınca, Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girecektir.

Yönetmeliğin getirdiği düzenlemeler, genel hatları ile aşağıdaki şekilde özetlenebilir:

1. Kişisel Veri Saklama ve İmha Politikası Hazırlama Yükümlülüğü

5 Mayıs 2017 tarihinde kamuoyunun görüşüne sunulan Veri Sorumluları Sicili Hakkında Yönetmelik Taslağının 9 uncu maddesinde, Veri Sorumluları Siciline (“Sicil”) kaydolmak zorunda olan veri sorumlularına, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için Kişisel Veri Saklama ve İmha Politikası (“Saklama ve İmha Politikası”) hazırlayarak, bu Politikanın uygulanmasını temin etme yükümlülüğü getirilmiştir. Yönetmeliğin 5 inci ve 6 ncı maddelerinde de Sicile kayıt yükümlülüğü olan veri sorumlularının kişisel veri işleme envanterine uygun olarak Saklama ve İmha Politikası hazırlama yükümlülüğü tekrar edilmiş, bu kapsamda söz konusu Politikanın hazırlanmasına ilişkin ilkeler ile Politika içeriğinde bulunması gereken hususlar düzenlenmiştir.

2.1. Kişisel Veri Saklama ve İmha Politikasının Kapsamı

Yönetmeliğin 6 ncı maddesi uyarınca, Saklama ve İmha Politikasında aşağıdaki bilgilerin yer alması gerekir:

(i) Politikanın hazırlanma amacı,

(ii) Politika ile düzenlenen kayıt ortamları,

(iii) Politikada yer verilen hukuki ve teknik terimlerin tanımları,

(iv) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar,

(v) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,

(vi) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,

(vii) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları,

(viii) Kişisel verileri saklama ve imha sürelerini gösteren tablo,

(ix) Periyodik imha sürelerine,

(x) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklikler.

2.2. Kişisel Verilerin Saklanması ve İmhasına İlişkin İlkeler

Yönetmeliğin 7 nci maddesinde, kişisel verilerin saklanması ve imhası konusunda aşağıdaki ilkelerin geçerli olacağı belirtilmiştir:

a) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

b) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

c) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

d) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

e) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

 

 

 

3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Usul ve Esaslar

3.1. Kişisel Verilerin Silinmesi

Yönetmeliğin 8 inci maddesinde kişisel verilerin silinmesi işlemi, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü kılınmıştır. Yönetmeliğin 4 üncü maddesinin (b) bendinde, “ilgili kullanıcı”, “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler” olarak tanımlanmıştır. Bu kapsamda, verilerin sadece veri sorumlusunun verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan birimi (örneğin bilgi işlem birimi) tarafından erişebilecek şekilde silinmesi, verilerin silinmiş olarak kabul edilmesi için yeterli sayılacaktır. Bu kural, verilerin yedeklemelerden silinmesi yükümlülüğünü ortadan kaldırdığı için, uygulama açısından olumlu görülebilir.  

3.2. Kişisel Verilerin Yok Edilmesi

Yönetmeliğin 9 uncu maddesinde kişisel verilerin yok edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır. Bu kapsamda, veri sorumlularının kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alması zorunludur.

3.3. Kişisel Verilerin Anonim Hale Getirilmesi

Yönetmeliğin 10 uncu maddesinde kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Aynı maddenin ikinci fıkrası uyarınca, kişisel verilerin anonim hale getirilmiş sayılabilmesi için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı grupları tarafından; (i) kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması ve (ii) geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmesinin mümkün olmayan hale getirilmesi gereklidir.

3.4. Kişisel Verileri Silme, Yok Etme veya Anonim Hale Getirme Süreleri

Yönetmeliğin 11 ve 12 inci maddelerinde, veri sorumlularının kişisel verileri silme, yok etme veya anonimleştirilmesi için gerekli olan sürelere, bu silme işleminin resen ve veri sahibinin talebi üzerine yapılması durumları açısından ayrı ayrı düzenlenmiştir.

3.4.1. Veri Sorumlusu Tarafından Re’sen Yönetmeliğin 11 inci maddesi uyarınca, veri sorumlularının kişisel verileri re’sen silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında dikkate alınması gereken süreler belirlenmiştir. Buna göre, Saklama ve İmha Politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirirler. 11 inci maddenin ikinci fırkasında, periyodik imhanın gerçekleştirileceği zaman aralıklarının, Politikada belirleneceği, ancak bu sürenin her halde altı aydan uzun olamayacağı belirtilmiştir.

Politika hazırlama yükümlülüğü olmayan veri sorumluları ise, yükümlülüğün ortaya çıktığı tarihi takip eden üç ay içerisinde kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür.

11 inci maddenin son fıkrası uyarınca, yukarıda belirtilen altı ve üç aylık süreler, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kurul tarafından kısaltılabilecektir.

3.4.2. İlgili Kişinin Talebi Üzerine

Yönetmeliğin 12 nci maddesi uyarınca; veri sahibi tarafından, veri sorumlusuna başvuru yapılarak kendisine ait kişisel verilerin silinmesi veya yok edilmesi talep edildiğinde, veri sorumlusu tarafından kişisel verileri işleme şartlarının tamamı ortadan kalkıp kalkmadığı dikkate alınarak hareket edilmelidir.

Kişisel verilerin işlenme şartları ortadan kalkmışsa, veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. Veri sahibinin söz konusu talebi veri sorumlusu tarafından en geç otuz gün içinde sonuçlandırılıp ilgili kişiye bilgi verilmelidir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirmek ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin etmekle yükümlüdür. Veri sorumlularının kimi durumlarda kişisel verileri kanun gereği üçüncü kişilere aktarabildiği dikkate alındığında, veri sahiplerine herhangi bir istisna tanınmaksızın verilerin aktarıldığı üçüncü kişilere ilişkin bu türlü bir yükümlülük getirilmesi, isabetli olmamıştır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusu tarafından Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

 

View in PDF Format