| Okuma Süresi: 2 Dakika

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK

STJ. AV. GÖRKEM BERKAY GÜNEN

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından hazırlanan “Kişisel Verilen Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”, Resmî Gazete’nin 28.10.2017 tarihli mükerrer sayısında yayımlanmıştır.

 

Söz konusu yönetmelik, “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek” amacıyla hazırlanmış olup, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 7’nci maddesi uyarınca veri sorumluları hakkında uygulanacaktır.

 

Kişisel Verilerin Korunması Kanununun 16’ncı maddesine göre Veri Sorumluları Sicili’ne kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. İlgili veri saklama ve imha politikasının hazırlanmış olması; kişisel verilen Kanun’a ve Yönetmelik’e uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmemektedir.

 

Kişisel veri saklama ve imha politikası asgari olarak aşağıdaki unsurları içermektedir;

 

*Kişisel veri saklama ve imha politikasının hazırlanma amacını,

*Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları,

*Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları,

*Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar,

*Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,

*Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,

*Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımları,

*Saklama ve imha sürelerini gösteren tablo,

*Periyodik imha sürelerine ilişkin bilgiler,

*Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgiler.

 

Veri işlenme şartlarının (Hukuk ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, açık ve meşru amaçlar için işlenme, mevzuatlarda öngörülen süre boyunca muhafaza edilme, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması vb.) tamamen ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekli olup, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer.

 

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

 

Kişisel verilerin yok edilmesi silinmeyi kapsamakla birlikte, geri getirilemez olma şartını içermektedir.

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.

 

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silecek, yok edecek veya anonim hale getirecektir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenecek olup bu süre her halde altı ayı geçemeyecektir.

 

İlgili kişinin talep etmesi durumunda ise kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silecek, yok edecek veya anonim hale getirecektir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandıracak ve ilgili kişiye bilgi verecektir.