Özet: 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete'de Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayımlanmıştır. Söz konusu Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girecektir.
Açıklamalar
1. Kişisel Veri Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") gerçek kişilere ait her türlü veriyi kişisel veri olarak tanımlamıştır. Buna göre, ''Kişisel Veri'', bir kişiyi belirli ve belirlenebilir kılan her türlü bilgiyi ifade etmektedir. Kişisel verilerden bahsedebilmek için bunların kişilerle eşleştirilebilir olması gerekli ve yeterlidir.
2. İşleme Ne Demektir?
Kişisel verilerin (a) tamamen veya kısmen otomatik olan ya da (b) herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi verilerin üzerinde gerçekleşen her türlü işlem ''İşleme'' faaliyeti olarak değerlendirilecektir. İşleme; silme, yok etme ya da anonimleştirme süreçlerini de kapsamaktadır.
3. Veri Sorumlusu ve Veri İşleyen Kimdir?
Kanun ile belirlenen sorumlulukların kişilere yüklenebilmesi ve ihlal halinde cezaların kimlere uygulanacağının belirlenebilmesi için; kimin ilgili kişi, kimin veri sorumlusu, kimin veri işleyen olduğunun belirlenmesi gerekmektedir.
Veri sorumlusu Kanun'da kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmaktadır.
4. Yönetmeliğin Amacı Nedir?
Kanun'un 4'üncü maddesi uyarınca kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli ve işlenmesini gerektiren sebepler ortadan kalktığında kendiliğinden veya veri sahibi talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.
28 Ekim 2017 tarihinde yürürlüğe giren Yönetmelik de işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir.
5. Kişisel Veri Saklama ve İmha Politikası Hazırlamakla Kimler Yükümlüdür?
Yönetmelik'in 5'inci maddesi uyarınca Veri Sorumluları Siciline kayıt olmakla yükümlü1 olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
Söz konusu politikada asgari olarak aşağıdaki hususlara yer verilmelidir:
- Kişisel veri saklama ve imha politikasının hazırlanma amacı
- Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları
- Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları
- Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama
- Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler
- Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler
- Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımları
- Saklama ve imha sürelerini gösteren tablo
- Periyodik imha süreleri
- Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklik
6. Silme Nedir?
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
7. Yok Edilme Nedir?
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
8. Anonim Hale Getirilme Nedir?
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
9. Silme, Yok Etme veya Anonim Hale Getirme İçin Öngörülen Süreler Nelerdir?
Re'sen Silme, Yok Etme veya Anonim Hale Getirilme Süresi:
- Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde;
- Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında olmayan veri sorumlusu ise kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 3 ay içerisinde
kişisel verileri siler, yok eder veya anonim hale getirir.
Periyodik imha kişisel verileri saklama ve imha politikasında belirtilen sürelerde tekrar eden aralıklarla gerçekleştirilmelidir. Önemle belirtmek gerekir ki periyodik imhanın gerçekleştirileceği zaman aralığı 6 ayı geçmeyecektir.
Kişisel Veri Sahibinin Talep Etmesi Durumunda Silme, Yok Etme veya Anonim Hale Getirilme Süresi:
Kişisel veri sahibi olan gerçek kişi veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilecektir. Bu durumda veri sorumlusu aşağıdaki şekilde hareket etme yükümlülüğü altındadır:
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere (veri işleyen) aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
10. Kişisel Verilerin Silinmesi, Yok edilmesi ve Anonim Hale Getirilmesi İşlemleri Kayıt Altına Alınacak mı?
Yönetmelik uyarınca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınacak ve bu kayıtlar en az 3 yıl süreyle saklanacaktır.
Ek- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Saygılarımızla,
1 Kanun'un 16'ncı maddesi uyarınca ise kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili'ne kaydolmak zorundadırlar. Kişisel Verileri Koruma Kurul'u kayda ilişkin istisna getirebilecektir.