Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hakkında Bilgi Notu

07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 7/3. Maddesi ile 22/1-e. Maddesine dayanılarak 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") yayımlanmıştır.

Kanun'un 7. Maddesi ile birlikte gerçek ve tüzel kişi veri sorumlularına, işlemiş oldukları kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu verileri re'sen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hâle getirme yükümlülüğü getirilmiş olup bu yükümlülüğe ilişkin usul ve esasların Yönetmelik ile düzenleneceği belirtilmiştir.

Söz konusu Yönetmelik 01.01.2018 tarihinde yürürlüğe girecektir.

1.Kişisel Veri Saklama ve İmha Politikası Hazırlama Yükümlülüğü
Veri Sorumluları Siciline kaydolmak zorunda olan veri sorumlularına, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlayarak bu politikanın uygulanmasını temin etme yükümlülüğü getirilmiştir. (Veri Sorumluları Sicili henüz kurulmamıştır.) Söz konusu politikanın şirket işleyişine uygun olarak, talep edildiği takdirde ulaşılabilir nitelikte olacak şekilde ve aşağıdaki hususları içermek kaydıyla düzenlenmesi gerekmektedir.

2. Kişisel Veri Saklama ve İmha Politikasının Kapsamı
Saklama ve imha politikasında aşağıdaki bilgilerin yer alması gerekir:

  • a. Politikanın hazırlanma amacı,
  • b. Politika ile düzenlenen kayıt ortamları,
  • c. Politikada yer verilen hukuki ve teknik terimlerin tanımları,
  • d. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar,
  • e. Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
  • f. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
  • g. Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları,
  • h. Kişisel verileri saklama ve imha sürelerini gösteren tablo,
  • i. Periyodik imha süreleri,
  • j. Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklikler.

3. Kişisel Verilerin İmhasına İlişkin İlkeler
Kişisel verilerin saklanması ve imhası konusunda aşağıdaki ilkeler geçerli olacaktır.

  • a. Kanunun 5. ve 6. Maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
  • b. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. Maddesindeki genel ilkeler ile 12. Maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kişisel Verileri Koruma Kurul'u kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
  • c. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
  • d. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
  • e. Veri sorumlusu, Kişisel Verileri Koruma Kurul'u tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

4. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Usul ve Esaslar

4.1. Kişisel Verilerin Silinmesi Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü kılınmıştır. Kişisel verilerin silinmesi ise verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

4.2. Kişisel Verilerin Yok Edilmesi Kişisel verilerin yok edilmesi kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlularının kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alması zorunludur.

4.3. Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin anonim hale getirilmiş sayılabilmesi için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gereklidir.

5. Kişisel Verileri Silme, Yok Etme veya Anonim Hale Getirme Süreleri

5.1. Veri Sorumlusu Tarafından Re'sen Yönetmeliğin 11. Maddesi uyarınca, veri sorumlularının kişisel verileri re'sen silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında dikkate alınması gereken süreler belirlenmiştir. Buna göre, Saklama ve İmha Politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirirler. Maddenin 2. Fıkrasında ise periyodik imhanın gerçekleştirileceği zaman aralıklarının, Politikada belirleneceği, ancak bu sürenin her halde altı aydan uzun olamayacağı belirtilmiştir. Politika hazırlama yükümlülüğü olmayan veri sorumluları ise, yükümlülüğün ortaya çıktığı tarihi takip eden üç ay içerisinde kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Ancak belirtilen altı ve üç aylık süreler, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kurul tarafından kısaltılabilecektir.

5.2. İlgili Kişinin Talebi Üzerine Yönetmeliğin 12. Maddesi uyarınca ilgili kişi tarafından, veri sorumlusuna başvuru yapılarak kendisine ait kişisel verilerin silinmesi veya yok edilmesi talep edildiğinde, veri sorumlusu tarafından kişisel verileri işleme şartlarının tamamı ortadan kalkıp kalkmadığı dikkate alınarak hareket edilmelidir. Kişisel verilerin işlenme şartları ortadan kalkmışsa, veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. Veri sahibinin söz konusu talebi veri sorumlusu tarafından en geç otuz gün içinde sonuçlandırılıp ilgili kişiye bilgi verilmelidir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirmek ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin etmekle yükümlüdür. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusu tarafından Kanunun 13. Maddesinin 3. Fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

ETİD Hukuk Danışmanı
Bora Gemicioğlu
Gemicioğlu Hukuk Bürosu

  • E bültene Üye Olun
    Gelişmeleri Takip Edin