I. GIRIŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") kişisel verilerin işlenmesine ilişkin genel ilkeleri düzenleyen 4. maddesi uyarınca kişisel veriler, usulüne uygun bir işleme prosedüründen doğrultusunda ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilirler. Kişisel verinin muhafazasının, ilgili kişinin açık rızasının alındığı amaç için artık gerekli olmaması sonucunda veri sorumlusunun ilgili kişisel veriyi silme, yok etme veya anonimleştirmesi gerekmektedir.

Bunun yanında, kişisel verilerinin işlenmesi için ilgili kişi tarafından verilen rızanın her zaman geri alınması mümkün olup, geri alınma halinde de bu işlemlerin gerçekleştirilmesi gerekmektedir.

KVKK'nin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik getirdiği yükümlülüklerin usul ve esaslarını belirlemek amacıyla 01.01.2018 tarihinden itibaren yürürlüğe girmek üzere 28.10.2017 tarihinde Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") Resmi Gazete'de yayımlanmıştır. İşbu bilgi notu, Yönetmelik ile getirilen yükümlülükler ortaya koymak adına hazırlanmıştır.

II. YÖNETMELIK ILE GETIRILEN DÜZENLEMELER

a. Kişisel Veri Saklama ve İmha Politikası ("Politika") Hazırlama Yükümlülüğü

i. Tanım ve İçerik

Kişisel veri saklama ve imha politikası, veri sorumlularının kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ile silme, yok etme ve anonim hale getirme işlemlerine yönelik düzenlemelerini ifade etmektedir.

Politika, asgari olarak aşağıdaki bilgileri içermelidir:

  • Politika'nın hazırlanma amacı,
  • Verilerin kayıt ortamları,
  • Politika'da yer verilen hukuki ve teknik terimlerin tanımları,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
  • Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemler.
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımları,
  • Saklama ve imha sürelerini gösteren tablo,
  • Periyodik imha süreleri,
  • Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişik.

ii. Uygulama Alanı

KVKK uyarınca Veri Sorumluları Sicili'ne kayıt yükümlülüğü olan veri sorumlularının, aşağıda tarif edilen Politika'yı hazırlama yükümlülükleri bulunmaktadır. Veri Sorumluları Sicili Hakkında Yönetmelik ile Kurul kararları uyarınca aşağıda istisna tutulanlar haricindeki tüm veri sorumlularının Veri Sorumluları Sicili'ne kayıt yükümlülüğü bulunmaktadır:

  • Yalnızca ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verileri işleyen veri sorumluları,
  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler,
  • Noterler,
  • Dernek, vakıf ve sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler,
  • Siyasi partiler,
  • Avukatlar,
  • Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler,
  • Yıllık çalışan sayısı 50'den az olup aynı zamanda yıllık mali bilanço toplamı da 25 milyon TL'den az olan gerçek veya tüzel kişiler.

b. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesinde Uyulacak İlkeler

i. Kavramlar

  • Kişisel verilerin silinmesi, Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini kapsamaktadır. Bu bağlamda veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
  • Kişisel verilerin yok edilmesi, Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini kapsamaktadır. Veri sorumlusunun yükümlülükleri yukarıda belirtmiş olduğumuz madde ile aynıdır. Silinmeden farkı, fiziki bir varlığa sahip olması halinde bunun da imha edilmesi işlemini de kapsıyor olmasıdır.
  • Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini ifade etmektedir.

ii. Yükümlülükler

  • Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir.
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınmak zorundadır. Bu işlemlere ilişkin kayıtlar en az üç yıl süreyle saklanır.

iii. Kişisel Verilerin Saklanma Süreleri

  • Veri sorumlusu, öncelikle 6 ayı geçmeyecek şekilde bir imha periyodu belirlemek ve kişisel verilerin işlenme şartlarının oradan kalktığı ilk periyodik imha işleminde, kişisel verileri silmekle, yok etmekle veya anonim hale getirmekle yükümlüdür.
  • Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içerisinde, kişisel verileri silmekle, yok etmekle veya anonim hale getirmekle yükümlüdür.
  • Ayrıca Yönetmeliğin 12. maddesi uyarınca kişisel verilerin ilgili kişinin talebi doğrultusunda silme ve yok etme süreleri de düzenlenmiştir. Bu kapsamda talepten itibaren;
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silmekle, yok etmekle veya anonim hale getirmekle yükümlüdür.
  • Yukarıda belirtilmiş olan durumda eğer ki veriler 3. kişiye aktarılmış ise, veri sahibinin talebi üzerine, bu durumu üçüncü kişiye bildirilmeli ve yukarıda belirtilen işlemlerin yapılması temin edilmelidir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanun'un 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilecektir.
  • Veri sorumlusu, bu tür bir başvuruyu en geç otuz gün içerisinde sonuçlandırmak ve ilgili kişiye bilgi vermek zorundadır.

Kişisel Verileri Koruma Kurulu, Yönetmelik uyarınca kişisel verilerin nasıl silineceği, imha edileceği veya anonim hale getirileceği konusunda internet sitesinde bir rehber yayınlamış olup, bu rehbere aşağıdaki link üzerinden ulaşılabilir:

https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%
20S%C4%B0L%C4%B0NMES%C4%B0,%20YOK%20ED%C4%B0LMES%C4%B0%20VEYA%20ANON
%C4%B0M%20HALE%20GET%C4%B0R%C4%B0LMES%C4%B0%20REHBER%C4%B0.pdf

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.