Bağ & Günen Hukuk Bürosu
Çalışma Saatleri

Pazartesi-Cuma : 09:00 -18:00

Bağ & Günen Hukuk Bürosu

ENGB

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi İle İlgili Yönetmelik Taslağı Yayımlandı

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, veri sorumlularının Kanun’un 7. maddesi uyarınca verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü bulunmaktadır. Buna ilişkin usul veya esasların ise yönetmelikle düzenleneceği belirtilmiştir.

Açıklanan kapsamda Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı (“Yönetmelik”) yayımlandı.

Yönetmelik kişisel verilerin silinme, yok edilme veya anonim hale getirilmesine ilişkin usul veya esasları düzenlemekte ve bundan sorumlu olan gerçek veya tüzel kişiler hakkında uygulanmaktadır.

I. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gereken haller

Yukarıda belirtildiği üzere Kanun uyarınca kişisel verilerin işlenme sebeplerinin ortadan kalkması halinde silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartları ise Kanun’un 5. ve 6. maddesinde düzenlenen hallerdir. Bu hükümlere paralel olarak Yönetmeliğin 5. maddesinin ikinci fıkrasında düzenlenen ve aşağıda sayılan hallerde kişisel verilerin işlenme sebeplerinin ortadan kalktığı kabul edilecektir:

  1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  2. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  4. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  5. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. İlgili kişinin, Kanun’da düzenlenen hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  7. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  9. Kanunun 5’inci ve 6’ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

Yukarıda sayılan hallerde kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

Yönetmeliğin 5. maddesi incelendiğinde Kanun’un 5. ve 6. maddesinde düzenlenen işlenme şartlarının ortadan kalkması halinin yanında bazı hallerle ilgili detaylı düzenleme yapıldığı anlaşılmaktadır. Zira Kanun uyarınca bir sözleşmenin ifasıyla doğrudan doğruya ilgili olması kaydıyla açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür. Yönetmelik ile taraflar arasında kurulan bu sözleşmenin feshi halinde kişisel verilerin işlenme şartlarının ortadan kalkacağı düzenlenmiştir.

II. Kişisel verilerin saklanma ve imhasında uygulanacak ilkeler

Yönetmeliğin 6. maddesinin ikinci fıkrasında kişisel verilerin saklanması ve imhasında uygulanacak ilkeler aşağıdaki gibi belirlenmiştir:

  1. Kanun’un 4. maddesinde düzenlenen genel ilkelere uyulması zorunludur.
  2. Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanun ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
  3. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayanların, kişisel verileri Kanun ve Yönetmelik uyarınca saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

Ek olarak kişisel verilerin saklanması ve imhasında, Kanun’un 12. maddesinde düzenlenen güvenlik tedbirlerine, ilgili mevzuat hükümlerine, Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

Yönetmelik veya Kanun’da kişisel veri saklama ve imha politikası hazırlama yükümlülüğünün uygulanmayacağı hallere ilişkin açık bir düzenleme mevcut değildir. Bununla beraber Yönetmeliğin 7. maddesinde kişisel veri saklama ve imha politikası hazırlama ve uygulama esasları ile usulünü belirleme konusunda karar alma yetkisinin Kurul’a ait olduğu belirtilmiştir. Dolayısıyla istisnai hallere ilişkin Kurul kararlarının beklenmesi gerektiği anlaşılmaktadır.

III. Kişisel veri saklama ve imha politikası

 Yönetmeliğin 6. maddesine göre sicile kayıt yükümlülüğü olanlar, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Bu politikanın içeriğinde yer alması gereken bilgiler Yönetmeliğin 7. maddesinde aşağıdaki gibi belirlenmiştir:

  1. Kişisel veri saklama ve imha politikasının hazırlanma amacı,
  2. Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları,
  3. Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları,
  4. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama,
  5. Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
  6. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
  7. Kişisel verileri saklama ve imha süreçlerinde yer alanların isimlerine ve sorumlulukları,
  8. Kişisel verileri saklama ve imha sürelerini gösteren tablo,
  9. Periyodik imha süreleri.

IV. Kişisel verilerin silinmesi

Yönetmeliğin 8. maddesine göre, tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır.

Bununla birlikte, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise aşağıdakilerin gerçekleştirilmesi kaydıyla kişisel veriler silinmiş sayılacaktır:

  1. Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
  2. Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
  3. Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde

gerekli her türlü teknik ve idari tedbirlerin alınması,

Diğer yandan herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi aşağıdaki şekilde gerçekleştirilecektir:

  1. Gerekli olmayan kişisel verilerin karartılması,
  2. Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan kişisel verilerin maskelenmesi.

V. Kişisel verilerin yok edilmesi

Yok etme, Yönetmeliğin 9. maddesinde, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi olarak tanımlanmıştır. Yok etme yönünden silinmede olduğu gibi herhangi bir istisna tanınmamıştır.

VI. Kişisel verilerin anonim hale getirilmesi

Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı gruplarınca;

  1. Kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,
  2. Geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi,

yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.

VII. Kişisel verilerin resen silme, yok etme veya anonim hale getirme süreleri

Yönetmeliğin 11. maddesine göre veri sorumluları, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alırlar:

  1. Kişisel veri saklama ve imha politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde,
  2. Kişisel veri saklama ve imha politikası hazırlamamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden otuz gün içerisinde,

kişisel verileri siler, yok eder veya anonim hale getirirler.

Periyodik imhanın gerçekleştirileceği zaman aralıkları, faaliyet alanı ve sektörün özellikleri dikkate alınarak Kurul tarafından belirlenebilecektir. Bu süre her halde doksan günden uzun olamaz.

VIII. İlgili kişinin talep etmesi durumunda kişisel verileri silme ve yok etme süreleri

Kişisel verisi işlenen gerçek kişi olan ilgili kişi, veri sorumlusuna başvurarak kişisel verilerinin silinmesi veya yok edilmesini talep ettiğinde;

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. İlgili kişilerin silme veya yok etme talepleri veri sorumluları tarafından en geç otuz gün içerisinde sonuçlandırılır.
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Belirtmek gerekir ki, Kanun’un 14. maddesi uyarınca başvurunun reddi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişinin Kurul’a şikayet hakkı bulunmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanununa uyum süreçleri konusunda müvekkillerimize destek vermekteyiz. Bu kapsamda Kanun’dan doğan bildirimlerin yapılması için gerekli metinlerin oluşturulması; çalışanlar, müşteriler, üçüncü kişilerle imzalanan sözleşmelerin uyum bakımından incelenmesi ve tadili; sicile kayıt için gerekli bilgilerinin hazırlanması ve kayıt başvurusunun takibi; mevzuata uyum için gerekli olabilecek kurum içi doküman ve politikaların hazırlanması, incelenmesi ve tadili gibi hususlarda hukuki hizmetlerimizi sunmaktayız. Detaylı bilgi ve mevzuat hakkında sorularınız için info@engblaw.com adresinden bizimle iletişime geçebilirsiniz