6698 sayılı Kişisel Verilerin Korunması Kanunun 7. Maddesinde, bu kanuna uygun olarak daha önce işlenen veriler, belli sebeplerin olması sonucunda veri sorumluları tarafından silineceği, yok edileceği veya anonim hale getirileceği düzenlenmiştir. Bu işlemlerin nasıl yapılacağı ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te düzenlenmiştir. Yönetmelikte veri saklama ve imha politikasına ilişkin esaslar, ilkeler, tanımlar ve süreler düzenlenmiştir.
Kişisel Veri Saklama Ve İmha Politikası
Kanunun 16. Maddesi gereğince Veri Sorumluları Siciline kaydolmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Veri Sorumluları Siciline kaydolmakla yükümlü olmayan veri sorumlularının da yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam etmektedir. Fakat politikanın sadece hazırlanması verilerin silinmesi, yok edilmesi ya da anonim hale gelmesi anlamına gelmez. Yönetmeliğin 6. Maddesinde kişisel veri saklama ve imha politikasının kapsamı belirlenmiştir. Buna göre;
MADDE 6 – (1) Kişisel veri saklama ve imha politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
İlişkin bilgileri kapsar.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi Yönetmeliğin 8. Maddesinde düzenlenmiştir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Öncelikle ilgili kullanıcı kavramının açıklanması gerekmektedir. Veri sorumluları verileri kendi organizasyonu içinde işleyebileceği gibi kendi organizasyonu dışındaki kişilere de verilerin işlenmesi için yetki ve talimat verebilir. Veri sorumlusu kendi organizasyonu içinde kişisel verileri işliyorsa, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan arşiv sorumlusu veri tabanı yöneticisi gibi bir kişi ya da birim hariç olmak üzere tüm çalışanları ilgili kullanıcı kavramı içinde yer alacaktır.
Veri sorumlusu kendi organizasyonu dışında kişilere veri işleme konusunda yetki ve talimat vermişse, veri işleyen firmanın veri tabanı yöneticisi hariç geri kalan tüm çalışanları ilgili kullanıcı kavramı içerisinde yer alacaktır.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilmez ve tekrar kullanılmaz hale getirilmesidir. Kişisel verilerin silinmesinde verilere sadece ilgili kullanıcılar ulaşamayacakken yok edilme işleminde verilere hiç kimse tarafından ulaşılamayacaktır.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Anonim hale getirilmesi, veri sorumlusu, alıcı veya alıcı grupları gibi tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin belirlenebilmesinin engellenmesi için uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi demektir. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır.
Bu nedenle herhangi bir yöntemle, anonim hale getirilen verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
SÜRELER
Kişisel Verileri Koruma Kanunun 5. Ve 6. maddesinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.
Veri sorumluları kişisel verilerin silinmesi, yok edilmesi veya anonim haline getirilmesi ile ilgili hazırladıkları imha politikasında uyguladığı yöntemleri açıklar ve kurul tarafından aksine bir karar alınmadıkça kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden birini seçer. Veri sorumlusu talep edildiği takdirde seçtiği yöntemi neden seçtiğini açıklamak zorundadır.
Bir diğer önemli husus ise sürelerdir. Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu periyodik imha işleminin ne zaman gerçekleştirileceğini imha politikasında hazırlayarak belirler. Belirlenen zaman aralığı altı ayı geçemez. Ancak veri sorumlusu imha politikası hazırlama mecburiyetinde değilse bu durumda kişisel verilerin silinme, yok edilme, anonim hale getirilmesi ihtiyacının ortaya çıktığı tarihten itibaren 3 ay içerisinde söz konusu verileri silecek, yok edecek veya anonim hale getirecektir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.
***
Kişisel Verilerin Korunması Kanunu oldukça kapsamlı olmakla birlikte veri sorumlularının herhangi bir cezai yaptırımla karşılaşmaması için uyum sürecinin uzman avukatlar tarafından titizlikle yönetilmesini tavsiye ederiz.