İşbu Bilgi Notu, 6698 sayılı 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenlenmesinin öngörülmüş olmasını takiben 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca, kişisel verileri işleyeni veri sorumlularına ilişkin olarak getirilen düzenlemeler ve uyulması gereken usul ve esaslara açıklık getirmek üzere hazırlanmıştır.
Öncelikle belirtmek gerekir ki 28.10.2017 tarihli Resmi Gazete’de yayınlanan Yönetmelik’in tüm hükümleri 01.01.2018 tarihinde yürürlüğe girecektir.
KAPSAM;
Yönetmelik, kişisel verilerin silinme, yok edilme veya anonim hale getirilmesine ilişkin usul ve esasları düzenlemekte ve bundan sorumlu olan gerçek veya tüzel kişiler (“Veri Sorumluları”) hakkında uygulanmaktadır.
Veri Sorumluları, KVKK’daki tanımına göre, kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamaktadır. Bu kapsamda şirketler, Veri Sorumlusu olarak KVKK ve Yönetmelik kapsamında çeşitli yükümlülüklere tabidir.
YÖNETMELİK KAPSAMINDA YER VERİLEN KAVRAMLAR
Yönetmelik kapsamında, KVKK’da düzenlenmemiş olan yeni kavram tanımlamalarına yer verilmiştir. Yönetmelik içeriğinde;
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Veri Sorumluları organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri saklama ve imha politikası: Veri Sorumluları’nın, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Kişisel veri işleme envanteri: Veri Sorumluları’nın iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Periyodik İmha: KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade etmektedir.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI HAZIRLAMA YÜKÜMLÜLÜĞÜ
Veri sorumluları sicili (“Veri Sorumluları Sicili”), Yönetmelik’te; Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili olarak tanımlanmıştır. KVKK’nın 16. maddesi ile kişisel verileri işleyen gerçek ve tüzel kişilere, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kayıt olma yükümlülüğü getirilmiştir.
Yönetmelik’in 5. maddesi ise; Veri Sorumluları Sicili’ne kayıt olmakla yükümlü olan Veri Sorumluları’na kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası (“Politika”) hazırlama yükümlülüğü getirmiştir. Söz konusu Politika kapsamı Yönetmelik içeriğinde ayrıntılı olarak düzenlenmiştir.
Yönetmelik uyarınca, Veri Sorumluları tarafından oluşturulacak olan Politika içeriğinde;
• Politika’nın hazırlanma amacının,
• Kayıt ortamlarının,
• Politika’da yer verilecek hukuki ve teknik terim tanımlarının,
• Hukuki, teknik vb. sebeplere ilişkin açıklamaların,
• Kişisel verilerin saklanması, kişisel verilere hukuka aykırı olarak erişilmesi ve kişisel verilerin hukuka uygun olarak imha edilmesine ilişkin alınmış ola teknik ve idari tedbirlerin,
• Bu süreçte yer alan kişilere ilişkin bilgilerin,
• İmha ve saklama sürelerine ilişkin tablonun,
• Periyodik imha sürelerinin,
• Güncelleme yapılmış ise ilgili değişikliklerin yer alması zorunlu kılınmıştır.
KAYIT TUTMA VE SAKLAMA YÜKÜMLÜLÜĞÜ
Yönetmelik’in 7. maddesi uyarınca, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerekliliği getirilmiştir.
KİŞİSEL VERİLERİN İMHASI
Yönetmelik kapsamında imha; kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi olarak tanımlanmıştır. Buna göre, kişisel veriler, silinerek ve/veya yok edilerek ve/veya anonim hale getirilerek imha edilebilir. Bu yöntemler sınırlı sayıda olup kişisel verilerin sayılan bu üç yöntem dışında başka bir yöntem ile imha edilmesi mümkün olmayacaktır.
Veri Sorumluları, Kişisel Verileri Koruma Kurulu tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçebilecektir.
Kişisel verilerin imha edilmesi ile ilgili öngörülen yöntemler Yönetmelik kapsamında aşağıdaki şekilde tanımlanmış olup, Veri Sorumluları’na bu kapsamda ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlülüğü getirilmiştir:
Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
RE’SEN SİLME, YOK ETME VE ANONİM HALE GETİRME SÜRELERİ
Veri Sorumluları tarafından re’sen yapılacak silme, yok etme ve anonim hale getirme işlemlerine ilişkin süreler, Yönetmelik kapsamında aşağıdaki şekilde belirlenmiştir:
• Kişisel veri saklama ve imha politikası hazırlamış olan Veri Sorumlusu, imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde;
• Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan Veri Sorumluları ise, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içerisinde kişisel verileri imha etmelidir.
• Periyodik imhanın gerçekleştirileceği zaman aralığı, Veri Sorumluları tarafından kişisel veri saklama ve imha politikasında belirlenecek olup, bu süre her halde altı ayı geçemeyecektir.
İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRELERİ
İlgili kişi, KVKK’nın 13. maddesi uyarınca Veri Sorumluları’na başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde Veri Sorumluları;
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler, yok eder veya anonim hale getirecektir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verecektir.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirecek, üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin edecektir.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgili kişinin talebini gerekçesini açıklamak suretiyle reddedilebilecek ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilecektir.
Belirtmek gerekir ki, Kanun’un 14. maddesi uyarınca başvurunun reddi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişinin Kişisel Verileri Koruma Kurulu’na şikâyet hakkı bulunmaktadır.
SONUÇ
Her ne kadar KVKK Geçici Madde 1 kapsamında KVKK’da çıkarılması öngörülen yönetmeliklerin bir yıl içinde yürürlüğe konacağı düzenlenmiş ise de KVKK kapsamında çıkarılmış olan yönetmelik sayısı bugüne dek iki ile sınırlıdır. İş bu Bilgi Notu’nda detaylarına yer verilen Yönetmelik dışında, KVKK kapsamında çıkarılmış olan diğer yönetmelik, Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik olup, söz konusu düzenleme ile Kişisel Verileri Koruma Kurulunun çalışma usul ve esaslarını, görevlerini, yetkilerini ve sorumluluklarını belirlenmektedir.
Yukarıda detaylarına yer vermiş olduğumuz üzere, 01.01.2018 yılı itibariyle yürürlüğe girecek olan Yönetmelik, KVKK kapsamında Veri Sorumluları’na ilişkin olarak öngörülmüş olan yükümlülüklerin belirlenebilmesi ve detaylandırılması yönünden önemli bir role sahiptir. İşbu Bilgi Notu ile Yönetmelik hakkında kısa bilgilendirme yapılması amaçlanmıştır. Her ne kadar Yönetmelik 28.10.2017 tarihli Resmi Gazete’de yayınlanarak 01.01.2018 tarihinde yürürlüğe girecek olsa da; yukarıda bahsi geçenler de dâhil olmak üzere Yönetmelik’in getirdiği düzenlemelerin pratikte ne şekilde uygulanacağı zamanla şekillenecektir.
Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik 30242 sayılı ve 16.11.2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu Yönetmelik ile ilgili olarak herhangi bir sorunuz/talebiniz olması halinde, bizimle iletişime geçmenizden memnuniyet duyarız.