Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik neler getiriyor?
Kişisel Verilerin Korunması Kurulu tarafından kamuoyu ile önce taslağı paylaşılan ve hakkında görüş toplanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” (“Yönetmelik”) 28 Ekim 2017 tarihinde Resmi Gazetede yayımlandı. Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girecek.
Yönetmelik, bu notta ayrıntılı olarak açıklayacağımız yükümlülüklere uyulmaması ile ilgili özel olarak bir cezadan bahsetmese de, Kişisel Verilerin Korunması Kanununun (“Kanun”) 17. maddesine göre kişisel verileri belirlenen sürelerde silmeyen veya anonim hâle getirmeyenlerin Türk Ceza Kanununun 138. maddesine göre cezalandırılacağını; bu maddenin de bu suç için “bir yıldan iki yıla kadar hapis cezası” öngörmüş olduğunu önemle hatırlatmak isteriz.
1. Genel açıklama
Bilindiği gibi, Kanunun 7. Maddesine göre:
- Veri sorumluları,
- kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde,
- bu verileri re’sen (kendiliğinden) veya ilgili kişinin talebi halinde,
- silmek, yok etmek veya anonim hale getirmekle yükümlüdür.
İşte Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Yönetmeliği (“Yönetmelik”) ise bu yükümlülüğün yerine getirilmesi ile ilgili esasları belirliyor.
Bununa ek olarak Yönetmelik, daha önceki bilgi notumuzda incelediğimiz Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı (“Sicil Taslağı”) uyarınca Veri Sorumluları Siciline kaydolması gereken kişilerin, veri saklama ve imha esaslarını içeren Kişisel Veri Saklama ve İmha Politikası (“Politika”) hazırlama yükümlülüğünün esaslarını ve kapsamını belirliyor. Her iki Yönetmeliğe göre, bu Politika yine bu kişilerin Sicil Taslağı uyarınca hazırlaması gereken Kişisel Veri İşleme Envanterine uygun olacak hazırlanacak.
Yönetmeliğe ilişkin genel açıklama ve değerlendirmelerimizi aşağıda bilginize sunuyoruz:
2. Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halleri hangileridir?
Bilindiği gibi, Kanun uyarınca kişisel verilerin (genel nitelikli) işlenmesi aşağıdaki şartlara bağlıdır (m. 5):
(a) Açık rıza,
(b) Açık rıza olmadığı takdirde aşağıdaki şartlardan birinin varlığı:
(i) Kanunlarda açıkça öngörülmesi.
(ii) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
(iii) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
(iv) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
(v) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
(vi) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
(vii) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenmesi ise aşağıdaki şartlara bağlıdır (m. 6):
(a) Açık rıza,
(b) Açık rıza olmadığı takdirde aşağıdaki şartlardan birinin varlığı:
(i) sağlık ve cinsel hayat dışındaki kişisel veriler için kanunlarda öngörülmesi,
(ii) Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenmesi.
Yönetmelik bu şartlara genel bir atıf yaparak bu şartların ortadan kalkması halinde veri işleme şartının ortadan kalkacağını teyit etmiştir. Bununla birlikte Yönetmelik taslak halinden farklı olarak işleme şartlarının ortadan kalkmış kabul edileceği bazı hususları tek tek sayma yoluna gitmemiştir. Bu yaklaşımın yerinde olduğu görüşündeyiz. Zira bu tür durumların bazılarının tek tek sayılması bu listenin kapsayıcı/sınırlı sayıda durum içeren bir liste olduğu algısını yaratabilecektir.
3. Politika (Kişisel Veri Saklama ve İmha Politikası) nedir? Kim hazırlamalıdır?
Kuşkusuz Yönetmeliğin içerdiği en önemli hususlardan biri Politikanın hazırlanması ve kapsamına ilişkin esaslardır.
Bu Politikanın sadece Veri Sorumluları Siciline kaydolması gereken kişiler tarafından hazırlanması gerektiğini hatırlatmak isteriz. Sicil Taslağı’nda sicile kaydolması gereken kişilere ilişkin kriterlerin (ve istisnaların) belirtilmediğini ve Kurul’un bu konuda henüz bir karar vermediğini yeri gelmişken belirtelim.
(a) Öncelikle, veri silme, saklama, anonimleştirme de dahil veri ile ilgili tüm işlemlerde Kanunun 4 üncü maddesindeki genel ilkelere uyulması zorunludur. Bunları hatırlatmak gerekirse:
(i) Hukuka ve dürüstlük kurallarına uygun olma;
(ii) Doğru ve gerektiğinde güncel olma;
(iii) Belirli, açık ve meşru amaçlar için işlenme;
(iv) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma;
(v) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme;
(b) Politikanın hazırlanmış olması; kişisel verilerin Kanun ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
(c) Politika hazırlama yükümlülüğü altında bulunmayanların, kişisel verileri Kanun ve Yönetmelik uyarınca saklama, silme, yok etme ve anonim hale getirme yükümlülükleri devam eder.
(d) Kişisel verilerin saklanmasında ve imhasında, verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesin önlemek gibi Kanunun 12 nci maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuat hükümlerine, Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
Bu Politika:
(a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
(b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
(c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
(d) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
(e) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
(f) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
(g) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
(h) Kişisel verileri saklama ve imha sürelerini gösteren tabloya,
(i) Periyodik imha sürelerine, ve
(j) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe, ilişkin bilgileri içerir.
4. Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ne demektir, bunlara ilişkin genel esaslar nelerdir?
(a) Verilerin silinmesi
(i) Kişisel verilerin ilgili kullanıcılar (depolama hariç olmak üzere, veri sorumlusu nezdinde kişisel verileri işleyen kişi) tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(ii) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
Yönetmelik taslaktan farklı olarak bazı örnek işlemleri sıralayarak, bunların yapılması halinde verilerin “silinmiş sayılacağına” ilişkin hükümleri barındırmamaktadır. Bunun yine sınırlayıcı bir liste yaratmamak amacıyla yapıldığı görüşündeyiz.
(b) Verilerin yok edilmesi
(i) Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(ii) Veri sorumluları kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.
(c) Verilerin anonim hale getirilmesi
(i) Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
(ii) Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı gruplarınca geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi, gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
(iii) Veri sorumluları kişisel verilerin anonim hale getirilmesi ilgili gerekli her türlü teknik ve idari tedbirleri alır.
5. Süreler
5.1. Re’sen (kendiliğinden) silme, yok etme veya anonim hale getirme süreleri
Politika hazırlamış olanlar: Yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde
Politika hazırlama yükümlülüğü olmayanlar: Yükümlülüğün ortaya çıktığı tarihi takip eden 3 ay içerisinde
(i) Periyodik imhanın gerçekleştirileceği zaman aralıkları, her halde 6 ayı geçemez.
(ii) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu süreleri kısaltabilir.
5.2. İlgili kişinin talebi halinde silme, yok etme veya anonim hale getirme ya da ret süresi
Veri işleme şartları ortadan kalkmışsa: Talebin ulaşmasından itibaren 30 gün içerisinde silme, yok etme veya anonim hale getirme
Veri işleme şartları ortadan kalkmamışsa ama veriler üçüncü kişiye aktarılmışsa: Bu durumu ilgili üçüncü kişiye bildirme ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin etme
Veri işleme şartları ortadan kalkmamışsa: 30 gün içerisinde gerekçesi açıklanarak ret cevabının ilgili kişiye yazılı ya da elektronik ortamda verilmesi
Yönetmelik metnine şu linkten ulaşabilirsiniz: http://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm
---
Yayınlanma Tarihi: 3 Kasım 2017
Sitemizde zorunlu çerez kullanıyoruz. Kullandığımız bu çerez ve bu çerezi nasıl devre dışı bırakacağınız hakkında bilgi edinmek için Çerez Aydınlatmamıza bakabilirsiniz. Çerez Aydınlatması
