6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 7. maddesi uyarınca hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) 28.10.2017 tarihli 30224 sayılı Resmi Gazete’de yayımlandı, 01.01.2018 tarihinde yürürlüğe girecektir.
Yönetmelik’in dayanağı olan Kanun’un 7. maddesi; kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğini düzenlemekteydi.
Bu yükümlülük uygulamada, temin ettiği kişisel verileri “ya ihtiyacımız olursa” refleksiyle ilelebet saklamak isteyen yapılar tarafından oldukça nahoş karşılanmakta ve silme, yok etme veya anonimleştirmenin standartlarının nasıl belirleneceği sorusunu akıllara getirmekteydi. Bu kapsamda, Yönetmelik, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin temel esasları belirlemiş; ancak teknik yöntemlere işaret eden bir düzenleme yapmayarak bu alanı Kişisel Verileri Koruma Kurulu’nun yayınlarına, tebliğlere ve sair düzenlemelere bırakmıştır.
Yönetmelik’in düzenlediği yükümlülükler,
1. Kişisel verilerin imhası (Silinmesi, yok edilmesi veya anonimleştirilmesi) esasları,
2. Kişisel veri saklama ve imha politikası oluşturulması zorunluluğu,
3. Saklama süreleri ve imha periyotlarının belirlenmesi yükümlülüğü, olmak üzere üç ana başlıkta toplanabilmektedir.
Kanun’da ve Yönetmelik’te yer alan temel prensip; ilgili şartlar oluştuğunda, kişisel verilerin veri güvenliği yükümlülüğüne uygun bir şekilde periyodik ve sistematik olarak silinmesi, yok edilmesi veya anonimleştirilmesi bir başa deyişle imha edilmesi gerekliliğidir.
Bu bağlamda, aşağıdaki hallerde imha gerekliliğinin oluştuğu sonucuna varılmaktadır:
a. İşlemeye esas mevzuatın değişmesi veya ilgası,
b. İşlemeye esas sözleşmenin sona ermesi veya hükümsüzlüğü,
c. İşlenme amaç ve şartlarının ortadan kalkması,
d. İşleme faaliyetinin dürüstlük kuralına veya hukuka aykırı olması,
e. Açık rızaya bağlı işleme faaliyetlerinde rızanın geri alınması,
f. Veri sorumlusunun başvuruda bulunması ve bu başvurunun kabulü,
g. Veri sorumlusunun başvuruda bulunması ve bu başvurunun reddi neticesinde Kişisel Verileri Koruma Kurulu’nun talebin karşılanması gerektiğine ilişkin kararı,
h. Saklama süresinin sona ermesi.
İmha yöntemleri aşağıda belirtilen şekillerde uygulanabilmektedir:
1.1. Silme
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Örneğin, kişisel verinin yer aldığı evrak, dosya, CD, hard disklerin içeriğine erişilemez ve tekrar kullanılamaz hale getirilmesi silme işlemi kapsamındadır.
1.2. Yok Etme
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Örneğin, kişisel verinin yer aldığı evrak, dosya, CD, hard disklerin fiziki olarak imha edilerek tekrar kullanılamaz hale getirilmesi yok etme işlemi kapsamındadır.
1.3. Anonimleştirme
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin tam anlamıyla anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, kişisel verilerin aktarıldığı üçüncü kişiler tarafından dahi geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Örneğin, fiziki evraklarda kişilerin isimlerinin açılamayacak şekilde kapatılması, anket ve istatistiklerde yararlanılan kişiler ile sonuç arasındaki bağın koparılması, orantısal sonuçlara yer verilmesi (“Müşterilerimizin %63’ü 35 yaş üstü kadınlardan oluşmaktadır.” analizini elde ettikten sonra 35 yaş üstü kadın müşterilerin kimler olduğuna ulaşılmaması gibi) anonimleştirme faaliyetleri kapsamında değerlendirilmektedir.
Veri sorumlusu dilediği imha yöntemini seçmekte özgürdür; ancak ilgili kişinin özel bir talebi var ise veri sorumlusu bu talebi değerlendirip seçtiği yöntemin gerekçesini bildirmelidir.
Yönetmelik’in 7. maddesi uyarınca imha süreçlerine ilişkin her adım kayıt altına alınmalı ve imha veri güvenliği yükümlülüklerine uygun şekilde gerçekleştirilmeli, imhaya ilişkin kayıtlar ise en az üç yıl tutulmalıdır.
Ayrıca, mevcut kişisel verilerin ilk periyodik imha tarihinde imha edilmesi gerektiğinden altı ayı geçmeyen periyodik imha sürelerinin derhal belirlenmesi böylece ilk imha tarihinin netleştirilmesi gerekmektedir.
Ancak ilgili kişinin özel imha talebi varsa;
a. Kişisel veriyi işleme şartları ortadan kalkmışsa talepten itibaren otuz gün içinde imha işlemi gerçekleştirilir.
b. Kişisel veriyi işleme şartları ortadan kalkmışsa ve kişisel verilerin üçüncü kişilere aktarılmışsa veri sorumlusu derhal üçüncü kişiyi bilgilendirerek imha işlemlerinin yapılmasını sağlar.
c. Kişisel veri işleme şartları ortadan kalkmamışsa Kanun’daki şikayet prosedürüyle paralel bir uygulama olarak talep gerekçesiyle birlikte otuz gün içerisinde yazılı veya elektronik ortamda reddedilebilir.
Bu bağlamda, altı aylık periyotlarda gerçekleşecek imha tarihlerinin belirlenmesi ve ilgili kişilerden gelecek taleplere karşı hazırlıklı olunması gerekmektedir.
Veri sorumluları siciline kayıt olmakla yükümlü tüm kişisel veri işleyen gerçek ve tüzel kişiler, kişisel veri envanterine uygun kişisel veri saklama ve imha politikası (“KVSİP”) oluşturmakla yükümlüdür. O halde, KVSİP oluşturulması için gerekli ilk adım tüm iş süreçleri gözden geçirip ve mümkünse teknik bir uzman desteği alarak kişisel veri işleme envanteri çıkarılması olacaktır.
KVSİP içeriğinde bulunması gereken asgari unsurlar ise Yönetmelik’in 6. maddesinde şöyle düzenlenmiştir:
a. KVSİP’nın hazırlanma amacı,
b. KVSİP ile düzenlenen kayıt ortamları,
c. KVSİP içeriğindeki hukuki ve teknik terimlerin tanımları,
d. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar,
e. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
f. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
g. Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimlerine ve görev tanımları,
h. Saklama ve imha sürelerini gösteren tablo,
i. Periyodik imha süreleri,
j. Mevcut KVSİP’da güncelleme yapılmış ise söz konusu değişiklik.
O halde, KVSİP oluşturulabilmesi için ilgili kurum nezdindeki tüm departmanların hangi kişisel verileri hangi amaçla ne kadar süre ile sakladığının ve neden imha edileceğinin belirlenmesi, Kanun’daki veri güvenliğine ilişkin yükümlülükler paralel olarak bu güvenliğin nasıl sağlandığının açıklanması, saklama ve imha sürelerinin her işlem bazında belirlenmesi, periyodik imha sürelerinin kararlaştırılması ve tüm bu süreçleri yönetecek kişi veya kişilerin atanması gerekmektedir.
Tüm bu imha yükümlülüklerinin yanı sıra, TCK’nun 138 ve Kanun’un 17. maddesi uyarınca; kanunların belirlediği süreler geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemelerinin de suç olarak düzenlendiğinin ve 1 yıldan 2 yıla kadar hapis cezası yaptırımı öngörüldüğünün de altının çizilmesinde fayda görmekteyiz. Bu bağlamda, doğru yönetilmemesi halinde hukuki ve cezai sorumluluklara yol açabilecek imha süreçlerine hassasiyet gösterilmesi ve Yönetmelik ile getirilen hukuki yükümlülüklerin yerine getirilebilmesi için veri sorumluları nezdinde kişisel veri işleme süreçlerine ilişkin kapsamlı hukuki ve teknik bir çalışma yürütülmesi gerektiği aşikârdır.
Veri envanteri oluşturulması, saklama ve imha sürelerinin belirlenmesi, veri güvenliği önlemlerinin alınması, ilgili kişilerden gelecek talepleri karşılayabilecek bir şikayet yönetim sisteminin kurgulanması, Kanun’a ve Yönetmelik’e uyum sürecini yürütecek ve sürekliliğini sağlayacak bir birimin oluşturulması derhal atılması gereken adımlar olarak karşımıza çıkmaktadır. Kanun’a ve Yönetmelik’e uyum sürecine ilişkin sorularınız olması halinde bizlerle iletişime geçebilirsiniz.
Av. Bilgesu Demirel