Duyurumuzda; 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete ’de yayımlanan ve 01.01.2018 tarihinde yürürlüğe girecek olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” değerlendirilmiştir.
Yönetmeliğin Amaç, Kapsam ve Dayanağı;
Yönetmelik tamamen veya kısmen otomatik olan ya da otomatik olarak kaydedilmemiş olduğu halde bir veri sisteminin parçası olmak üzere kaydedilmiş kişisel verilerin yok edilmesi, silinmesi veya anonim hale getirilmesi amacıyla; 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na dayanılarak, veri sorumluları hakkında uygulanmak üzere hazırlanmıştır.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından veya yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Kişisel Veri Saklama ve İmha Politikası;
Veri sorumluları, kişisel verilerin saklanması ve imhası politikası hazırlamakla yükümlü olup; bu politikanın hazırlanması, kişisel verilerin Kanuna ve Yönetmeliğe uygun olarak saklandığı veya imha edildiği yönünde bir karine oluşturmaz.
Yönetmelik, kişisel veri saklama ve imha politikasında bulunması gereken asgari unsurları belirlemiştir. Buna göre kişisel veri saklama ve imha politikası; bu politikanın hazırlanma amacına, kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsar.
Verilerin İmhası;
Yönetmelikte kişisel verilerin imhası kapsamında; verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi esaslarını düzenlenmiştir.
Kişisel verilerin silinmesi; verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin yok edilmesi; verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmesi; verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri sorumlusu silinen, yok edilen veya anonim hale getirilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Yönetmelikle Öngörülen Süreler;
Kişisel verilerin resen imha edilmesi ve ilgili kişinin talebi üzerine imha edilmesi halleri için farklı süreler öngörülmüştür.
Kişisel verilerin resen silinmesi, yok edilmesi ve anonim hale getirilmesi işlemleri; kişisel veri saklama ve imha politikası hazırlamış olan veri sorumluları tarafından, yükümlülüğün ortaya çıktığı tarihten itibaren ilk periyodik imha tarihinde gerçekleştirilmelidir. Periyodik imha tarihleri veri sorumlusu tarafından, her halde 6 ayı geçmeyecek şekilde, kişisel veri saklama ve imha politikasında belirlenir. Kişisel veri saklama ve imha politikası hazırlamayan veri sorumluları yükümlülüğün ortaya çıktığı tarihten itibaren 3 ay içinde imha işlemini gerçekleştirmelidir. Bu süreler, telafisi zor zararların ortaya çıkmasına sebep olacaksa Kişisel Verileri Koruma Kurulu tarafından kısaltılabilir.
Kişisel verilerin ilgilinin talebi üzerine imha edilmesi işlemleri; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talep tarihinden itibaren 30 gün içerisinde gerçekleştirilmeli, söz konusu şartların ortadan kalkmamış olması halinde ise ilgilinin talebi 30 gün içerisinde reddedilmelidir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirmeli ve de üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin etmelidir.
İşbu yazı hakkında ek bilgi gerektiğinde Ersin Nazalı ile irtibata geçmenizi rica ederiz.
|
Ersin Nazalı Yönetici Ortak, Avukat, YMM |
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.