İlgili Duyurunun Özeti:
Kişisel Verileri Koruma Kurumu tarafından hazırlanan, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslara ilişkin Yönetmelik Taslağı, 29.05.2017 tarihinde kamuoyu görüşüne sunulmuştur. Taslak Yönetmelik metnine ilişkin görüş ve öneriler, 12.06.2017 tarihine kadar info@kvkk.gov.tr adresi aracılığıyla paylaşılabilecektir. Taslak Yönetmelik metnindeki düzenlemeler şu şekildedir :
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların belirlendiği işbu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 7.nci maddesi uyarınca kişisel verilerin silinmesinden, yok edilmesinden veya anonim hale getirilmesinden sorumlu olan gerçek ve tüzel kişiler hakkında uygulanmakta olup; Kanunun 7.nci maddesinin üçüncü fıkrası ile 22.nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
Aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
e) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
f) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
ğ) Kanunun 5 inci ve 6 ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
İşbu hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
a) Kanunun 4 üncü maddesindeki genel ilkelere uyulması zorunludur.
b) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanun ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
c) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayanların, kişisel verileri Kanun ve Yönetmelik uyarınca saklama, silme, yok etme ve anonim hale getirme yükümlülükleri devam eder.
ç) Kişisel verilerin saklanmasında ve imhasında, Kanunun 12 nci maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuat hükümlerine, Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların isimlerine ve sorumluluklarına,
g) Kişisel verileri saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
ilişkin bilgileri içerir.
Söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olan kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
b) Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
c) Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması,
kaydıyla silinmiş sayılacaktır.
Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi işlemi ise;
a) Gerekli olmayan kişisel verilerin karartılması,
b) Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi,
yoluyla gerçekleştirilir.
Bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi kişisel verilerin yok edilmesi işlemidir.
Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi olan anonim hale getirme işlemi;
a) Kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,
b) Geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi,
yoluyla mümkündür.
a) Kişisel veri saklama ve imha politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde,
b) Kişisel veri saklama ve imha politikası hazırlamamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden otuz gün içerisinde,
veri sorumluları kişisel verileri siler, yok eder veya anonim hale getirirler.
Kurul tarafından faaliyet alanı ve sektörün özellikleri dikkate alınarak belirlenebilen periyodik imhanın gerçekleştirileceği zaman aralıkları her halde doksan günden uzun olamayacaktır.
İlgili kişi veri sorumlusundan talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. İşbu talep en geç otuz gün içerisinde sonuçlandırılır.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Söz konusu Yönetmelik metnine aşağıdaki linke tıklayarak ulaşabilirsiniz.
http://www.kvkk.gov.tr/docs/kverisilme.pdf
İşbu yazı hakkında ek bilgi gerektiğinde Ersin Nazalı ile irtibata geçmenizi rica ederiz.
Ersin Nazalı Yönetici Ortak, Avukat, YMM |
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.