6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 7'nci maddesi KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiğini belirtmektedir.

Kişisel Verileri Koruma Kurumu ("Kurum") tarafından bu çerçevede hazırlanmış olan ve konu ile ilgili ayrıntılı düzenlemeleri ihtiva eden Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") 28 Ekim 2017 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir.

KVKK ve Yönetmelik uyarınca kişisel verilerin işlenme şartlarının tamamının ortadan kalkmış olması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlenmektedir.

Buna ek olarak Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların en az üç yıl süreyle saklanması zorunluluk olarak düzenlenmektedir.

Silme, Yok Etme ve Anonim Hale Getirme

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmaktadır. 

Kişisel verilerin yok edilmesi ise, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmaktadır.

Bu çerçevede kişisel verilerin silinmesi elektronik ortamda silme komutunun verilmesi ve kâğıt ortamında bulunan verilerin karartılması ile gerçekleştirilmektedir. Verilerin yok edilmesi ise manyetize etme ile verilerin bozulması veya fiziki olarak depolama aygıtının kullanılamaz hale getirilmesi gerçekleştirilmektedir.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Bu işlem, veri kümesinde tanımlayıcıların değiştirilerek ya da çıkartılarak ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup içinde ayırt edilebilir olma özelliğinin kaybettirilmesi olarak gerçekleştirilmektedir. 

 Süreler

Veri sorumlusu tarafından hazırlanacak olan veri imha politikasında kişisel verilere ilişkin periyodik imha sürelerinin de belirlenmesi gerekmektedir. Periyodik imha süresi kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade etmektedir.

Yönetmelik, kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusunun kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getireceğini belirtmektedir.

Politikada belirlenecek olan imha zaman aralığının, altı ayı geçemeyeceği belirtilmektedir.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusunun ise, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri silmesi, yok etmesi veya anonim hale getirmesi gerekmektedir.

İlgili kişinin talep etmesi halinde ise kişisel verileri işleme şartlarının ortadan kalkmış olması halinde en geç otuz gün içerisinde veri sorumlusu işlemi sonuçlandırmakla ve ilgili kişiye talep vermekle yükümlüdür. Ayrıca veri sorumlusu, verilerin üçüncü kişilere aktarılmış olması halinde durumu üçüncü kişiye bildirilmekle ve üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin etmekle yükümlü tutulmaktadır.

Kişisel verilerin işlenme şartlarının tamamının ortadan kalmamış olmasında ise ilgili kişinin talebi en geç otuz gün içerisinde veri sorumlusunca gerekçesi açıklanarak reddedilebilmektedir.
 

Kişisel Veri Saklama ve İmha Politikası Oluşturma Yükümlülüğü

Yönetmelik ilk olarak Veri Sorumluları Siciline ("VERBİS") kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü olduğunu belirtmektedir.

Kişisel veri saklama ve imha politikası, yönetmelik tarafından, "Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika" olarak tanımlanmaktadır.

Bu kapsamda kişisel veri saklama ve imha politikasının asgari olarak şu hususları kapsaması gerekmektedir;

  • Kişisel veri saklama ve imha politikasının hazırlanma amacını,
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarını,
  • Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarını,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamayı,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirleri,
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirleri,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarını,
  • Saklama ve imha sürelerini gösteren tabloyu,
  • Periyodik imha sürelerini,

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.