MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

***

Kişisel verilerin, Kanun'a uygun şekilde işlenmiş olsa dahi, kanunen belirli süreler içinde uygun yöntemle imha edilmeleri öngörülmüştür. Kişisel verilerin imha yöntemleri aşağıdaki şekilde sayılabilir:

 

  1. Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
  2. Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
  3. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu ilişkilendirme veri sorumlusu dahil alıcı grupları ve diğer kişiler tarafından yapılamıyor olmalıdır.

Yukarıda sayılan yöntemler somut olaya göre veya verinin işlenme ortamına göre belirlenmelidir. Örneğin dijital bir ortamda bulunan verinin tamamen yok edilmesi, mümkün olamayacağından, bu veriler için silme veya anonim hale getirme yöntemleri daha uygun olacaktır. Ya da kullanılan bir sicil programında verilerin silinmesi veya yok edilmesi arkada çalışan bir parametrenin bozulma ihtimalini doğuracağından bu yöntemlerle imha uygun olmayacaktır. Bu halde böyle programlar üzerinde tutulan veriler için anonim hale getirme yöntemi kullanılmalıdır.

Bununla birlikte bahsi geçen silme işlemlerini gerçekleştiren yetkili kullanıcılar aynı zamanda sistem yöneticisi / admin yetkisine sahip kişiler olmamalıdır. Bu yetki ayrılığının temel nedeni, silme işlemini yapan kişinin aynı zamanda veriyi eski konumuna geri getirme yani restore (geri döndürme) yetkisinin bulunmaması gerekliliğidir.

Kişisel veriler, aşağıdaki gibi durumlarda resen veya ilgili kişinin talebi ile veri sorumlusu tarafından imha edilmelidir: 

  • Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,  
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 
  • KVKK madde 5'te sayılan diğer hukuka uygunluk sebepleri bulunmayan haller için, ilgili kişinin açık rızasını geri alması, 
  • İlgili kişinin kişisel verilerinin imhası talebiyle yaptığı başvurunun kabul edilmesi, 
  • İlgili kişinin kişisel verilerinin imhası talebinin reddedildiği ve/veya verilen cevabın yetersiz bulunduğu hallerde Kurul'a yapılan şikâyet akabinde talebin Kurul tarafından uygun bulunması, 
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Yukarıda sayılan durumların meydana gelmesi halinde kişisel veriler mevzuata uygun olarak silinerek, yok edilerek veya anonim hale getirilerek imha edilmelidir.

Önemle belirtmek gerekir ki, eski arşivlerde yer alan ve saklama süresi sonra eren kişisel veriler de uygun yöntemler kullanılarak imha edilmelidir.

Kişisel verilerin imhasında Kanun'un genel ilkelerine ve alınması gereken teknik ve idari tedbirlere riayet edilmesi gerekir.

Ayrıca mevzuat bununla ilgili olarak bir politika oluşturulmasını öngörmüştür. Saklama ve imha politikası olarak adlandırılan bu politika verilerin saklanması ve imhasına ilişkin yol, yöntem, süre ve diğer şartları içermeli; kişisel veriler üzerinde gerçekleştirilecek ilgili işlemler bu politikaya uygun olmalıdır.

Saklama imha politikasında;

  • Politikanın hazırlanma amacına,
  • Kayıt ortamlarına,
  • Politikada yer alan hukuki ve teknik terimlerin tanımlarına,
  • Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, idari ve teknik açıklamaya,
  • Kişisel verilerin saklanması ve imhası ile ilgili alınan idari ve teknik tedbirlere,
  • Saklama-imha süreçlerine ilişkin yetki matrisine,
  • Saklama sürelerini gösteren tabloya
  • Periyodik imha sürelerine,
  • Dokümanın revizyon tarihine

yer verilmelidir.

Yukarıda da saklama imha politikasında gösterileceği belirtilen periyodik imha süreleri her halde altı ayı geçemez, imha süreci takvime bağlanmalıdır.

Son olarak; kişisel verilerin imha edilmesi bir veri işleme faaliyeti olduğundan bu işlemler de kayıt altına alınmalıdır. Söz konusu kayıtlar başka bir hukuki sebep bulunmuyorsa 3 yıl süreyle saklanmalıdır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.