Veri sorumlusu şirketler bünyesinde çeşitli sebeplerle işlenen kişisel verilerin periyodik olarak silme, yok etme veya anonim hale getirilmesi kanuni bir zorunluluk olup, yılın belli dönemlerinde periyodik olarak yerine getirilmesi için şirket içinde planlaması yapılmalı ve tüm departmanların bu konuda belirlenen usul kapsamında bu faaliyeti gerçekleştirmesi ve belgelendirmesi istenmelidir. Bu kapsamda veri sorumlularının silme, imha etme veya anonim hale getirme yükümlülüklerini hukuka uygun şekilde yerine getirmesi adına önemli birkaç hususu şu şekilde ifade edebiliriz:

  1. Kişisel Verileri Neden Silmelisiniz?

Kişisel verilerin silinmesi, veri sorumlusu bakımından teknik ve idari tedbirlerin alınması adına olmazsa olmaz hususlardan birisidir. Kişisel Verilerin Korunması Kanunu ("Kanun") 12. maddeye göre, veri sorumlusu kişisel verilerin hukuka aykırı işlenmesini önlemek adına gereken tüm teknik ve idari tedbirleri almalıdır. Veri sorumlusunun işlediği kişisel verileri zamanında silmemesi 12. maddeye aykırılık teşkil edecektir.

  1. Periyodik İmha Nedir?

Periyodik imha, Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

VERBİS Kayıt Yükümlülüğü Olan Veri Sorumluları Bakımından; Yönetmelik 11. maddeye göre VERBİS'e kayıt yükümlülüğü olan veri sorumluları, kişisel verilerin silinmesi gerekliliğinin doğmasından itibaren yapacağı ilk periyodik imhada bu kişisel verileri siler, yok eder, ya da anonim hale getirir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e ("Yönetmelik") 11/2. f. gereği, Veri sorumlusu periyodik imhayı asgari olarak altı ayda bir yapmalıdır, dolayısıyla veri sorumlusu yılda asgari olarak en az iki defa periyodik imha yapmakla yükümlüdür.

  1. Diğer Süreler

VERBİS'e Kayıt Yükümlülüğü Olmayan Veri Sorumluları Bakımından; kişisel verilerin silinmesi gerekliliğinin doğmasından itibaren 3 ay içinde veri sorumluları ilgili kişisel veriyi siler, imha eder ya da anonim hale getirir.

  1. Kişisel Verileri Hangi Hallerde Silmelisiniz?

Yönetmelik göre kişisel verilerin silinmesinin gerekliliği çeşitli nedenlerle gündeme gelebilir:

  • Kişisel verilerin işlenme şartlarının tamamen ortadan kalkması halinde, kişisel verilerin veri sorumluları tarafından resen ya da ilgili kişi talebi üzerine silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekmektedir.
  • Bazı hallerde kişisel verilerin saklanmasına ilişkin kanuni süreler bulunmaktadır. Veri sorumlusu yine bu hallerde kanuni saklama süresinin dolması ile birlikte verileri silmekle yükümlüdür.
  • İlgili kişi kişisel verilerinin işlenmesi bakımından açık rızasını geri çekerse bu ihtimalde de kişisel verilerin silinmemesini gerektiren ayrıca bir durum yoksa ilgili kişinin kişisel verilerinin silinmesi gereklidir.
  1. Periyodik İmhada Dikkat Edilmesi Gereken Hususlar

Yönetmelik madde 7/3 f. kapsamında, kişisel verilerin imhasına yönelik yapılan bütün işlemlerin kayıt altına alınması ve bu kayıtların da en az üç yıl süreyle saklanması gerekmektedir. Bu itibarla yapılan tüm işlemlerin kayıt altına alındığından ve üç yıl süre ile saklandığından emin olunuz.

Bu yükümlülüklerin yerine getirilip gerekli tüm teknik ve idari tedbirlerin alınması veri sorumlularının Kanun'a uygunluğunun sağlanması bakımından büyük önem arz etmektedir. Bu noktada Kişisel Veriler Hukuku'na ilişkin mevzuata uygunluk sağlanması, ilgili kişilerin haklarının korunması ve veri sorumlularının herhangi bir idari, cezai veya hukuki yaptırımla karşılaşmaması adına kişisel verilerin silinmesi, imha edilmesi veya anonim hale getirilmesi yukarıda ifade edildiği üzere gerçekleştirilmelidir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.