Gülaç Hukuk

Arama
Gülaç Bülten Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hakkında Bilgi Bülteni

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hakkında Bilgi Bülteni

A. GİRİŞ

Kişisel Verileri Koruma Kurumu tarafından hazırlamam Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“ Yönetmelik”) 28 Ekim 2017 tarihli 30224 Sayılı Resmî Gazete’de yayınlanarak yürürlüğe girmiştir.

Yönetmelik ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar düzenlenmiştir.

Öncelikle belirtmek isteriz ki, Yönetmelik, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve kişisel verilere ilişkin çıkan diğer yönetmeliklere paralel olarak 01.01.2018 tarihinde yürürlüğe girecektir.

B. YÖNETMELİK İLE YAPILAN BAŞLICA DÜZENLEMELER

1. Kişisel Veri İşleme Envanteri

Yönetmelik ile Türk hukukuna “kişisel veri işleme envanteri” kavramı getirilmiştir. [1]

“Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter” olarak tanımlanmış olan kişisel veri işleme envanterinin tutulması bundan böyle zorunlu hale getirilmiş olup; Yönetmelik uyarınca bu envanter aşağıdaki asgari unsurları içermelidir:

  • Kişisel veri işleme amacı,
  • Veri kategorisi,
  • Aktarılan alıcı grubu, [2]
  • Kişisel verinin tutulacağı azami süre,
  • Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • Veri güvenliğine ilişkin alınan tedbirler

2. İlgili Kullanıcı

Yönetmelik ile Yönetmelikte “ verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi ” olarak tanımlanan ilgili kullanıcı kavramı getirilmiştir.

Belirtmek isteriz ki Kişisel Verilerin Korunması Kanunu ile getirilen veri sorumlusu ile ilgili kullanıcı birbirinden farklıdır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi olup; ilgili kullanıcı, ya veri sorumlusunun organizasyonu içerisinde yer alarak kişisel verileri işleyen ya da veri sorumlusundan aldığı yetki ile kişisel verileri işleyen kişilerdir.

Yani ilgili kişiler, şirketlerde genellikle dijital her türlü verinin depolanması, aktarılması ve korunmasına ilişkin alt yapı hizmetlerini sunan “bilgi teknolojileri” birimi ya da bu birimin çalışanları değildirler. Bilgi Teknolojileri birimi yalnızca verilerin depolanması, korunması, yedeklenmesi, iletilmesi ve işlemeye uygun halde bulundurulmasından sorumludur. İlgili kullanıcılar ise kişisel verileri kaydeden ve işleyen pazarlama, satın alma, insan kaynaklar gibi diğer iş birimleridir.

3. Kişisel Verilerin Saklanması ve İmhası

Yönetmeliğe göre veri sorumluları, oluşturdukları kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası oluşturmak zorundadır.

Kişisel veri saklama ve imha politikası asgari olarak aşağıdaki hususları içermelidir:

  • Kişisel veri saklama ve imha politikasının hazırlanma politikanın amacı,
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları,
  • Kişisel veri saklama ve imha politikasında yer verilen ve bunları gerektiren hukuki ve teknik terimlerin tanımları,
  • Kişisel verilerin saklanması ve imhasını gerektiren hukuki, teknik ve diğer sebeplere ilişkin açıklama,
  • Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
  • Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımları,
  • Saklama ve imha sürelerini gösteren tablo,
  • Periyodik imha süreleri,
  • Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklik

4. Silme, Yok Etme ve Anonimleştirme

Yönetmelik ile kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması [3] ve bu kayıtların en az üç yıl süreyle saklanması gerektiği düzenlenmiştir.

a. Silme

İlgili kullanıcı tarafından kişisel verinin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi, verinin silinmesi işlemidir. Silme sonucunda kişisel verinin geri dönüştürülmesinin imkânsız olması gerekmektedir.

Bu basılı veya dijital ortamdaki belgeler için ayrıca incelenecektir:

Ø Basılı Belgeler: Üzerinde kişisel verilerin bulunduğu basılı bir belgenin örneğin çöpe atılması yok etme işlemi için yeterli değildir. Bu belgenin yakılması ya da kâğıt öğütücüden geçirilmesi gerekecektir

Ø Dijital Belgeler: Benzer şekilde bir verinin bilgisayar ortamında çöp kutusuna atılması silme için yeterli değildir. Bu durumda veri sadece indeksten [4] silinmiş olacaktır. Yeterli şekilde silmek için verinin hard diskten tamamen kaldırılması gerekmektedir. [5]

b. Yok Etme

Yok etme, silmeden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Kişisel verilerin yok edilmesi işlemi için, verilere adli bilişim ve veri kurtarma yazılımlarıyla dahi erişilmez bir yöntemin uygulanması gerekir.

Veri sorumlusunun, sorumlu olduğu verilerin niteliği ve bu konuda belirlenmiş olan politikalar gereğince, hangi tür verileri nasıl bir işleme tabi tutacağı ve bu işlemin sonunda neyin olmasını hedeflediğini, açık bir biçimde belirtmesi gerekmektedir.

Veri sorumlusunun, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını belirleme hakkı vardır. Kişisel verinin ilgilisinin talebi halinde silinmesi, yok edilmesi veya anonimleştirilmesi halinde ise veri sorumlusunun yine yöntemi belirleme hakkı vardır, ancak ayrıca bunun gerekçesini açıklama zorunluluğu bulunmaktadır.

c. Anonimleştirme
Kişisel verinin bir gerçek kişiyi belirlemesi veya belirlenebilir olmasını sağlaması ihtimalinin ortadan kaldırılması halinde anonimleştirme söz konusu olacaktır.

Anonimleştirme sonucunda kişisel veriler başka verilerle eşleştirilse, aralarında bir bağ kurulsa dahi hiçbir surette ait olduğu gerçek kişi belirlenememelidir; anonimleştirmeyi yapan kişi bile sonradan geri dönüp veri sahibini belirleyememelidir. Anonimleştirme için kişisel verinin maskelenmesi yetmemektedir. Zira maskelemede, başka verilerle eşleştirme halinde verinin sahibine ulaşılması mümkündür.

Anonimleştirme işlemi için de kullanılacak yöntem ve idari tedbirlerin seçilmesi görevi veri sorumlusuna bırakılmıştır.

 

Saygılarımızla,
Gülaç Hukuk Bürosu

 

[1] Yönetmelik madde 4/1-e

[2] Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

[3] Bunun için basılı ya da dijital bir tutanak oluşturulması gerekmektedir.

[4] Active Directory

[5] Bunun için ana belleğin formatlanması gerekir.

 

Kişisel verilerinizin Gülaç Hukuk tarafından işlenme amaçları hakkında daha detaylı bilgi için Aydınlatma Metni’ni okumanızı tavsiye ederiz.