KVKK-Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Kapsamında Dikkat Edilmesi Gerekenler

 Kategori: Genel, Güvenlik, Kimlik ve Yetki Yönetimi, KVKK ve GDPR, Türkçe

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) – KVKK kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi koruma altına alırken genel çerçeveyi belirlemiş ve pek çok maddeye dair usul ve esasların çıkarılacak yönetmeliklerle düzenleneceğini belirtmiştir.

Bu kapsamda çıkarılan ilk yönetmelik, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir (“Yönetmelik”). Söz konusu Yönetmelik; Kanun’un 7.maddesi ile veri sorumlularına getirilen, verinin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine silme, yok etme veya anonimleştirme sorumluluğunun usul ve esaslarını düzenlemek amacıyla yayınlanmıştır.

Yönetmelik öncelikle, genel olarak imha etmek olarak adlandırdığı silme, yok etme ve anonim hale getirme eylemlerini tanımlamıştır. Bu bağlamda, kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi; yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi; anonim hale getirilmesi ise başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemleridir. Ancak hangi tekniklerin kullanımının bu kapsamda değerlendirileceğine dair açıklama yapılmamıştır.

Veri işleme nedeninin ortadan kalkması halinde veri sorumlusunun ilgili kişisel veriyi imha etme yani silme, yok etme veya anonimleştirme yükümlülüğü doğmaktadır. Veri sorumlusu, aksi yönde bir Kurul kararı bulunmadıkça bu yollardan birini seçebilir. İmha işleminin gerçekleştirilmesi gereken süre ise işlemin re’sen mi yoksa ilgili kişinin talebi üzerine mi yapıldığı ve re’sen ise veri sorumlusunun Veri Sorumluları Sicili’ne kayıt sorumluluğunun olup olmadığına göre değişmektedir. Bu bağlamda; Veri Sorumluları Sicili’ne kayıt olmakla yükümlü olan veri sorumlularının kişisel veri saklama ve imha politikası hazırlama zorunlulukları bulunmaktadır. Söz konusu kişisel veri saklama ve imha politikasında; periyodik imha süreleri de dâhil olmak üzere birçok asgari bilginin yer alması gerekmektedir. Ancak henüz bu Veri Sorumluları Sicili oluşturmamış olduğundan; Kişisel Verileri Koruma Kurulu da bu sicile kaydın kimler için zorunlu olduğunu açıklamamıştır.

Veri sorumlusunun Yönetmelik’te belirlenen süreler içerisinde bu yükümlülüğünü yerine getirmemesi halinde Kanun’un 17. maddesinin atfı üzerine Türk Ceza Kanunu 138 uyarınca bir yıldan iki yıla kadar hapis cezası ile cezalandırılacaklardır.  Dolayısıyla veri sorumlularının hapis cezası gibi ağır sonuçlarla karşılaşmamaları için işledikleri verilerin imha sorumluluklarının doğup doğmadığı ve doğdu ise gerekli işlemlerin Yönetmelik ile belirlenen sürelerde gerçekleştirilmesinin takibinde profesyonel yardım almaları faydalarına olacaktır.

KVKK hakkında daha fazla bilgi için KVKK ve GDPR sayfamızı incelleyin.

Benzer Gönderiler
İletişim

Mesajınızı yazın.

Aramak istediğinizi yazın ve Enter tuşuna basın