Veri Koruma Hukuku

Kişisel Verilerin Silinmesi

Yazar 16 Ocak 2023Ekim 3rd, 2023No Comments9 dakikalık okuma
Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7. maddesinde açıklanmıştır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e Göre Bu İşlem Nasıl Olmaktadır?

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7. maddesi uyarınca hukuka ve kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecektir. Kişisel verilerin silinmesine ilişkin kişisel verilerin korunması mevzuatı dışında diğer kanunlarda belli başlı hükümler de yer alabilmektedir. Bu hükümler de kişisel verilerin silinmesi konusunda veri sorumluları tarafından dikkate alınmalıdır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ayrıca kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların bir yönetmelikle düzenleneceği belirtilmiştir. Kanun hükmünü takiben Kişisel Verileri Koruma Kurumu’ndan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanmıştır. Yönetmelik ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar belirlenmiştir.

Kişisel veriler silinirken yapılan tüm işlemlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Genel İlkeler” başlıklı 4. maddesine ve yine “Veri Güvenliğine İlişkin Yükümlülüklerbaşlıklı 12. maddesine uygun olarak gerçekleştirilmesi zorunludur. Kişisel verilerin silinmesine ilişkin veri sorumlusunca gerçekleştirilecek olan tüm işlemlerin kayıt altına alınması ve söz konusu kayıtların, kişisel verilerin korunması mevzuatında yer alan diğer yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerekmektedir. 

Veri sorumlusu kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. maddelerinde yer alan kişisel veriler ve özel nitelikli kişisel veriler için kişisel veri işleme şartlarının ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine silmelidir. Kişisel Verileri Koruma Kurulu tarafından aksine bir karar alınmadıkça, kişisel verilerin resen silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden en uygun olanı veri sorumlusu seçmelidir. Veri sorumlusu, ilgili kişinin bir talebi olması halinde uygun yöntemi gerekçesini açıklayarak seçecektir. Kişisel verilerin silinmesine ilişkin süreç ve kullanılacak yöntemler ise veri sorumlusu tarafından hazırlanacak olan kişisel veri saklama ve imha politikası ile diğer ilgili politikalarda açıklanmalıdır.

Kişisel verilerin silinme şeklindeki imhası, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “kişisel verilerin silinmesibaşlıklı 8. maddesinde düzenleme alanı bulmuştur. İlgili madde uyarınca kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu kişisel verilerin silinmesine ilişkin iş ve işlemleri gerçekleştirirken silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması adına tüm teknik ve idari tedbirleri almalıdır. Kişisel verilerin korunması mevzuatı kişisel verilerin silinme yoluyla imhası için veri sorumlusuna teknik ve idari tedbirlerin alınmasına ilişkin ek yükümlülükler koymuştur.

Kişisel verilerin silinmesi ile ilgili olarak dikkate alınması gereken diğer bir konu periyodik imhadır. Veri sorumlusu kişisel veri saklama ve imha politikası hazırlamasının ardından, kişisel verileri silme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde kişisel verileri silerek imha etmelidir. Periyodik imhanın gerçekleştirileceği zaman aralığı veri sorumlusu tarafında hazırlanan kişisel veri saklama ve imha politikasında belirlenecektir. Bu süre Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca altı ayı geçmemelidir. Kişisel veri saklama ve imha politikası hazırlamakla yükümlü olmayan veri sorumluları ise periyodik imha işlemini, kişisel verileri silme, yok etme ve anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde gerçekleştirmelidir.

Yukarıda periyodik imha ile ilgili olarak Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirtilen süreler, her ne kadar zorunlu olsa da telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kişisel Verileri Koruma Kurulu tarafından kısaltılabilecektir.

İlgili kişi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “İlgili Kişinin Haklarıbaşlıklı 11. maddesinde belirtilen kişisel verilerin silinmesini veya yok edilmesini isteme hakkını kullanarak veri sorumlusuna başvuruda bulunulması halinde veri sorumlusu, ilgili kişinin kişisel verilerinin işleme şartları tamamı ortadan kalkmışsa talebe konu kişisel verileri silmeli ve bu silme talebini en geç otuz gün içinde yerine getirmeli ve ilgili kişiye kişisel verilerin silinmesine ilişkin bilgi aktarmalıdır. Kişisel verileri işleme şartları ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu ayrıca üçüncü kişiye bildirmelidir, kişisel verilerin aktarıldığı üçüncü taraf kendisine bilgi verilmesinden itibaren ilgili kişiye ait ve kendisinde bulunan bu kişisel verileri imha etmelidir.

Yukarıda belirtilenlerin aksine ilgili kişinin kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilecektir, ancak bu ret cevabının ilgili kişiye en geç otuz gün içinde yazılı ya da elektronik ortamda bildirilmesi gerekmektedir.

Kişisel Verilerin Silinmesi Neden Gereklidir?

Kişisel verilerin imhası, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Genel İlkelerbaşlıklı 4. maddesinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesinin doğal bir sonucu olarak karşımıza çıkmaktadır.

Kişisel verilerin korunması mevzuatı kişisel verilerin ancak ve ancak ilgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar saklanabileceğini öngörmektedir. Meşru bir amacın varlığı olmaksızın kişisel verilerin işlenmeye ve saklanmaya devam etmesi ilgili kişilerin temel hak ve özgürlüklerine aykırı bir sonucu ortaya doğurabilme riskini de içinde barındırmaktadır.

Kişisel verilerin saklanması Kişisel Verileri Koruma Kurulu tarafından resen ya da şikâyet üzerine tespit edildiğinde veri sorumlusuna yüksek miktarda idari para cezaları uygulanabilmektedir. Kişisel Verileri Koruma Kurulu’nun 06.07.2021 tarihli ve 2021/670 sayılı karar özetinde ilgili kişinin veri sorumlusuna yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi açıklanmıştır. İlgili karar özetinde veri sorumlusu, çalışan adayının kişisel verilerini iş başvurusu olumsuz sonuçlanmasına rağmen saklamaya devam etmiştir. Daha sonrasında ilgili kişinin kişisel verilerinin silinmesi talebine karşı ilk periyodik imha sürecinde silineceğini belirtmesine rağmen periyodik imhada bu kişisel verileri silmeyerek bünyesine barındırmaya devam etmiştir. Kurul, veri sorumlusunun hukuka aykırı bu eylemleri sebebiyle veri sorumlusuna idari para cezası uygulamıştır.

Kişisel Verileri İmha Yöntemleri Nelerdir?

Kişisel verilerin imha yöntemleri Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in Tanımlar başlıklı 3. maddesinde yer alan imha tanımı ile açıklanmıştır. İlgili tanım uyarınca imha; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. Veri sorumlusu Kişisel Verileri Koruma Kurulu tarafından aksine bir karar alınmadıkça kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçebilecektir.

Yukarıda hukuki açıdan önem ihtiva eden Kişisel Verilerin Silinmesi konusu genel bir çerçeveyle açıklanmıştır. Kişisel Verilerin Silinmesi konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code