Kişisel verilerin yok edilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7. maddesinde açıklanmıştır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e Göre Bu İşlem Nasıl Olmaktadır?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7. maddesi uyarınca hukuka ve kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından yok edilecektir. Kişisel verilerin yok edilmesine ilişkin kişisel verilerin korunması mevzuatı dışında diğer kanunlarda belli başlı hükümler de yer alabilmektedir. Kişisel verilerin yok edilmesi konusunda diğer kanunlarda yer alabilecek hükümler veri sorumluları tarafından dikkate alınmalıdır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ayrıca kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların bir yönetmelikle düzenleneceği belirtilmiştir. Kanun hükmünü takiben Kişisel Verileri Koruma Kurumu’ndan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanmıştır. Yönetmelik ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar belirlenmiştir.
Kişisel verilerin yok edilmesi sürecinde yapılacak tüm işlemlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Genel İlkeler” başlıklı 4. maddesine ve yine “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12.maddesine uygun olarak gerçekleştirilmesi zorunludur. Kişisel verilerin yok edilmesine ilişkin veri sorumlusunca gerçekleştirilecek olan tüm işlemlerin kayıt altına alınması ve söz konusu kayıtların, kişisel verilerin korunması mevzuatında yer alan diğer yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerekmektedir.
Veri sorumlusu, kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. maddelerinde yer alan kişisel veriler ve özel nitelikli kişisel veriler için kişisel veri işleme şartlarının ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine yok etmelidir. Kişisel Verileri Koruma Kurulu tarafından aksine bir karar alınmadıkça, kişisel verilerin resen silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden en uygun olanı veri sorumlusu seçmelidir. Veri sorumlusu, ilgili kişinin bir talebi olması halinde uygun yöntemi gerekçesini açıklayarak seçecektir. Kişisel verilerin yok edilmesine ilişkin süreç ve kullanılacak yöntemler ise veri sorumlusu tarafından hazırlanacak olan kişisel veri saklama ve imha politikası ile diğer ilgili politikalarda açıklanmalıdır.
Kişisel verilerin yok edilmesi, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in kişisel verilerin yok edilmesi başlıklı 9. maddesinde düzenleme alanı bulmuştur. İlgili madde uyarınca kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesi süreciyle ilgili tüm iş ve işlemleri yürütürken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12. maddesinde ve kişisel verilerin korunması mevzuatında yer alan her türlü teknik ve idari almakla yükümlü kılınmıştır. Burada kişisel verilerin silinmesi ya da anonim hale getirilmesinden farklı olarak kişisel veriye ulaşmanın imkânı ortadan kaldırılmaktadır.
Kişisel verilerin edilmesi süreci yürütülürken verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre yöntemlerin kullanılmasıyla tek tek yok edilmesi gerekmektedir.
Yerel sistemler için bu yöntemler de-manyetize etme, fiziksel yok etme, üzerine yazma olarak sıralanabilecektir.
Çevresel sistemlerde ise veri sorumlusu ağ cihazları, flash tabanlı ortamlar, manyetik bant, manyetik disk gibi üniteler, mobil telefonlar, optik diskler ve veri kayıt ortamı sabit ya da çıkarılabilir olan çevre birimleri (yazıcı, parmak izli kapı geçiş sistemi vb.) kullanılarak yok etme işlemleri yürütülebilecektir.
Kâğıt ve mikrofiş ortamlarında kişisel veriler ortam üzerine yazılı olacağından buna bağlı ana ortamların yok edilmesi gerekmektedir. Fiziksel olarak kâğıt imha veya kırpma makineleri tarafından belgeler anlaşılmaz boyutta, mümkünse dikey ve yatay olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmelidir. Orijinal kâğıttan taranarak elektronik ortama aktarılan belgeler yerel sistemler için kullanılabilecek yöntemler kullanılarak yok edilebilecektir.
Bulut ortamlarında ise kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenme ve hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Kişisel verilerin saklandığı ortamdan yok edilme için şifreleme anahtarları kullanılarak bulut bilişim hizmet ilişkisi sona erdiğinde yok edilme işlemlerinin tamamlanması gerekmektedir.
Kişisel verilerin yok edilmesiyle ilgili olarak dikkate alınması gereken diğer bir konu periyodik imhadır. Veri sorumlusu kişisel veri saklama ve imha politikası hazırlamasının ardından, kişisel verileri yok etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde kişisel verileri yok etme yoluyla imha etmelidir. Periyodik imhanın gerçekleştirileceği zaman aralığı veri sorumlusu tarafında hazırlanan kişisel veri saklama ve imha politikasında belirlenecektir. Bu süre Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca altı ayı geçmemelidir. Kişisel veri saklama ve imha politikası hazırlamakla yükümlü olmayan veri sorumluları ise periyodik imha işlemini, kişisel verileri silme, yok etme ve anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde gerçekleştirmelidir.
Yukarıda periyodik imha ile ilgili olarak Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirtilen süreler, her ne kadar zorunlu olsa da telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kişisel Verileri Koruma Kurulu tarafından kısaltılabilecektir.
İlgili kişi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun İlgili Kişinin Hakları başlıklı 11. maddesinde belirtilen kişisel verilerin silinmesini veya yok edilmesini isteme hakkını kullanarak veri sorumlusuna başvuruda bulunulması halinde veri sorumlusu, ilgili kişinin kişisel verilerinin işleme şartları tamamı ortadan kalkmışsa talebe konu kişisel verilerin yok edilmesi talebini en geç otuz gün içinde yerine getirmeli ve ilgili kişiye kişisel verilerin yok edilmesine ilişkin bilgi aktarmalıdır. Kişisel verileri işleme şartları ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu ayrıca üçüncü kişiye bildirmelidir, kişisel verilerin aktarıldığı üçüncü taraf kendisine bilgi verilmesinden itibaren ilgili kişiye ait ve kendisinde bulunan bu kişisel verileri yok etmek suretiyle imha etmelidir. Yok edilme sürecinde üçüncü kişiye bildirim yapılmasıyla ilgili olarak Kişisel Verileri Koruma Kurulu’nun 07.07.2022 tarihli ve 2022/662 sayılı karar özetinde, kişisel verilerin yok edilmesiyle ilgili olarak ilgili kişinin el geometrisi bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi durumu değerlendirilmiştir. Kurul, yaptığı değerlendirmeden hareketle veri sorumlusu tarafından ilgili kişinin üyeliğinin sonlanması akabinde el geometrisi bilgisi ivedilikle silindiği ve el geometrisi bilgisi cihaza kaydedildiğinden ve yine cihaz üzerinden silindiğinden silme işlemine dair bir evrak göndermenin fiziken mümkün olmadığı belirtilse de özel nitelikli kişisel veri sayılan el geometrisi verisinin üçüncü kişilere aktarılması söz konusu ise yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildiriminin sağlanmasına karar vermiştir.
Yukarıda belirtilenlerin aksine ilgili kişinin kişisel verilerinin işleme şartlarının tamamı ortadan kalkmamışsa bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilecektir, ancak bu ret cevabının ilgili kişiye en geç otuz gün içinde yazılı ya da elektronik ortamda bildirilmesi gerekmektedir.
Yukarıda hukuki açıdan önem ihtiva eden Kişisel Verilerin Yok Edilmesi konusu genel bir çerçeveyle açıklanmıştır. Kişisel Verilerin Yok Edilmesi konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.
