Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
11 Nisan 2016 tarihinde yayımladığımız yazımızda, 07.04.2016 tarihli Resmi Gazete’de “6698 sayılı Kişisel Verilerin Korunması Kanunu” (Kanun)’nun yayımlandığını belirtmiş; Kanunla getirilen düzenlemeler hakkında bilgi verirken Kanun’un uygulama detaylarının yayımlanacak yönetmeliklerle netleşeceğini belirtmiştik.
Söz konusu Kanuna ilişkin Kişisel Verileri Koruma Kurumu tarafından nihai hali verilen ilk alt düzenleme olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”, (“Yönetmelik”) 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlandı.(*) 01.01.2018 tarihinde yürürlüğe girecek olan bu Yönetmelik, otomatik veya otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenliyor.
Bu Yönetmelik taslak halinde iken yayımladığımız 11 Temmuz 2017 tarihli yazımızda yapılacak düzenlemeleri özetlemiştik. Yönetmeliğin Resmi Gazete’de yayımlanan nihai haline bakıldığında, taslak düzenlemeye göre daha sade bir düzenlemeye gidildiği; Yönetmeliğin taslak halinde yer alan “Kişisel verilerin işlenme şartlarını ortadan kaldıran hallere” ilişkin maddeye, “Kurul’un kişisel veri saklama ve imha politikası hazırlama ve uygulama esasları ile usulünü belirlemek konusunda karar alma yetkisini haiz olduğuna ve bu kararlarını uygun yöntemlerle duyuracağına” ilişkin maddeye, “kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise uygulanacak yöntemlere ve herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesinde kullanılacak yöntemlere” nihai düzenlemede yer verilmediği görülüyor.
Bu çerçevede, Yönetmelikle getirilen ve önemli görülen düzenlemeler aşağıda yer alıyor.
KİŞİSEL VERİLER HANGİ DURUMLARDA SİLİNECEK, YOK EDİLECEK VEYA ANONİM HALE GETİRİLECEK?
1- Yönetmeliğin Resmi Gazete’de yayımlanan halinde, daha önce Yönetmelik taslak halinde iken ayrı bir madde olarak yer alan “Kişisel verilerin işlenme şartlarını ortadan kaldıran hallere” yer verilmediği görülüyor. Aslında taslak Yönetmelik’te yer alan bu madde, Yönetmelik uyarınca oluşturulacak süreçlerin hangi hallerde tetikleneceğini göstermek açısından önemli bir madde idi.
Bunun yerine Yönetmeliğin “İlkeler” başlıklı 7 nci maddesinde, Kanun’un 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği belirtilmiştir.
VERİ SAKLAMA VE İMHA POLİTİKASI HAZIRLAMA YÜKÜMLÜLÜĞÜ
2- Yönetmeliğin 5 inci maddesine göre Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları (tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir), kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü kılınmıştır.
Kanun’un 16 ncı maddesi uyarınca kural olarak tüm veri sorumluları Sicile kayıt olmakla yükümlüdür. Ancak, aynı madde uyarınca Kişisel Verileri Koruma Kurulu (KVKK)’na işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi objektif kriterleri göz önüne almak suretiyle, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirme yetkisi verilmiştir. Banka ve finans kurumlarının bu istisna kapsamında yer almayacağını düşünerek banka ve finans kurumlarının Yönetmelik kapsamında bir kişisel veri saklama ve imha politikası hazırlama gerektiğini düşünüyoruz.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINDA ASGARİ OLARAK YER ALMASI GEREKEN BİLGİLER
3- Kişisel veri saklama ve imha politikasında asgari olarak yer alması gereken bilgiler Yönetmeliğin 6 ncı maddesinde belirlenmiştir. Buna göre söz konusu politikada asgari olarak;
a) politikanın hazırlanma amacına,
b) politika ile düzenlenen kayıt ortamlarına,
c) politikada yer verilen terimlerin tanımlarına,
ç) saklama ve imhayı gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalara,
d) Verilerin güvenli bir şekilde saklanmasının sağlanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi için alınan teknik ve idari tedbirlere,
e) kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uygulanan yöntemlere (md. 7/4),
f) Verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
g) Saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımlarına,
h) Saklama ve imha sürelerini gösteren tabloya,
ı) Periyodik imha sürelerine (Bu süre her halde 6 ayı geçemez),
i) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgilere
yer verilmesi gerekmektedir.
Taslak Yönetmelik’te, politika içerisinde saklama ve imha süreçlerinde yer alanların isimlerine de yer verilmesi istenirken nihai Yönetmelik’te bu süreçlerde yer alanların unvanları, birimleri ve görev tanımlarının verilmesi istenerek politikada kişilerin isim bazında yer alması zorunluluğunun kaldırıldığı görülmektedir. Bu olumlu bir gelişmedir. Politikalar, Yönetim Kurulu düzeyinde onaylanarak yürürlüğe giren dökümanlar olduğu için bu derece üst düzey bir dökümanda kişilerin isim bazında yer alması zorunluluğu, ilgili personelde gerçekleşecek değişikliklerde politikanın güncellenmesi yükümlülüğünü doğuracaktı.
Öte yandan, Taslak Yönetmelik’te yer alan “Kurul, birinci fıkrada yer alan temel esaslar çerçevesinde, kişisel veri saklama ve imha politikası hazırlama ve uygulama esasları ile usulünü belirlemek konusunda karar alma yetkisini haizdir. Kurul, bu kararlarını uygun yöntemlerle duyurur.” maddesine nihai Yönetmelik’te yer verilmediği görülmektedir. Bu çerçevede, Kurul’un söz konusu politikanın hazırlanmasına ilişkin ilave uygulama esasları yayınlamayacağı anlaşılmaktadır. Aslında bunun bir eksiklik olduğunu düşünüyoruz. Yönetmelik birçok gerçek ve tüzel kişiye politika hazırlama yükümlülüğü getirmektedir. Bu çerçevede, ilgili politikaya ilişkin KVKK tarafından bir çerçeve döküman yayımlanması yol gösterici olacaktır.
KİŞİSEL VERİ İŞLEME ENVANTERİ
4- Yönetmelik’te kişisel veri saklama ve imha politikasının kişisel veri işleme envanterine uygun olarak hazırlanması istendiğinden politikadan önce hazırlanması gereken kişisel veri işleme envanteri önem kazanmaktadır.
Yönetmeliğin “Tanımlar” başlıklı 4 üncü maddesinde kişisel veri işleme envanteri; veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter olarak tanımlanmıştır.
Yine bu envantere ilişkin KVKK’ca yayımlanacak bir çerçeve dökümanın da veri sorumlularının yükümlülüklerini yerine getirmede oldukça yol gösterici olacağını düşünüyoruz.
KİŞİSEL VERİLERİN SİLİNMESİNDE KULLANILABİLECEK YÖNTEMLER
5- Yönetmelik’te kişisel verilerin ortadan kaldırılması için silinme, yok edilme ve anonim hale getirme olmak üzere üç yöntem sayılmıştır. Bu yöntemlerin her biri Yönetmelik’te aşağıdaki şekilde açıklanmıştır:
KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır (md. 8). Öte yandan, Taslak Yönetmelik’te yer alan kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise uygulanacak yöntemlere ve herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesinde kullanılacak yöntemlere nihai Yönetmelik’te yer verilmediği görülmektedir.
KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır (md. 9).
KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır (md. 10).
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.
HANGİ YÖNTEM NE ZAMAN SEÇİLECEK
6- Yönetmeliğin md.7/5’i uyarınca veri sorumlusu, KVKK tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmekte serbest bırakılmıştır. Kişisel verilerin silinmesinin ilgili kişinin talebi halinde olması halinde uygun yöntemin gerekçesi açıklanarak seçilmesi gerekmektedir.
VERİLERİ SİLME, YOK ETME VE ANONİM HALE GETİRME SÜRELERİ
RESEN YAPILAN İŞLEMLERDE SÜRE
7- Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmeli, yok etmeli veya anonim hale getirilmelidir. Periyodik imhanın gerçekleştirileceği zaman aralığı, her halde 6 ayı geçmemelidir.
Politika hazırlama yükümlülüğü olmayan veri sorumluları için imha süresi ise kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 3 ay olarak belirlenmiştir.
İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRELERİ
8- İlgili kişi, Kanun’un 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir. İlgili kişinin talebini en geç 30 gün içinde sonuçlandırılmalı ve ilgili kişiye bilgi verilmelidir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durum verilerin aktarıldığı üçüncü kişiye bildirilmeli ve üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılması temin edilmelidir.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep gerekçesi açıklanarak reddedilebilecek ve ret cevabı ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilecektir.
KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLERİ KAYIT ALTINA ALACAK BİR YAPI KURULMALIDIR
9- İlgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durumun verilerin aktarıldığı üçüncü kişiye bildirilmesi ve üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasının temin edilmesi yükümlülüğü bulunduğu için kişisel verilerin aktarıldığı kişilerin belirleneceği bir yapı kurulması önem kazanmaktadır.
KİŞİSEL VERİLERİN SİLİNMESİYLE İLGİLİ YAPILAN İŞLEMLERİN KAYIT ALTINA ALINMASI
10- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerekmektedir (md. 7/3).
YÖNETMELİĞE AYKIRILIĞIN YAPTIRIMI
11- Yönetmeliğin yayımlanmasına dayanak olan Kanun’un 7 nci maddesine aykırılığın yaptırımı aynı Kanun’un 17 nci maddesinde,
“Suçlar
MADDE 17- …
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.”
şeklinde bir adli suç belirlenmiştir. Bu suça ilişkin atıf yapılan 5237 sayılı Türk Ceza Kanunu’nun 138 inci maddesinde ise sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilmesi öngörülmüştür.
“Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”
Ceza Kanunu’ndaki suçların oluşması için suçun hem maddi unsurlarının (Kanun’da öngörülen koşulların/unsurların gerçekleşmesi) hem manevi unsurlarının (bilerek ve isteyerek suça sebebiyet verme diğer bir ifadeyle kasıt unsuru) birlikte gerçekleşmesi gerekir. Bu çerçevede, Yönetmeliğe her aykırılığın yaptırımının TCK’daki suçu oluşturacağını söylemek doğru değildir. Yine de Kanun’da, Yönetmeliğe aykırılığın olası bir yaptırımı için oldukça ağır bir suç belirlendiği için veri sorumlularının Yönetmeliğe uyum için oldukça hassas davranmaları gerektiğini söylemek yanlış olmayacaktır.
Yönetmelik 01.01.2018 tarihinde yürürlüğe girecektir.
Saygılarımızla,
(*) Kanun’a ilişkin yayımlanan ilk alt düzenleme Sağlık Bakanlığı tarafından 20.10.2016 tarihli Resmi Gazete’de yayımlanan “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik”tir. Ancak, bu Yönetmelik düzenlediği alan itibarıyla daha sınırlı sayıda bir kurumu ilgilendirmektedir. Diğer taraftan, Danıştay 15. Dairesi tarafından bu Yönetmeliğin 5. maddesinin 5. fıkrası ile 14. maddesinin yürütmesinin durdurulmasına, bu kararın tebliğini izleyen günden itibaren 7 gün içinde İdari Dava Daireleri Kurulu’na itiraz yolu açık olmak üzere 06/07/2017 tarihinde oyçokluğu ile karar verilmiştir.
Hamdi GİRGİN
“NOT: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir.”
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK