Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmelik Taslağı
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun“) hakkındaki ilk yazımızı 11 Nisan 2016 tarihinde yayımlamış, bu Kanun çerçevede yayımlanması beklenen ikincil mevzuata ilişkin ilk taslak düzenleme olan “Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı”na ilişkin bilgilere de 11 Mayıs 2017 tarihli yazımızda yer vermiştik.
Aradan geçen süre içerisinde Kişisel Verileri Koruma Kurumu (“KVKK“) internet sitesinde ilgili Kanuna ilişkin bir taslak düzenleme daha kamuoyu görüşüne açıldı. Bu yazımızın konusunu 30 Mayıs 2017 tarihinde KVKK’nın internet sitesinde kamuoyu görüşüne açılan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmelik Taslağı” (“Taslak Yönetmelik / Yönetmelik / Taslak”) oluşturmaktadır (Görüş bildirme süresi 12.06.2017 tarihinde sona erdiği için şu an söz konusu Yönetmelik Taslağı’na KVKK internet sitesinden ulaşılamamaktadır).
YÖNETMELİĞİN KONUSU
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 nci maddesinde;
“Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”
hükümleri bulunmaktadır. Yönetmelik Taslağı bu maddede öngörülen kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARINI ORTADAN KALDIRAN HALLER
Yönetmelik Taslağı’nda, özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığının kabul edileceği belirtilmiştir:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
e) İlgili kişinin, Kanun’un 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
f) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
ğ) Kanunun 5 inci ve 6 ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
Yukarıda belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
Yazının sonunda detayları ile verildiği üzere kasti olarak Yönetmeliğe uymamanın yaptırımı 5237 sayılı Türk Ceza Kanunu (“TCK“)’nun 138 inci maddesindeki sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme suçuna sebebiyet verebileceğinden ve bu madde uyarınca yükümlü olanlara görevlerini yerine getirmedikleri takdirde TCK’da bir yıldan iki yıla kadar hapis cezası verilmesi öngörüldüğü için Kanun kapsamındaki gerçek ve tüzel kişilerin yukarıdaki durumlar oluştuğu takdirde kişisel verilerin silinmesi veya imha edilmesine önem vermeleri gerekmektedir.
Bu kapsamda, örneğin banka ve finans kurumlarında müşterinin bilgilerini ilgili kuruma verdikten sonra hesap ilişkisi kurmaktan vazgeçmesi veya banka ve aracı kurumlardaki müşteri hesaplarının zaman aşımına uğraması ve banka ve aracı kurumların bu kapsamdaki yükümlülüklerini yerine getirmeleri sonrasında kişisel müşteri verilerinin silinmesine özen göstermeleri gerekmektedir.
KİŞİSEL VERİLERİN İMHASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
Taslak Yönetmelik ile Kanun’da yer alan kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi kavramları da açıklığa kavuşturulmuştur.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi Taslak Yönetmeliğin 8 inci maddesinde, otomatik yolla işlenen ve otomatik olmayan yollarla işlenen verilerin silinmesi şeklinde ikiye ayrılarak belirlenmiştir. Bu çerçevede, tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır.
Aynı maddede, kişisel verilerin silinmesi işleminin, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
b) Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
c) Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması
kaydıyla da silinmiş sayılacağı belirtilmiştir. Veri sorumlusu, ilgili politika ve prosedürlerinde, kişisel verilerin silinmiş sayılması için bu koşulların nasıl sağlandığını açıklayacaktır.
Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması kaydıyla silinmiş sayılması hususu, bankalar ve ticaret şirketlerinin bazı müşteri verilerini yasal düzenlemeler nedeniyle belirli bir süre (Örn. Bankacılık Kanunu ve Türk Ticaret Kanunu çerçevesinde 10 yıl, MASAK mevzuatı kapsamında hesabın kapatılmasından itibaren 8 yıl) saklama yükümlülükleri karşısında müşterilerin bu yasal süreler dolmadan verilerinin silinmesini istemeleri durumunda başvurulabilecek bir çözüm olarak gözükmektedir.
Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi ise;
a) Gerekli olmayan kişisel verilerin karartılması,
b) Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan kişisel verilerin maskelenmesi, yoluyla gerçekleştirilecektir.
Kişisel Verilerin Yok Edilmesi
Taslağın 9 uncu maddesinde kişisel verilerin yok edilmesi, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi olarak tanımlanmıştır.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi Taslak Yönetmeliğin 10 uncu maddesinde, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır.
Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı gruplarınca;
a) Kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,
b) Geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi, yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.
KİŞİSEL VERİLERİ RESEN SİLME, YOK ETME VEYA ANONİM HALE GETİRME SÜRELERİ
Taslağın 11 inci maddesinde veri sorumlularının, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında dikkate alacakları süreler verilmiştir. Buna göre,
a) Kişisel veri saklama ve imha politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde,
b) Kişisel veri saklama ve imha politikası hazırlamamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden 30 gün içerisinde,
kişisel verileri silecek, yok edecek veya anonim hale getireceklerdir.
Periyodik imhanın gerçekleştirileceği zaman aralıkları, faaliyet alanı ve sektörün özellikleri dikkate alınarak Kurul tarafından belirlenebilecektir. Bu süre her halde 90 günden uzun olamayacaktır. Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, yukarıda belirlenen süreleri kısaltabilecektir.
Bu kapsamda, Kanun çerçevesinde “Kişisel Veri Saklama ve İmha Politikası” oluşturması gereken yükümlülerin 90 günden uzun olmamak üzere bir periyodik imha süreci oluşturmaları gerektiği ortaya çıkmaktadır. Kişisel verilerin silinmesinin ilgili kişilerce talep edilmesi durumunda ise Yönetmelik’te silme, yok etme ve anonim hale getirme işlemleri için daha kısa bir süre belirlenmiştir.
İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA KİŞİSEL VERİLERİ SİLME VE YOK ETME SÜRELERİ
Taslak Yönetmeliğin 12 nci maddesine göre, ilgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silebilecek, yok edebilecek veya anonim hale getirebilecektir. İlgili kişilerin silme veya yok etme talepleri veri sorumluları tarafından en geç 30 gün içerisinde sonuçlandırılmalıdır.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanun’un 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilecek ve ret cevabı ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilecektir.
Bu durumda, örneğin bankanın kişisel verileri silme için Bankacılık Kanunu ve MASAK mevzuatı kapsamındaki yükümlülükleri sona ermemişse ilgili bankanın söz konusu müşteri talebini red edebileceği veya kişisel verilere yalnızca yetkili kişiler (bilgi işlem ve muhasebe sorumluları gibi) tarafından erişilmesini sağlayacak şekilde veriyi izole ederek müşteri talebini karşılayabileceği anlaşılmaktadır.
KİŞİSEL VERİLERİN PERİYODİK İMHASI
Periyodik imha, Taslak’ta, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi olarak tanımlanmıştır.
Taslağın 11 inci maddesinde de, periyodik imha süresinin her halde 90 günden uzun olamayacağı; periyodik imhanın gerçekleştirileceği zaman aralıklarının, faaliyet alanı ve sektörün özellikleri dikkate alınarak Kurul tarafından belirlenebileceği düzenlenmiştir. Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, söz konusu 90 günlük süreyi kısaltabilecektir.
Bu çerçevede, Kanun kapsamındaki veri sorumlularınca kişisel verilerin silinmesi için bir periyodik imha süresi belirlenmesi gerektiği ve Yönetmeliğe göre bu sürenin 90 günden uzun olamayacağı anlaşılmaktadır.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Bu Yönetmelik Taslağı’nda da, daha önce görüşe açılan “Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı”nda bahsi geçen “Kişisel Veri Saklama ve İmha Politikası” (“Politika”)’na ilişkin ilave düzenlemeler yer almaktadır.
Taslak Yönetmeliğin 6/1 maddesinde; sicile kayıt yükümlülüğü olanların, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü oldukları belirtilmektedir. Yönetmeliğin 7/1 maddesinde de, söz konusu politikanın kapsamına ilişkin düzenleme yapılmıştır. Buna göre, kişisel veri saklama ve imha politikasında;
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların isimlerine ve sorumluluklarına,
g) Kişisel verileri saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine, ilişkin bilgilere yer verilmesi gerekmektedir.
Aynı maddenin 2 nci fıkrasında ise, Kurul’un, yukarıda yer alan temel esaslar çerçevesinde, kişisel veri saklama ve imha politikası hazırlama ve uygulama esasları ile usulünü belirlemek konusunda karar alma yetkisini haiz olduğu, Kurul’un, bu kararlarını uygun yöntemlerle duyuracağı belirtilmiştir. Buradan da söz konusu politikanın oluşturulması hususunda Kurul’un ilave rehber ve Kurul kararları yayımlayabileceğini anlıyoruz.
Politikanın kapsamında yer verilmesi zorunlu bilgiler incelendiğinde, politika dökümanları anonim şirketlerde Yönetim Kurulu düzeyinde onaylanan dökümanlar olduğu için dökümanın kapsamında süreçte yer alan kişilerin isimlerine yer verilmesi gerekliliğinin politikanın sık sık güncellenmesi gereğini ortaya çıkabileceği, bunun da şirket yönetim kurulu gündeminin sıklıkla meşgul edilmesini gerektirebileceği görülmektedir.
Öte yandan, Yönetmeliğin yayımlandığı tarihte yürürlüğe girmesinin öngörüldüğü dikkate alınırsa, ilgili politikanın da kapsamdaki şirketlerce ivedilikle hazırlanarak yetkili organlarınca onaylanması yükümlülüğünü doğuracağı; buna karşın politikanın oluşturulması hususunda Kurul’un Yönetmelik’te öngörülen ilave rehber ve Kurul kararları bu tarihte yayımlamamış olması durumunda politikanın tam olarak oluşturulamaması veya kısa sürede güncellenmesi sorunu ortaya çıkacaktır.
YÖNETMELİĞE AYKIRILIĞIN YAPTIRIMI
Yönetmeliğin yayımlanmasına ilişkin dayanak olan Kanun’un 7 nci maddesine aykırılığın yaptırımı aynı Kanun’un 17 nci maddesinde,
“Suçlar
MADDE 17- …
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.”
şeklinde bir adli suç belirlenmiştir. Bu suça ilişkin atıf yapılan 5237 sayılı Türk Ceza Kanunu’nun 138 inci maddesinde ise sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilmesi öngörülmüştür.
“Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”
Ceza Kanunu’ndaki suçların oluşması için suçun hem maddi unsurlarının (Kanun’da öngörülen koşulların/unsurların gerçekleşmesi) hem manevi unsurlarının (bilerek ve isteyerek suça sebebiyet verme diğer bir ifadeyle kasıt unsuru) birlikte gerçekleşmesi gerekir. Bu çerçevede, Yönetmeliğe her aykırılığın yaptırımının TCK’daki suçu oluşturacağını söylemek doğru değildir. Yine de Kanun’da, Yönetmeliğe aykırılığın olası bir yaptırımı için oldukça ağır bir suç belirlendiği için veri sorumlularının Yönetmeliğe uyum için oldukça hassas davranmaları gerektiğini söylemek yanlış olmayacaktır.
Saygılarımızla,
Hamdi GİRGİN
“NOT: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir.”
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK TASLAĞI