KVKK ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmektir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Kişisel veriler, Kanun hükümlerine uygun olarak işlense dahi, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen (kendiliğinden) veya verileri işlenen kişinin (“ilgili kişi”) talebi üzerine veri sorumlusu tarafından derhal silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Kanun kapsamında belirlenen “silme, yok etme veya anonim hale getirme” işlemlerinin nasıl yürütüleceği anılan Kanun’un 7 maddesinin 3. Fıkrası uyarınca Resmî Gazete’de yayımlanan Yönetmelik ile düzenlenmiştir.
Yönetmelik’in düzenlediği yükümlülükler üç başlık altında toplanmıştır. Bunlar:
Kişisel verilen imhası (Silme, yok etme veya anonimleştirme) esasları,
Saklama süreleri ve imha periyotlarının belirlenmesi yükümlülüğü,
Kişisel veri saklama ve imha politikası oluşturulması zorunluluğu
olarak ele alınmıştır.
Yönetmelik ile veri sorumlularına yüklenen yükümlülük ilgili şartlar oluştuğunda (işlenme şartları ortadan kalktığında) kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. Bu kapsamda Yönetmelik’te örnek olarak verilen aşağıda yer alan hallerde işlenme şartlarının ortadan kalktığının kabul edileceği düzenlenmiştir:
• İşlemeye esas mevzuatın değişmesi veya ilgası,
• İşlemeye esas sözleşmenin sona ermesi veya hükümsüzlüğü,
• İşlenme amaç ve şartlarının ortadan kalkması,
• İşleme faaliyetinin dürüstlük kuralına veya hukuka aykırı olması,
• Açık rızaya bağlı işleme faaliyetlerinde rızanın geri alınması,
• Veri sorumlusunun başvuruda bulunması ve bu başvurunun kabulü,
• Veri sorumlusunun başvuruda bulunması ve bu başvurunun reddi neticesinde Kişisel Verileri Koruma Kurulu’nun talebin karşılanması gerektiğine ilişkin kararı,
• Saklama süresinin sona ermesi
• Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
• Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
• Kişisel verilerin anonim hale getirilmesi ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Veri sorumlusu, Kişisel Verileri Koruma Kurulu tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını kendi inisiyatifiyle seçebilir. İlgili kişinin özel bir talebi bulunması halinde ise talebi değerlendirerek ve gerekçesini açıklayarak yine kendi uygun gördüğü yöntemi seçebilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve ilgili kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Ayrıca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için Yönetmelik’te belirli süreler öngörülmüştür. Eğer ilgili veriler resen siliniyorsa bu işlem, yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde gerçekleştirilir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Ancak bu süre her halde 6 (altı) ayı geçemez.
Ayrıca kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
Ancak ilgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir ve ilgili kişinin talebini en geç 30 (otuz) gün içinde sonuçlandırarak ilgili kişiye bilgi vermek zorundadır.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir. Ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilmek zorundadır.
Kişisel Verileri Koruma Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık hallerinde bu süreleri kısaltabilir.
Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Ancak unutulmaması gereken husus politikanın hazırlanmış olmasının kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülüğünü yerine getirdiği anlamına gelmeyeceğidir.
Kişisel veri saklama ve imha politikasında
• Hazırlanma amacı,
• Kayıt ortamı,
• Hukuki ve teknik terimlerin tanımı,
• Kişisel verilerin saklanması ve imhasını gerektiren hukuki veya teknik sebepler
• Kişisel verilerin korunması hususunda alınan teknik ve idari tedbirler
• Bu süreçte yer alanların unvanları, birimler ve görev tanımları,
• Saklama ve imha sürelerini gösteren tablo, periyodik imha süreleri, saklama ve imha politikasında yapılmış değişikliğin güncellenmesi bilgileri
yer almalıdır.
• Kişisel verilerin hukuka aykırı olarak kaydedilmesi durumunda 1 yıldan 3 yıla kadar;
• Kişisel verileri hukuka aykırı olarak başkasına verme, yayma veya ele geçirilmesi durumunda 2 yıldan 4 yıla kadar;
• Kişisel verileri, belirli süreleri geçmesine rağmen yok etmeme durumunda 1 yıldan 2 yıla kadar
hapis cezasıyla cezalandırılır .
• 10. maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar,
• 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
• 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk Lirasına kadar,
• 16. maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar
idari para cezası verilir .
Yönetmelik ile belirlenen usullere aykırı olarak kişisel verileri imha etmeyen veri sorumluları Türk Ceza Kanunu’nun 138. maddesine göre 1 yıldan 2 yıla kadar hapis cezası ile cezalandırılırlar.
Kişisel verilerin korunması, Kanun ile düzenlenen ve usule ilişkin kurallarının ise Yönetmelikle belirlendiği, doğru yürütülmediği takdirde sorumluların hapis cezasına varan yaptırımlarla karşılaşabileceği önemli bir süreçtir. Bu kapsamda öncelikle kişisel veri saklama ve imha politikası belirlenmesi, ilgili kişilerden gelecek imha taleplerinin süresinde yerine getirilmesi için bir takip sisteminin kurulması, aynı zamanda Kanun’a ve Yönetmelik’e uyum sürecini yürütecek ve sürekliliğini sağlayacak bir hukuki ve teknik birimin oluşturulması büyük önem arz etmektedir.
Bilgi ve değerlendirmelerinize sunulur.