KVKK Regülasyonu

KVKK Regülasyonu

VERİ SİLME NEDEN YASAL ZORUNLUKUKTUR?

• 6698 KVKK’ Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi başlıklı 7. Maddesi 1. Fıkrası gereği:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi

MADDE 7 - (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

• 28.10.2017 tarih, 30224 sayılı resmi gazete’ de yayınlanan yönetmeliğin 7. Maddesi gereği:

İlkeler

MADDE 7 - (1) Kanunun 5 inci ve 6'ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinde Kanunun 4'üncü maddesindeki genel ilkeler ile 12'nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

• Yine 28.10.2017 tarih, 30224 sayılı resmi gazete’ de yayınlanan yönetmeliğin 8. Maddesi gereği:

Kişisel verilerin silinmesi

MADDE 8 - (1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

• Yine 28.10.2017 tarih, 30224 sayılı resmi gazete’ de yayınlanan yönetmeliğin 11. Maddesi gereği:

Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri

MADDE 11 - (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

• Yine 28.10.2017 tarih, 30224 sayılı resmi gazete’ de yayınlanan yönetmeliğin 12. Maddesi gereği

Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri

MADDE 12 - (1) İlgili kişi, Kanunun (Değişik ibare: RG-28/4/2019-30758) 11 inci ve 13'üncü maddelerine istinaden veri sorumlusuna başvurarark kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a) Kişisel verileri silme şartlarının tamamen ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberler de mevzuatın bir parçasıdır. Kurum rehberlerde yayınladığı kurallara uymayanlara da ceza kesmektedir. Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Rehberi’nde:

*Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

*Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi

*Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

*Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi

*Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

*İlgili kişinin, Kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

*Veri sorumlusunun ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi ,verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

*Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

*Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması

- Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kanun 2016 yılında yayımlanarak yürürlüğe girdi. 2018 yılında dijitalde bulunan saklama süresini doldurmuş eski verilere kalıcı veri silme uygulanması gerekiyordu.

- Ayrıca; Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir, Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir ya da anonim hâle getirilir.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberler de mevzuatın bir parçasıdır. Kurum rehberlerde yayınladığı kurallara uymayanlara da ceza kesmektedir. Kişisel Veri Güvenliği Rehberi
(Teknik ve İdari Tedbirler)’nde:

Alınması gereken teknik tedbirler özet tablo halinde verilmiştir.

4.1 Teknik Tedbirler Özet Tablosu

Tablo 4.1'de veri sorumluları tarafından alınabilecek teknik tedbirler gösterilmiştir.