Kişisel veriler nasıl imha edilecek?
Ekonomi yazarı İbrahim Işıklı, 'Kişisel veriler nasıl imha edilecek' başlıklı yazısında önemli konulara değindi.

Oluşturma Tarihi: 2017-11-01 17:09:08

Güncelleme Tarihi: 2017-11-01 17:09:08

Dünya ekonomi sitesinin ekonomi yazarı İbrahim Işıklı, "Kişisel veriler nasıl imha edilecek" başlığındaki yazısı dikkat çekti.

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nu değerlendiren Işıklı, "Kişisel veriler sahibinin açık rızası olmaksızın elde edilemez, paylaşılamaz ve saklanamaz. Ancak kanuni bir yükümlülük gereği işlenmesi gereken bir kişisel veri varsa o halde açık rıza alınmaksızın o veri kullanılabilir. Bir kişisel veriyi saklamak ancak haklı gerekçe olduğunda mümkündür." diye yazdı.

İşte Işıklı'nın dikkat çeken o yazısı:

6698 Sayılı Kişisel Verilerin Korunması Kanunu'na göre kişisel veriler sahibinin açık rızası olmaksızın elde edilemez, paylaşılamaz ve saklanamaz. Ancak kanuni bir yükümlülük gereği işlenmesi gereken bir kişisel veri varsa o halde açık rıza alınmaksızın o veri kullanılabilir. Bir kişisel veriyi saklamak ancak haklı gerekçe olduğunda mümkündür. Örneğin, ücretlere ilişkin bilgiler, ücretlerde zaman aşımı beş yıl olduğundan beş yıl süreyle saklanabilir. Bu süre geçtikten sonra kişisel verilerin elde tutulması mümkün değildir, yasal olarak o bilginin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

Bu işlemlerin nasıl yapılacağı konusunda açıklık getiren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarihli Resmî Gazete'de yayımlanmıştır. Yönetmelik, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi usullerini içermektedir.

6698 Sayılı Kanun'un 16'ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. 01.01.2018 tarihinde yürürlüğe girecek yönetmeliğe göre; kişisel veri saklama ve imha politikasında asgari olarak aşağıdaki bilgilerin yer alması zorunludur;

a) Kişisel veri saklama ve imha politikasının hazırlanma amacı,
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları,
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama,
d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler,
f ) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlar,
g) Saklama ve imha sürelerini gösteren tablo,
ğ) Periyodik imha süreleri,
h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişik.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, 6698 Sayılı Kanun ve yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam edecektir.

Genel kural olarak, 6698 Sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemeyecektir. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.