KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK TASLAĞI
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1- (1) Bu Yönetmeliğin amacı; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir. Kapsam MADDE 2- (1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca kişisel verilerin silinmesinden, yok edilmesinden veya anonim hale getirilmesinden sorumlu olan gerçek ve tüzel kişiler hakkında uygulanır. Dayanak MADDE 3- (1) Bu Yönetmelik 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır. Tanımlar MADDE 4- (1) Bu Yönetmeliğin uygulanmasında; a) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, b) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu, c) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, ç) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri, d) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, e) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, f) Sicil: Başkanlık tarafından tutulan veri sorumluları sicilini, g) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade eder. (2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.
İKİNCİ BÖLÜM Kişisel Verilerin İşlenme Şartlarını Ortadan Kaldıran Haller Kişisel verilerin işlenme şartlarını ortadan kaldıran haller MADDE 5- (1) Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme sebepleri Kanunun 5 inci ve 6 ncı maddelerinde yer alan şartlardır. (2) Özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir: a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi, c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması, ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, e) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, f) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması, g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, ğ) Kanunun 5 inci ve 6 ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması. (3) İkinci fıkrada belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
ÜÇÜNCÜ BÖLÜM Kişisel Veri Saklama ve İmha Politikası Kişisel verilerin saklanması ve imhasına ilişkin ilkeler MADDE 6 – (1) Sicile kayıt yükümlülüğü olanlar, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. (2) Kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkeler geçerlidir: a) Kanunun 4 üncü maddesindeki genel ilkelere uyulması zorunludur. b) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanun ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. c) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayanların, kişisel verileri Kanun ve Yönetmelik uyarınca saklama, silme, yok etme ve anonim hale getirme yükümlülükleri devam eder. ç) Kişisel verilerin saklanmasında ve imhasında, Kanunun 12 nci maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuat hükümlerine, Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Kişisel veri saklama ve imha politikasının kapsamı MADDE 7 – (1) Kişisel veri saklama ve imha politikası; a) Kişisel veri saklama ve imha politikasının hazırlanma amacına, b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına, ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, d) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, f) Kişisel verileri saklama ve imha süreçlerinde yer alanların isimlerine ve sorumluluklarına, g) Kişisel verileri saklama ve imha sürelerini gösteren tabloya, ğ) Periyodik imha sürelerine, ilişkin bilgileri içerir. (2) Kurul, birinci fıkrada yer alan temel esaslar çerçevesinde, kişisel veri saklama ve imha politikası hazırlama ve uygulama esasları ile usulünü belirlemek konusunda karar alma yetkisini haizdir. Kurul, bu kararlarını uygun yöntemlerle duyurur.
DÖRDÜNCÜ BÖLÜM Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Usul ve Esaslar Kişisel verilerin silinmesi MADDE 8– (1) Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır. (3) Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi, b) Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması, c) Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması, kaydıyla kişisel veriler silinmiş sayılacaktır. (4) Veri sorumlusu, ilgili politika ve prosedürlerinde, kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar. (5) Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; a) Gerekli olmayan kişisel verilerin karartılması, b) Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan kişisel verilerin maskelenmesi, yoluyla gerçekleştirilir. Kişisel verilerin yok edilmesi Madde 9– (1) Yok etme, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir. (2) Veri sorumluları kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin anonim hale getirilmesi MADDE 10 – (1) Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. (2) Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı gruplarınca; a) Kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması, b) Geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi, yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri MADDE 11 – (1) Veri sorumluları, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alırlar: a) Kişisel veri saklama ve imha politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, b) Kişisel veri saklama ve imha politikası hazırlamamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden otuz gün içerisinde, kişisel verileri siler, yok eder veya anonim hale getirirler. (2) Periyodik imhanın gerçekleştirileceği zaman aralıkları, faaliyet alanı ve sektörün özellikleri dikkate alınarak Kurul tarafından belirlenebilir. Bu süre her halde doksan günden uzun olamaz. (3) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, birinci ve ikinci fıkrada belirlenen süreleri kısaltabilir. İlgili kişinin talep etmesi durumunda kişisel verileri silme ve yok etme süreleri MADDE 12 – (1) İlgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. İlgili kişilerin silme veya yok etme talepleri veri sorumluları tarafından en geç otuz gün içerisinde sonuçlandırılır. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
BEŞİNCİ BÖLÜM Çeşitli ve Son Hükümler Tereddütlerin giderilmesi MADDE 13 – (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir. Yürürlük MADDE 14- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer. Yürütme MADDE 15 – (1) Bu Yönetmelik hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.