6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7. maddesinde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenlemektedir. Öncelikle madde metnine bakacak olursak: “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”
Kişisel veriler usule ve yasaya uygun işlenmiş olunmasına rağmen sınırsız bir zaman için tutulamayacaktır. Kişisel verinin işlenmesini gerektiren sebeplerin neler olduğundan (Bknz. ilgili yazımız…..) ve temel ilkelerden (Bknz. ilgili yazımız…) önceki yazılarımızda bahsetmiştik. Sayılı sebepler ortadan kalktığında kişisel verinin kendiliğinden ya da ilgilinin talebi üzerine silinme, yok edilme veya anonim hale getirilme işlem(ler)i yapılacaktır.
Veri güvenliği açısından son derece önem taşıyan bu yok etme, anonimleştirme ve silme konusu oldukça hassastır. KVKK 2. fıkrada diğer kanunlardaki özel düzenleme halleri saklı tutulmakla birlikte; anonim hale getirme, silme ve yok etme konusunun nasıl gerçekleştirileceği uygulama yönetmeliğiyle düzenlenecek şeklinde 3. fıkraya hüküm konmuştur.
Söz konusu yönetmelik çalışmalarına başlanmış olunup iş bu yazımız tarihi itibariyle henüz taslak aşamasındadır. Kamuoyuna; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı ismiyle 29.5.2017 tarihinde sunulan Yönetmeliğe şöyle bir bakacak olursak: Taslakta kişisel verilerin işlenme şartlarını ortadan kaldıran 9 hal sayılmıştır. Özetle:
1.) Kişisel verileri işlemeye dayanak olan mevzuatın değiştirilmesi veya ilgası,
2.) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, geçerli olmaması, kendiliğinden sona ermesi, feshi veya sözleşmeden dönülmesi,
3.) İşlenmeyi gerektiren amacın ortadan kalkması,
4.) İşlemenin hukuka veya dürüstlük kuralına aykırı olması,
5.) Açık rıza şartına istinaden işleme yapılabilen hallerde, ilgilinin rızasını geri alması,
6.) İlgili kişinin, KVKK m.11 (e) ve (f) bentleri çerçevesinde başvurusunun kabulü,
7.) Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
8.) Saklamayı gerektiren azami sürenin geçmesine rağmen, daha uzun süre saklamayı haklı kılan bir şartın yokluğu,
9.) KVKK’nun 5 ve 6. maddelerindeki şartların ortadan kalkması.
Taslakta kişisel verilerin saklanması ve imhasına dair ilke ve politikalar da düzenlenmiştir. Silme işleminden taslağa göre anlaşılacak olan; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Yok etmedense, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi işlemleri anlaşılacaktır. Taslağa göre kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi kişisel verinin anonim hale getirilmesi demektir. Tüm bunların tekniklere ve nasıl yapılabileceklerine dair bazı düzenlemelere de taslakta yer verildiğini belirterek yazımızı sonlandıralım.
Hukuk Desteği
Merhaba ben e nabiz ve sağlık bakanlığima bağlı kişisel sağlık bakanlığına verilerim silinmesini istiyorum. Bu-nun hakkında dilekçe yazdım. Dava mı açmam lazım. Silinir mı.