KİŞİSEL VERİLERİN GİZLİLİĞİ, MUHAFAZASI, SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kişisel veriler, günümüz teknolojisinde kolay elde edilebilir ve bunun bir sonucu olarak ne yazık ki kolay istismar edilebilir niteliktedir. Bu durum da, kişisel verilerin korunması ihtiyacını ve korunması için gerekli hukuki düzenlemelerin yapılması zaruretini doğurmuştur. Anayasa’nın özel hayatın gizliliğini düzenleyen 20. maddesinde 2010 yılında yapılan düzenleme ile kişisel verilerin korunması anayasal hak kapsamına girmiştir.  Anayasa’nın ilgili maddesinin son fıkrası;

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.”  şeklindedir.

Bu kapsamda yapılan bir diğer hukuki düzenleme 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda, kişisel veri kavramının tanımı “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak yapılmıştır.

Peki kişiye Anayasa’nın 20. maddesinde tanınan, kişinin kendisiyle ilgili kişisel verilerin silinmesini talep etme hakkını kullanması halinde süreç nasıl işleyecektir?
Bu konuda yol göstericimiz 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik olacaktır.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale  getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Verilerin Yok Edilmesi

Bu işlemin silinmeden farkı, kişisel verilerin sadece ilgili kullanıcılar tarafından değil,hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olmasıdır. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da bir kaçı kullanılır. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Diğer bir ifade ile anonim hale getirme bir veri kümesindeki tüm doğrudan ve dolaylı tanımlayıcıların çıkarılarak veya değiştirilerek ilgili kişinin kimliğinin saptanabilmesinin engellenmesi ya da bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişi ile ilişkilendirilemeyecek şekilde kaybetmesidir.

Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir.  Bu süre her halde altı ayı geçemez.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, belirlenen süreleri kısaltabilir.

Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri


İlgili kişi, Kanunun 13’üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Sonuç

Kişisel veri, niteliği ve kolay erişilebilmesi nedeniyle hukuken korunması ve veri sahibine bazı haklar tanınması gereken bir olgudur. Özel hayatın gizliliği hakkının özel bir görünümü olan kişisel verilerin korunması hakkı Anayasa’da yapılan değişiklik ile anayasal hak kapsamına alınmış ve gerekli hukuki altyapı ilgili kanun ve yönetmelikler ile oluşturulmuştur. Kişisel veri sahibinin kişisel verisinin silinmesi, yok edilmesi veya anonim hale getirilmesini talep etme hakkı, bu halde izlenecek yol ve işlem süreleri Yönetmelik ve Rehber’de belirtilmiştir.

Zeynep Pilan

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir