|
Kişisel Verileri Koruma Kurumundan:
KİŞİSEL
VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM
HALE GETİRİLMESİ HAKKINDA YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç, Kapsam,
Dayanak ve Tanımlar
Amaç
MADDE 1 –
(1) Bu Yönetmeliğin amacı, tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve
esasları belirlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve
6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca
veri sorumluları hakkında uygulanır.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci
maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e)
bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Yönetmeliğin uygulanmasında;
a) Alıcı grubu: Veri sorumlusu tarafından kişisel
verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b) İlgili kullanıcı: Verilerin teknik olarak
depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim
hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
c) İmha: Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesini,
ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel
Verilerin Korunması Kanununu,
d) Kayıt ortamı: Tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
e) Kişisel veri işleme envanteri: Veri
sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel
verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri
kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar
için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel
verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları
envanteri,
f) Kişisel veri saklama ve imha politikası: Veri
sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami
süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi
için dayanak yaptıkları politikayı,
g) Kurul: Kişisel Verileri Koruma Kurulunu,
ğ) Periyodik imha: Kanunda yer alan kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel
verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemini,
h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı
tarafından tutulan veri sorumluları sicilini,
ı) Veri kayıt sistemi: Kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
i) Veri sorumlusu: Kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için
Kanundaki tanımlar geçerlidir.
İKİNCİ BÖLÜM
Kişisel Veri
Saklama ve İmha Politikası
Kişisel
veri saklama ve imha politikasına ilişkin esaslar
MADDE 5 – (1) Kanunun 16 ncı maddesi gereğince Veri
Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel
veri işleme envanterine uygun olarak kişisel veri saklama ve imha
politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası
hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde
saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına
gelmez.
(3) Kişisel veri saklama ve imha politikası
hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu
Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim
hale getirme yükümlülükleri devam eder.
Kişisel
veri saklama ve imha politikasının kapsamı
MADDE 6 –
(1) Kişisel veri saklama ve imha
politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının
hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile
düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer
verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını
gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması
ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış
teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha
edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde
yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha
politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
ÜÇÜNCÜ BÖLÜM
Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
İlkeler
MADDE 7 –
(1) Kanunun 5 inci ve 6 ncı
maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen
veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle
getirilmesi gerekir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya
anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12
nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili
mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha
politikasına uygun hareket edilmesi zorunludur.
(3) Kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına
alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere
en az üç yıl süreyle saklanır.
(4) Veri sorumlusu, kişisel verilerin silinmesi,
yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı
yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
(5) Veri sorumlusu, Kurul tarafından aksine bir
karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale
getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde
uygun yöntemi gerekçesini açıklayarak seçer.
Kişisel
verilerin silinmesi
MADDE 8 –
(1)Kişisel verilerin silinmesi,
kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri sorumlusu, silinen kişisel verilerin
ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için
gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel
verilerin yok edilmesi
MADDE 9 – (1) Kişisel verilerin yok edilmesi, kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez
ve tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri sorumlusu, kişisel verilerin yok
edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla
yükümlüdür.
Kişisel
verilerin anonim hale getirilmesi
MADDE 10
– (1) Kişisel verilerin anonim
hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesidir.
(2) Kişisel verilerin anonim hale getirilmiş olması
için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları
tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi
kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin
kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemez hale getirilmesi gerekir.
(3) Veri sorumlusu, kişisel verilerin anonim hale
getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla
yükümlüdür.
Kişisel
verileri resen silme, yok etme veya anonim hale getirme süreleri
MADDE 11
– (1) Kişisel veri saklama ve imha
politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme
veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden
ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim
hale getirir.
(2) Periyodik imhanın gerçekleştirileceği zaman
aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha
politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası
hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok
etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip
eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale
getirir.
(4) Kurul, telafisi güç veya imkansız zararların
doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen
süreleri kısaltabilir.
Kişisel
verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri
MADDE 12
– (1) İlgili kişi, Kanunun 13 üncü
maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel
verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı
ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok
eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en
geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı
ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere
aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi
nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin
eder.
c) Kişisel verileri işleme şartlarının tamamı
ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin
üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı
ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda
bildirilir.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son
Hükümler
Tereddütlerin
giderilmesi
MADDE 13
– (1) Bu Yönetmeliğin uygulanması
sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye
ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama
birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her
türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda
ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.
Yürürlük
MADDE 14
– (1) Bu Yönetmelik 1/1/2018
tarihinde yürürlüğe girer.
Yürütme
MADDE 15 – (1) Bu Yönetmelik hükümlerini Başkan yürütür.
|