Kişisel Verileri Nasıl Silebilirim ve Takip Etmem Gereken Adımlar Nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) gereğince veri sorumlusunun gerçekleştirmesi zorunlu olan yükümlülükleri şu şekilde sıralayabiliriz:
Aydınlatma Yükümlülüğü
Veri Güvenliğine İlişkin Yükümlülükler
VERBIS’e Bildirim Yükümlülüğü
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Yükümlülüğü
Kanun’un yürürlüğe girişiyle birlikte veri sorumluları söz konusu yükümlülüklere uyum sağlayacak ve uyumun kesintisiz şekilde sürdürüldüğünden emin olacaklardır. Bunu gerçekleştirirken aynı zamanda bir veri ihlaline sebep olmamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadırlar.
Veri sorumlularının bugüne değin yükümlülüklerine ilişkin bir takım tedbirleri uygulamaya koyduklarını gözlemlemekteyiz. Ancak bu kapsamda bize iletilen sorular arasında Kanun’un 7. maddesinde düzenlenen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi amacıyla yapılacak işlemler konusu en çok merak edilen başlıklar arasındaki yerini korumaktadır.
Kanun’un 7. maddesi düzenlemesi “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir” şeklindedir.
Aynı Kanun’un suçlar başlıklı 17.maddesi ikinci fıkrası ise, “Bu Kanunun 7. maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” şeklindedir.
Yukarıdaki düzenlemeler uyarınca, Kanun’un 7.maddesine aykırılığın 5237 sayılı Türk Ceza Kanunu’na tabi bir suç olarak ortaya çıkacağını ifade etmek mümkündür. Bu nedenle, kişisel verilerin korunması (KVK) uyum sistemini kuran, KVK konusunda tedbirler alan veri sorumlusu aynı zamanda bir uygulama planı çerçevesinde veri silme işlemlerine başlamalı ve bunu KVK gündeminin ilk sırasında tutmalıdır.
Bununla birlikte, veri sorumluları için silme işlemi KVK mevzuatı uyarınca bir zorunluluk olarak gündemdeyken, diğer taraftan silme ya da yok etmenin kurumsal hafızayı ilgilendiren bir yanı bulunduğundan bu konuda oluşacak bir yanlışlığın organizasyon için telafisi imkansız zararlara yol açabileceği endişesinin mevcut olduğu gözlemlenmektedir. Ek olarak, silme işlemi sırasında diğer kanunlarda saklı bulunan düzenlemenin ihlal edilmesi nedeniyle başka bir yaptırıma tabi olunabileceği ya da ilerleyen dönemlerde hukuken gerekli olabilecek bir kişisel verinin silinmesiyle mağduriyet yaşanabileceği düşüncesi de hassasiyet yaratmaktadır.
Bu kapsamda, zorlukları ortadan kaldıracak şekilde tüm gerçek ve tüzel kişi veri sorumlularının gerçekleştirmeleri gereken silme işlemlerinin nasıl yapılacağı konusunda bir yol haritası ve adımlar listesinin oluşturulmasının faydalı olacağı düşünülmüştür.
Buradan hareketle, uygulama planı başlıklarını sağlıklı şekilde belirleyebilmek amacıyla öncelikle Kanun’un 7. maddesinde yer alan “….işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir” şeklindeki anahtar düzenleme ve tanımları göz önünde bulundurmak gerekecektir.
Bu noktada dikkate alınacak bir diğer kaynak, aynı maddenin 2. fıkrasında “kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesi iken, 3. fıkrası uyarınca yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir. (“Yönetmelik”)
Kişisel Verilerin Silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin yok edilmesi ise, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Dikkat edilecek olursa silme ve yok etme işlemi arasında önemli bir fark vardır. Veri sorumlusu, kişisel verilerin silinmesi ve yok edilmesine ilişkin olarak her türlü teknik ve idari tedbirleri almakla yükümlüdür. Farklı tanımlamaların uygulamada yaratacağı değişikliklere daha sonra değineceğimizi belirterek bu aşamada silme ve yok etme işleminde faydalı olabileceğini düşündüğümüz öneriler listesine şu şekilde sıralanmıştır:
1. Öncelikle, bir kişisel veri envanteriniz olup olmadığını kontrol edin.
2. Kişisel veri envanteriniz mevcut ise bu envanterde saklama sürelerinin son tarihleri içeren bir listeyi hazırda bulundurun.
3. Kişisel veri envanteriniz bulunmuyor ise veri sorumlusu olarak işlediğiniz kişisel verilere ilişkin saklama sürelerini ayrıca tespit edin.
4. Kişisel veri saklama ve imha politikanız olup olmadığını kontrol edin ve bu politikada belirtilen hususları dikkate alın.
5. Bunların yanında bir saklama ve arşiv yönergeniz olup olmadığını kontrol edin.
6. Saklama ve arşiv yönergeniz bulunduğunu tespit ederseniz bu yönergede belirtilen unsurları veri envanterinizde bulunan saklama süreleri ile kıyaslayın.
7. Tüm bunlara ek olarak kişisel verileri sakladığınız fiziksel ve elektronik ortamları tespit edin. Bir başka ifade ile fiziki ve elektronik ortamların hangi alanları kişisel verileri barındıryor bundan emin olun.
8. Fiziki ya da elektronik ortamlarınızda bulunan söz konusu kişisel verilere kimlerin erişim yetkisi var bunu tespit edip listeleyin.
9. Bu konuda öncesinden hazırlanmış bir “erişim yetki ve kontrol matrisi ya da benzer bir uygulama” olup olmadığını bulun.
10. Buna benzer bir süreç geliştirilmiş ise erişim yetki ve kontrol matrisinden her bir kişisel veri için ilgili kullanıcıları tespit edin.
11. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerini tespit edin.
12. Silme işlemi resen gerçekleştirilecek ise, önce silinmesi öngörülen kişisel verinin işlenme amacının ortadan kalkıp kalmadığını, silme işleminin arşive yönergesi/yönetmeliği, kişisel verileri saklama ve imha politikası ve kişisel veri envanteri saklama süreleri ile uyumlu olup olmadığını kontrol edin.
13. Tüm bunların tamamlanmasını takiben silinecek kişisel verinin silinip silinmeyeceğine ilişkin olarak “kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı” olduğu hususu göz önünde bulundurarak diğer mevzuatta silinmeyi engelleyecek herhangi bir sakınca/engel bulunup bulunmadığını tespit edin.
14. Hemen sonra kişisel veri kullanıcılarının kişisel verilere erişim yöntemlerini tespit edin.
15. Yukarıda yer alan işlemlerin tamamlanmasını takiben başkaca menfi bir durumun bulunmaması halinde “kişisel verilerin silinmesi / erişimin kaldırılması / İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerini kapatın ve ortadan kaldırın”.
Yukarıda özetlemeye çalıştığım öneri mahiyetindeki adımları takip ederek silme/yok etme işlemi için bir uygulama planını ortaya koyabileceğiniz düşünülmektedir.
Son olarak unutulmaması gereken diğer bir nokta, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerektiğidir.
Av.Halil Murat BERBERER
