Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”), 1 Ocak 2018 tarihinde yürürlüğe girmek üzere 28 Ekim 2017 tarihli, 30224 sayılı Resmi Gazete’de yayımlandı. Yönetmelik taslağına ilişkin bir önceki yazımızda detaylı olarak ele alındığı üzere, Yönetmelik kapsamında veri sorumlularının kişisel verileri imha etme yükümlülüklerine ilişkin usul ve esaslar ile bu yükümlülüklere ilişkin süreler düzenlenmiştir.
Yönetmelik, kişisel verilerin imhası kapsamında “silme”, “yok etme” ve “anonim hale getirme” işlemlerini tanımlamıştır.
Veri sorumlularının kişisel verileri imha etme yükümlülükleri, kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde söz konusu olmaktadır. Veri Koruma Kurulu tarafından aksine bir karar alınmadıkça, veri sorumluları, kişisel verileri re’sen imha etme yöntemlerini seçmekte serbest bırakılmıştır.
Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün doğmasından itibaren, bu yükümlülüğü yerine getirme süreleri aşağıdaki şekilde düzenlenmiştir:
- Veri Sorumluları Sicili’ne kaydolma yükümlülüğü bulunan veri sorumluları, Altı ayı geçmemek üzere periyodik imha süreleri belirlemekle ve ilgili kişisel verileri ilk periyodik imha işleminde silmek, yok etmek veya anonim hale getirmekle yükümlüdür.
- Diğer veri sorumluları, ilgili kişisel verileri üç ay içinde silmek, yok etmek veya anonim hale getirmekle yükümlüdür.
Veri öznesinin talep etmesi halinde, söz konusu talep 30 gün içinde sonuçlandırılmalıdır.
Ayrıca, Veri Sorumluları Sicili’ne kaydolma yükümlülüğü bulunan veri sorumluları için Yönetmelik’te yer alan asgari içeriğe sahip bir Kişisel Veri Saklama ve İmha Politikası oluşturma yükümlülüğü getirilmiştir.
Yönetmelik’in tam metnine bu linkten ulaşabilirsiniz.
