Uzun süredir beklenen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) Veri Koruma Kurulu tarafından yayımlandı. Taslak Yönetmelik uyarınca, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise gerekli koşullar sağlandığı sürece söz konusu kişisel veriler silinmiş sayılacak.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelik ile düzenleneceği ise Kanun ile hükme bağlanmıştır. Bu kapsamda yeni yayımlanan Taslak Yönetmelik tahtında “silme”, “yok etme” ve “anonim hale getirme” terimleri tanımlanmış ve kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmasına ilişkin haller örneklendirilmiştir. Taslak Yönetmelik uyarınca, özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir:
- kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
- kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
- kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması.
Diğer yandan, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişememe ve bu verileri kullanamama sonucu doğuracak ise aşağıdaki koşulların sağlanması kaydıyla kişisel verilerin silinmiş sayılacağı Taslak Yönetmelik’te ayrıca düzenlenmiştir:
- kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
- başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
- kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
Veri sorumluları tarafından veri işleme süreçlerinde silme, yok etme ve anonim hale getirme işlemlerinin yürütülmesine ilişkin hususlar aydınlatılmış olup sicile kayıt yükümlülüğü olan veri sorumluları Kişisel Veri Saklama ve İmha Politikası (“Politika”) hazırlamakla yükümlü tutulmuştur. Politika’nın içermesi gereken hususlar ise Taslak Yönetmelik’te ayrıca sayılmıştır (örneğin hazırlanma amacı, terimlerin tanımı).
5237 sayılı Türk Ceza Kanunu madde 138 uyarınca, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
Taslak Yönetmelik’in tam metnine bu linkten ulaşabilirsiniz.