Gün geçmiyor ki kişisel verilerle ilgili bir gelişme olmasın. İşte kişisel verilerle ilgili en yakın tarihli gelişme 28/10/2017 tarihinde Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik oldu. Bu noktada hemen belirtmek istiyorum bu yönetmelik yayım tarihi ile değil 01/01/2018 tarihi itibariyle yürürlükte olacaktır. Dolayısıyla bu süreçte sistemlerin kuruluyor ve yönetmelik gereklerinin yerine getirilmesi için hazırlıkların başlıyor olması lazım.
Öncelikle bu yönetmeliği amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
Bu yönetmelik ile veri sorumlularına çeşitli yükümlülükler getirilmiştir. Bunların başında gelen husus, veri sorumluları kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğüdür. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini yönetmelikte “imha” olarak geçmektedir. Önemli olan husus veri sorumlularının kişisel verileri saklama ve imha politikası hazırlanmış olması mevzuata uygun işlemler yapıldığı anlamına gelmemekte yani veri sorumlularını yükümlülükten kurtarmamaktadır.
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
İmha politikası ile periyodik imha süreçleri belirlenerek silme, yok etme ve anonim hale getirme işlemleri yapılacaktır. Yönetmelik uyarınca imha politikasında asgari olarak bulunması gereken hususlar belirlenmiştir.
Yönetmelik ile düzenlenen diğer bir veri sorumlusu yükümlülüğü ise, Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde veri sorumlusunun her türlü teknik ve idari tedbir almakla yükümlü olmasıdır.
Yönetmelikte kişisel verilerin resen imha işlemi süreleri şu şekilde düzenlenmiştir ve veri sorumluları bu sürelere uymakla yükümlüdür;
- Veri sorumlusunun kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
- Veri sorumlusu imha politikasında periyodik imhanın gerçekleşeceği zaman aralığını belirler ve bu süre her halde 6 ayı geçemez.
- Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu ise kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
Ayrıca kişi veri sorumlusuna başvurarak kişisel verilerinin silinmesini veya yok edilmesini talep edebilir. Bu gibi hallerde, veri sorumlusunun kişisel verileri işleme şartlarının ortadan kalkması halinde en geç 30 gün içinde kişinin talebi sonuca bağlanır ve ilgiliye bilgi verilir. Kişisel verileri işleme şartlarının tamamen ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmış ise, veri sorumlusu durumu üçüncü kişiye bildirir ve üçüncü kişi nezdinde gerekli işlemleri kontrol eder. Kişisel veri işleme şartları tamamen ortadan kalkmamışsa, veri sorumlusu gerekçesini açıklamak şartıyla talebi ret edebilir ve en geç otuz gün içinde ilgilisine bildirir.