Günümüz dijital çağında kişisel verilerimizin hemen her alanda yer almaya başlamasıyla kişisel verilerin kullanım oranları da her geçen gün artıyor. Bu durumda kişisel verilerin depolandığı alanlarda ve iletişim süreçlerinde verilerimizi korumak konusunda daha dikkatli olmak ve haklarımızı bilmek yaşanabilecek olumsuz durumları en aza indiriyor. Kişisel Verileri Koruma Kurumu (KVKK)’nun 30.05.2017 yılında taslak olarak yayınladığı, 28.10.2017 tarihli yönetmelik Resmi Gazete’de yayınlandı.

Yönetmelik Amacı ve İçeriği

İlgili yönetmeliğin amacı ;

MADDE 1 – (1) Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

Otomatik olarak elde edilen veya bizlerin kendi isteğimiz ile sunduğumuz kişisel verilerin silinmesi, yok edilmesi veya anonim hale ( farklı ortamlarda bulunan aynı kişiye ait verilerin kişi belirtmeksizin işlenmesi durumu ) getirilmesi konularının ele alındığı yönetmelikte, saklama ve imha politikasına ilişkin esaslar;

MADDE 5 – (1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

Yönetmeliğin en önemli maddelerinden biri olan 7.Madde’de şu esaslar yer almakta;

MADDE 7 – (1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
(4) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

Veri sorumlularının konu ile ilgili yönetmelikte uyması gereken önemli maddelerin yanı sıra bireylerin kişisel verilerini sildirme ve yok etme talepleri de detaylandırılmış,

MADDE 12 – (1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Yönetmeliğin yürürlüğe girme tarihi 01.01.2018 olarak belirtilmiştir.

Birçok kurum ile bağlantılı olduğumuz gerçeğini değiştiremeyeceğimiz gibi, kurumlara vermiş olduğumuz kişisel bilgilerimizin doğru olması, işlenmesi ve kullanılması çok büyük bir önem arz ediyor.

Bu noktada yaşanabilecek her türlü yasal süreçte haklarınızı detaylı bir şekilde öğrenmeli ve ihtiyaç halinde özellikle ‘Bilişim Hukuku’ alanında uzmanlaşmış bir avukattan yardım almanız gerekmektedir.

30224 sayılı Resmi Gazeteye ulaşmak için buraya tıklayın