|
KİŞİSEL VERİLERİN SİLİNMESİ, YOK
EDİLMESİ VEYA ANONİM
HALE GETİRİLMESİ HAKKINDA
YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı,
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve
esasları belirlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik
hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması
Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 6698
sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin
birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Yönetmeliğin
uygulanmasında;
a) Alıcı grubu: Veri sorumlusu tarafından kişisel
verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b) İlgili kullanıcı: Verilerin teknik olarak
depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim
hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri
işleyen kişileri,
c) İmha: Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesini,
ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı
Kişisel Verilerin Korunması Kanununu,
d) Kayıt ortamı: Tamamen veya kısmen otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü
ortamı,
e) (Değişik:RG-28/4/2019-30758) Kişisel
veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel
veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı
grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve
kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza
edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve
veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları
envanteri,
f) Kişisel veri saklama ve imha politikası: Veri
sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami
süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi
için dayanak yaptıkları politikayı,
g) Kurul: Kişisel Verileri Koruma Kurulunu,
ğ) Periyodik imha: Kanunda yer alan kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel
verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemini,
h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı
tarafından tutulan veri sorumluları sicilini,
ı) Veri kayıt sistemi: Kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
i) Veri sorumlusu: Kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için
Kanundaki tanımlar geçerlidir.
İKİNCİ BÖLÜM
Kişisel Veri Saklama ve İmha
Politikası
Kişisel veri saklama ve imha politikasına
ilişkin esaslar
MADDE 5 – (1) Kanunun 16 ncı maddesi
gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri
sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri
saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası
hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde
saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına
gelmez.
(3) Kişisel veri saklama ve imha politikası
hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu
Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim
hale getirme yükümlülükleri devam eder.
Kişisel veri saklama ve imha politikasının
kapsamı
MADDE 6 – (1) Kişisel veri saklama ve
imha politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının
hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile
düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer
verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını
gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde
saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi
için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha
edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde
yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha
politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
ÜÇÜNCÜ BÖLÜM
Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi
İlkeler
MADDE 7 – (1) Kanunun 5 inci ve 6 ncı
maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen
veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle
getirilmesi gerekir.
(2) Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler
ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere,
ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve
imha politikasına uygun hareket edilmesi zorunludur.
(3) Kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına
alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere
en az üç yıl süreyle saklanır.
(4) (Değişik:RG-28/4/2019-30758) Veri
sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika
ve prosedürlerinde açıklamakla yükümlüdür.
(5) Veri sorumlusu, Kurul tarafından aksine bir
karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale
getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde
uygun yöntemi gerekçesini açıklayarak seçer.
Kişisel verilerin silinmesi
MADDE 8 – (1)Kişisel verilerin
silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri sorumlusu, silinen kişisel verilerin
ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için
gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin yok edilmesi
MADDE 9 – (1) Kişisel verilerin yok
edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez,
geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri sorumlusu, kişisel verilerin yok
edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla
yükümlüdür.
Kişisel verilerin anonim hale getirilmesi
MADDE 10 – (1) Kişisel verilerin
anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse
dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesidir.
(2) Kişisel verilerin anonim hale getirilmiş
olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları
tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi
kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin
kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemez hale getirilmesi gerekir.
(3) Veri sorumlusu, kişisel verilerin anonim hale
getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla
yükümlüdür.
Kişisel verileri resen silme, yok etme veya
anonim hale getirme süreleri
MADDE 11 – (1) Kişisel veri saklama
ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme,
yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi
takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder
veya anonim hale getirir.
(2) Periyodik imhanın gerçekleştirileceği zaman
aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha
politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası
hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok
etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip
eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale
getirir.
(4) Kurul, telafisi güç veya imkansız zararların
doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen
süreleri kısaltabilir.
Kişisel verileri ilgili kişinin talep etmesi
durumunda silme ve yok etme süreleri
MADDE 12 – (1) İlgili kişi, Kanunun (Değişik
ibare:RG-28/4/2019-30758) 11 inci ve 13 üncü maddelerine
istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin
silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı
ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok
eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en
geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı
ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere
aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi
nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin
eder.
c) Kişisel verileri işleme şartlarının tamamı
ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin
üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı
ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda
bildirilir.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Tereddütlerin giderilmesi
MADDE 13 – (1) Bu Yönetmeliğin
uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin
aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları
belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya,
bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer
almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul
yetkilidir.
Yürürlük
MADDE 14 – (1) Bu Yönetmelik 1/1/2018
tarihinde yürürlüğe girer.
Yürütme
MADDE 15 – (1) Bu Yönetmelik
hükümlerini Başkan yürütür.
|
