KİŞİSEL
VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM
HALE
GETİRİLMESİ HAKKINDA YÖNETMELİK
BİRİNCİ
BÖLÜM
Amaç,
Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1)
Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2 – (1)
Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin
Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında
uygulanır.
Dayanak
MADDE 3 – (1)
Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22
nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1)
Bu Yönetmeliğin uygulanmasında;
a) Alıcı grubu:
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel
kişi kategorisini,
b) İlgili
kullanıcı: Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri
sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen kişileri,
c) İmha: Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
ç) Kanun:
24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
d) Kayıt ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortamı,
e) (Değişik:RG-28/4/2019-30758)
Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine
bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme
faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri
kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar
için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı
öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanteri,
f) Kişisel veri
saklama ve imha politikası: Veri sorumlularının, kişisel verilerin
işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile
silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları
politikayı,
g) Kurul: Kişisel
Verileri Koruma Kurulunu,
ğ) Periyodik imha:
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında
belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok
etme veya anonim hale getirme işlemini,
h) Sicil: Kişisel
Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları
sicilini,
ı) Veri kayıt
sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak
işlendiği kayıt sistemini,
i) Veri sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel
kişiyi,
ifade eder.
(2) Bu Yönetmelikte
yer almayan tanımlar için Kanundaki tanımlar geçerlidir.
İKİNCİ
BÖLÜM
Kişisel
Veri Saklama ve İmha Politikası
Kişisel veri
saklama ve imha politikasına ilişkin esaslar
MADDE 5 – (1)
Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla
yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak
kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri
saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve
Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim
hale getirildiği anlamına gelmez.
(3) Kişisel veri
saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri
sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama,
silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.
Kişisel veri
saklama ve imha politikasının kapsamı
MADDE 6 – (1)
Kişisel veri saklama ve imha politikası asgari olarak;
a) Kişisel veri
saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri
saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kişisel veri
saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin
tanımlarına,
ç) Kişisel
verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer
sebeplere ilişkin açıklamaya,
d) Kişisel
verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi
ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel
verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari
tedbirlere,
f) Kişisel
verileri saklama ve imha süreçlerinde yer alanların unvanlarına,
birimlerine ve görev tanımlarına,
g) Saklama ve imha
sürelerini gösteren tabloya,
ğ) Periyodik imha
sürelerine,
h) Mevcut kişisel
veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu
değişikliğe,
ilişkin bilgileri
kapsar.
ÜÇÜNCÜ
BÖLÜM
Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
İlkeler
MADDE 7 – (1)
Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri
sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi,
yok edilmesi veya anonim hâle getirilmesi gerekir.
(2) Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4
üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması
gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul
kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi
zorunludur.
(3) Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili
yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer
hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
(4) (Değişik:RG-28/4/2019-30758)
Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla
yükümlüdür.
(5) Veri
sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri
resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını
seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak
seçer.
Kişisel
verilerin silinmesi
MADDE 8 – (1)Kişisel
verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
(2) Veri
sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve
tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri
almakla yükümlüdür.
Kişisel
verilerin yok edilmesi
MADDE 9 – (1)
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından
hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir.
(2) Veri
sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü
teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel
verilerin anonim hale getirilmesi
MADDE 10 – (1)
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka
verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir.
(2) Kişisel
verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri
sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin
başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı
açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi
gerekir.
(3) Veri sorumlusu,
kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü
teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel
verileri resen silme, yok etme veya anonim hale getirme süreleri
MADDE 11
– (1) Kişisel veri saklama ve imha politikası hazırlamış olan veri
sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme
yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha
işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
(2) Periyodik
imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından
kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde
altı ayı geçemez.
(3) Kişisel veri
saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu,
kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün
ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok
eder veya anonim hale getirir.
(4) Kurul,
telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık
olması halinde, bu maddede belirlenen süreleri kısaltabilir.
Kişisel
verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri
MADDE 12
– (1) İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758)
11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak
kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep
ettiğinde;
a) Kişisel
verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe
konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri
sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve
ilgili kişiye bilgi verir.
b) Kişisel
verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan
kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu
üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında
gerekli işlemlerin yapılmasını temin eder.
c) Kişisel
verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri
sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi
açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün
içinde yazılı olarak ya da elektronik ortamda bildirilir.
DÖRDÜNCÜ
BÖLÜM
Çeşitli
ve Son Hükümler
Tereddütlerin
giderilmesi
MADDE 13
– (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri
ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye,
ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli
düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi
istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde
karar vermeye Kurul yetkilidir.
Yürürlük
MADDE 14 – (1)
Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.
Yürütme
MADDE 15 – (1)
Bu Yönetmelik hükümlerini Başkan yürütür.
|