Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı

Ülkemizde mevzuat, hiyerarşiye uygun düşen boşluk düzeni uygulanmadan yazıya aktarılan metinler olduklarından alışık olmayanlar tarafından okunmaları zordur. Bu sorunu asgariye indirmek amacı ile sitemizdeki mevzuat metinleri daha kolay okunabilsinler diye belli bir boşluk düzeni ile oluşturulmakta ve içerikteki önemli noktalara hızlı ulaşım için de yukarıdaki linkler eklenmektedir.

Yönetmeliği işaret eden görselin Kişisel Verileri Koruma Kurumu ile ilgisi bulunmamaktadır. İçerik ile daha kolay ilişki kurulabilmesi amacıyla tarafımızdan hazırlanmıştır.

(TASLAK)

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

  • MADDE 1
    • (1) Bu Yönetmeliğin amacı; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

Kapsam

  • MADDE 2
    • (1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca kişisel verilerin silinmesinden, yok edilmesinden veya anonim hale getirilmesinden sorumlu olan gerçek ve tüzel kişiler hakkında uygulanır.

Dayanak

  • MADDE 3
    • (1) Bu Yönetmelik 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.

Tanımlar

  • MADDE 4
    • (1) Bu Yönetmeliğin uygulanmasında;
      • a) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
      • b) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
      • c) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
      • ç) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri,
      • d) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
      • e) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
      • f) Sicil: Başkanlık tarafından tutulan veri sorumluları sicilini,
      • g) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
    • ifade eder.
    • (2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.

İKİNCİ BÖLÜM

Kişisel Verilerin İşlenme Şartlarını Ortadan Kaldıran Haller

Kişisel verilerin işlenme şartlarını ortadan kaldıran haller

  • MADDE 5
    • (1) Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme sebepleri Kanunun 5 inci ve 6 ncı maddelerinde yer alan şartlardır.
    • (2) Özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir:
      • a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
      • b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
      • c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
      • ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
      • d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
      • e) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
      • f) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
      • g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
      • ğ) Kanunun 5 inci ve 6 ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
    • (3) İkinci fıkrada belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

ÜÇÜNCÜ BÖLÜM

Kişisel Veri Saklama ve İmha Politikası

Kişisel verilerin saklanması ve imhasına ilişkin ilkeler

  • MADDE 6
    • (1) Sicile kayıt yükümlülüğü olanlar, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
    • (2) Kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkeler geçerlidir:
      • a) Kanunun 4 üncü maddesindeki genel ilkelere uyulması zorunludur.
      • b) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanun ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
      • c) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayanların, kişisel verileri Kanun ve Yönetmelik uyarınca saklama, silme, yok etme ve anonim hale getirme yükümlülükleri devam eder.
      • ç) Kişisel verilerin saklanmasında ve imhasında, Kanunun 12 nci maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuat hükümlerine, Kurul kararlarına, kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

Kişisel veri saklama ve imha politikasının kapsamı

  • MADDE 7
    • (1) Kişisel veri saklama ve imha politikası;
      • a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
      • b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
      • c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
      • ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
      • d) Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
      • e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
      • f) Kişisel verileri saklama ve imha süreçlerinde yer alanların isimlerine ve sorumluluklarına,
      • g) Kişisel verileri saklama ve imha sürelerini gösteren tabloya,
      • ğ) Periyodik imha sürelerine,
    • ilişkin bilgileri içerir.
    • (2) Kurul, birinci fıkrada yer alan temel esaslar çerçevesinde, kişisel veri saklama ve imha politikası hazırlama ve uygulama esasları ile usulünü belirlemek konusunda karar alma yetkisini haizdir. Kurul, bu kararlarını uygun yöntemlerle duyurur.

DÖRDÜNCÜ BÖLÜM

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Usul ve Esaslar

Kişisel verilerin silinmesi

  • MADDE 8
    • (1) Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
    • (2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
    • (3) Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
      • a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
      • b) Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
      • c) Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması,
    • kaydıyla kişisel veriler silinmiş sayılacaktır.
    • (4) Veri sorumlusu, ilgili politika ve prosedürlerinde, kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar.
    • (5) Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;
      • a) Gerekli olmayan kişisel verilerin karartılması,
      • b) Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan kişisel verilerin maskelenmesi,
    • yoluyla gerçekleştirilir.

Kişisel verilerin yok edilmesi

  • MADDE 9
    • (1) Yok etme, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
    • (2) Veri sorumluları kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.

Kişisel verilerin anonim hale getirilmesi

  • MADDE 10
    • (1) Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
    • (2) Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı gruplarınca;
      • a) Kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,
      • b) Geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi,
    • yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri

  • MADDE 11
    • (1) Veri sorumluları, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alırlar:
      • a) Kişisel veri saklama ve imha politikası hazırlamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde,
      • b) Kişisel veri saklama ve imha politikası hazırlamamış olanlar, yükümlülüğün ortaya çıktığı tarihi takip eden otuz gün içerisinde,
    • kişisel verileri siler, yok eder veya anonim hale getirirler.
    • (2) Periyodik imhanın gerçekleştirileceği zaman aralıkları, faaliyet alanı ve sektörün özellikleri dikkate alınarak Kurul tarafından belirlenebilir. Bu süre her halde doksan günden uzun olamaz.
    • (3) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, birinci ve ikinci fıkrada belirlenen süreleri kısaltabilir.

İlgili kişinin talep etmesi durumunda kişisel verileri silme ve yok etme süreleri

  • MADDE 12
    • (1) İlgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
      • a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. İlgili kişilerin silme veya yok etme talepleri veri sorumluları tarafından en geç otuz gün içerisinde sonuçlandırılır.
      • b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

BEŞİNCİ BÖLÜM

Çeşitli ve Son Hükümler

Tereddütlerin giderilmesi

  • MADDE 13
    • (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

Yürürlük

  • MADDE 14
    • (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

  • MADDE 15
    • (1) Bu Yönetmelik hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.

Mevzuat

Kişisel Verilerin Korunması Kanunu

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun gerekçeli ve değişiklikler işlenmiş tam metni

Veri Sorumluları Sicili Hakkında Yönetmelik

Kanuna göre veri sorumlularının kayıt olacağı Veri Sorumluları Sicili'ne kayıtın usul ve esaslarını düzenleyen 1.1.2018 tarihinde yürürlüğe giren yönetmelik

Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği

Kişisel Verileri Koruma Kurumu'nun teşkilatlanma yapısını düzenleyen ve 26.4.2018 tarihli Resmi Gazete'de yayınlanan yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Kurul tarafından yayınlanan işlenme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

Sağlık Bakanlığı tarafından 20.10.2016 tarihinde Resmi Gazete'de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ile ilgili yönetmelik

Veri Sorumluları Sicili Hakkında Yönetmelik Taslağı

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun işleyişini düzenlemek amacıyla Kişisel Verileri Koruma Kurulu tarafından kamuoyu görüşüne sunulan yönetmelik taslağı

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (23.11.2017)

Sağlık Bakanlığı tarafından 20.10.2016 tarihinde Resmi Gazete'de yayınlanan Kişisel Sağlık Verilerinin İşlenmesi ile ilgili yönetmelik

6563 Kanun

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

5 Kasım 2014 tarihinde Resmi Gazete'de yayınlanarak yürürlüğe giren ve elektronik ticarette uyulması kurallarını düzenleyen kanun

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

108 Nolu Sözleşme Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'nin TBMM tarafından kabul edilen Türkçe metni

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol

Diğer Kanunlar

Kişisel veri teriminin geçtiği diğer kanunlar. Türk Ceza Kanunu, Ceza Muhakemesi Kanunu ve diğerleri.

Anayasa

Kişisel verilerin korunmasını isteme hakkı, Anayasa'nın Özel Hayatın Gizliliği'ni düzenleyen 20. maddesine 12 Eylül 2010'da referandumla eklenmiştir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı

Kişisel Verilerin Korunması Kanunu'nun işleyişini düzenlemek amacıyla Kurum tarafından hazırlanan kamuoyu görüşüne sunulan yönetmelik taslağı. 28.10.2017 tarihinden önceki taslak metin.