Av. Hasan Selçuk Turan
28 Ekim'de Kişisel Verileri Koruma Kurumu tarafından yayınlanan ve 1 Ocak 2018'de yürürlüğe girecek olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'te itiraz ettiğim bir çok nokta var. Bu itirazlarımın bir kısmını bu yazımda paylaşmak istiyorum. Bu yazının konusu yönetmeliğin ana düzenlemesi olan kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi.
Elbette herkes gibi benim bakış açım ve tespitlerimde yanlışlıklar olabilir. Lütfen eksiklik ve yanlışlıkları selcuk@hsturan.com adresine gönderiniz.
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre işlenme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekir. Bu işlemlerin amacı gerçek kişiyle ilgili kişisel verilerin işlenmesinin önlenmesidir. Kanun'da kişisel verinin işlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
olarak tanımlanmaktadır. Madde gerekçesinde kişisel verilerin işlenmesi ile igili
Kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
açıklaması yer almaktadır.
Silme, yok etme ve anonim hale getirme kişisel verinin işlenmesi tanımındaki işlemler arasında sayılmamakla birlikte "...gibi veriler üzerinde gerçekleştirilen her türlü işlem" genellemesi ile kişisel verinin işlenmesi olarak kabul edilirler.
Bu işlemlerin ortak özelliği ise bu işlem sonrasında artık işleme konu olan kişisel veriyi işlemenin bir daha mümkün olmaması ve bu işlemlerden bir tanesinin de sadece bir kez yapılabilmesidir. Silme ve yok edilme ile kişisel verinin artık hiç bir parçası işlenemez. Anonim hale getirme işlemi ise kişisel verinin ilgilisi olan gerçek kişinin kimliği ile olan bağının yok edilmesiyle kişisel verinin sıradan veri haline getirilmesidir. Verinin bir gerçek kişiyle ilgili olması onu doğrudan kişisel veri yapmaz. Bir verinin kişisel veri olabilmesi için ilgili olduğu gerçek kişinin kimliğinin belirli veya herhangi bir yöntemle belirlenebilir olması gerekir.
Silinen veya yok edilen kişisel verinin artık işlenemez olması sadece ilgili veri sorumlusu açısından geçerlidir. Çünkü gerçekte aynı kişisel veri başka bir veri sorumlusu tarafından hukuka uygun olarak işlenebilir. Bir çok yerde T.C. kimlik numaralarının kullanılıyor olması gibi. İlgili kişi veri sorumlusundan kişisel verinin başka bir veri sorumlusuna aktarılmasını isterse, ilk veri sorumlusu ikinciye aktardıktan sonra kişisel veriyi silerse ya da yok ederse aktarılan kişisel veri açısından veri sorumluluğu sona erer ve yeni veri sorumlusunun sorumluluğu başlar. Kişisel verinin başka bir ya da daha fazla veri sorumlusu tarafından işleniyor olması etkilenmez.
Ancak anonim hale getirmede durum farklıdır. Silme ve yok etme işlemlerinde veri sorumlusunun işleyebileceği herhangi bir parça geride kalmamışken, anonim hale getirmede veri sorumlusu sadece gerçek kişinin kimliği ile olan bağını yok etmektedir. Sorun anonim hale getirme işlemi ile gerçek kişinin kimliği ile bağının kopartan veri sorumlusu artık gerçek kişinin kimliğini belirleyemezken başka kişilerin başka verilerle eşleştirerek gerçek kişinin kimliğini belirleyip belirleyemeyeceğidir. Çünkü veri sorumlusunun anonim hale getirdiği kişisel verileri herkese açık ortamda paylaşması ile bu verilere erişen başkalarının ellerindeki bilgilerle gerçek kişiyi belirlemesi mümkün ise anonim hale getirmenin gerçekleştiği söylenemez. Silme ve yok etme sadece veri sorumlusu açısından kişisel verinin işlenmesini sonlandırırken, anonim hale getirmenin herkes için kişisel verinin işlenmesini sonlandırması gerekir.
Basit bir örnekle açıklanmasında fayda var. Bir veri sorumlusu müşterilerinin T.C. Kimlik numaralarını, adını soyadını, doğum tarihini, oturduğu semti, sahip olduğu arabanın modelini, yılını, rengini tutmaktadır. Web sitesinde semtlere göre araba markası, modeli, yılı ve sahibinin yaşı ile ilgili bir istatistik yayınlar. Yayınlanan istatistikte elbette kişilerin kimlik bilgileri yer almaz. Ancak bir semtte, bir marka ve modelden tek bir araç vardır. Aracın çok pahalı olan Porsche'un 911 GT1 modeli olduğunu düşündüğümüzde her semtte birden fazla bu araçtan olması beklenemez. Aracın bulunduğu semtte yaşayan ve aracın sahibini tanıyan kişiler artık aracın sahibinin yaşını da öğrenirler. Anonim hale getirme amacına ulaşılamamış olur.
Kanundaki Düzenlemeler
Kanun'a göre işlenme şartları ortadan kalkmış kişisel verilerin silinmesi, yok edilmesi ya da anonimleştirilmesi gerekir. Kanun'un ilgili maddesi şu şekildedir:
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7
- (1)Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
- (2)Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- (3)Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Kanun'da anonim hale getirme için tanımlama yapılmışken, silme ve yok etme yöntemleri ile ilgili bir tanım yoktur. Anonim hale getirme Kanun'da
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi (Madde 3/1b)
olarak tanımlanmıştır.
Kanun kişisel verilerin silinmesini, yok edilmesini ve anonim hale getirilmesini aynı cümle içinde kullanmakta ve veri sorumlusu için üç seçenek sunmaktadır. Kanun hangi yöntemin hangi durumda seçilmesi konusunda bir düzenleme yapmamıştır. Üçüncü fıkrada bu yöntemlerle ilgili usul ve esasların yönetmelikle düzenleneceği ifade edilmektedir.
Madde Gerekçesi
Kanun tasarı ya da teklifleri TBMM'ye sunulurken her madde için bir gerekçe yazılır. Kanun'un yorumlanması gerektiğinde kanun metni tam anlaşılamadığında ya da tereddütler ortaya çıktığında ilgili maddenin gerekçesine bakılarak yorum yapılmaya çalışılır. Kişisel Verilerin Korunması Kanunu'nda konumuz olan 7. maddenin gerekçesi
Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir. Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır.
Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi hüküm altına alınmaktadır.
şeklindedir.
Kanun'un 7. Maddesi İle İlgili Meclis Görüşmeleri
Maddenin TBMM Genel Kurulu'nda görüşülmesi 22 Mart 2016 tarihindeki altıncı oturumda yapılmıştır. Oturum, CHP İstanbul milletvekili Engin Altay'ın İç Tüzük'ün 70. maddesi gereğince oturumun kapalı yapılması talebi üzerine kapalı gerçekleştirildiğinden bu madde ile ilgili milletvekillerinin TBMM Genel Kurulun'daki ifade ettikleri görüşleri bilinmemektedir.
Yönetmelikteki Düzenlemeler
Yönetmelik işlenme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri için bir tanım yapmamıştır. Her birini ayrı maddelerde detaylı olarak açıklamıştır.
Yönetmelikte geçen silme, yok edilme ve anonim hale getirme düzenlemeleri şu şekildedir:
Kişisel verilerin silinmesi
MADDE 8
- (1)Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
- (2)Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin yok edilmesi
MADDE 9
- (1)Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
- (2)Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin anonim hale getirilmesi
MADDE 10
- (1)Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
- (2)Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
- (3)Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Yayınlanan Yönetmelikteki Maddeler İle Taslaktaki İlgili Maddeler Arasındaki Farklılıklar
Yönetmelik taslağı daha önce kamuoyu görüşüne sunulmuş ve görüşler toplanmıştır. Kurul kendilerine gelen önerileri değerlendirmiştir. Taslak ile yayınlanan yönetmelik arasındaki farkların incelenmesi faydalı olacaktır.
Yayınlanan yönetmeliğin kişisel verilerin silinmesiyle ilgili 8. maddesi kamuoyu görüşüne sunulan taslaktaki maddeden farklıdır. Taslaktaki metin
Kişisel verilerin silinmesi
MADDE 8
- (1) Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
- (2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
- (3) Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
- a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
- b) Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
- c) Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması,
- kaydıyla kişisel veriler silinmiş sayılacaktır.
- (4) Veri sorumlusu, ilgili politika ve prosedürlerinde, kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar.
- (5) Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;
- a) Gerekli olmayan kişisel verilerin karartılması,
- b) Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan kişisel verilerin maskelenmesi,
- yoluyla gerçekleştirilir.
şeklindeydi.
Taslaktaki ilk iki fıkra kısmen korunmuştur. Taslak kişisel verilerin silinmesini dijital ortamdakiler ve olmayanlar olarak ikiye ayırmış ve uygulanacak işlemleri düzenlemekteydi. Taslakta sadece dijital ortam için geçerli olan kişisel verilerin ilgili kullanıcıların erişimine ve kullanmasına kapalı tutulması uygulaması, yayınlanan yönetmelikte dijital ortamda olmayan (örneğin kağıt) kişisel veriler için de geçerli hale getirilmiştir. Buna göre dijital ortamda olmayan kişisel veriler için de depolamadan sorumlu kişilerin (örneğin arşiv çalışanı) kişisel verilere erişimi ve kullanımı mümkündür.
Taslaktaki 3. ve 4. fıkralar kişisel verilerin hangi şartlar altında silinmiş sayılacağını düzenlemekte iken yayınlanan yönetmelikte tamamen çıkartılarak isabetli davranılmıştır. Silinmiş sayılması tanımı apaçık bir şekilde Kanun'a aykırı olacaktı.
Dijital ortamda olmayan kişisel verilerin silinmesi ile ilgili 5. fıkra yönetmelikten tamamen çıkartılmıştır.
Taslakta kişisel verilerin yok edilmesini düzenleyen madde
Kişisel verilerin yok edilmesi
MADDE 9
- (1) Yok etme, bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
- (2) Veri sorumluları kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.
şeklindeydi.
1. fıkradaki yok etmek taslakta "bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi" iken yayınlanan yönetmelikte "kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi" olarak değiştirilmiştir.
2. fıkra korunmuştur.
Taslakta kişisel verilerin anonim hale getirilmesini düzenleyen madde
Kişisel verilerin anonim hale getirilmesi
MADDE 10
- (1) Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
- (2) Kişisel verilerin anonim hale getirilmiş olması için veri sorumlusu veya kişisel verilerin aktarıldığı alıcı ya da alıcı gruplarınca;
- a) Kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması,
- b) Geri döndürme teknikleri kullanılması ya da verilerin başka verilerle eşleştirilmesi,
- yoluyla kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
şeklindeydi.
1. fıkradaki anonim hale getirme taslakta "kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi" iken Kanun'daki tanımında yer alan "hiçbir surette" ifadesinin eklenmesi ile yayınlanan yönetmelikte "kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi" olarak değiştirilmiştir.
2. fıkra taslaktaki fıkranın yeniden yazılmasından ibarettir.
3. fıkra ise silme ve yok etmede olduğu gibi veri sorumlusunun yükümlülüklerini düzenlemektedir.
Yönetmeliğin Silinmeyi Düzenleyen 8. Maddesindeki Kanun'a Aykırılıklar
Yönetmeliğin bu maddesinde silinme düzenlenmekle beraber aslında bir silme işlemi yoktur. Yönetmelikte kişisel verilerin silinmesi, kişisel verilerin
"Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler (Yönetmelik Madde 4/1b)"
olarak tanımı yapılan ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak açıklanmaktadır.
Madde tersten okunduğunda verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birimler kişisel verilere erişebilir ve kullanabilir sonucu çıkmaktadır. Kişisel verilerin silinmesi aslında kişisel verinin işlenmesinin sona ermesi iken, ilgili kullanıcıların kişisel verilere erişimi engellendiğinde de veri sorumlusunun kişisel verilerin işlenmesi devam etmektedir.
Her ne kadar kişisel verilere dokunmadan yapılan koruma işlemleri (firewall kullanılması gibi) kişisel veri işleme kabul edilemez ise de depolanması Kanun'daki tanımda açıkça kişisel verinin işlenmesi olarak sayılmıştır. Yedekleme işlemi kişisel verinin kopyalanması ile gerçekleştirilen ve aktarılmasına benzer bir işlemdir. Kanun aktarılma işlemini de kişisel verinin işlenmesi kabul ettiğinden yedeklemenin de kişisel verinin işlenmesi olduğu konusunda kuşku yoktur. Kanun'da kullanımının engellenmesi de kişisel verinin işlenmesi olarak kabul edildiğinden ilgili kullanıcıların erişmesini ve kullanmasını engellemek de kişisel verilerin işlenmesidir. Kısaca yönetmeliğin öngördüğü yöntem, kişisel verilerin silinerek işlenme sürecinin sonlandırmak bir yana işlenmesi sürecini devam ettirmektedir.
Her ne kadar Kanun'da silinme sadece terim olarak geçmekte ve tanımlanmamışsa da madde gerekçesi kişisel verilerin silinmesinden kişisel verilerin imhasının kastedildiğini ifade etmektedir. Bu durumda ilgili kullanıcıların erişiminin ve kullanmasının engellenmesi Kanun'daki tanımıyla bir silme işlemi değildir. Çünkü kişisel veriler olduğu yerde durmakta ve sadece ilgili kullanıcıların erişmesi ve kullanması engellenmektedir.
Ne Kanun'da ne de Kanun'un gerekçesinde veri sorumlusu çalışanlarının ya da onun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerin kişisel verileri işlememeleri konusunda bir ayrım yapılmamıştır. Veri sorumlusu çalışanlarının faaliyetlerine göre ayrılması ve verilerin teknik olarak depolanmasından, korunmasından ve yedeklenmesinden sorumlu çalışanlarının kişisel verilere erişiminin kişisel verinin işlenmemesi olarak kabul edilebilmesi mümkün değildir. Bu ayrım sonucu sanki iki farklı kişisel veri işleyen grup var ve bu gruplardan bir tanesinin kişisel verinin işlenme şartları yokken yaptığı işlemlerin, ilgili kişilerin haklarını ihlal etmediği sonucu çıkar. Böyle bir ayrımın yapılmamış olması, kanun koyucu tarafından Kanun'da bilerek bırakılan ya da unutulan kanun boşluğu değildir. Bilakis maddenin gerekçesinde "Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır" denilmektedir. "Hiç bir şekilde" denilerek vurgu en sert şekilde belirtilmiştir. "Hiç bir şekilde", hiç kimse tarafından, herhangi bir yöntem kullanılarak kişisel verilerin tekrar işlenememesidir.
Yukarıda açıklanan sebeplerle yayınlanan yönetmelikteki 8.madde, Kanun'un gerekçesi ile birlikte yorumlanan 7. maddesine açıkça aykırıdır.
Yönetmeliğin Yok Edilmeyi Düzenleyen 9. Maddesindeki Kanun'a Aykırılıklar
Bu madde Kanun'daki yok etme yöntemini düzenliyor gibi görünse de aslında Kanun'daki silme yöntemini düzenlemektedir. Taslak metinde "bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesi" ifadesi maddeden çıkartılmıştır. Yok etme işleminde kişisel verilerin saklandığı fiziksel ortamların kullanılamayacak hale getirilmesinden bahsedilirken yeni şeklinde fiziksel ortamlara yapılacak işlemden bahsedilmemektedir.
Onun yerine getirilen "kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi" ifadesi madde gerekçesinde kişisel verilerin silinmesini açıklayan "bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır" ifadesiyle örtüşmektedir.
Yönetmeliğin 8. maddesindeki aykırılık da göz önüne alındığında yönetmelik, Kanun'da yer alan yok etme yöntemini ortadan kaldırmakta; yine Kanun'da yer alan "silme yöntemini", "yok etme" olarak yeniden tarif etmekte ve ilgili kullanıcının erişiminin engellenmesini silme yöntemi olarak yeniden tanımlamaktadır.
Bu sebeple yönetmeliğin yok etmeyi düzenleyen 9. maddesi de, Kanun'un gerekçesi ile birlikte yorumlanan 7. maddesine açıkça aykırıdır.
Silme, Yok Etme ve Anonim Hale Getirme İşlem Bilgilerinin 3 Yıl Saklanması
Yönetmelik işlenme şartları ortadan kalkan kişisel verilerin işlenmesinin sonlanması için yapılan işlemlerin kayıt altına alınmasını öngörmektedir. Yönetmelikte ilgili düzenleme
Madde 7
(3)Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
şeklindedir.
Yönetmelikte işlemle ilgili hangi bilgilerin saklanacağı yazmamaktadır. Eğer saklanması istenen işlem bilgisi
31.1.2018'de 1000 kayıt silindi
31.1.2018'de 513 kayıt yok edildi
31.1.2018'de 350 kayıt anonim hale getirildi
şeklindeki kayıtlar ise bu tür bilgiyi üç yıl saklamanın gerekliliği tartışılır. Çünkü bu tür kayıtlar hangi gerçek kişilerin hangi kişisel verileri ile ilgili işlem yapıldığını göstermeyeceğinden tutulmasının pratikteki faydaları çok kısıtlı olacaktır.
Ancak yönetmeliğin kastettiği
111111 TC Kimlik Nolu kişinin Ad, Soyad, Adres bilgileri silindi.
222222 TC Kimlik Nolu kişinin alış veriş bilgileri yok edildi.
333333 TC Kimlik Nolu kişinin web sitesinde ziyaret ettiği sayfa bilgisi anonim hale getirildi.
şeklinde olan bir yapı ise bu durumda da Kanun'a aykırılık ortaya çıkacaktır.
Bir gerçek kişinin kimliğinin belli olduğu ya da belirlenebildiği her türlü bilgi kişisel veri olduğuna göre gerçek kişinin kimlik bilgileri de tek başına kişisel veridir. Ayrıca onunla ilgili kişisel verileri üzerinde hangi işlemin yapıldığı da kişisel veridir. Bu durumda kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için yapılan işlemlerin kayıt altına alınması ile yeni kişisel veriler üretilmiş olacaktır. Veri sorumlusunun bir zamanlar kimle ilgili bilgileri işlediği bilgisi de kişisel veridir.
Kanun'un kişisel verilerin işlenmesinde genel ilkeleri düzenleyen 4. maddesinin 1. fıkrası
Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
hükmü ile kişisel verileri işlemenin Kanun seviyesinde bir dayanağının olması gerektiğini göstermektedir. Yönetmelikler kanunlar seviyesinde bir düzenleme olmadığından ve Kanun Kurul'a düzenleme yetkisi verirken yeni kişisel verilerin üretilebileceğine ilişkin açık bir hükmü olmadığına göre silme, yok etme ve anonim hale getirme işlemlerine ait tutulan kayıtlarda gerçek kişinin kimliğini belli eden ya da belirlenebilir hale getiren bilgiler bulunamaz. Bu bilgiler olmadan tutulan işlem bilgileri de gereksiz bir yükten öteye gitmeyecektir.
Diğer Aykırılıklar
Yönetmelikte kanunlara aykırı iki düzenleme daha var. Bu yazının konusu olmamakla birlikte bu düzenlemeler Kişisel Veri İşleme Envanteri'nin zorunlu tutulması ve periyodik imha uygulaması.
Kişisel Verilerin Korunması Kanunu'nun Kurul'a verdiği düzenleme yapabilecek alanlar arasında olmadığından Kişisel Veri İşleme Envanteri konusunda düzenleme yapılamayacağına ilişkin iddia, Veri Sorumluları Sicili Hakkındaki Yönetmelik taslağı için bildirilen görüşlerde de bildirilmişti. Görüldüğü kadarıyla bu itirazlar kabul görmemiş. Bu yüzden bu konuda daha detaylı bir yazının yazılması gerekiyor.
Diğer konu periyodik imha Yönetmelik'te
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
şeklinde tanımlanmaktadır.
Yukarıda da aktarıldığı gibi Kanun'un 4. maddesine göre kişisel verilerin işlenmesi ancak kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinin düzenlendiği kanunlarda (örneğin Vergi Usul Kanunu'nda ve Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu'nda ) evrakların saklanma süreleri aynı zamanda kişisel verilerin işlenmesine imkan veren süreyi de göstermektedir. Kişisel verilerin açık rıza aranmaksızın işlenebilme şartları arasında yer alan "kanunlarda açıkça öngörülmesi" (Madde 5/2a) ve "veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması"(Madde 5/2ç) şartları kanunlarda öngörülen sürenin bitmesi ile ortadan kalkar. Bu durumda ilgili kişinin açık rızası yok ise kişisel veriler işlenemez. Yönetmelik, veri sorumluları siciline kayıt yükümlülüğüne bağlı olarak 3 aylık ve 6 aylık süreler öngörmektedir. Bu da kişisel verilerin işlenme şartları ortadan kalktıktan sonra her bir kişisel verinin, şartların ortadan kalkma tarihine bağlı olarak 3 ay ya da 6 ay kadar ek bir süre işlenmesi anlamına gelir.
Kanun'un 4. maddesine göre, kişisel veriler ancak bu Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğine göre, kişisel verilerin fazladan 3 ay ya da 6 ay işlenebilmesi için bir kanuni dayanağın bulunması gerekir. Bu düzenlemenin yönetmelikte yer alması veri sorumluları açısında hukuki bir dayanak olmakla birlikte, yönetmeliğin bu periyodik imha düzenlemesi kanuni dayanaktan yoksun olduğundan hukuka aykırıdır.
Sonuç ve Yorumlar
Yasama yetkisi Anayasa ile TBMM'ye verilmiştir. Kanun koyucu sıfatı TBMM'ye aittir. Kanun'un her ayrıntıyı düzenlemesi mümkün olmadığında alt düzenleme yapma yetkisi organ ve kurumlara verilebilir. Alt düzenleme yetkisi, kanun tarafından açıkça düzenleneceği belirtilen alanlarda kullanılabilir. Kanun koyucu kanun metninin uzun olmaması amacıyla kanun metninde yer alan bazı ifadelerin açıklamasını çoğu zaman madde gerekçesinde belirtir. Kanun yorumlanırken gerekçenin de mutlaka göz önünde bulundurulması gerekir. Bunun yanında kanunun amacı ve genel bütünlüğü gibi parametreler de kanunun yorumlanmasında göz önünde bulundurulmalıdır.
Kanunun hukukun öngördüğü usulle yorumlanması sonucu kanun koyucunun iradesinin ne yönde olduğu açıkça belli iken alt düzenleme yetkisi olan makam, kanun koyucunun yerine geçerek üst düzenleme ya da alt düzenlemede kanuna aykırı düzenleme yapamaz. Tüm alt düzenlemeler yargı denetimine tabidir. Dava açma yetkisi olan kişilerce açılan davalar sonucunda düzenlemelerin hukuka uygunluk denetimi yapılır.
Kişisel Verileri Koruma Kurumu Kanun'la yetkili kılınan bir düzenleyici ve denetleyici kurumdur. Düzenleme yetkisi Kurul'dadır ancak düzenlemeler yürürlüğe Kurum tarafından konulur. Kanun'la kendisine çizilen sınırlar içerisinde yönetmelikler çıkartabilir. Kurum'un ilk yönetmeliği de işlenme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" 28 Ekim 2017 tarihinde Resmi Gazete'de yayınlanmıştır.
Yönetmeliğin alt düzenleme yaptığı Kanun'un 7. maddesi metninde "silme ve yok etme" yöntemlerinin açıklaması yapılmamaktadır. Ancak madde gerekçesinde "silme ve yok etmenin" nasıl anlaşılması gerektiği çok açık bir biçimde ifade edilmektedir. Bu durumda sırf madde metninde "silme ve yok etme" yöntemlerinin açıklanmamış olması sebebiyle "silme ve yok etme" tanımlarının kanunun öngördüğünden farklı yapılabilmesi mümkün değildir.
Oysa çıkartılan yönetmelik Kanun'a aykırı olarak silme ve yok etmeyi yeniden tanımlamaktadır. İlgili kullanıcıların kişisel verilere erişememesini silme, madde gerekçesindeki silmeyi de yok etme olarak tanımlamakta ve gerekçede açıklanan yok etme ise yönetmelikte yer almamaktadır. Açıklanan sebeplerle yönetmeliğin 8. ve 9. maddeleri Kanun'a aykırıdır.
Yönetmelik bu haliyle Kanun'a aykırı olmasının dışında Anayasal bir hak olan kişisel verilerin korunması isteme hakkının da amacına ulaşmasını engelleyen bir düzenlemedir. Bu yönetmelik uygulanırsa tüzel kişiliğe sahip hiç bir veri sorumlusu kişisel verileri silmek zorunda kalmayacaktır. Otomatik olmayan yöntemlerle toplanan kişisel verilerin de yok edilmesi gerekmeyecektir.
Kanun ortada iken yönetmelik bunu nasıl ortadan kaldırabilir diye bir soru akla gelebilir. Yönetmeliğin ikincil düzenleme olarak Kanun'u yorumlayan ve uygulanmasını kolaylaştıran bir düzenleme olduğu göz önüne alındığında, yönetmelik hükümleri doğrultusunda hareket edenlerin Kanun'a aykırı hareket ettiği iddia edilemeyecek ve bundan da sorumlu tutulamayacaklar. Edindiğim intibaya göre Kurul'un sektör temsilcileri ile yaptığı istişare toplantıları sektörler açısından oldukça verimli geçmiştir.