Kişisel Verilerin İmhasında Yeni Bir Dönem Başlıyor
Kişisel Verilerin Silinmesi
Kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi kanunda belirtilen teknik ve idari tedbirlere uygun ve kayıt altına alınarak yapılmalı
28.10.2017 tarihli 30224 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile, kayda alınan kişisel verilerin imhası ile ilgili veri sorumlularının yükümlülükleri düzenlenmiş olup yürürlük tarihi 1/1/2018 olarak belirlenmiştir.
Yönetmeliğe göre veri sorumlularının, elde ettikleri verileri saklama ve imha etmeye ve bunların sürelerine dair politikaları ve periyodik çalışmaları olması gerekmektedir. Ancak mevcut bir politikanın varlığı, kişisel verilerin kanuna ve yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmeyecektir.
Kanunda düzenlenen kişisel verilerin işlenme şartları ortadan kalktığında, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Elbette bu çalışma, kanunda belirtilen teknik ve idari tedbirlere uygun ve kayıt altına alınarak yapılmalıdır. Buna ilişkin kayıtlar yönetmeliğe göre en az üç yıl süreyle saklanmalıdır.
Kişisel verilerin silinmesi, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi iken; yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Anonim hale getirilmesi ise kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Veri sorumlusu, bu işlemlere dair her türlü teknik ve idari tedbirleri almakla ve bu imha işlemlerini, yükümlülüğün ortaya çıktığı tarihten itibaren olan ilk periyodik imha işleminde, her halükarda en geç 6 ayda bir yapmakla yükümlüdür. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu ise, bu yükümlülüğün ortaya çıktığı tarihi takip eden üç ay içinde kişisel verileri siler, yok eder veya anonim hale getirir.
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu gereği ilgili kişiler, verilerinin silinmesi ve yok edilmesi için veri sorumlusuna başvurabilir. Böyle bir talep halinde ise kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu bu talebi en geç otuz gün içinde sonuçlandırmak ve ilgili kişiye bilgi vermekle yükümlüdür. Aynı zamanda bu veriler üçüncü kişilere de aktarılmışsa onların da aynı imha işlemlerini gerçekleştirmesini istemelidir. Ancak kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusu tarafından reddedilebilir; bu cevap da 30 gün içinde yazılı veya elektronik ortamda verilmiş olmalıdır.
Diğer e-ticaret köşe yazılarını okumak için tıklayın.
E-ticaret Çağı Aralık sayısını ücretsiz okumak için tıklayın.