Veri sorumluları tarafından işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasları belirlemek üzere Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik hazırlanmış ve ilgili yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girmiştir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik kapsamında, kişisel veri saklama ve imha politikası “Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hâle getirme işlemi için dayanak yaptıkları politika” olarak tanımlanmış ve Veri Sorumluları Siciline kaydolmakla yükümlü veri sorumluları için kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü getirilmiştir. Bununla birlikte, Veri Sorumluları Siciline kaydolma yükümlülüğü bulunmayan veri sorumlularının, kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmamakta; fakat kişisel verileri saklama, silme, yok etme veya anonim hâle getirme yükümlülükleri devam etmektedir. Ayrıca, kişisel veri saklama ve imha politikası hazırlanmış olması, kişisel verilerin ilgili mevzuata uygun olarak saklandığı, silindiği, yok edildiği veya anonim hâle getirildiği anlamına gelmeyecektir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’in 6. maddesi kapsamında, kişisel veri saklama ve imha politikası kapsamında asgari olarak yer alması gereken bilgiler düzenlenmiştir. Ayrıca, Kişisel Verileri Koruma Kurumu tarafından örnek bir kişisel veri saklama ve imha politikası hazırlanmış ve “Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama ve İmha Politikası” adı ile yayımlanmıştır. Buna göre, kişisel veri saklama ve imha politikası kapsamında asgari olarak yer alması gereken bilgiler şunlardır:
a) Kişisel veri saklama ve imha politikasının hazırlanma amacı
Kişisel veri saklama ve imha politikasının amacı, veri sorumlusu tarafından gerçekleştirilen saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemektir. Bu usul ve esasların amacı ise, kişisel verilerin Anayasa, uluslararası sözleşmeler, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak işlenmesi ve ilgili kişi tarafından haklarının etkin bir şekilde kullanılmasıdır.
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları
Kişisel verilerin hukuka ve ilgili mevzuata uygun olarak muhafaza edildiği hem bilgisayar, sunucu, çıkarılabilir bellek gibi elektronik hem de kâğıt gibi elektronik olmayan kişisel verileri saklama ortamları kişisel veri saklama ve imha politikası kapsamında belirtilecektir.
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları
Kişisel veri saklama ve imha politikası kapsamında kullanılan hukuki ve teknik terimler, metin kapsamında açık ve anlaşılır bir şekilde tanımlanacaktır.
d) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar
Kişisel verilerin saklanmasını ve imhasını gerektiren başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere 6098 sayılı Türk Borçlar Kanunu, 2547 sayılı Yükseköğretim Kanunu ve 4857 sayılı İş Kanunu gibi kanunlarda yer alan hukuki sebeplere ve kurumsal iletişimi sağlamak, kanuni bildirimlerde bulunmak veya imzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek gibi amaçlara kişisel veri saklama ve imha politikası kapsamında yer verilecektir.
e) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler
Veri sorumlusu tarafından işlenen kişisel verilerin güvenli bir şekilde muhafaza edilmesi ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi amacıyla, (bilişim sistemleri güvenliğinin sağlanması için donanım ve yazılım ile ilgili önlemler alma, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanma, kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapma gibi) teknik tedbirler ile (çalışanlara kişisel verilerin korunması ile ilgili eğitim verilmesi, kişisel veri envanterinin hazırlanması, kurum için denetimlerin yapılması gibi) idari tedbirlere kişisel veri saklama ve imha politikası kapsamında yer verilecektir.
f) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler
Kişisel veri saklama ve imha politikası kapsamında, elektronik veya fiziksel ortamlarda yer alan kişisel verileri hukuka uygun olarak silme, yok etme ve anonim hâle getirme yöntemleri açıklanacak ve bu yöntemlerin uygulanması için alınması gereken teknik ve idari tedbirler belirtilecektir.
g) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları
Kişisel verileri saklama ve imha faaliyetlerinde görev alacak kişilerin unvanları, birimleri ve görev dağılımları veri sorumlusu tarafından tespit edilecek ve kişisel veri saklama ve imha politikası kapsamında belirtilecektir.
h) Saklama ve imha sürelerini gösteren tablo
Kişisel verilerin ilgili mevzuat uyarınca veri sorumlusu tarafından saklama ve imha süreleri tespit edilecek ve bu süreler bir tablo hâline getirilerek kişisel veri saklama ve imha politikası metnine eklenecektir.
i) Periyodik imha süreleri
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca, periyodik imha süreleri, altı ayı geçmemek şartıyla veri sorumlusu tarafından kişisel veri saklama ve imha politikası kapsamında belirlenecektir. Başka bir deyişle, veri sorumlusu, saklama süresinin dolmasından itibaren 6 ay içinde imha işlemini gerçekleştirmeli; bu periyodik imha zamanlarını ise kişisel veri saklama imha politikasında belirtmelidir.
j) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklikler
Kişisel veri saklama ve imha politikası metninde bir değişiklik veya güncelleme yapılmış ise, söz konusu değişiklik ve güncellemelere kişisel veri saklama ve imha politikasında yer verilecektir.
