Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi ile ilgili olarak genel ilkeler belirlenmiştir. Veri sorumluları tarafından uyulması gereken ilkelerden bir tanesi de kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesidir. Ayrıca, veri sorumluları Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinin 3’üncü fıkrası uyarınca Veri Sorumlusu Siciline kayıt başvurusu yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirtmekle yükümlüdür. Bu yazımızda, kişisel verilerin işlenmesi ile ilgili olarak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan saklama süreleri, kişisel verilerin imhasını gerektiren hâller, saklama süreleri ile ilgili yükümlülüklerini yerine getirmeyen veri sorumlularının maruz kalabileceği yaptırımlar ile kişisel veri saklama ve imha politikalarından bahsedeceğiz.
İlgili Mevzuatta Öngörülen veya Kişisel Verilerin İşlendikleri Amaç İçin Gerekli Olan Saklama Süreleri
Veri sorumluları, işledikleri kişisel verileri istedikleri süre kadar saklayamamaktadır. Kişisel verilerin işlenme amacına uygun bir süre boyunca saklanması ve bu sürenin dolması durumunda imha edilmesi gerekmektedir. Kişisel verileri saklama süreleri, işlenen kişisel verilerin türü, işleme amacı, veri sorumlusunun faaliyet gösterdiği sektör ve tabi bulundukları kanunlara göre değişiklik göstermektedir.
Örneğin, tacirler, Türk Ticaret Kanunu uyarınca; ticari defterlerini, envanterleri, açılış bilançolarını, ara bilançolarını, finansal tablolarını, yıllık faaliyet raporlarını, topluluk finansal tablolarını ve yıllık faaliyet raporlarını ve bu belgelerin anlaşılabilirliğini kolaylaştıracak çalışma talimatları ile diğer organizasyon belgelerini; alınan ticari mektuplar ile gönderilen ticari mektupların suretlerini ve defter tutma yükümlülüğü kapsamında yapılan kayıtların dayanak belgelerini, dolayısıyla bu belgeler kapsamında yer alan kişisel verileri on yıl süreyle saklamakla yükümlüdür. Saklama süresi, ilgili belgenin düzenlendiği takvim yılının bitişiyle başlamaktadır.
Bir diğer örnek işverenlerle ilgilidir. İş Kanunu uyarınca iş sözleşmesinden kaynaklanmak kaydıyla; yıllık izin ücreti, kıdem tazminatı, ihbar tazminatı, kötü niyet tazminatı için zaman aşımı süresi beş yıldır. Dolayısıyla, veri sorumluları, yıllık izin ücreti ve tazminatlarla ilgili kayıtları ve işçilerin kişisel verilerini beş yıl saklamakla yükümlüdür.
Son örnek ise, elektronik ticaret faaliyetinde bulunan hizmet sağlayıcıları veya elektronik ticaret ortamını sağlayan aracı hizmet sağlayıcıları ile ilgilidir. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca, onay kayıtları aracılığıyla elde edilen kişisel veriler, onayın geçerliliğinin sona erdiği tarihten itibaren, ticari elektronik iletilere ilişkin kayıtlar aracılığıyla elde edilen kişisel veriler ise kayıt tarihinden itibaren bir yıl süreyle saklanmalıdır.
Yukarıda sayılan örneklerde olduğu gibi 102 sayılı Türk Ticaret Kanunu, 193 sayılı Gelir Vergisi Kanunu, 213 sayılı Vergi Usul Kanunu, 657 sayılı Devlet Memurları Kanunu, 2547 sayılı Yükseköğretim Kanunu, 2828 sayılı Sosyal Hizmetler Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 4721 sayılı Medeni Kanun, 4734 sayılı Kamu İhale Kanunu, 4857 sayılı İş Kanunu, 4982 sayılı Bilgi Edinme Kanunu, 5018 sayılı Kamu Mali Yönetimi Kanunu, 5271 sayılı Ceza Muhakemesi Kanunu, 5237 sayılı Türk Ceza Kanunu, 5352 sayılı Adli Sicil Kanunu, 5434 sayılı Emekli Sağlığı Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6098 sayılı Türk Borçlar Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7315 sayılı Güvenlik Soruşturması ve Arşiv Araştırması Kanunu gibi kanunlarda ve/veya bu kanunlarla ilgili olarak çıkartılan yönetmeliklerde kişisel verilerin saklama süreleri belirtilmiştir. Veri sorumluları tabi oldukları mevzuat uyarınca saklama sürelerine riayet etmekle yükümlüdür.
Kişisel Verilerin İmhasını Gerektiren Hâller
Kişisel verilerin, aşağıda sayılan durumlarda veri sorumluları tarafından silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir:
- Kişisel verilerin işlenmesine dayanak teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hâllerde, ilgili kişi tarafından açık rızanın geri alınması
- İlgili kişi tarafından, Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesi kapsamında düzenlenen haklar çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yapılan başvurunun veri sorumlusu tarafından kabul edilmesi
- Veri sorumlusu tarafından ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kişisel Verilerin Korunması Kanunu kapsamında öngörülen süre içinde cevap vermemesi hâllerinde, Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygun bulunması
- Kişisel verilerin saklanmasını gerektiren azami sürenin dolmuş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
Saklama Süreleri ile İlgili Yaptırımlar
Veri sorumluları, Kişisel Verilerin Korunması Kanunu uyarınca Veri Sorumluları Siciline kayıt ve bildirim yükümlülüklerini yerine getirmediği takdirde, 2024 yılı itibarıyla 189.245 Türk lirasından 9.463.213 Türk lirasına kadar idari para cezasına çarptırılabilmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüklerinin bir parçası olarak, Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinin 3’üncü fıkrası uyarınca, veri sorumluları kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirtmekle yükümlüdür. Dolayısıyla, Veri Sorumluları Siciline kayıt esnasında saklama süreleri ile ilgili bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında idari para cezası verilecektir.
5237 sayılı Türk Ceza Kanunu’nun 138’inci maddesinde verileri yok etmeme suçu düzenlenmiştir. Buna göre, ilgili kanunlarda belirlenen sürelerin geçmiş olmasına karşın, verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilmektedir. Ayrıca, verileri yok etmeme suçunun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek cezanın bir kat artırılacağı belirtilmiştir.
Yukarıda belirtilen hükme göre, saklama süreleri sona ermiş olmasına rağmen kişisel verileri saklamaya devam eden veri sorumluları, 5237 sayılı Türk Ceza Kanunu kapsamında düzenlenen verileri yok etmeme suçunu işlemekte ve bu fiillerinin sonucu olarak haklarında bir yıldan iki yıla kadar hapis cezası verilebilmektedir. İşlenen kişisel verilerin, Ceza Muhakemesi Kanunu hükümleri uyarınca ortadan kaldırılması veya yok edilmesi gerekiyorsa ve veri sorumluları tarafından bu yükümlülük yerine getirilmediyse, veri sorumlusu hakkında verilen ceza bir kat arttırılacaktır. Ayrıca, 5237 sayılı Türk Ceza Kanunu 140’ıncı maddesi uyarınca, kişisel verileri saklama sürelerine riayet etmeyen veri sorumlusunun tüzel kişi olması durumunda, tüzel kişilere özgü güvenlik tedbirlerine hükmolunacaktır.
Kişisel Verileri Saklama ve İmha Politikaları
Veri sorumluları tarafından işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasları belirlemek üzere Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik hazırlanmış ve ilgili yönetmelik 1 Ocak 2018 tarihinde yürürlüğe girmiştir.
Kişisel Verilerin imhası; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik kapsamında, “kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” olarak ifade edilmiştir. Ayrıca, Yönetmelik kapsamında kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesi tanımlanmıştır. Buna göre:
- Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir.
- Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir.
- Kişisel verilerin anonim hâle getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Veri Sorumluları Siciline kaydolmakla yükümlü veri sorumluları, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Bununla birlikte, kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, kişisel verileri saklama, silme, yok etme veya anonim hâle getirme yükümlülükleri devam etmektedir. Yönetmelik kapsamında, kişisel veri saklama ve imha politikası kapsamında asgari olarak yer alması gereken bilgiler düzenlenmiştir. Buna göre, kişisel veri saklama ve imha politikası kapsamında asgari olarak yer alması gereken bilgiler şunlardır:
- Kişisel veri saklama ve imha politikasının hazırlanma amacı
- Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları
- Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları
- Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar
- Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler
- Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler
- Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları
- Saklama ve imha sürelerini gösteren tablo
- Periyodik imha süreleri
- Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişiklikler
Veri saklama ve imha politikası hazırlamış olan veri sorumluları, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmek, yok etmek veya anonim hâle getirmekle yükümlüdür. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her hâlde altı ayı geçemez, imha süreci takvime bağlanmalıdır. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumluları ise kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri silecek, yok edecek veya anonim hâle getirecektir.
İlgili kişinin veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, veri sorumlusu ilgili kişisel verileri silmek, yok etmek veya anonim hâle getirmekle yükümlü olacak ve ilgili kişinin talebini en geç otuz gün içinde sonuçlandırarak ilgili kişiye bilgi verecektir. Şayet silinmesi veya yok edilmesi talep edilen kişisel veriler üçüncü kişilere aktarılmışsa, veri sorumlusu bu durumu üçüncü kişiye bildirecek ve üçüncü kişi tarafından silme, yok etme veya anonim hâle getirme işlemlerinin gerçekleştirilmesini sağlayacaktır. Bununla birlikte, kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, veri sorumlusu, kişisel verilerin silinmesini veya yok edilmesine dair talebi gerekçesi açıklayarak reddetme hakkına sahip olacaktır. Ret cevabı veri sorumlusu tarafından ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilmelidir.