Günümüzde firmalar; müşterileri, tedarikçileri, iş ortaklarına ve diğer ilgili kişilere ait kişisel verileri farklı yollarla toplamakta ve bu verileri işlemektedir. Bununla birlikte, firmalar tarafından, örneğin internet sitesi ve müşteri hizmetleri aracılığıyla toplanan bazı veriler, üzerinde herhangi bir işlem yapılmaksızın silinmekte ve bu kişisel verilerin işlenmediği düşünülebilmektedir. Bu yazımızda, kişisel verilerin silinmesinin bir veri işleme faaliyeti olduğundan ve kişisel verilerin silinmesi ile ilgili hukuki düzenlemelerden bahsedeceğiz.
Kişisel Verilerin Korunması Kanunu kapsamında, kişisel verilerin işlenmesi “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır. Buna göre, kişisel veriler üzerinde gerçekleştirilen her türlü işlem ve dolayısıyla verilerin silinmesi işlemi, veri işleme olarak değerlendirilmektedir.
Veri sorumluları, Kişisel Verilerin Korunması Kanunu uyarınca, işledikleri kişisel verileri, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hâle getirmekle yükümlüdür. Kanun kapsamında silme, yok etme ve anonim hâle getirme ile ilgili usul ve esaslara yer verilmemiş ve bu hususların yönetmelikle düzenleneceği belirtilmiştir.
Kişisel Verileri Koruma Kurumu tarafından 1 Ocak 2018 tarihinden itibaren yürürlüğe girmek üzere “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik” hazırlanmıştır. Yönetmelik kapsamında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemi olarak tanımlanmış ve silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirin veri sorumlusu tarafından alınması gerektiği ifade edilmiştir.
Kişisel verilerin silinmesi işlemine ek olarak, Yönetmelik kapsamında, kişisel verilerin yok edilmesi tanımlanmıştır. Buna göre, kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir. Veri sorumluları, silinme işleminde olduğu gibi, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin silinmesi ve yok edilmesi arasındaki en büyük fark, silinme işleminde kişisel veriler ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz hâle getirilirken, yok etme işleminden sonra hiç kimse kişisel verilere erişememekte, kişisel verileri geri getirememekte veya tekrardan kullanamamaktadır.
Yönetmelik uyarınca, kişisel verilerin silinmesi veya yok edilmesi işlemi esnasında Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddesinde sayılan genel ilkelere, 12’nci maddesi kapsamında alınması gereken veri güvenliğine ilişkin idari ve teknik tedbirlere, kişisel verilerin korunması ile ilgili mevzuat hükümlerine, Kişisel Verilerin Korunması Kurulu tarafından verilen kararlara ve kişisel veri saklama ile imha politikalarına uygun olarak hareket edilmesi gerekmektedir.
Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik kapsamında yer alan ve yukarıda belirtilen tanımlar ve hükümler uyarınca, veri sorumluları, kişisel verilerin elde edilmesi, muhafaza edilmesi, değiştirilmesi gibi veri işleme faaliyetlerinde olduğu gibi, kişisel verilerin silinmesi veya yok edilmesi için de belirli ilkelere uymak, gerekli idari ve teknik tedbirleri almak ve mevzuat kapsamında yer alan yükümlülükleri yeri getirmek zorundadır.
Veri sorumlusu olan firmalar elde ettikleri kişisel verileri herhangi bir işleme tabi tutmaksızın silseler veya yok etseler dâhi hem veri toplama hem de verilerin silinmesi veya yok edilmesi, kişisel verilerin işlenmesi faaliyetidir. Dolayısıyla, verileri silerek veri işleme faaliyetinde bulunmadığını düşünen firmalar, genel ilkeler ve veri güvenliğine ilişkin yükümlülükler dâhil olmak üzere, verilerin silinmesi ve yok edilmesi esnasında kişisel verilerin erişilemez, geri getirilemez veya tekrar kullanılamaz olması için ilgili gerekli idari ve teknik tedbirleri almakla yükümlüdür. Ayrıca, veri sorumluları kişisel verilerin silinmesi ve yok edilmesi işlemleri için veri imha politikası hazırlamak zorundadır. Toplanan kişisel verilerin hiçbir işleme tabi tutulmaksızın silinmesi veya yok edilmesi, firmaların kişisel verilerin korunması ile ilgili yükümlülüklerini ortadan kaldırmamakta, aksine silme ve yok etme ile ilgili olarak firmalara ek yükümlülükler getirmektedir.
