Kisisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Kurum:Kisisel Verileri Koruma Kurumu | Kabul Tarihi: 28.10.2017 | RGT: 28.10.2017 | RG NO: 30224

BIRINCI BÖLÜM:

Amaç, Kapsam, Dayanak ve Tanımlar
Amaç

MADDE 1 - (1) Bu Yönetmeligin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla islenen kisisel verilerin silinmesi,yok edilmesi veya anonim hale getirilmesine iliskin usul ve esasları belirlemektir.

Kapsam

MADDE 2 - (1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kisisel Verilerin Korunması
Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır.

Dayanak

MADDE 3 - (1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 ncimaddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıstır.

Tanımlar

MADDE 4 - (1) Bu Yönetmeligin uygulanmasında;

a) Alıcı grubu: Veri sorumlusu tarafından kisisel verilerin aktarıldıgı gerçek veya tüzel kisi
kategorisini,
b) Ilgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan
kisi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldıgı yetki ve talimat dogrultusunda kisisel verileri isleyen kisileri,
c) Imha: Kisisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kisisel Verilerin Korunması Kanununu,
d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla islenen kisisel verilerin bulundugu her türlü ortamı,
(DEGISIK BENT RGT: 28.04.2019 RG NO: 30758) (KOD 1)
e) Kisisel veri isleme envanteri: Veri sorumlularının is süreçlerine baglı olarak gerçeklestirmekte oldukları kisisel veri isleme faaliyetlerini; kisisel veri isleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kisi grubuyla iliskilendirerek olusturdukları ve kisisel verilerin islendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kisisel verileri ve veri güvenligine iliskin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
f) Kisisel veri saklama ve imha politikası: Veri sorumlularının, kisisel verilerin islendikleri amaç için gerekli olan azami süreyi belirleme islemi ile silme, yok etme ve anonim hale getirme islemi için dayanak yaptıkları politikayı,
g) Kurul: Kisisel Verileri Koruma Kurulunu,
ğ) Periyodik imha: Kanunda yer alan kisisel verilerin islenme sartlarının tamamının ortadan kalkması durumunda kisisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçeklestirilecek silme, yok etme veya anonim hale getirme islemini,
h) Sicil: Kisisel Verileri Koruma Kurumu Baskanlıgı tarafından tutulan veri sorumluları sicilini,
ı) Veri kayıt sistemi: Kisisel verilerin belirli kriterlere göre yapılandırılarak islendigi kayıt sistemini,
i) Veri sorumlusu: Kisisel verilerin isleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kisiyi, ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.

IKINCI BÖLÜM:

Kisisel Veri Saklama ve Imha Politikası

Kisisel veri saklama ve imha politikasına iliskin esaslar

MADDE 5 - (1) Kanunun 16 ncı maddesi geregince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kisisel veri isleme envanterine uygun olarak kisisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kisisel veri saklama ve imha politikası hazırlanmıs olması; kisisel verilerin Kanuna ve
Yönetmelige uygun biçimde saklandıgı, silindigi, yok edildigi veya anonim hale getirildigi anlamına gelmez.
(3) Kisisel veri saklama ve imha politikası hazırlama yükümlülügü altında bulunmayan veri
sorumlularının, Kanun ve bu Yönetmelik uyarınca kisisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

Kisisel veri saklama ve imha politikasının kapsamı

MADDE 6 - (1) Kisisel veri saklama ve imha politikası asgari olarak;
a) Kisisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kisisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kisisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin
Sinerji Mevzuat ve Içtihat Programı Sayfa 2 / 5
tanımlarına,
ç) Kisisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diger sebeplere iliskin
açıklamaya,
d) Kisisel verilerin güvenli bir sekilde saklanması ile hukuka aykırı olarak islenmesi ve erisilmesinin
önlenmesi için alınmıs teknik ve idari tedbirlere,
e) Kisisel verilerin hukuka uygun olarak imha edilmesi için alınmıs teknik ve idari tedbirlere,
f) Kisisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
g) Periyodik imha sürelerine,
h) Mevcut kisisel veri saklama ve imha politikasında güncelleme yapılmıs ise söz konusu degisiklige, iliskin bilgileri kapsar.

ÜÇÜNCÜ BÖLÜM:

Kisisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Ilkeler

MADDE 7 - (1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kisisel verilerin islenme sartlarının tamamının ortadan kalkması halinde, kisisel verilerin veri sorumlusu tarafından resen veya ilgili kisinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kisisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü
maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari
tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kisisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

(3) Kisisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün islemler kayıt altına alınır ve söz konusu kayıtlar, diger hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

(DEGISIK FIKRA RGT: 28.04.2019 RG NO: 30758) (KOD 1)
(4) Veri sorumlusu, kisisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi islemiyle ilgili uyguladıgı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kisisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. Ilgili kisinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

Kisisel verilerin silinmesi

MADDE 8 - (1)Kisisel verilerin silinmesi, kisisel verilerin ilgili kullanıcılar için hiçbir sekilde erisilemez ve tekrar kullanılamaz hale getirilmesi islemidir.
(2) Veri sorumlusu, silinen kisisel verilerin ilgili kullanıcılar için erisilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kisisel verilerin yok edilmesi

MADDE 9 - (1) Kisisel verilerin yok edilmesi, kisisel verilerin hiç kimse tarafından hiçbir sekilde erisilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi islemidir.

(2) Veri sorumlusu, kisisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kisisel verilerin anonim hale getirilmesi

MADDE 10 - (1) Kisisel verilerin anonim hale getirilmesi, kisisel verilerin baska verilerle eslestirilse dahi hiçbir surette kimligi belirli veya belirlenebilir bir gerçek kisiyle iliskilendirilemeyecek hale getirilmesidir.

(2) Kisisel verilerin anonim hale getirilmis olması için; kisisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin baska verilerle eslestirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimligi belirli veya belirlenebilir bir gerçek kisiyle iliskilendirilemez hale getirilmesi gerekir.

(3) Veri sorumlusu, kisisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kisisel verileri resen silme, yok etme veya anonim hale getirme süreleri

MADDE 11 - (1) Kisisel veri saklama ve imha politikası hazırlamıs olan veri sorumlusu, kisisel verileri silme, yok etme veya anonim hale getirme yükümlülügünün ortaya çıktıgı tarihi takip eden ilk periyodik imha isleminde, kisisel verileri siler, yok eder veya anonim hale getirir.
(2) Periyodik imhanın gerçeklestirilecegi zaman aralıgı, veri sorumlusu tarafından kisisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
(3) Kisisel veri saklama ve imha politikası hazırlama yükümlülügü olmayan veri sorumlusu, kisisel verileri silme, yok etme veya anonim hale getirme yükümlülügünün ortaya çıktıgı tarihi takip eden üç ay içinde, kisisel verileri siler, yok eder veya anonim hale getirir.
(4) Kurul, telafisi güç veya imkansız zararların dogması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.

Kisisel verileri ilgili kisinin talep etmesi durumunda silme ve yok etme süreleri

MADDE 12 - (1) Ilgili kisi, Kanunun (DEGISIK IBARE RGT: 28.04.2019 RG NO: 30758) (KOD 1) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna basvurarak kendisine ait kisisel verilerin silinmesini veya yok edilmesini talep ettiginde;

a) Kisisel verileri isleme sartlarının tamamı ortadan kalkmıssa; veri sorumlusu talebe konu kisisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kisinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kisiye bilgi verir.

b) Kisisel verileri isleme sartlarının tamamı ortadan kalkmıs ve talebe konu olan kisisel veriler üçüncü kisilere aktarılmıssa veri sorumlusu bu durumu üçüncü kisiye bildirir; üçüncü kisi nezdinde bu Yönetmelik kapsamında gerekli islemlerin yapılmasını temin eder.

c) Kisisel verileri isleme sartlarının tamamı ortadan kalkmamıssa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kisiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

DÖRDÜNCÜ BÖLÜM:

Çesitli ve Son Hükümler

Tereddütlerin giderilmesi

MADDE 13 - (1) Bu Yönetmeligin uygulanması sırasında dogacak tereddütleri ve uygulamaya iliskin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birligini saglayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

Yürürlük

MADDE 14 - (1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüge girer.

Yürütme

MADDE 15 - (1) Bu Yönetmelik hükümlerini Baskan yürütür.