6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında mevzuata uygun olarak işlenmiş verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde işbu verilerin resen veya ilgili kişinin talebi üzerine silineceği, yok edileceği veya anonim hale getirileceği belirtilmiş, buna ilişkin usul ve esasların ise yönetmelikle düzenleneceği ayrıca bildirilmiştir.
Buna istinaden beklenen Yönetmelik “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” başlığı adı altında 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmış, yürürlük tarihi olarak ise 01 Ocak 2018 tarihi belirlenmişti. Yönetmelik kapsamında ise veri sorumlularına aşağıdaki yükümlülükler yüklenmişti:
- Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamaları gerekmektedir, Veri Sorumluları Siciline kayıt olmakla yükümlü olmayan veri sorumlularının ise politikadan bağımsız olarak kişisel verileri imha etme (silme, yok etme, anonim hale getirme) yükümlülükleri devam etmektedir. İşbu politikanın içereceği asgari bilgiler Yönetmelik’in 6. Maddesinde sayılmak suretiyle belirlenmiştir.
- Yönetmelik’in düzenlediği ana edim olan kişisel verilerin imhası yükümlülüğü gereğince işbu kişisel verilerin işlenme şartlarının ortadan kalkması halinde veri sorumluları tarafından resen veya ilgili kişinin talebi üzerine bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Silme, yok etme ve anonim hale getirme işlerinin tanımları Yönetmelik’in 8, 9 ve 10. Maddelerinde açıklanmıştır. Kurul tarafından aksine karar alınmadıkça veri sorumlusu silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını resen seçecek ve ilgilinin talebi halinde gerekçesini açıklayacaktır. Öte yandan belirtmek gereklidir ki; kişisel verilerin imhasına ilişkin gerekli teknik ve idari her türlü tedbir veri sorumlusu tarafından alınacak, buna ilişkin uygulanan yöntemler veri sorumlusunun ilgili politika veya prosedürlerinde açıklanacak, bu hususta yapılan tüm işlemler kayıt altına alınacak ve bu kayıtlar en az üç yıl süreyle saklanacaktır.
Yönetmelik kapsamında düzenlenmiş diğer bir husus ise kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreleri olup anılan yönetmelik uyarınca bu süreler imhanın resen veya ilgili kişinin talebi üzerine yapılması hallerinde farklılık göstermekte idi. Şöyle ki;
- Kişisel verilerin resen imha edilmesi halinde; kişisel veri saklama ve imha politikası hazırlamış veri sorumluları için bu süre, imha yükümlülüğünün ortaya çıktığı tarihi izleyen ilk periyodik imha işlemine kadardır. Periyodik imhanın gerçekleştirileceği zaman aralığı ise veri sorumlusunun politikasında belirlenecek ancak her halde altı ayı geçemeyecektir. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumluları için ise, imha yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde imha işleminin gerçekleştirilmesi gerekmektedir. Ancak belirtmek gereklidir ki, her halükârda Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde bu süreleri kısaltabilir.
- Kişisel verilerin ilgili kişinin talebi üzerine imha edilmesi halinde; talebe konu kişisel verilerin işlenmesi şartları tamamen ortadan kalkmışsa veri sorumlusu en geç otuz gün içinde talebi sonuçlandıracak ve ilgili kişiye bilgi verecektir. Talebe konu kişisel verilerin işlenmesi şartları tamamen ortadan kalkmış ve bu kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu talebi üçüncü kişiye bildirecek ve gerekli işlemlerin üçüncü kişi nezdinde yapılmasını temin edecektir. Nihayet talebe konu kişisel verilerin işlenme şartları tamamen ortadan kalkmamışsa Kanun’un 13. Maddesinin 3. Fıkrası uyarınca veri sorumlusu ret gerekçesini açıklamakla birlikte ret cevabını en geç otuz gün içinde ilgili kişiye yazılı ya da elektronik ortamda bildirecektir.
Nihayet işbu Yönetmelik’in uygulanması sırasında doğacak tereddütler ve uygulamada yaşanacak aksaklıklarda Kurul’un bunları gidermeye, uygulamayı yönlendirmeye, ilke ve standartları belirlemeye, uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye ve bu Yönetmelik’te yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye yetkili olduğu ayrıca ve açıkça bildirilmişti.
Kurul da işbu açık yetkisine dayanarak; daha önce Kanun’un yürürlüğe girmesi akabinde hazırlamış olduğu uygulamaya ilişkin rehber ve soru cevap rehberi gibi; bu Yönetmelik’in akabinde de kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin rehber hazırlamış ve resmi internet sitesinde 24.11.2017 tarihinde yayımlamış ve kamuoyuna sunmuştur.
Bu rehber kapsamında; silme, yok etme ve anonim hale getirme süreçleri ayrı ayrı açıklanmış, bunlara ilişkin yöntemler kişisel verilerin bulunduğu kayıt ortamlarına göre ayrı ayrı olmak üzere örnekleme suretiyle gösterilmiş ve her bir örnek resimlendirilerek detaylandırılmıştır. Rehber kapsamında düzenlenmiş hususlara işbu yazımız kapsamında kısaca değinmeye çalışacağız. Buna göre;
Kişisel verilerin silinmesi bahsinde süreç;
Silme işlemine konu olacak kişisel verilerin belirlenmesi, işbu verilerin her birine ilişkin erişim yetkisi bulunan ilgili kullanıcıların tespit edilmesi, bu kullanıcıların erişim, geri getirme, tekrar kullanma gibi tüm yetki ve yöntemlerinin tespit edilmesi ve son olarak tüm bu yetki ve yöntemlerin kapatılması ve ortadan kaldırılması olarak belirlenmiştir. Silme yöntemi olarak işbu kişisel verilerin bulunduğu kayıt ortamlarına göre ayrımlara gidilerek bulut ortamında bulunan kişisel veriler için silme komutunun kullanılması, kağıt ortamında bulunan kişisel veriler için karartma yönteminin uygulanması, merkezi sunucuda yer alan ofis dosyalarındaki kişisel veriler için silme komutunun kullanılması ile dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması, taşınabilir medyada bulunan kişisel veriler için şifreli olarak saklanması ve uygun yazılımların kullanması, veri tabanlarında bulunan kişisel veriler için ise ilgili satırların veri tabanı komutlarının kullanılması gerektiği belirtilmiştir.
Kişisel verilerin yok edilmesi bahsinde süreç;
Yok etme işlemine konu olacak kişisel verilerin bulunduğu tüm kopyaların tespit edilmesi, bu kopyaların bulunduğu sistemlerin türüne göre verilerin tek tek yok edilmesi olarak belirlenmiştir. Şöyle ki; yerel sistemler üzerinde bulunan kişisel veriler için de-manyetize etme, fiziksel yok etme ve üzerine yazma yöntemlerinden birinin kullanılması, çevresel sistemler üzerinde bulunan kişisel veriler için ortam türüne bağlı olarak (ağ cihazları, flash tabanlı ortamlar, manyetik bant, manyetik disk vb., mobil telefonlar, optik diskler, veri kayıt ortamı çıkartılabilir olan veya sabit olan yazıcı-parmak izli kapı geçiş sistemi gibi çevre birimleri vs.) destekleniyorsa silme komutunun kullanılması, desteklenmiyorsa yerel sistemler üzerinde bulunan veriler için sayılmış yöntemlerden birinin yada üreticinin önerdiği yok etme yönteminin kullanılması, kağıt ve mikrofiş ortamlarında bulunan kişisel veriler için kağıt imha veya kırpma makinalarının kullanılması, bulut ortamında bulunan kişisel veriler için şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerektiği belirtilmiştir. Bunlara ek olarak ise; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel veriler için yerel sistemler üzerinde bulunan kişisel veriler için sayılmış yöntemlerden birinin kullanılması, bunun uygun olmadığı durumlarda veri saklama ortamının sökülerek saklanması ve arızalı diğer parçaların gönderilmesi ve gerekli diğer önlemlerin alınması önerilmiştir.
Kişisel verilerin anonim hale getirilmesi bahsinde süreç;
Anonim hale getirme işlemine konu olacak veri kümesindeki doğrudan ve/veya dolaylı tanımlayıcıların çıkartılması ya da değiştirilmesi olarak belirlenmiştir. Anonim hale getirme yöntemi olarak belirtilen örnekler gruplandırma yoluna gidilerek açıklanmıştır. Şöyle ki; ilk olarak kümedeki verilerin sahip olduğu değerlerde değişiklik uygulamadan kümede yer alan satır veya sütunların bütününde değişiklik yapılması şeklinde uygulanan yöntemler değer düzensizliği sağlamayan anonim hale getirme yöntemleri olarak tanımlanmıştır. Bu yöntemlerde verinin genelinde değişiklik yaşanırken alanlardaki değerler orijinal hallerini korurlar. Bunlara örnek olarak değişkenleri çıkartma, kayıtları çıkartma, bölgesel izleme, genelleştirme, alt ve üst sınır kodlama, global kodlama ve örnekleme yöntemleri sayılmıştır. İkincil olarak; mevcut değerlerin değiştirilerek veri kümesinin değerlerinin genelinde bozulma yaratılması şeklinde uygulanan yöntemler değer düzensizliği sağlayan anonim hale getirme yöntemleri olarak tanımlanmıştır. Bunlara örnek olarak mikro birleştirme, veri değiş tokuşu ve gürültü ekleme yöntemleri sayılmıştır. Son olarak; veri kümelerinde çeşitli istatiksel yöntemler kullanılarak küme içindeki kayıtların tekilliğini minimuma indirerek anonimliğin bozulması riskinin en aza indirilmesi şeklinde uygulanan yöntemler anonim hale getirmeyi kuvvetlendirici istatistiki yöntemler olarak tanımlanmıştır. Bunlara örnek olarak K-anonimlik, L-çeşitlilik ve T-yakınlık yöntemleri sayılmıştır. Anonim hale getirme yönteminin seçilmesi hususunda ise veri sorumlularının işbu verilerin niteliğine bakarak karar verecekleri belirtilmiştir. Nihayet, verinin geri döndürülmesine ilişkin riskler, veri sorumlusunun bu risklere ilişkin kontrol etmek sorumluluğunda olduğu hususlar ve anonimlik güvencesini temin etmek için yerine getirmesi gerekli olan şartlar sayılmış, bununla birlikte tersine işlemler tanımlanarak anonimliğin bozulmasına yönelik saldırılar saldırı motivasyonları, saldırı yapacak profil örnekleri, saldırının başarılı olması durumunda ortaya çıkacak riskler gibi uygulama örnekleri ile birlikte detaylı olarak açıklanmış, bu hususta gerekli önlemlerin alınması ve bunlara uygun işlemlerin tesis edilmesi gerektiği ayrıca belirtilmiştir.