A V U K A T L A R
A T T O R N E Y S A T L A W
Kişisel Verileri Koruma Kanunu’nun 5'inci ve 6'ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun'un 4'üncü maddesindeki genel ilkeler ile 12'nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğinin 5. maddesi uyarınca Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla da yükümlü tutulmuştur.
Aynı Yönetmelik’in 6. maddesi uyarınca Kişisel veri saklama ve imha politikası asgari olarak;
ilişkin bilgileri içermelidir.
Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.
Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel Verileri Saklama ve İmha Politikasının hazırlanması ve uygulanması, KVKK uyum sürecinin önemli bir parçasıdır. Veri sorumlusunun işletmesinin dinamiklerine uygun bir sürecin geliştirilmesi, KVKK uyarınca yerleştirilecek uygulamanın işletmenin organik bir parçası haline gelebilecek şekilde planlanması, gerçekli ve uygulanabilir önemlidir. Bu nedenlerle süreç boyunca konu hakkında uzman bir avukattan destek alınması tavsiye edilmektedir.