Kişisel verilerin saklanması ve imhası

Alışveriş yaparken, internette gezinirken, uygulama indirirken hep kişisel verilerimizi karşı tarafa isteyerek ya da istemeyerek veriyoruz. Verdiğimiz veriler işlenerek ya reklam ya da dolandırıcılık yöntemi olarak karşımıza çıkartılıyor. Bu nedenle de kişisel verilerin saklanması ve imhası kişisel güvenlik açısından büyük önem taşıyor. Av. Öykü Ergün KVKK ile ilgili yasa ve yönetmelikleri 12punto için yazdı.

Ergün'ün yazısı şu şekilde:

Kişisel verilerin saklanması ve imhasına ilişkin kaynak öncelikle 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), daha sonra 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve Kişisel Verileri Koruma Kurumu’nca (“Kurum”) hazırlanmış Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’dir (“Rehber”). Sayılı mevzuat doğrultusunda işçinin kişisel verisinin ne şekilde saklanacağı ve imhası gerektiğinde ne şekilde imha edilecekleri saptanabilecektir. 

Kişisel verilerin imhasının nasıl ve ne şekilde gerçekleşeceği konusunun detaylarının belirlenmesi ve usulen yeknesaklık sağlamak amacıyla 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayınlanmıştır.

Yönetmelik’in 4. maddesi kişisel verilerin imhasını açıklarken verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ifadelerini kullanmıştır.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. Silme işleminin nasıl gerçekleştirileceği konusu Yönetmelik'te düzenlenmemiştir. Yalnızca, veri sorumlusunun silme işlemi için gerekli teknik ve idari tedbirleri alması gerektiği ifade edilmiştir. Bu nedenle işveren, verileri saklandığı usule uygun olarak seçtiği silme yöntemini kullanarak silinmelerini sağlayabilir. Rehberde belirtildiği gibi, eğer veriler bulut sistemine kaydedilmişse silme komutu verilmeli, kâğıt ortamında bulunuyorsa ise karartma işlemi uygulanarak silinmelidir. 

Kişisel verilerin yok edilmesi içinse verilerin bulunduğu evrak ya da donanımın fiziken imhası gerekir.  

Kişisel verilerin anonim hale getirilmesi ise diğer iki kavramdan biraz daha farklıdır. Yönetmelik’te kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi şeklinde tanımlanmıştır. Rehber’e göre anonimleştirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkarılması veya değiştirilmesi yoluyla, ilgili kişinin kimliğinin belirlenmesini engelleyerek veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetme sürecidir. Yani anonim veriler, kişiyle ilişiği tamamen kesilmiş verilerdir. TÜİK tarafından her yıl yayımlanan istatistik bilgileri buna örnek gösterilebileceği gibi kamuoyunda seçim anketi olarak bilinen ve halkın siyasi tercihlerini yansıtan çalışmalara dair sonuçlar da anonim veri niteliğindedir.

Aşağıda verilen KVKK m. 7 kişisel verilerin imhasına ilişkin genel bir hüküm olsa da özellikle imha süreleri için farklı kanunlarda farklı düzenlemeler mevcuttur.

“Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi”

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.”

Örneğin; İşveren, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m. 7/1 uyarınca “İşten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklar”, Kanserojen veya Mutajen Maddelerle Çalışmalarda Sağlık ve Güvenlik Önlemleri Hakkında Yönetmelik m. 17 uyarınca, sağlık ve güvenlik yönünden riskli olan işlerde çalışan işçilerin güncellenmiş listesi ve bunların maruziyet durumlarını belirten kayıtlar ile sağlık gözetimi kayıtları "maruziyetin sona ermesinden sonra en az 40 yıl süre ile saklanır”.

Yine bu hususta, daha genel nitelikli olması amacıyla, işçinin özlük dosyalarının saklanmasına ilişkin; Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 86. maddesinin 2. fıkrası “İşveren, işyeri sahipleri; işyeri defter, kayıt ve belgelerini ilgili olduğu yılı takip eden yıl başından başlamak üzere on yıl süreyle, kamu idareleri otuz yıl süreyle, tasfiye ve iflâs idaresi memurları ise görevleri süresince, saklamak ve Kurumun denetim ve kontrol ile görevlendirilen memurlarınca istenilmesi halinde onbeş gün içinde ibraz etmek zorundadır.” hükmünü haizdir. İşveren bu hükme aykırı davrandığı takdirde hakkında idari para cezası uygulanır.  

İş Kanunu (“İK”) çerçevesinde işçinin kişisel verilerinin hangi süre zarfında saklanacağı hususunda ise ölçüt olarak zamanaşımı süreleri kullanılabilir. Özellikle iş ilişkisinin sona ermesinin ardından işçi ve işveren arasında doğabilecek ve İK ek m. 3’te sayılı alacaklara dayanan uyuşmazlıklarda zamanaşımı süresinin 5 yıl olduğu göz önünde bulundurulursa işçinin verilerinin de bu süre zarfında saklanması uygun olacaktır. İK ek m. 3’te sayılı olmayan alacaklar içinse genel zamanaşımı süresi olan 10 yıl uygulanır.

İşçinin verilerinin saklanması hususunda bahsedilmesi gereken başka bir sorun işe alım süreci olumlu sonuçlanmadıysa toplanan verilere ne olacağıdır. Burada amaca uygunluktan söz etmek gerekir. Eğer iş başvurusu yapan kişinin verilerinin iş başvurusu olumsuz sonuçlandıktan sonra saklanması için kanuna dayalı bir amaç yoksa, verilerin derhal silinmesi gerekir. Fakat burada bu verilerin saklanmasını gerektiren birtakım sebepler olabilir. Örneğin; iş başvurusu yapan kişi, ayrımcılığa uğradığını düşünüyor ve bu nedenle kanuni haklarını kullanmak istiyorsa verilerin saklanması zaruri olacaktır. Bu durumda verilerin kanuni başvuru sürelerinin zamanaşımları gözetilerek saklanması için izin verilecektir.

İşe başvuru sürecinin olumlu sonuçlanması halinde ise, işçinin hangi verilerinin işin yapılması esnasında saklanması gerektiği tartışılacaktır. İşe başvuru süresince işlenen verilerden bazılarının iş esnasında işlenmesi için bir sebep kalmamış olabilir, bu durumda verilerin imhası gerekecektir.

Kişisel verilerin, hukuka uygun olarak işlendikleri halde, işlenmesini gerektiren sebepler ortadan kalktığı durumlarda imhaları gerekir. Bu re’sen olabildiği gibi verileri işlenen şahsın isteği doğrultusunda da gerçekleşebilir. İşlenmesini gerektiren durumun ortadan kalkmasıyla birlikte veri sorumlusunun üzerinde bu verilerin imhası sorumluluğu doğar. Kişisel verilerin sahibi, veri sorumlusunun ihmali durumunda, verilerinin imhasını talep edebilir.

Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 16 ve 17. maddelerinde düzenlenen düzeltme hakkının ve silinme hakkı bir diğer adıyla unutulma hakkının bir benzeri de KVKK’nın 11/e ve 7. maddelerinde düzenlenmiştir. Buna göre; verileri işlenmesini gerektiren nedenlerin ortadan kalkması durumunda veri sorumlusu kişisel verileri re’sen veya ilgili kişinin talebi üzerine siler.

Yönetmelik md. 5’e göre, KVKK’nın 16. maddesi gereğince Veri Sorumluları Sicili’ne kaydolmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Kimlerin Veri Sorumluları Sicili’ne kaydolmakla yükümlü olacağı ise KVKK md. 16/2’de düzenlemiştir. 

“Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.”

Yönetmelik’in 6. maddesi politikaların kapsamının ne olacağını düzenlemiştir. Bu maddeye göre politikalarda bulunması gereken öğeler şu şekilde sıralanabilir; politikanın hazırlanma amacı, politika ile düzenlenen kayıt ortamları, politikada yer verilen hukuki ve teknik terimlerin tanımları, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ve diğer sebeplerin açıklaması, kişisel verilerin güvenli şekilde saklanması ve hukuka aykırı olarak işlenmesi ile erişilmesinin engellenmesi için alınan tedbirler, kişisel verilerin hukuka uygun şekilde imha edilmesi için alınan tedbirler, kişisel verilerin saklama ve imha aşamalarında yer alanların unvan, birim ve görev tanımları, kişisel verilerin saklama ve imha sürelerini gösterir tablo, kişisel verilerin periyodik imha süreleri, mevcut politikada güncelleme yapıldıysa değişikliğe ilişkin bilgi. Belirtmek gerekir ki, işverenin politikayı usulüne uygun hazırlamış olması, kişisel verileri kanuna uygun şekilde imha ettiği anlamını taşımaz.

İmha işlemi için belirlenen sürelere değinmek gerekirse, Kişisel Veri Saklama ve İmha Politikası hazırlamakla yükümlü işveren, kişisel verileri silme, yok etme ya da anonim hale getirme sorumluluğu ortaya çıktığı tarihi takiben ilk periyodik imha işleminde bu verileri imha edecek olup yine politikada belirtilen periyodik imha zaman aralığı, altı ayı geçemez.

Kişisel Veri Saklama ve İmha Politikası düzenlemek zorunda olmayan işverenler ise, bu verilerin imhasının gerektiği andan itibaren üç ay içinde kişisel verileri re’sen imha etmek zorundadır. Söz konusu süreler, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık söz konusu olması halinde Kişisel Verileri Koruma Kurulu’nca kısaltılabilir. 

Kişinin istemi üzerine verilerin imhası sürelerinde ise, Yönetmelik’in 12. maddesi gereğince ilgili, yani iş başvurusu reddedilen yahut iş sözleşmesi sona eren kişi, işverene başvurur ve verilerinin imhasını talep ederse, işveren bu başvuruyu en geç 30 gün içerisinde sonuçlandırmak ve işçiye bilgi vermek zorundadır. Kişisel verileri işleme şartları ortadan kalkmadıysa işveren işçinin talebini gerekçesini bildirmek şartıyla reddedebilecektir. Ret cevabı işçiye en geç otuz gün içinde yazılı ya da elektronik ortamda bildirilir. Konuyla ilgili aşağıda verilen Kişisel Verileri Koruma Kurulu’nun kararını incelemekte fayda vardır. 

“…İlgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyadı ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı bağlamda yapılan ikinci başvurusu sonucunda yapılan değerlendirmede, söz konusu verilerin veri sorumlusunun imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alındığının bildirilmesi dolayısıyla ilgili kişinin talebine karşın kişisel verilerinin Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 inci maddesi gereğince 30 gün içerisinde silinmemiş olmasının ve Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın ilgili kişinin kişisel verilerinin işlenmeye devam edilmesinin veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına…”( 06.07.2021 Tarih ve 2021/670 Sayılı Karar)

Karara konu olayda, iş başvurusu olumsuz sonuçlanan bir aday kişisel verilerinin silinmesi için işverene başvuruda bulunmuş, fakat işveren verileri hemen değil, ilk periyodik imha zamanında sileceği cevabını vermiştir. Bunun üzerine ise Kişisel Verileri Koruma Kurumu, veri sorumlusu hakkında idare para cezası uygulanması gerektiğine karar vermiştir.

Avukat Öykü Ergün

Haber Kaynağı : 12punto