SON YAZILAR

3 Ocak 2018 Çarşamba

Kişisel Veriler Sürekli Saklanamaz

Alo Sgk | 15:57 | | | |


Kişisel Veriler Sürekli Saklanamaz

Cem KILIÇ
Milliyet Gazetesi

İşverenlerin işçilerin kişisel verileri hakkında eskisinden çok daha dikkatli davranmaları gerekiyor.
İşverenlerin kişisel verileri hukuka uygun olarak kullanmaları yeterli olmayıp herhangi bir kişisel verinin kullanım amacı ortadan kalktığında yok edilmesi gerekiyor.

Kişisel Verilerin Korunması Kanunu’nun 7. maddesi kişisel verilerin yok edilmesine veya anonimleştirilmesine ilişkin olarak, “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir..... Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükümlerini içeriyor. Bu maddede öngörülen yönetmelik, 28.10.2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Veri Sorumluları Sicili’ne kaydolanlar ne yapacak? 
Kanuna göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak zorundalar.
Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, kurul tarafından, Veri Sorumluları Sicili’ne kayıt zorunluluğuna istisna getirilebilir.
Yönetmeliğe göre Veri Sorumluları Sicili’ne kayıt zorunluluğu olan veri sorumlusu kişisel veri işleme envanteri ve kişisel veri saklama ve imha politikası hazırlamakla yükümlü. Kişisel veri envanteri, veri sorumlularının kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri detaylandırdıkları envanteri ifade ediyor.
Kişisel veri imha ve saklama politikası ise veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı belirliyor.
Politika kişisel verinin yok edilme sistemini belirleyecek
Politika hazırlanırken, politikada kişisel veri saklama ve imha politikasının hazırlanma amacına, düzenlenen kayıt ortamlarına, kişisel verilerin saklanmasını ve imhasını gerektiren sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak erişilmesinin önlenmesi için alınmış tedbirlere, imha edilmesi için alınmış tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine yer verilmelidir.
Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunmayan veri sorumluları veri saklama ve imha politikası hazırlamak zorunda olmasalar da kanun ve yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam ediyor. Bu nedenle bu kişilerin de en azından bir imha sistemi kurmaları yerinde olacaktır.
Silinemiyorsa anonim hale getirilmeli...
Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin işlenme şartlarının kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekiyor.
Yönetmelik kişisel verinin silinmesini, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak, kişisel verinin yok edilmesini kişisel verilerin hiç kimse tarafından...