KVKK - Verileri silme,yok etme,anonimleştirme

Silme, Yok Etme, Anonimleştirme

Yükümlülük m.7/1«İşleme sebebi ortadan kalktıktan sonra»Kanuna uygun şekilde işlenen veri, işleme sebebi ortadan kalktıktan sonra re’sen ya da ilgili kişinin talebi üzerine anonimleştirilir, silinir veya yok edilir.Diğer Hükümler m.7/2«İlgili Mevzuat Hükümleri Saklıdır»Mali mevzuat ve sektörel düzenlemler verilerin saklanmasını emrettiği durumlarda böyle bir yükümlülük bulunmamaktadır. Yönetmelikler m.7/3Anonimleştirme hukuki bir konu olmaktan çok teknik bir konudur. Bu konudaki usul ve esaslar Kurul tarafından düzenlenecektir.

Anonim Hale Getirme Nedir? Kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Yönetmelik

Kişisel Veri Saklama ve İmha Politikası Hazırlama Yükümlülüğü

Ortak Hükümler:

Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları kapsam dahilindedir.

-Kayıt altına alınır, kayıtlar en az 3 yıl süreyle saklanır.

Politikanın hazırlanmış olmasının kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.

-Uygulanan yöntemlerle ilgili politika prosedürlerde açıklanır.

Kişisel veri işleme envanterine uygun olmalıdır.

Yönetmelik m.6’daki asgari şartları taşıması gerekmektedir.

-İlgili kişinin talebi halinde uygun yöntem, gerekçesi açıklanarak seçilir.

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlularının kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

-Kurul tarafından aksine bir karar alınmadıkça, kişisel veriler resen silme, yok etme, anonim hale getirme yöntemlerinden uygun olan seçilir.

Yönetmelik Uyarınca Silme - Yok Etme – Anonimleştirme:

Silme:

Yok Etme:

Anonimleştirme:

-Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

-Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

-Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

-Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

-Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

-Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Süreler: Re’sen → Yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde → Bu süre her halde altı ayı geçemez. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu için bu süre üç aydır. Kurul tarafından bu süreler kısaltılabilir. Talep ile → Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa: en geç otuz gün içinde → Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa: reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel Verileri Silme Yöntemleri :

Veri Tabanı: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmesi gerekir

Merkezi Sunucuda Yer Alan Şirket Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir.

Bulut Çözümleri (Office 365, Dropbox vb.) Bulut sisteminde veriler silme komutu verilerek silinmelidir.

Taşınabilir Medya: Flash tabanlı saklama ortamlarında, bilginin bir kez silinmesi yeterli değildir. Bilgiler, baştan şifreli şekilde saklanmalı veya USB/Flash tabanlı saklama ortamlarında bilgilerin silinmesi için hazırlanan yazılımlar kullanılarak silinmelidir.

Fiziksel (Kağıt) Ortam: Kişisel verilerin karartılarak silinir. Karartma işlemleri, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilerek imha edilmesi, mümkün olmayan durumlarda da geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak kişisel verilerin görünemez hale getirilmesi şeklinde yapılır.