Kişisel Verilerin Güvenliği Kanunu – Bölüm 2

Kişisel Verilerin Silinmesi, Yokedilmesi, Anonim Hale Getirilmesi

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Aslına bakarsanız, Yasanın en önemli maddesi burası diyebilirim. İlgili yönetmelik de dikkate alınarak işletmenizin politikalarına göre değerlendirilmelidir. Teknik kısımlarından bahsetmeye geçersek;

Kişisel verinin sahibi, kişisel verisinin yok edilmesini talep edebilir. Ancak sahip olunan verinin niteliğine göre, diğer yasalara tabi olup olmaması öncelikle dikkate alınmalıdır. Örneğin, işten çıkan bir personel özlük dosyasını isteyebilir ancak İş Kanunu, Borçlar Kanunu, vb yasaların saklama hükümleri gereği nelerin yok edilebileceği, nelerin anonimleştirileceği yazı ile veri sahibine iletilir) Bu işlemin bir prosedürü ya da şekil şartı yok. Veri Sahibi, işletme yönetimine veyahut ilgili departmana ilgili talebini dilekçe şeklinde iletir, dilekçenin ilgilisi, talebi aldıktan itibaren en fazla 30gün içerisinde cevaplamak zorundadır. Cevabın da yine şekil şartı yoktur, ancak yasa gereği toplanan verilerin, nerelerde ne amaçla kullanıldığı ifade edilmelidir.

Kişisel verilerin yok edilmesiyle alakalı bazı teknikler uygulanabilir ve hatta dışarıdan destek de alınabilir. İzah etmek gerekirse:

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken ya da yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken ya da yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

İşletmeniz bazı durumlarda sizin adınıza kişisel verileri silmesi için bir uzman ile anlaşabilir yani Outsource hizmet alabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir. Ancak işletmeyle aranızda hizmet sözleşmenize ilave olarak Gizlilik Sözleşmesi imzalamanızı ve şiddetle tavsiye ederim.

Bunun yanında Kişisel verilerin anonimleştirilmesi ile alakalı bazı teknikler uygulanabilir ancak anonimleştirmeyi tekrar izah etmekte fayda var. Kişisel verilerin Anonimleştirilmesi; kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette verinin sahibinin kimliğini belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. İşletmeniz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilme hakkına sahiptir. Bu sebeple başvurulan en çok kullanılan usuller:

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. (Örneğin, TCKimlik ya da isim vb. bilgilerin kayıtlardan çıkartılması ya da tanımlanamayacak şekilde *** revize dilebilir)

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. (Örneğin, Müşterilerin yaşlarının tek tek gösterilmeksizin, A-B yaş aralığındaki müşterilerin belirlenmesi gibi)

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. (Örneğin, açık ikametgah yerine il/ilçe filtreleme gibi)

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır (Örneğin, Ses kayıtlarının değiştirilmesi, Kimliklerdeki Fotoğrafların silinmesi gibi)

Kişisel Verilerin Aktarılması

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması halinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Burada dikkat edilecek konu, Kişisel verilerin yedeklenmesi, bir CLOUD sistemine aktarılması ve Mirror Backup dediğimiz yapılan işlemlerin yansımalarının yedeklenmesi gibi güvenlik sebebiyle olası veri kayıplarının giderilmesinde yabancı ülkelerdeki Server’ların kullanılması durumunda, Backup alınan yani Cloud sistemindeki şirket ile aranızda bir sözleşme yapmanız gerekiyor ve mümkünse yurtdışındaki teknoloji şirketinin de VERBİS’e kayıt olması menfaatinize olur. Şayet yurtdışındaki teknoloji şirketin Türkiye’de yerleşik bir şubesinin VERBİS kaydı yoksa VERBİS üzerinden taahhütnamede bulunarak kendi güvenlik envanterinizi ve güvenlik sisteminizi ekleyerek yurtdışına veri aktarımı yapabilirsiniz.