Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı yayınlandı.

Geçtiğimiz yıl 7 Nisan 2016 tarihi itibarıyla yürürlüğe girmiş olan 6698 sayılı Kişisel Verilerin Korunmasına İlişkin Kanun ("KVKK") tahtında düzenlenmesi öngörülen yönetmeliklerden biri olan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Taslağı" ("Taslak Yönetmelik"), 29 Mayıs 2017 tarihinde özelikle sektör özelinde, meslek kuruluşlarının görüşlerin toplanılabilmesi adına Kişisel Verilerin Korunması Kurulunun ("Kurul") resmi sitesinde yayınlandı.

Kurul, on beş (15) madde olarak hazırlanmış olan ilgili Taslak Yönetmelik'in incelenmesi için 12 Haziran 2017 tarihine kadar kamuoyuna süre tanıdı.

Avrupa Birliği uygulamasına paralel olarak hazırlanmış Taslak Yönetmelik hükümleri Kurul Başkanı tarafından yürütülecektir.

İlgili Taslak Yönetmelik uyarınca yeni getirilecek olan düzenlemeler incelendiğinde göze çarpan hususlar aşağıdaki gibidir;

• Kişisel verilerin işleme şartlarını ortadan kaldıran haller Taslak Yönetmelik'in 5.maddesinde düzenlenmekte olup ilgili hallerin varlığı halinde kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi öngörülmüştür. İlgili düzenlemede veri sorumlusunun işbu yükümlülüğünü yerine getirmesi amacıyla tanınan süreden bahsedilmemiş olup g bendindeki "azami süre" ifadesinin kanuna göre mi yoksa Taslak Yönetmelik doğrultusunda hazırlanması öngörülen imha politikası ile mi belirleneceği netleştirilmemiştir.
• Taslak Yönetmelik, Avrupa Birliği uygulamasına paralel olarak veri saklama ve imha politikası hazırlanmasını "Kişisel veri saklama ve imha politikasının kapsamı" başlıklı 7.madde ile öngörmüştür. Ancak ilgili politikanın oluşturulma veya yayımlanma şekline ilişkin herhangi bir düzenleme mevcut değildir. Bu kapsamda bir format metin ise kamuoyuna sunulmamıştır.
• Veri sorumlusu, silinen kişisel verilerin erişilemez ve tekrar kullanılamaz olması adına gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü altındadır. 6698 sayılı Kanun ile benzer olarak Taslak Yönetmelik, teknik ve idari tedbirlerin kapsamını düzenlememekte ve bu tedbirlere dair bir tanımlama öngörmemektedir. Bu nedenle teknik ve idari tedbirler kapsamında NIST ve/veya ISO27001 gibi uluslararası standartların mı temel alınacağı hususu belirsizliğini korumaktadır.
• Buna ek olarak, verinin silinmesi ve/veya yok edilmesi yükümlülüğünün kapsamında yedek sistemlerin ve/veya veri kurtarma kapsamındaki alanların mevcut olup olmadığı sorusu varlığını sürdürmektedir. 
• 6698 sayılı Kanun'un yürürlüğe girmesinden itibaren belirsizliğini koruyan kişisel verileri silme, yok etme veya anonim hale getirme sürelerine ilişkin düzenleme Taslak Yönetmelik'in 11. ve 12.maddesinde kısmen düzenlenmiştir. Kişisel veri saklama ve imha politikası hazırlanması bakımından öngörülen otuz (30) günlük süre yükümlülüğün yerine getirilmesi bakımından yetersiz bulunmaktadır. Yine bu doğrultuda belirtmek gerekir ki ilgili kişinin talep etmesi durumunda kişisel verileri silme ve yok etme süreleri bakımından öngörülen otuz (30) günlük süre kapsamında veri sorumlusunun süre uzatım talebinde bulunma hakkının olup olmadığı hususunda da bir netlik mevcut değildir.

  İlgili yönetmelik yayım tarihinde yürürlüğe girecektir.

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu

Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.'ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.