2010 yılında yapılan Anayasa değişikliği ile Anayasamızın 20. Maddesine eklenen ‘ herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.’ hükmü yer almış ve böylece kişisel verilerin korunması anayasal hak olarak tanımlanmıştır.
Anayasa değişikliği sonrasında ülkemizde Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş olup, Kanunla birlikte kişisel verileri işlenen gerçek kişilere, Kanunun deyimi ile ‘ilgili kişi’ lere bir takım haklar tanınmıştır.
İşte bu haklardan biri de ilgili kişinin, veri sorumlusu tarafından işlenen kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini istemesidir.
- Kişisel verilerin SİLİNMESİ; kişisel verilerin ilgililer için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
- Kişisel verilerin YOK EDİLMESİ; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
- Kişisel verilerin ANONİM HALE GETİRİLMESİ; kişisel verilerin hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin imha edilmesi Yönetmelikle usul ve esasları belirlenmiştir. Buna göre ilgili kişiler;
Kişisel verilerinin işlenme şartlarının tamamının ortadan kalkması halinde, Veri sorumlusuna işlenen kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi yönündeki taleplerini iletmesi gerekmektedir.
Veri sorumlusu, ilgililerinin talebi olmasa bile kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde resen kişisel verileri imha edebilir.
Kişisel Veri Saklama ve İmha Politikası
Şu hususu da hatırlatmak gerekir ki; Veri Sorumluları Siciline kayıt olmakla yükümlü olan her veri sorumlusu KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI hazırlamakla yükümlüdür.
İlgili kişiler öncelikle veri sorumlusuna kişisel verilerinin imha edilmesi için başvurması gerekmektedir. Veri sorumlusuna başvuru yolu tüketilmeden ilgili kişiler Kişisel Verileri Koruma Kurulu’na şikâyet edemezler. Veri sorumlusu, ilgili kişilerin bu taleplerini en kısa sürede cevaplaması gerekir. Veri sorumlusunun ilgili kişiye cevap verme süresi 30 GÜNÜ geçemez, en geç otuz gün içinde cevaplandırması gerekmektedir.
Veri sorumlusu bu süre içerisinde ilgili kişilere cevap vermez ya da başvurularını ret ederse bu durumlarda ilgili kişiler veri sorumlusuna başvuru yolunu tükettikleri için Kurul’a şikâyet etme hakkına sahip olacaklardır. Kurul’a şikâyet etme hakkını kullanıp kullanmama ilgili kişilerin isteğine bağlıdır.
Kişisel verilerin imha edilmesinde en önemli olan hususlar: kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi durumunun ortadan kalkmasıdır.
Örnek Kurul Kararları
KARAR-1 :
“Geçmiş sağlık verilerinin düzeltilmesine/ silinmesine yönelik şikâyetler” hakkında Kişisel Verileri Koruma Kurulu’nun 06.02.2020 sayılı Kararı incelendiğinde;
İlgili kişiler geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği, bazı kişiler bu raporların gerçeği yansıtmadığı gerekçesiyle kişisel verilerin düzeltilmesini veya silinmesini talep etmişlerdir. Kararda Sağlık Bakanlığınca sehven kaydedildiği iddia edilen raporların ilgili ‘ Kişisel Sağlık Verileri Hakkında ‘Yönetmelik hükümleri çerçevesinde değerlendirildiği ve sehven düzenlendiği iddia edilen kişisel verilerin ilgili Yönetmeliğin usul ve esaslarına göre değerlendirmiş, hata olmayan kişisel verilerin düzeltilmesi veya silinmesini gerektirecek husus olmadığından talebin reddine karar vermiştir. Kurul kararında da ‘ kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili Kanun kapsamında yapılacak işlem olmadığına karar vermiştir. Kamu sağlığı ve güvenliği ile ilgili kişinin sağlığı ve güvenliği amaçları dikkate alındığında hukuka uygun işlenen kişisel sağlık raporlarının işlenme amaçlarının ortadan kalkmaması kişisel verilerin imha edilmemesinin önemli gerekçelerinden biridir.
Bu kararda da görülmektedir ki, kişisel verilerin işlenme şartlarının tamamının ortadan kalkıp kalkmaması hali kişisel verilerin imha edilmesinde en önemli hususlardan biridir.
KARAR-2
Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili’ Kişisel Verilerin Korunması Kurulu’nun 25.03.2019 tarihli ve 2019/81 sayılı Karar ve 31.05.2019 tarihli ve 2019/165 sayılı kararı incelendiğinde;
İlgili kişiler, veri sorumlusu olan bir spor hizmeti sunan şirketin, üyelerinin giriş-çıkış kontrolünde el-avuç okutma sisteminden geçirilmesi, üyelerin vesikalık fotoğraf ve giriş saatlerini herkesin göreceği bir ekranda yansıtmalarının, biyometrik veriler gibi özel nitelikli kişisel verileri işlemesi ve kişisel verilerin güvenli şekilde muhafaza edilmesinde şüphe duymaları gerekçesiyle Kurul’ a başvurmuşlardır.
Kurul kararında GDPR’in Recital Bölümünün 51. Maddesi ve Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararını inceleyerek ilgili kişilerin el-avuç izinin taranması suretiyle sistemden geçirilmesinin veri sorumlusu tarafından özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyeti olduğuna karar vermiştir. KVKK 6. Maddesinde ‘özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu’ belirtilmiştir. Söz konusu olayda veri sorumlusu şirket, üyelik sözleşmelerinde üyelerin kulüplere girişlerinde el-avuç izi bilgilerinin alınmasına rıza göstermemeleri durumunda söz konusu hizmetten yararlanamayacaklarını belirtmiştir. Kurul, ilgili kişilerin verdiği rızanın hukuka uygun şekilde verilen bir açık rıza olmadığı için özel nitelikli veri olan biyometrik verilerin işlenemeyeceğini belirtmiş, biyometrik veri kaydı dışında hukuka uygun başka bir yöntemle spor kulüplerine girişlerinin sağlanması hususunda veri sorumlusunu uyarmış ve bugüne kadar işlenen ve muhafaza edilen el-avuç izi ile ilgili verilerin ivedilikle yok edilmesine, şayet üçüncü kişilere aktarılmış ise yok etmeye yönelik işlemlerin bu kişilere ivedilikle bildirilmesinin sağlanmasına karar vermiştir.
Bu kararda da görülmektedir ki, kişisel verilerin ilgilisinin açık rızası ile işlenebileceği, şayet hukuka uygun açık rızanın varlığının yokluğu halinde veri sorumlusunca kişisel verilerin imha edilmesinin gerektiğine dikkat çekmiştir.
Özetle; bu yazımızda veri sorumlusunca işlenen kişisel verilerimizin silinmesini, yok edilmesini veya anonim hale getirilmesini talep etme hakkımızın olduğunu, ilgili Kanunlarda belirtilen şartların varlığı halinde veri sorumlusunca bu talebimizin yerine getirilmesi gerektiğini, veri sorumlusunca haksız şekilde bu talebimizin yerine getirilmemesi durumunda Kurul’a şikâyet hakkımızın olduğunu açıklamış bulunmaktayız. Unutmamalıyız ki haklarımızı bildikçe, haklarımıza sahip çıkarız.
