TBMM Madde Gerekçesi Kanun Tasarısı Gerekçesi
Maddeyle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, hukuka uygun olarak işlenmiş olup da işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanmaktadır. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinecektir. Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
Maddenin ikinci fıkrasıyla, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulması öngörülmektedir. Bu kapsamda, örneğin Adli Sicil Kanununda verilerin silinmesini veya yok edilmesini düzenleyen hükümler Kanuna göre öncelikli olarak uygulanacaktır. Maddenin son fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikte düzenlenmesi hüküm altına alınmaktadır.
Silme, Yok Etme ve Anonimleştirme Kavramları
Kanun, kişisel verilerin yaşam döngüsünün sona ermesine ilişkin üç farklı yöntem öngörmektedir: silme, yok etme ve anonim hâle getirme. Bu kavramlar birbirinden farklı teknik ve hukuki sonuçlar doğurmaktadır.
Silme, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir. Yok etme ise verilerin hiçbir şekilde geri getirilemeyecek biçimde fiziksel olarak ortadan kaldırılmasıdır. Anonimleştirme, verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.
Anonim hâle getirilen veriler artık kişisel veri niteliğini yitirdiğinden Kanun kapsamı dışına çıkmaktadır. Bu durum, veri sorumlusunun söz konusu verileri istatistiksel veya araştırma amaçlarıyla kullanmaya devam edebilmesine imkân tanımaktadır.
İşleme Sebeplerinin Ortadan Kalkması
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi yükümlülüğü, işlenmesini gerektiren sebeplerin ortadan kalkmasına bağlanmıştır. Bu sebeplerin tespiti, somut olayın özelliklerine göre değerlendirilmelidir.
İşleme sebeplerinin ortadan kalkması çeşitli hallerde gerçekleşebilmektedir: ilgili kişinin açık rızasını geri alması, sözleşmenin sona ermesi, yasal saklama süresinin dolması veya işleme amacının gerçekleşmesi bunların başlıcalarıdır.
Veri sorumlusu, işleme sebeplerinin devam edip etmediğini periyodik olarak gözden geçirmekle yükümlüdür. Saklama süreleri politikası ve imha prosedürleri bu denetimin araçlarını oluşturmaktadır.
GDPR ile Karşılaştırma
GDPR md. 17, unutulma hakkı olarak da bilinen silme hakkını düzenlemektedir. Avrupa düzenlemesi, ilgili kişiye belirli koşullar altında verilerinin silinmesini talep etme hakkı tanımaktadır.
KVKK ile GDPR arasındaki temel fark, Türk düzenlemesinin silme yükümlülüğünü işleme sebeplerinin ortadan kalkmasına bağlamasıdır. GDPR ise altı farklı silme sebebi öngörmekte olup bunlar arasında rızanın geri alınması, itiraz hakkının kullanılması ve hukuka aykırı işleme yer almaktadır.
GDPR ayrıca silme talebinin üçüncü kişilere bildirilmesi yükümlülüğü getirmektedir. Veri sorumlusu, verileri kamuya açıklamışsa bu verilerin silinmesi talebini diğer veri sorumlularına iletmekle yükümlüdür. KVKK bu konuda açık bir düzenleme içermemektedir.