Kişisel Veriler Ne Kadar Süre ile Muhafaza Edilebilir?

Tem 16, 2020

Teknolojinin gelişmesi ve iletişim ağının genişlemesiyle birlikte dünyada veri paylaşımı giderek artmıştır. Ancak ne yazık ki paylaşılan veri arttıkça kötü niyetli kullanımı da beraberinde artıyor. Kişisel verilerimizi korumak, izin verdiğimiz yerler dışında kullanılmasını önlemek için ise devlet kurumları bazı düzenlemeler getiriyor.

Avrupa’da GDPR (General Data Protection Regulation), Amerika’da CCPA (California Consumer Protection Act) ve diğerleri, Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) gibi kanun ve düzenlemeler yürürlükte ve bu düzenlemeler gün geçtikçe sıkılaşıyor, cezai yaptırımlar getiriliyor.

Fakat bazı sistemlerin işleyebilmesi için ilgili kişinin veri güvenliğini tehlikeye atmayacak şekilde verilerin işlenmesi gerekiyor. Verilerin işlenmesi 6698 sayılı KVKK’nın 3.maddesinde şöyle açıklanıyor:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder”. (6698 Sk. KVKK, m.3.1/e)

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi

Kanunda kişisel verileri silme, yok etme ve anonimleştirme hakkında bazı şartlar bulunmaktadır. KVKK’ya göre kişisel veri saklama işlemi sadece verinin hizmet ettiği amacın süresiyle sınırlıdır. Örneğin bir çekilişe katılan kişilerin verileri çekiliş bittikten sonra silinmek zorundadır.

Kanunda bu açıkça “…kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” şeklinde belirtilmiştir (6698 Sk. KVKK, m.7.1). 

 

Resmi Gazete’de yayınlanan 30224 sayılı yönetmeliğin 11.maddesine göre, veri sorumlusu kişisel veri saklama ve imha politikası hazırlamış ise kişisel verileri resen silme, yok etme veya anonim hale getirmesi için gereken süreyi kendi belirler.

Periyodik imhanın gerçekleşeceği zaman aralığı KVKK izin toplama metninde açıkça belirtilmelidir ve her halde altı ayı geçemez. Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlama yükümlülüğü yoksa kişisel verileri silme, yok etme veya anonimleştirme sorumluluğunun oluştuğu tarihten itibaren 3 ay içinde verileri siler, yok eder veya anonimleştirir. Gereken durumlarda Kişisel Verileri Koruma Kurulu bu süreyi kısaltabilir.

 

İlgili kişinin KVKK’nın 13.maddesine göre veri sorumlusuna başvurarak oluşturabileceği kişisel verileri silme ve yok etme taleplerinde süreler farklılık gösterir. Bu durumda; ilgili kişinin verilerinin silinmesine veya yok edilmesine ilişkin talebi gerçekleştikten sonra, eğer verileri işleme şartlarının tamamı ortadan kalmışsa, en çok otuz gün içinde sonuçlandırarak ilgili kişiye bilgi vermelidir.

Eğer talep gerçekleşmeden önce veriler işlenme amacıyla üçüncü partilere iletildiyse veri sorumlusu durumu üçüncü kişilere bildirir ve 30224 sayılı Yönetmelik kapsamında gerekli işlemler yapılır. Kişisel verileri işleme şartları tamamen ortadan kalkmadıysa ilgili kişinin talebi, gerekçeleri gösterilerek en geç otuz gün içinde yazılı veya dijital ortamdan bildirerek reddedilebilir.

Eğer veri sorumlusu iseniz ve bir kişi verilerinin silinmesi, yok edilmesi veya anonimleştirilmesi konusunda size başvurursa mutlaka avukatınıza danışmalısınız.

Dijital Ortamda Kişisel Veri Toplama

Kullandığımız internet platformlarında ve her web sitesinde kişisel veri saklama için “çerezler (Cookies)” kullanılır. Çerezler bir web sitesi ziyaret edildiği zaman tarayıcılardaki kullanıcıların depolandığı küçük dosyalardır. Bilgisayarınıza veya telefonunuza küçük bilgileri kaydedip, daha sonra tekrar sayfayı ziyaret ettiğinizde bu bilgileri okuyabilirler.

 

Çerezler (cookies) genel olarak internette gezintinizi sürekli iyileştirme ve siteleri kişiselleştirme eğilimindedir. Kişilerin web sitesinde aradıklarını tarayıcı kayıtlarına aktarır ve geçmişinde tutar. Web sitesi üzerindeki hareketleri tarayıcıda tutarak bir web sitesine izin vermektedir.

En sık kullanılan tarayıcılar Internet Explorer, Firefox, Safari, Opera, Google Chrome çerezlere (cookies) izin verme konusunda her kullanıcıya ayarlar panelinde gerekli ayarları sunar. Tarayıcılar ilk yüklendiği ve kullanılmaya başlandığında çerezlere otomatik olarak izin verilir. Engellemek için tarayıcının ayarlar kısmındaki seçenekler kullanılabilir.

Bulut Hizmetleri

Kişisel verileri koruma kurulunun “Örneklerle KVKK” yayınına göre; 

“Bir özel şirketin, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen durumundadır. Çünkü taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca, bulut hizmeti sağlayıcısının kendisi de veri toplamamaktadır. Tek faaliyeti şirketten gelen kişisel verileri yine özel şirketin talimatlarına uygun olarak saklamaktır.”

Buna göre, bulut hizmetlerinde depolanan veriler KVKK’ya aykırı bir durum oluşturmaz.

Çerezlerin (Cookies) Doğru Şekilde Toplanması

Web sitesini ziyaret eden kullanıcıların veri güvenliğini sağlamak için çerezlerin KVKK’ya uygun olarak toplanması gerekmektedir. Bunun için kişilerin verilerinin nerelerde, ne amaçla ve ne şekilde kullanıldığı açık ve anlaşılır bir şekilde onaya sunulmalıdır. 

Kvkk izin toplama Türkiye’de bir zorunluluk değildir fakat çerez politikasını (cookie policy) kullanıcılara sunduğunuzda gizliliklerine önem verdiğinizi göstermiş olursunuz. 2016’da yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile site hizmetleriyle kişisel verileri topluyorsanız, kullanıcıları bu konuda bilgilendirmeniz ve rızasını almanız gerekmektedir. 

2018 yılında yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) uyarınca, Avrupa Birliği ülkelerinden birinde kurumunuz varsa veya AB’den sitenize gelen ziyaretçiler var ise çerez (cookie) politikası ve bildirimi yasal zorunluluktur. Web sitenizin İngilizce sürümü var ise ve yurt dışına satış yapıyorsanız yönetmelik gereğince çerez (cookie) politikası ve bildirimi ekleme zorunluluğunuz yine bulunmaktadır.

Çerezler (cookies) hakkında detaylı bilgilendirme yapmak ve yerli sunucularla, yerli platformda çerezlerinizi yönetmek için Efilli Rıza Yönetimi Platformu’nu kullanabilirsiniz. Bizimle hemen iletişime geçerek detaylı bilgi alabilirsiniz: [email protected]

İlgili Yazılar

Hassas Kişisel Veri Uyumu için 6 İpucu

Hassas Kişisel Veri Uyumu için 6 İpucu

Günümüzde, özellikle pandemi döneminde internet kullanımı oldukça arttı. Bu dönemde kişisel veri uyumu daha da önemli hale geldi. Hassas kişisel verilerin toplanması ve işlenmesi işletmelerin KVKK’ya uyum süreci için büyük bir önem arz ediyor.  Hassas Veriler...

daha fazla bilgi edinin
Çocukların Kişisel Verilerinin Toplanması

Çocukların Kişisel Verilerinin Toplanması

Dünyada ve ülkemizde internet kullanım yaşı her gün daha da aşağılara inmektedir. Hal böyle olunca çeşitli riskler de ortaya çıkmıştır. Bu riskler kişisel verilerimizi farkında olmadan paylaşmamıza olanak tanımıştır. İnternet kullanım yaşı düştükçe çocuklarımızın...

daha fazla bilgi edinin
KVKK’nın Adtech ve Martech’e Etkileri

KVKK’nın Adtech ve Martech’e Etkileri

Kişisel verilerin gizliliği herkes için önemli bir konu haline gelmiştir. En fazla sorun yaşanan alanlardan biri olan kişisel verilerimiz, Kişisel Verileri Koruma Kanunu ile yasal güvence altındadır. İnternetin gelişmesiyle beraber kişisel veri gizliliği daha fazla ön...

daha fazla bilgi edinin