Kişisel Veriler Ne Kadar Süre ile Muhafaza Edilebilir? -

Teknolojinin gelişmesi ve iletişim ağının gelişmesiyle birlikte dünyada veri paylaşımı giderek artıyor. Ancak maalesef ki paylaşılan veri arttıkça kötü niyetli kullanımı daha da artıyor. Kişisel verilerimizi korumak, izin verdiğimiz yerler dışında kullanılmasının önüne geçmek için ise devlet kurumları bazı düzenlemeler yapıyor.

Avrupa’da gdpr (general data protection regulation), Amerika’da ccpa (california consumer protection act) ve başkaları, Türkiye’de kvkk (kişisel verilerin korunması kanunu) gibi kanun ve düzenlemeler yürürlükte ve bu düzenlemeler gün geçtikçe daha da gelişiyor ve sıkılaşıyor, cezai yaptırımlar uygulanıyor.

Ancak bazı sistemlerin işleyebilmesi için ilgili kişinin veri güvenliğini tehlikede koymayacak şekilde verilerin işlenmesi gerekebiliyor.

Kişisel Veriler Ne Kadar Süre ile Muhafaza Edilebilir?

Verilerin işlenmesi 6698 sayılı kvkk’nın 3. Maddesine göre:

“Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder”. (6698 sk. Kvkk, m.3.1/e)

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale geçirilmesi kanunda kişisel verileri silme, yok etme ve anonimleştirme hakkında bazı şartlar içermektedir. Kvkk’ya göre kişisel veri saklama işlemi sadece verinin hizmet ettiği amacın süresiyle sınırlıdır.

Kanunda bu açıkça

“…kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. “

şeklinde belirtilmiştir (6698 sk. Kvkk, m.7.1).

Resmî gazete ‘de yayınlanan 30224 sayılı yönetmeliğin 11. Maddesine göre, veri sorumlusu kişisel veri saklama ve imha politikası hazırlamış ise kişisel verileri danışmaksızın silme, yok etme veya anonim hale getirmesi için ihtiyaç duyduğu süreyi kendi belirler.

Periyodik yok etmenin gerçekleşeceği zaman aralığı kvkk izin toplama metninde açıkça yazılmalıdır ve her halde altı ayı geçmemelidir. Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlama yükümlülüğü yoksa kişisel verileri silme, imha etme veya anonimleştirme sorumluluğunun başladığı tarihten itibaren 3 ay içinde verileri siler, yok eder veya anonimleştirir.

İlgili kişinin kvkk’nın 13. Maddesine göre veri sorumlusuna başvurarak oluşturabileceği kişisel verileri silme ve yok etme taleplerinin sürelerinde değişiklik olabilir. Bu durumda; ilgili kişinin verilerinin silinmesine veya imha edilmesine ilişkin talebi alındıktan sonra, eğer verileri işleme şartlarının tamamı ortadan kaldırılmışsa, en çok otuz gün içinde sonuçlandırarak ilgili kişiye iletilmelidir.

Eğer talep edilmeden önce veriler işlenme amacıyla üçüncü partilere gönderildiyse veri sorumlusu durumu üçüncü kişilere bildirir ve 30224 sayılı yönetmelik kapsamında gereken işlemler yapılır. Kişisel verileri işleme şartları tamamen ortadan kaldırılmadıysa ilgili kişinin talebi, gerekçeleri bildirilerek en geç otuz gün içinde yazılı veya dijital ortamdan iletilerek reddedilebilir.

Eğer veri sorumlusu iseniz ve bir kişi verilerinin silinmesi, imha edilmesi veya anonimleştirilmesi konusunda size başvurursa mutlaka avukatınıza yüz tutmalısınız.

Dijital ortamda kişisel veri toplama faydalandığımız internet platformlarında ve her web sitesinde kişisel veri saklama için “çerezler (cookies)” uygulanır. Çerezler bir web sitesi ziyaret edildiğinde tarayıcılardaki kullanıcıların depolandığı küçük veri dosyalardır. Bilgisayarınıza veya telefonunuza küçük verileri kaydedip, daha sonra tekrar sayfaya girdiğinizde bu bilgileri kullanabilirler.

Çerezler (cookies) genel olarak internette dolaşmanızı sürekli iyileştirme ve siteleri kişiselleştirme için gelişmektedir. Kişilerin web sitesinde aradıklarını tarayıcı deposuna aktarır ve geçmişinde tutar. Web sitesi üzerindeki hareketleri tarayıcıda tutarak bir web sitesine izin vermektedir.

En popüler olan tarayıcılar internet Explorer, Firefox, Safari, Opera, Google Chrome çerezlere (cookies) izin verme konusunda her kullanıcıya ayarlar panelinde gerekli ayarları yapmaya izin verir. Tarayıcılar ilk yüklendiği ve kullanılmaya başlandığında çerezlere otomatik olarak izin verilir.

Bulut hizmetleri kişisel verileri koruma kurulunun “örneklerle kvkk” yayınına göre;

“bir özel şirketin, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısı ile sözleşme yapması halinde, bulut hizmeti sağlayıcısı veri işleyen durumundadır. Çünkü taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için işlemesi mümkün değildir. Ayrıca, bulut hizmeti sağlayıcısının kendisi de bilgileri toplamamaktadır. Tek faaliyeti şirketten gelen kişisel verileri yine özel şirketin talimatlarına uygun olarak depolamaktır. “

Buna göre, bulut hizmetlerinde saklanan veriler kvkk’ya aykırı bir durum oluşturmaz. Çerezlerin (cookies) doğru şekilde toplanması web sitesini gezen kullanıcıların veri güvenliğini sağlamak için çerezlerin kvkk’ya uygun olarak toplanması gerekmektedir.

Kvkk izin alma Türkiye’de bir zorunluluk değildir fakat çerez politikasını (cookie policy) kullanıcılara sunduğunuzda gizliliklerine önem verdiğinizi belirtmiş olursunuz. 2016’da yürürlüğe giren 6698 sayılı kişisel verilerin korunması kanunu ile site hizmetleriyle kişisel bilgileri topluyorsanız, kullanıcıları bu konuda bilgilendirmeniz ve rızasını almanız beklenmektedir.

2018 yılında yürürlüğe giren genel veri koruma yönetmeliği (gdpr) gereğince, Avrupa birliği ülkelerinden birinde şirketiniz bulunuyorsa veya AB’den sitenize gelen ziyaretçiler var ise çerez (cookie) politikası ve bildirimi yasal zorunluluktur. Web sitenizin İngilizce versiyonu var ise ve yurt dışına satış yapıyorsanız yönetmelik gereğince çerez (cookie) politikası ve bildirimi bulunması zorunluluğunuz yine geçerlidir.

Çerezler (cookies) hakkında detaylı bilgilendirme yapmak ve yerli sunucularla, yerli platformda çerezlerinizi yönetmek için nesil teknoloji rıza yönetimi platformu ‘nu kullanabilirsiniz.