“Verilerimi Sil” Talebi ve Saklama Yükümlülüğü: 2018 Yılı KVKK Karar Analizi
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli bu karar özetiyle, e-ticaret ve hizmet sektöründe sıkça yaşanan “ayrılan müşterinin verilerinin silinmesi” konusuna açıklık getirmiştir. Karar, müşterinin “silme” talebi ile veri sorumlusunun “saklama” yükümlülüğü arasındaki yasal dengeyi kurmaktadır.
1. Olayın Özeti: Aktif Olmayan Müşterinin Silme Talebi
Olay: Bir veri sorumlusunun eski müşterisi (ilgili kişi), artık aktif bir hizmet almadığını belirterek kişisel verilerinin sistemden tamamen silinmesini talep etmiştir. Veri sorumlusu bu talebi yerine getirmeyince konu Kurul’a intikal etmiştir.
İnceleme sonucunda; veri sorumlusunun tabi olduğu özel mevzuat (Ticaret Kanunu, Vergi Usul Kanunu vb.) uyarınca, işlemlerle ilgili verileri 10 yıl boyunca muhafaza etme zorunluluğu olduğu görülmüştür.
2. Kurulun Hukuki Değerlendirmesi: “Silme” Değil “Arşivleme”
Kurul, uyuşmazlığı Kanun’un 7. maddesi (silme, yok etme) ve 4. maddesi (genel ilkeler) çerçevesinde çözüme kavuşturmuştur:
- Yasal Saklama Süresi Önceliği: Kanun uyarınca verilerin işlenmesini gerektiren sebepler ortadan kalktığında silinmesi gerekir. Ancak, başka bir kanunda (örneğin 10 yıllık zamanaşımı veya saklama süresi) özel bir hüküm varsa, veri sorumlusu bu sürenin sonuna kadar veriyi silmek zorunda değildir.
- Amaçla Sınırlılık: Veri sorumlusu, yasal yükümlülük nedeniyle veriyi saklamaya devam edebilir; ancak bu veriyi saklama amacı dışında (pazarlama, analiz vb.) işleyemez.
- Aktif/Pasif Ayrımı: Müşteri artık aktif değilse, verileri “aktif kullanım” ortamından çıkarılmalı ve sadece yasal talepler/denetimler için “pasif” bir saklama moduna alınmalıdır.
3. Karar Sonucu: Veri Sorumlusuna Talimat
Kurul, veri sorumlusunun veriyi saklama hakkı olduğunu kabul etmiş ancak şu talimatı vermiştir:
- Aktif olmayan müşterilerin verileri, Kanun’un 4. maddesindeki genel ilkelere uygun olarak saklama amacı dışında işlenmemelidir. * Bu süreçte veri sorumlusu hakkında bir idari para cezasına yer olmadığına, ancak sürecin yönetimi konusunda yönlendirilmesine karar verilmiştir.
4. Özgür Eralp Perspektifi: “Unutulma Hakkı Mutlak Değildir”
Bilişim hukuku dünyasında “Unutulma Hakkı” çok popüler bir kavram olsa da, Türkiye’deki hukuk sisteminde bu hak, kamu düzeni ve mali mevzuatla sınırlandırılmıştır. Bir bankadan veya e-ticaret sitesinden ayrıldığınızda “her şeyimi hemen silin” demeniz, maalesef 10 yıllık saklama sürelerine toslar.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, silme talebi aldıklarında “silemiyoruz” deyip konuyu kapatmamalıdır. Doğru yaklaşım; veriyi pazarlama listelerinden çıkarmak, erişim yetkilerini kısıtlamak ve sadece yasal bir zorunluluk olduğunda erişilebilecek şekilde “izole” etmektir. Eğer müşterinize “Yasal yükümlülük gereği verilerinizi 10 yıl saklamak zorundayız ancak bu sürede hiçbir pazarlama faaliyeti için kullanmayacağız” diyerek güven verirseniz, Kurul kapısında dosya beklemekten kurtulursunuz.
Sıkça Sorulan Sorular
1. Aboneliğimi iptal ettiğim şirket verilerimi hemen silmek zorunda mı?
Hayır. Şirketin bağlı olduğu mevzuata göre (Vergi, Ticaret, Elektronik Haberleşme vb.) verilerinizi belirli bir süre (genellikle 10 yıl) saklama yükümlülüğü olabilir.
2. Şirket verilerimi silmiyorsa, onları kullanmaya devam edebilir mi?
Kesinlikle hayır. Verilerinizi sadece yasal denetimler veya mahkeme talepleri için saklayabilirler. Size reklam mesajı göndermeye veya verilerinizi işlemeye devam etmeleri KVKK ihlalidir.
3. Verilerimin silinmesi için 10 yıl beklemek zorunda mıyım?
Yasal saklama süresi dolduğunda, şirket verilerinizi kendiliğinden (resen) veya sizin talebinizle silmek, yok etmek veya anonim hale getirmek zorundadır.
4. Verilerimin “saklama amacı dışında” işlendiğini nasıl anlarım?
Ayrıldığınız bir kurumdan hala reklam içerikli e-postalar veya aramalar alıyorsanız, verileriniz saklama amacını aşmış demektir. Bu durumda Kurul’a şikayet hakkınız doğar.
5. “Kişisel verilerin yok edilmesi” ile “anonim hale getirilmesi” arasındaki fark nedir?
Yok etme, veriye bir daha erişilemeyecek şekilde fiziksel veya dijital olarak silinmesidir. Anonim hale getirme ise verinin artık sizinle (kimliğinizle) ilişkilendirilemeyecek şekilde değiştirilmesidir.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 4 ve 7)
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Etiketler
KVKK, Veri Silme Talebi, Saklama Süreleri, 10 Yıl Kuralı, Unutulma Hakkı, Genel İlkeler, Veri Sorumlusu, Bilişim Hukuku, Özgür Eralp, Kişisel Verilerin İmhası, Amaçla Sınırlılık, Mevzuattan Doğan Yükümlülük
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),