Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi; Yönetmelik Yayınlandı ama Uygulama Ne Zaman Başlayacak?
Kişisel verilerin korunmasına dair 6698 sayılı yasal düzenleme 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak, bazı hükümlere altı ay sonra olmak üzere, yürürlüğe girdiğinde, tam olarak uygulamaya ne zaman gireceği konusunda ciddi belirsizlikler dikkati çekmişti. Nitekim, gelinen noktada bu belirsizliğin halen devam ediyor olması, ülke olarak hazırlıksız yakalandığımız bir konuyla karşı karşıya kaldığımızı gösteriyor.
6698 sayılı Kanun’un “geçiş hükümleri” başlıklı geçici maddesinde, Kanun’un yayımlanmasından sonraki altı ay içerisinde Kurul üyelerinin seçilip Başkanlık teşkilatının oluşturulacağı, yazılı olmasına rağmen, ancak 30 Aralık 2016 itibariyle Kurul üyelerinin tümü seçilebilmiştir.
Yine geçiş hükümleri ile, Kanun’un uygulanmasına ilişkin yönetmeliklerin, yayım tarihinden itibaren bir yıl içinde, yani en geç 7 Nisan 2017 tarihine kadar yürürlüğe sokulacağı, ifade edilmesine karşın, ilk yönetmelik olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girebildi.
Bu Yönetmelik kadar önemli olan “Veri Sorumluları Sicili Yönetmeliği” ise taslak olarak yayımlanıp görüşe açılmışsa da henüz resmi gazetede yayımlanmamıştır. Yine Kanun uyarınca, Bakanlar Kurulu tarafından hazırlanarak yürürlüğe sokulması gereken, Kurum’un ve hizmet birimlerinin çalışma usul ve esaslarına dair yönetmelik de gündemde yoktur.
Bu düzenlemelerin tamamlanmamış olması nedeniyle, yürürlüğe girmiş ama henüz fiilen uygulanma şansı olmayan bir yasa söz konusudur. Kanun’un yürürlülükle ilgili maddesinde, temel yükümlülüklere dair (verilerin aktarılması, veri sorumlusuna başvuru gibi) hükümlerin, kanunun yayımından sonra altı ay içerisinde yürürlüğe girmesi öngörülmüşse de, bu süre oldukça aşılmasına rağmen, henüz veri sorumlusu sicili ve uygulaması söz konusu olmadığından, hak ve yükümlülüklerin yaşama geçirilmesi söz konusu değildir.
Bu yolda ilk adım olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ise 1 Ocak 2018 tarihinden itibaren yürürlüğe girmek üzere, 28.10.2017 tarihli Resmi Gazete’de yayımlandı.
Kişisel verilerin saklanması ve imhasına dair tanım, politika ve uygulama usullerini içeren Yönetmelik’de “kişisel verilerin silinmesi”
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi,
“kişisel verilerin yok edilmesi“,
kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi,
“kişisel verilerin anonim hale getirilmesi” ise,
kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
olarak tanımlanmış.
Genel hükümler içeren Yönetmelik’in 13 üncü maddesinde yer alan “Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir” hükmüyle de Kurul’a ciddi bir yetki verildiği göze çarpıyor.
Yönetmelik’in genel nitelikli hükümlerinin uygulamada oluşacak belirsizlikleri giderme şansı oldukça düşük. Bu nedenle “tereddütleri giderme” gibi yasal düzenleme kavramları arasında pek de sık rastlanmayan bir başlık içerir bu maddeye dayalı olarak çok sayıda Kurul kararı alınması gerekeceği de açık görünüyor.
Bundan sonraki aşama ne olacak? Kanun’a bakıldığında, veri sorumluları sicili ile ilgili düzenlemenin de yakın zamanda yürürlüğe girmesini beklemek gerekiyor. Mayıs 2017’de görüşe açılan Taslak ile ilgili çalışmaların yakında sonuçlanması ve Yönetmelik’in yayımlanarak veri sorumlusu siciline kayıt işlemlerinin başlatılması ile kanımızca Ocak 2018’de kişisel verilerin korunması ile ilgili hak ve yükümlülükler devreye girecektir.
Ciddi parasal yaptırımları içerir 6698 sayılı Kanun ile ilgili süreçlerin yakından takibi gerekiyor. Zira, veri sorumluları siciline kayıt zorunluluğunu uymama halinde 20.000,00 TL ile 1.000.000,00 TL arasında bir idari para cezasına maruz kalmak mümkün. Ancak, bu noktada öncelikle düzenlemelerin tamamlanması ve ardından Kurul tarafından sicile kayıtların başladığına dair bir genel duyuru yapılması gerekiyor.
Önceki pek çok örnekte olduğu gibi, düzenleme yükümlülüklerini aksatan idarenin, uygulamaya geçtikten sonra, yükümlülere çok da zaman ve imkan tanımaması mümkün. Bu nedenle, veri kaydeden, işleyen kişi ve kurumların hazırlıklarını, 2018 yılı başından itibaren uygulamaya geçecek şekilde tamamlamaları yerinde olacaktır.