Beyaz Şapka Beyazsapka Kasım 2017 - Page 44

Doç. Dr. Murat Volkan DÜLGER İstanbul Medipol Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku öğretim üyesi, Avukat. 44 altına alınacağı ve bu kayıtların en az üç yıl süreyle saklanacağı ifade edil- miştir. Veri sorumlusunun, sorumlu olduğu verilerin niteliği ve bu konuda belirlenmiş olan politikalar ve ihtiyaçlar gereğince, hangi tür verileri nasıl bir işleme tabi tutacağı ve bu işlemin sonunda neyin olmasını hedeflediği- ni, ilgili prosedürlerinde açık bir biçimde belirtmesi gerekir. Veri sorumlusunun Kurul tarafından aksine bir karar alınmadıkça, kişi- sel verileri resen silme, yok etme veya anonim hale getirme yöntemlerin- den uygun olanını belirleme hakkı vardır. Kişisel verinin ilgilisinin talebi halinde silinmesi, yok edilmesi veya ano- nimleştirilmesi halinde ise veri sorumlusunun yine yöntemi belirleme hakkı olmakla beraber bunun gerekçesini açıklama zorunluluğu bulunmaktadır.. Yönetmeliğin 8. maddesinde kişisel verilerin silinmesi, 9. maddesinde yok edilmesi ve 10. maddesinde anonimleştirilmesi düzenlenmiştir. Yönetmeliğin tanımında yerinde olarak silme işlemi için nasıl bir teknik kullanılacağı belirtilmeden, sonuçta neyin olması gerektiği tanımlanmıştır. İlgili kullanıcı tarafından kişisel verinin hiçbir şekilde erişilemez ve tek- rar kullanılamaz hale getirilmesi, verinin silinmesi işlemidir. Bu yöntemde kişisel verinin geri dönüştürülmesinin imkansız olması aranmamaktadır. Önemli olan kişisel veri envanterinde verinin kullanıcısı olarak görünenlerin bu veriye bir daha erişememesi ve kullanamamasıdır. Teknik belirtilmeksizin tanımlama yok etme işlemi için de kullanılmış- tır. Yok etme, silmeden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale geti- rilmesidir. Anonimleştirme öyle bir yöntemle yapılmalıdır ki kişisel veriler başka verilerle eşleştirilse, aralarında bir bağ kurulsa dahi hiçbir surette ait ol- duğu gerçek kişiyi belirlenebilir hale getirmemelidir. Bu bağlamda kişisel verinin maskelenmesi yetmemektedir.