Hem Türk hukuku hem de mukayeseli hukuk bakımından kişisel verilere dair saklama süresi meselesi Kişisel Verileri Koruma Hukuku’nun temel ilkelerine ilişkindir.
95/46 sayılı Direktif’in 6.maddesinin 1.fıkrasınca, ilgili kişiyi tespit edebilecek biçimde tutulan kişisel verilerin, toplandığı esnada veya daha sonrasında işleme amacına ilişkin olarak gerekli olan süreden daha uzun süre muhafaza edilmemesi gerekmektedir. Keza 25 Mayıs 2018 tarihinde yürürlüğe giren ve 95/46 sayılı Direktif’i mülga eden GDPR’da, söz konusu hükme benzer şekilde yer verilmiştir. GDPR m.5/1’de, ilgili kişiye ait verilerin ancak işleme amacının gerektirdiği süre boyunca muhafaza edilebileceği ifade edilmiştir. Hükmün devamında, 95/46 sayılı Direktif ile paralel biçimde, bilimsel, tarihi veya istatistiki amaçlarla işlendikleri süre boyunca ve gerekli tedbirlerin alınması şartıyla kişisel verilerin daha uzun bir süre boyunca muhafaza edilebilmesinin mümkün olduğu düzenlenmiştir. Benzer şekilde, KVKK’nın Genel İlkeler alt başlıklı 4.maddesinin 2.fıkrasında da ilgili kişiye dair verilerin, ancak öngörülen mevzuatın izin verdiği süre veya işlendikleri amacın gerektirdiği süre boyunca muhafaza edileceği hükme bağlanmıştır.
Verilerin saklanmasına ilişkin olarak ortaya konan ilkenin amacı, toplanan kişisel verilerin süresiz ve sınırsız bir şekilde kullanılmasını önlemektir. Diğer bir ifadeyle, bu ilke, hiçbir kişisel verinin “bir gün lazım olur” düşüncesiyle muhafaza edilememesi amacına yönelmektedir[1]. Avrupa İnsan Haklar Mahkemesi’nin S. ve Marper, Birleşik Krallığa karşı kararında da, başvurucular, bu hususa vurgu yapmış ve kişinin fiziksel ve psikolojik bütünlüğünü kontrol edebilme imkanından da yola çıkarak kişinin, kişisel bütünlüğünü koruma ve varlığını geliştirme hakkının bir gereği olarak süresiz muhafazanın yapılamayacağını vurgulamıştır[2].
Aynı zamanda ilgili kişiden elde edilen kişisel verilerin muhafaza edilmesi, hem veri sorumlusu hem de ilgili kişi bakımından veri güvenliğine ilişkin ciddi riskleri de beraberinde getirmektedir[3]. Başka bir deyişle, üçüncü kişilerin, bilişim sistemi içerisindeki teknolojik gelişmeler sayesinde mümkün hale gelen çeşitli işlemleri yapması halinde eğer ilgili kişisel veriler süresiz olarak muhafaza edilmekteyse, o durumda verilerin artık üçüncü kişilerce erişilebilecek hale geldiğinden söz edilecektir.
Kişisel verilerin ancak belli bir süre muhafaza edilebilmesi, aynı zamanda bir başka temel ilke olan veri minimizasyonuyla ilişkilidir[4]. İlgili ilke GDPR ve KVKK’da, tanımlama şekillerinde kavramsal farklılıklar olsa da[5], benzer biçimde düzenlenmiştir. Veri minimizasyonu ile amaçlanan, veri sorumlusunun veri işleme amacına ulaşabileceği asgari veri miktarını kullanmasını ve veri işleme sürecinde elde edilecek verinin amaç ile sınırlı kalmasını sağlamaktır. Bu kapsamda belirtilmelidir ki, belirli bir amaçla sınırlı ve işleme amacı için yeterli olacak biçimde elde edilen kişisel verilerin muhafazası işlemi, verilerin belirli amaç için kullanılabilecekleri azami süreyi ifade etmektedir. Dolayısıyla veri minimizasyonu ilkesinin ortaya koyduğu somut durumun, zamansal olarak ifadesinin saklama süresi meselesinde ortaya çıktığı ve bir görünümü olduğu söylenebilir[6].
Kişisel veriler bahsedildiği üzere, ancak belirli bir süre içinde muhafaza edilebilmektedir. Oysaki, bu hususta incelenmesi gereken bir konu da, “belirli bir süre”den anlaşılması gerekenin ne olduğudur. KVKK’da saklama süresine ilişkin düzenlemenin bulunduğu maddede, kişisel verilerin ancak “…ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre…” içinde muhafaza edilebileceğinden söz edilerek süre hususunda iki ayrı hal belirlemiştir.
Bunlardan ilki ilgili mevzuatta öngörülen süredir. Örneğin, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7.maddesine göre işveren, ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla, işten ayrılan işçisinin sağlık dosyasını en az 15 yıl süreyle saklamak zorundadır. Bu durum hem veri sorumlusu bakımından bir yükümlülüğü ifade ederken hem de ilgili kişi bakımından, muhafaza edilen kişisel verinin kaç yıl süreyle saklanacağına ilişkin öngörülebilirlik sağlamaktadır. Sonuç olarak da eğer ilgili mevzuatta saklama süresine ilişkin olarak bir hal düzenlenmemiş ise, bu durumda artık mevzuata dayanarak kişisel verilerin muhafazasından söz edilemeyecektir.
İkincisi ise işlendikleri amaç için gerekli olan süredir. Bilindiği üzere her veri sorumlusu, işleme amacına ulaşabilmek için kişisel verileri işlemektedir. Dolayısıyla, veri sorumlusu bakımından kişisel verinin işlenmesi amacı ile toplanan kişisel veriler arasında bir nedensellik bağı olduğu ifade edilebilecektir. Bu kapsamda, gerekli süre, kişisel verilerin işlenme amacının varlığına bağlıdır. Eğer işleme amacı ortadan kalkar veya gereksiz hale gelir ya da verinin tutulmasının gerekli olmadığı anlaşılırsa bu durumda kişisel veri ile işleme amacı arasındaki nedensellik bağı ortadan kalkacağından, bu durumda verinin artık muhafazası da sona erdirilmelidir[7]. Örneğin, bir market, yıl içerisinde belli bir tutarın üzerinde alışveriş yapan müşterilerinin yılbaşında beyaz eşya çekilişine katılmaya hak kazanacaklarını duyurup sonrasında ad, soyad ve telefon numarası bilgileri olan kişisel verilerini işlemesi durumunda, yılbaşı çekilişi gerçekleştikten sonra verileri artık muhafaza etmemesi gerekecektir[8].
Sonuç olarak, eğer elde edilen ve işlenen bir kişisel veri için ilgili mevzuatta öngörülen veya işleme amacı için gerekli olan süre geçmişse, veri sorumlusunun muhafaza edilen veriyi uygun yöntem ile üçüncü kişiler tarafından erişilemeyecek bir biçime getirmesi gerekir[9]. Keza, ilgili kişi de muhafaza için söz konusu sürenin geçmesi ile birlikte bu verilerin erişilemez hale getirilmesini isteme hakkı gereği talepte bulunabilecektir[10]. Bu kapsamda, kanun koyucu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (KVSYAHY) çıkarılmıştır. Yönetmeliğe göre veri sorumlusu silme, yok etme veya anonimleştirme işlemlerinden birini seçecektir. Ancak söz konusu duruma dair Kurul tarafından aksi bir karar verilmiş ise Kurul kararı doğrultusunda hareket etmesi gerekecektir. Keza ilgili kişinin talebi söz konusu ise o halde veri sorumlusu hangi yöntemi seçtiğini gerekçelendirerek açıklamak zorundadır. Veri sorumlusu yönteme ilişkin süreç içerisinde ayrıca gerekli olan bütün idari ve teknik önlemleri de almakla yükümlüdür.
[1] Elif Küzeci, Kişisel Verilerin Korunması, 3.bs, Turhan, İstanbul 2019, s.337; Benzer şekilde KVKK’nın gerekçesinde de hiçbir kişisel verinin gelecekte kullanılma ihtimaline dayanarak saklanamayacağı ifade edilmektedir: Kişisel Verileri Koruma Kurumu, “Madde ve Gerekçesi ile KVKK Bilgi Notu ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü”, Ankara, 2019, s.17.
[2] S. ve Marper, Birleşik Krallığa karşı, B.N. 30562/04, 30566/04, K.T. 04.12.2008, p.60.
[3] Küzeci, a.g.e, s.215; Sevgi Erarslan, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, 2.bs, On İki Levha Yayıncılık, İstanbul 2020, s.117; Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 2.bs., Hukuk Akademisi, İstanbul 2019, s.204-205.
[4] Küzeci, a.g.e., s.338; Nafiye Yücedağ, “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”, Kişisel Verileri Koruma Kurulu Dergisi, 1(1), s.60.
[5] Ulusal ve uluslararası düzenlemelerde veri minimizasyonu ilkesini düzenleyen hükümler arasındaki kavramsal farklılıkların değerlendirmesine ilişkin bkz. Yücedağ, a.g.m., s.61.
[6] Saklama süresinin, veri minimizasyonu ilkesinin zamansal görünümü olduğuna dair değerlendirmeye ilişkin bkz. Yücedağ, a.g.m., s.60.
[7] Küzeci, a.g.e., s.215; Dülger, a.g.e., s.205; Kişisel veri ile verinin işlenme amacı arasındaki nedensellik bağının orantılılık ilkesi kapsamında incelenmesine ilişkin bknz: Çiğdem Ayözger Öngün, Kişisel Verilerin Korunması Hukuku, 2.bs., Beta, İstanbul 2019, s.140-141; Hayrunisa Özdemir, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, 1.bs., Seçkin, Ankara 2009, s.143-144.
[8] Kişisel Verileri Koruma Kurumu yayımladığı bir duyuruda, saklama süresine dair benzer bir örnek vermiştir: “Bir benzin istasyonunda belirli bir sürede belirli miktarda benzin alan kişilere ödül vereceği bir kampanyada katılım için topladığı isim ve araç plaka bilgilerini başka herhangi bir işleme şartı yok ise kampanya bitiminde silmesi gerekir.” Kişisel Verileri Koruma Kurumu, Örneklerle Kişisel Verilerin Korunması, Yayın No: 9, Ankara 2019.; benzer örnek için bknz. Oğulcan Özkan, Kişisel Verilerin Korunması, 1.bs., Yetkin, Ankara 2020, s.94.
[9] KVKK, m.7.
[10] KVKK, m.11.