Kişisel Verilerin İmhası
Giriş
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”)[1] 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlandı. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine, bir diğer adıyla imhasına ilişkin usul ve esasları belirleyen Yönetmelik, 01.01.2018 tarihinde yürürlüğe girer. Ayrıca, Yönetmelik’te yer alan silme, yok etme veya anonim hale getirme işlemlerinin nasıl gerçekleştirileceği hakkında uygulamada açıklık sağlanması açısından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”)[2] Kişisel Verileri Koruma Kurumu tarafından hazırlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“6698 sayılı Kanun”) istinaden düzenlenen Yönetmelik ile Yönetmelik’in uygulamasına açıklık getiren Rehber bu makalede kısaca ele alınır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Halleri
Öncelikle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, 6698 sayılı Kanun md. 7’de düzenlenir. İlgili madde uyarınca, 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun işlenmiş olmasına rağmen, ‘işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde’ kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi hallerine Yönetmelik ve Rehber’de açıklık getirilmiştir. Bu haller aşağıda ayrı ayrı açıklanır.
Kişisel Verilerin Silinmesi
Yönetmelik uyarınca, kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin çeşitli kayıt ortamlarında saklanabilmesi nedeniyle ilgili kayıt ortamlarına uygun yöntemlerle silinmeleri gerekir. Örneğin bulut ortamındaki (Office 365, Salesforce, Dropbox gibi) veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir. Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır. Merkezi sunucuda yer alan ofis dosyaları için dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmalı ve bu ortamlara uygun yazılımlar kullanılarak silinmelidir. Ayrıca, kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (Delete vb.) silinmesi gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir.
Kişisel Verilerin Yok Edilmesi
Yönetmelik uyarınca, kişisel verilerin yok edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre (örn. yerel sistemler, çevresel sistemler, kağıt ve mikrofiş ortamları ile bulut ortamı) tek tek yok edilmesi gerekir. Yerel sistemler üzerindeki verilerin yok edilmesi için, verilerin de-manyetize edilmesi, fiziksel olarak yok edilmesi (optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi) ve üzerine yazma gibi yöntemler kullanılabilir. Çevresel sistemlerde, çeşitli sayıdaki ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri Rehber’de detaylıca ele alınmıştır.
Kağıt ve mikrofiş ortamlarındaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize edilmesi, fiziksel olarak yok edilmesi ve üzerine yazma gibi yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
Bulut ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir. Ayrıca, arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesine ilişkin yöntemler de Rehber’de önerilir.
Kişisel Verilerin Anonim Hale Getirilmesi
Yönetmelik uyarınca, kişisel verilerin anonim hale getirilmesi; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.
Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekir.
Kişisel verilerin anonim hale getirilesine ilişkin pek çok yöntem bulunur. Bu yöntemlerinden hangilerinin uygulanacağına ellerindeki verileri göz önünde bulundurarak veri sorumluları karar verir. Anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine ilişkin olarak; verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, verinin işleme amacı gibi veri özelliklerinin dikkate alınması önemlidir.
Kişisel Veri Saklama ve İmha Politikası
6698 sayılı Kanun’un 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlamış olması; kişisel verilerin 6698 sayılı Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. Ayrıca, kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, 6698 sayılı Kanun ve Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.
Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. Kişisel veri saklama ve imha politikası asgari olarak; politikanın hazırlanma amacına, kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, politikada yer verilen hukuki ve teknik terimlerin tanımlarına, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsar.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel Verilerin İmha Edilme Süresi
Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirmekle yükümlüdür. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir ve dikkat edilmelidir ki; bu süre her halde altı ayı geçemez. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu ise, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür.
Kişisel verisi işlenen gerçek kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Bu durumda eğer, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Sonuç
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirleyen Yönetmelik ve kişisel verilerin imha edilmesine ilişkin işlemlerin nasıl gerçekleştirileceği hakkında uygulamada açıklık sağlanması açısından hazırlanan Rehber oldukça önemlidir. Kısa süre içerisinde yürürlüğe girecek olan Yönetmelik’in kişisel verilerin imhasına ilişkin yöntemlere ışık tutacağı şüphesiz olmakla birlikte söz konusu Yönetmelik’in uygulaması merakla beklenmektedir.
[1] Bkz. http://mevzuat.basbakanlik.gov.tr/Metin.Aspx?MevzuatKod=7.5.24038&MevzuatIliski=0&sourceXmlSearch=ki%C5%9Fisel%20veri (Son erişim tarihi: 01.12.2017).
[2] Bkz. http://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20S%C4%B0L%C4%B0NMES%C4%B0,%20YOK%20ED%C4%B0LMES%C4%B0%20VEYA%20ANON%C4%B0M%20HALE%20GET%C4%B0R%C4%B0LMES%C4%B0%20REHBER%C4%B0.pdf (Son erişim tarihi: 01.12.2017).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Eylül 2025’te Avrupa Birliği Adalet Divanı (“ABAD”), Single Resolution Board (SRB) v. European Data Protection Supervisor (EDPS) davasında , AB veri koruma rejimi kapsamında yeni bir karar verdi...
Türkiye’de son dönemde özellikle perakende mağazalarda, ürün ve hizmet sunumları sırasında ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi ve bu yolla kişisel verilerin işlenmesi giderek yaygınlaşmıştır. Kişisel Verileri Koruma Kurulu’na (“Kurul”) intikal eden şikâyetlerde; ödeme yapma, kayıt açma...
Günümüzde iş sağlığı ve güvenliği, işyeri düzeninin sağlanması, iç denetim mekanizmalarının işletilmesi ve olası suistimallerin önlenmesi gibi gerekçelerle işverenler tarafından güvenlik kamerası sistemleri yaygın biçimde kullanılmaktadır...
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt dışına aktarımı konusunda belirli kurallar öngörse de, uygulamada yaşanan bazı zorluklar nedeniyle yurt dışına aktarım kurallarının etkin işleyişi zamanla sınırlanmıştı...
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi esas alınarak hazırlanmış ve 2016 yılında yürürlüğe girmiştir. Anılan direktif ise, Avrupa Birliği Veri...
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Günümüz dünyasında artık pek çok ürün ve hizmeti bulunduğumuz yerden tek bir tık ile e-ticaret platformları aracılığıyla satın alma imkanına sahibiz. Bu alışverişler sırasında, siparişin alınması, yönetimi ve teslimi, sipariş sonrası bilgilendirme, reklam ve pazarlama gibi çeşitli nedenlerle kişisel verilerimiz...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
