Kişisel Verilerin Yok Edilmesi KVKK’ya Göre Silme, Yok Etme ve Anonimleştirme Süreçleri
Kişisel verilerin yok edilmesi; ilgili verilerin hiç kimse tarafından erişilemeyeceği, geri getirilemeyeceği ve tekrar kullanılamayacağı şekilde, tüm kopyalarıyla birlikte kalıcı olarak ortadan kaldırılması işlemidir. Bu süreçte verilerin bulunduğu tüm ortamlar (fiziksel ve elektronik) tespit edilir; ortama uygun de-manyetize etme, fiziksel imha, üzerine yazma (overwrite) gibi yöntemler kullanılarak veri tamamen yok edilir.
KVKK m.7 ve ikincil mevzuat, veri sorumlularına; işleme amacının sona erdiği veya ilgili kişinin rızasını geri çektiği durumlarda kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü getirir. Bu rehber, kişisel verilerin yok edilmesi kavramını, kullanılan teknik yöntemleri, süreç adımlarını ve kurumsal veri imha politikalarının nasıl kurgulanması gerektiğini bütüncül bir bakış açısıyla ele almaktadır.
Esas amaç: Veriyi tüm kopyalarıyla birlikte kalıcı olarak ortadan kaldırmak.
KVKK m.7: İşleme amacı ortadan kalkan kişisel verilerin
silinmesini, yok edilmesini veya anonim hale getirilmesini zorunlu kılar.
Yöntemler: De-manyetize etme, fiziksel imha, üzerine yazma, termal/kimyasal imha vb.
Politika: Kurumlar, periyodik imha takvimi içeren
kişisel veri saklama ve imha politikası oluşturmalı ve uygulamalıdır.
1. Hukuki Dayanak: KVKK m.7 ve İmha Yükümlülüğü
Kişisel verilerin yok edilmesine ilişkin temel çerçeve, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde ve ikincil düzenlemelerde (örneğin Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik) çizilmiştir.
KVKK m.7 uyarınca; kişisel veriler, işleme şartlarının tamamının ortadan kalkması hâlinde veri sorumlusu tarafından kendiliğinden veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli ya da anonim hale getirilmelidir. Bu yükümlülük, veri sorumlusunun veriyi süresiz olarak elinde tutamayacağı ve “gerektiği kadar veri, gerektiği süreyle” ilkesiyle hareket etmesi gerektiği anlamına gelir.
1.1. İşleme Amacının Sona Ermesi ve Rızanın Geri Çekilmesi
Kişisel verilerin yok edilmesini gerektiren başlıca durumlar şunlardır:
- Kişisel verilerin işlenme amacının tamamen ortadan kalkması (sözleşmenin sona ermesi, hizmet ilişkisinin bitmesi, proje tamamlanması vb.).
- Kişisel verilerin işlenmesine dayanak teşkil eden açık rızanın geri çekilmesi ve işleme için başka bir hukuki sebep bulunmaması.
- Veri işlemenin hukuka aykırı hâle gelmesi veya saklama süresinin dolması.
Bu hâllerin ortaya çıkmasıyla birlikte veri sorumlusu, ilgili kişisel veriyi artık elinde tutmak için meşru bir hukuki sebebe sahip değildir ve veriyi silmek, yok etmek veya anonimleştirmek zorundadır.
1.2. Yönetmelik ve Kurumsal İmha Yükümlülükleri
İlgili Yönetmelik, veri sorumlularına; veri envanteri ve VERBİS kayıtlarıyla uyumlu, yazılı bir kişisel veri saklama ve imha politikası oluşturma, veri türü ve saklama sürelerine uygun periyodik imha takvimi belirleme ve yapılan silme/yok etme/anonimleştirme işlemlerini belgelendirme yükümlülüğü yükler.
2. Temel Tanımlar: Silme, Yok Etme ve Anonimleştirme
Kişisel verilerin imhası kavramı; benzer görünmekle birlikte teknik ve hukuki açıdan farklılaşan silme, yok etme ve anonim hale getirme yöntemlerini kapsar.
| Terim | Tanım | Örnek Uygulama |
|---|---|---|
| Silme | Kişisel verilerin, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi. Veri, sistemde teknik olarak varlığını sürdürebilir; ancak yetkili hiçbir kullanıcı tarafından görüntülenemez. | Üretim veritabanında aktif olmayan müşteri kayıtlarının uygulama arayüzünden ve kullanıcı erişim yetkilerinden tamamen kaldırılması. |
| Yok Etme | Kişisel verilerin bulunduğu tüm ortamlar ve kopyalar dikkate alınarak, verinin hiç kimse tarafından erişilemeyeceği, geri getirilemeyeceği ve tekrar kullanılamayacağı şekilde kalıcı olarak ortadan kaldırılması. | Sabit disk, manyetik bant veya optik medyada bulunan kayıtların de-manyetize edilmesi, fiziksel olarak parçalanması veya üzerine birden fazla kez veri yazılması. |
| Anonimleştirme | Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir şekilde gerçek kişiyle ilişkilendirilemeyeceği hâle getirilmesi. | Müşteri veri setindeki ad-soyad, TCKN gibi alanların kalıcı olarak kaldırılması, kimliği belirleyen alanların geri döndürülemeyecek şekilde maskeleme ve genelleştirme teknikleriyle işlenmesi. |
Özellikle “yok etme” işlemi; verilerin tüm kopyalarının tespit edilmesini, uygun tekniğin seçilmesini ve işlemin geri döndürülemez şekilde tamamlandığının doğrulanmasını gerektirir.
3. Kişisel Verilerin Yok Edilmesi İçin Kullanılan Yöntemler
Kişisel verilerin yok edilmesi için kullanılacak yöntem, verinin bulunduğu ortama, teknolojiye, saklama biçimine ve risk seviyesine göre belirlenmelidir. Aşağıda, uygulamada en sık kullanılan yöntemler özetlenmektedir.
3.1. De-Manyetize Etme (Demanyetizasyon)
Manyetik ortamlarda (manyetik bantlar, geleneksel sabit disk sürücüleri vb.) saklanan veriler, de-manyetize etme yöntemiyle yok edilebilir. Bu yöntemde; manyetik ortamdaki veriler, güçlü bir manyetik alana maruz bırakılarak, ortamdaki tüm kayıtların okunamaz hâle gelmesi sağlanır.
- Özellikle arşiv amaçlı kullanılan manyetik bant kütüklerinde tercih edilir.
- İşlem sonrası ortam, veri depolama amacıyla kullanılamayacak duruma gelebilir.
3.2. Geleneksel Yok Etme (Fiziksel İmha)
Fiziksel imha, verinin bulunduğu ortamın geri döndürülemez şekilde yok edilmesini ifade eder. Örneğin:
- Kağıt dokümanların parçalanması, öğütülmesi veya yakılması,
- Sabit disklerin, SSD’lerin, optik medyaların (CD, DVD) kırılması, delme veya eritme işlemleriyle fiziksel olarak imha edilmesi.
Bu yöntemle imha edilen ortamlardan veri kurtarılması pratikte mümkün değildir ve özellikle yüksek gizlilik düzeyine sahip veriler için tercih edilir.
3.3. Üzerine Yazma (Overwrite)
Üzerine yazma, özellikle elektronik ortamlarda kullanılan yaygın bir yok etme yöntemidir. Bu yöntemde mevcut verilerin bulunduğu alanlara, bir veya birden fazla kez rastgele veri yazılır ve orijinal verilerin okunamaz hâle gelmesi sağlanır.
- Sabit diskler, SSD’ler, USB bellekler ve diğer elektronik depolama ortamları için uygulanabilir.
- Birden fazla tur (pass) üzerine yazma, verinin kurtarılma ihtimalini en aza indirir.
3.4. Diğer Yok Etme Yöntemleri
Kullanılan teknolojilere, ortam türüne ve risk seviyesine göre aşağıdaki yöntemler de devreye alınabilir:
- Termal imha: Ortamın yüksek ısıya maruz bırakılarak fiziksel bütünlüğünün yok edilmesi.
- Kimyasal imha: Özellikle bazı optik veya manyetik ortamlarda kimyasal çözücülerle imha.
- Manyetik şeritlerin kesilmesi: Özellikle eski nesil yedekleme ortamlarında kullanılır.
Tüm yöntemlerin ortak amacı; verilerin bulunduğu ortamın tamamen temizlenmesi ve verilerin herhangi bir şekilde kurtarılmasının teknik olarak mümkün olmamasıdır.
4. Kişisel Verilerin Yok Edilme Süreci Adımları
Kişisel verilerin yok edilmesi, yalnızca teknik bir operasyon değil; KVKK ve veri koruma mevzuatı çerçevesinde kurgulanmış bir süreç yönetimidir. Bu sürecin temel aşamaları aşağıdaki gibi özetlenebilir.
4.1. Verilerin Yok Edilme Amacının ve Gerekçesinin Belirlenmesi
İlk adım, hangi verilerin neden yok edilmesi gerektiğinin netleştirilmesidir. Örneğin:
- İşleme amacının sona ermesi (sözleşmenin bitmesi, ilişki sonlanması),
- İlgili kişinin açık rızasını geri çekmesi ve başka bir işleme sebebinin bulunmaması,
- Saklama süresinin dolması veya verinin hukuka aykırı işlendiğinin tespit edilmesi.
4.2. Tüm Kopyaların ve Ortamların Tespit Edilmesi
Verilerin yok edilme süreci başlatılmadan önce, verinin:
- Hangi sistemlerde (uygulama veritabanı, yedekleme sistemleri, log sunucuları vb.),
- Hangi fiziksel ortamlarda (kağıt arşiv, manyetik bant, harici disk vb.),
- Hangi kopyalar ve çoğaltmalar şeklinde
bulunduğunun eksiksiz biçimde tespit edilmesi gerekir. Bu adım, “görünmeyen” kopyaların veri üzerinde kontrolü sürdürmesine engel olur.
4.3. Elektronik Ortamlarda Verilerin Yok Edilmesi
Elektronik ortamlarda saklanan kişisel veriler; üzerine yazma, de-manyetize etme veya fiziksel imha gibi yöntemlerle kalıcı olarak yok edilir. Özellikle:
- Sabit diskler, SSD’ler, SAN/NAS depolama sistemleri,
- USB bellekler ve taşınabilir diskler,
- Veri yedekleme üniteleri ve arşiv sistemleri
bu aşamada dikkate alınmalıdır.
4.4. Diğer Fiziksel Ortamlarda Verilerin Yok Edilmesi
Elektronik olmayan ortamlarda (kağıt dokümanlar, optik medya, manyetik şeritler vb.) yer alan kişisel veriler, fiziksel imha yöntemleriyle ortadan kaldırılmalıdır. Örneğin:
- Kağıt dosyaların kurumsal standartlara uygun şekilde parçalanması veya öğütülmesi,
- CD/DVD gibi optik medyanın kırılması veya eritilmesi,
- Manyetik şeritlerin kesilmesi veya yakılması.
4.5. Kalıcı Silme ve Geri Getirilememe Doğrulaması
Sürecin en kritik adımı, kişisel verilerin artık hiçbir şekilde geri getirilemeyeceği ve kullanılamayacağının doğrulanmasıdır. Bu kapsamda:
- Uygulanan yok etme yönteminin kayıt altına alınması,
- Gerekirse test veya denetimlerle verinin geri getirilemediğinin teknik olarak doğrulanması,
- İmha işleminin tarih, kapsam ve yöntem bilgilerinin imha kayıtlarında tutulması
gerekir. Böylece veri sorumlusu, hem KVKK’ya uyumu ispat edebilir hem de ilgili kişinin veri koruma haklarına saygı gösterdiğini somutlaştırmış olur.
5. Riskler, Uyum ve En İyi Uygulamalar
Kişisel verilerin yok edilmesi sürecinin ihmal edilmesi veya hatalı yürütülmesi; hem güvenlik ve gizlilik hem de hukuki uyum açısından önemli riskler doğurur.
5.1. Veri Güvenliği ve İhlal Riskleri
- Yok edilmesi gereken verilerin sistemlerde tutulmaya devam etmesi, olası bir siber saldırı veya yetkisiz erişim durumunda gereksiz veri sızıntısı riskini artırır.
- Özellikle özel nitelikli kişisel veriler bakımından, imha sürecinin ihmal edilmesi ağır idari para cezaları ve itibar kaybı ile sonuçlanabilir.
5.2. Hukuki ve Düzenleyici Uyum Riskleri
- KVKK m.7’ye aykırı olarak saklanan veriler; denetimlerde, mevzuata aykırılık olarak tespit edilebilir.
- Kayıt dışı saklanan ve imhası yapılmayan veriler, veri ihlali bildirim süreçlerini ve sorumluluğu daha da ağırlaştırır.
5.3. Operasyonel ve Teknolojik Riskler
- Eski sistemler ve uyumsuz yedekleme çözümleri, imha sürecinde görünmeyen kopyaların kalmasına yol açabilir.
- Yetersiz loglama ve dokümantasyon, hangi verinin ne zaman ve nasıl imha edildiğinin ispatını zorlaştırır.
5.4. En İyi Uygulamalar
- Güncel ve uygulanan bir kişisel veri saklama ve imha politikası oluşturmak,
- Veri envanteri ile saklama sürelerini eşleştirerek periyodik imha takvimi tanımlamak,
- İmha kayıtlarını, denetime hazır olacak şekilde belgelendirmek,
- Bilgi işlem, hukuk ve iş birimlerinin birlikte çalıştığı çok disiplinli bir yapı kurmak,
- İmha süreçlerini, iç denetim ve sızma testleri ile düzenli aralıklarla gözden geçirmek
hem uyum risklerini azaltır hem de kişisel verilerin güvenliğine yönelik kurumsal taahhüdü güçlendirir.
6. Sık Sorulan Sorular
Kişisel verilerin yok edilmesi ile silinmesi arasında fark var mı?
Evet. Silme, verinin kullanıcılar için erişilemez ve kullanılamaz hâle getirilmesini; yok etme ise verinin bulunduğu tüm ortamlardan kalıcı olarak tamamen ortadan kaldırılmasını ifade eder. Yok etme sonrasında verinin geri getirilmesi teknik olarak mümkün olmamalıdır.
Verilerimi ne zaman yok etmek zorundayım?
Kişisel verilerin işlenme amacı ortadan kalktığında veya veriyi işlemek için dayandığınız hukuki sebep sona erdiğinde (örneğin ilgili kişi rızasını geri çektiğinde) ve veriyi saklamanızı gerektiren başka bir hukuki yükümlülük bulunmadığında, veriyi silmek, yok etmek veya anonim hale getirmek zorundasınız.
Yok edilen veriler gerçekten hiç mi geri getirilemez?
Doğru yöntemler seçilip uygulanır ve süreç sonunda gerekli teknik kontroller yapılırsa; kişisel verinin geri getirilememesi gerekir. Bu nedenle, kullanılan yok etme yönteminin ilgili ortama uygun olması ve işlemin doğrulanarak kayıt altına alınması kritik önemdedir.
Yedeklerden de verileri silmek gerekiyor mu?
Evet. Kişisel verilerin yok edilmesi sürecinde, verinin bulunduğu tüm ortamlar ve kopyalar dikkate alınmalıdır. Bu kapsamda; yedekleme sistemleri, test ortamları ve log kayıtları da veri imha politikası kapsamına alınmalı ve uygun zamanda imha sürecine dahil edilmelidir.
Anonimleştirme ile yok etme arasında nasıl karar vermeliyim?
Eğer veri, kimliği belirlenebilir kişiyle ilişkilendirilemeyecek hâle getirildiğinde dahi istatistiksel, araştırma veya raporlama gibi amaçlarla kullanılabilecekse; anonimleştirme tercih edilebilir. Bu mümkün değilse veya risk yüksekse, yok etme yöntemi daha güvenli olacaktır.
