Ercüment Erdem Av. Ecem Süsoy Uygun

Kişisel Verilerin İmhası

Kasım 2017

Giriş

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”)[1] 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlandı. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine, bir diğer adıyla imhasına ilişkin usul ve esasları belirleyen Yönetmelik, 01.01.2018 tarihinde yürürlüğe girer. Ayrıca, Yönetmelik’te yer alan silme, yok etme veya anonim hale getirme işlemlerinin nasıl gerçekleştirileceği hakkında uygulamada açıklık sağlanması açısından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”)[2] Kişisel Verileri Koruma Kurumu tarafından hazırlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“6698 sayılı Kanun”) istinaden düzenlenen Yönetmelik ile Yönetmelik’in uygulamasına açıklık getiren Rehber bu makalede kısaca ele alınır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Halleri

Öncelikle, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, 6698 sayılı Kanun md. 7’de düzenlenir. İlgili madde uyarınca, 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun işlenmiş olmasına rağmen, ‘işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde’ kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi hallerine Yönetmelik ve Rehber’de açıklık getirilmiştir. Bu haller aşağıda ayrı ayrı açıklanır.

Kişisel Verilerin Silinmesi

Yönetmelik uyarınca, kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin çeşitli kayıt ortamlarında saklanabilmesi nedeniyle ilgili kayıt ortamlarına uygun yöntemlerle silinmeleri gerekir. Örneğin bulut ortamındaki (Office 365, Salesforce, Dropbox gibi) veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir. Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır. Merkezi sunucuda yer alan ofis dosyaları için dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmalı ve bu ortamlara uygun yazılımlar kullanılarak silinmelidir. Ayrıca, kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (Delete vb.) silinmesi gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir.

Kişisel Verilerin Yok Edilmesi

Yönetmelik uyarınca, kişisel verilerin yok edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre (örn. yerel sistemler, çevresel sistemler, kağıt ve mikrofiş ortamları ile bulut ortamı) tek tek yok edilmesi gerekir. Yerel sistemler üzerindeki verilerin yok edilmesi için, verilerin de-manyetize edilmesi, fiziksel olarak yok edilmesi (optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi) ve üzerine yazma gibi yöntemler kullanılabilir. Çevresel sistemlerde, çeşitli sayıdaki ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri Rehber’de detaylıca ele alınmıştır.

Kağıt ve mikrofiş ortamlarındaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize edilmesi, fiziksel olarak yok edilmesi ve üzerine yazma gibi yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

Bulut ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir. Ayrıca, arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesine ilişkin yöntemler de Rehber’de önerilir.

Kişisel Verilerin Anonim Hale Getirilmesi

Yönetmelik uyarınca, kişisel verilerin anonim hale getirilmesi; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.

Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekir.

Kişisel verilerin anonim hale getirilesine ilişkin pek çok yöntem bulunur. Bu yöntemlerinden hangilerinin uygulanacağına ellerindeki verileri göz önünde bulundurarak veri sorumluları karar verir. Anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine ilişkin olarak; verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, verinin işleme amacı gibi veri özelliklerinin dikkate alınması önemlidir.

Kişisel Veri Saklama ve İmha Politikası

6698 sayılı Kanun’un 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. Veri sorumlusunun kişisel veri saklama ve imha politikası hazırlamış olması; kişisel verilerin 6698 sayılı Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. Ayrıca, kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, 6698 sayılı Kanun ve Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder.

Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. Kişisel veri saklama ve imha politikası asgari olarak; politikanın hazırlanma amacına, kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, politikada yer verilen hukuki ve teknik terimlerin tanımlarına, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsar.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Kişisel Verilerin İmha Edilme Süresi

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirmekle yükümlüdür. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir ve dikkat edilmelidir ki; bu süre her halde altı ayı geçemez. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu ise, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür.

Kişisel verisi işlenen gerçek kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Bu durumda eğer, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Sonuç

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirleyen Yönetmelik ve kişisel verilerin imha edilmesine ilişkin işlemlerin nasıl gerçekleştirileceği hakkında uygulamada açıklık sağlanması açısından hazırlanan Rehber oldukça önemlidir. Kısa süre içerisinde yürürlüğe girecek olan Yönetmelik’in kişisel verilerin imhasına ilişkin yöntemlere ışık tutacağı şüphesiz olmakla birlikte söz konusu Yönetmelik’in uygulaması merakla beklenmektedir.

[1] Bkz. http://mevzuat.basbakanlik.gov.tr/Metin.Aspx?MevzuatKod=7.5.24038&MevzuatIliski=0&sourceXmlSearch=ki%C5%9Fisel%20veri (Son erişim tarihi: 01.12.2017).

[2] Bkz. http://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20S%C4%B0L%C4%B0NMES%C4%B0,%20YOK%20ED%C4%B0LMES%C4%B0%20VEYA%20ANON%C4%B0M%20HALE%20GET%C4%B0R%C4%B0LMES%C4%B0%20REHBER%C4%B0.pdf  (Son erişim tarihi: 01.12.2017).