HUKUKU-POSTASI-2017

314 HUKUK POSTASI 2017 Kişisel Verilerin Yok Edilmesi Yönetmelik uyarınca, kişisel verilerin yok edilmesi; kişisel veri- lerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbir- leri almakla yükümlüdür. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kop- yaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre (örn. yerel sistemler, çevresel sistemler, kağıt ve mikrofiş ortamları ile bulut ortamı) tek tek yok edilmesi gerekir. Yerel sistemler üzerindeki verilerin yok edilmesi için, verilerin de-manyetize edilmesi, fiziksel olarak yok edilmesi (optik ve manyetik medyanın eritilmesi, yakılma- sı veya toz haline getirilmesi gibi) ve üzerine yazma gibi yöntemler kullanılabilir. Çevresel sistemlerde, çeşitli sayıdaki ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri Rehber’de detaylıca ele alınmıştır. Kağıt ve mikrofiş ortamlarındaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi ge- rekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma ma- kinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel ve- rilerin ise bulundukları elektronik ortama göre de-manyetize edilmesi, fiziksel olarak yok edilmesi ve üzerine yazma gibi yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. Bulut ortamında yer alan kişisel verilerin depolanması ve kulla- nımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çö- zümü için ayrı ayrı şifreleme anahtarları kullanılması gerekir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir. Ayrıca, arızalanan ya da bakıma gönderilen cihaz- larda yer alan kişisel verilerin yok edilmesine ilişkin yöntemler de Rehber’de önerilir.