Kişisel Verilerin İmhası Nedir? KVKK Kapsamında Silme, Yok Etme ve Anonim Hale Getirme Süreçleri

Kişisel verilerin korunmasına ilişkin yükümlülükler yalnızca verilerin hukuka uygun şekilde toplanması ve işlenmesi ile sınırlı değildir. Kişisel verilerin işlenmesini gerektiren sebebin ortadan kalkması halinde bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi de veri sorumlularının temel yükümlülükleri arasında yer almaktadır. Uygulamada birçok kurum ve şirket kişisel verileri toplamakta ve kullanmakta; ancak bu verilerin ne zaman ve hangi yöntemlerle imha edilmesi gerektiği konusunda yeterli farkındalığa sahip olmayabilmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7’nci maddesi uyarınca, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusu tarafından kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Kanun, kişisel verilerin süresiz olarak saklanmasına izin vermemekte; veri işleme amacı sona erdiğinde veri sorumlusuna aktif bir imha yükümlülüğü yüklemektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ise bu yükümlülüğün nasıl yerine getirileceğini ayrıntılı şekilde düzenlemektedir. Yönetmelik kapsamında silme, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. Yok etme, verilerin hiç kimse tarafından erişilemeyecek veya geri getirilemeyecek şekilde ortadan kaldırılmasıdır. Anonim hale getirme ise kişisel verilerin başka verilerle eşleştirilse dahi belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Uygulamada en sık karşılaşılan hatalardan biri, kişisel verilerin işleme amacı sona ermesine rağmen “ileride lazım olabilir” düşüncesiyle sistemlerde ya da fiziki olarak tutulmaya devam edilmesidir. Oysa KVKK sistematiği, veri minimizasyonu ve saklama süresinin sınırlandırılması ilkeleri üzerine kuruludur. Bir verinin hukuka uygun şekilde elde edilmiş olması, onun süresiz olarak saklanabileceği anlamına gelmemektedir.

Veri sorumluları, kişisel verilerin hangi amaçla işlendiğini ve bu amacın ne zaman sona ereceğini önceden belirlemek zorundadır. Bu nedenle saklama sürelerinin belirlenmesi ve bu sürelere bağlı imha mekanizmalarının oluşturulması KVKK uyum çalışmalarının temel unsurlarından biridir. Özellikle çalışan verileri, müşteri verileri, ziyaretçi kayıtları, kamera kayıtları, tedarikçi verileri ve aday çalışan verileri bakımından farklı mevzuatlardan kaynaklanan saklama süreleri dikkate alınmalıdır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca uygulanacak yöntem, verinin bulunduğu ortamın niteliğine göre değişmektedir. Elektronik ortamlarda tutulan veriler bakımından erişim yetkilerinin kaldırılması, kullanıcı hesaplarının kapatılması, verilerin geri döndürülemeyecek şekilde silinmesi veya şifreleme anahtarlarının yok edilmesi gibi yöntemler kullanılabilmektedir. Fiziksel ortamlarda bulunan kişisel veriler ise karartma, fiziksel imha veya evrak öğütme yöntemleriyle erişilemez hale getirilebilmektedir.

Ancak veri sorumlularının dikkat etmesi gereken husus, yalnızca görünürde bir silme işlemi gerçekleştirmek değil, verilerin ilgili kullanıcılar tarafından tekrar erişilemeyecek ve kullanılamayacak hale getirilmesini sağlamaktır. Bu nedenle imha yönteminin seçimi sırasında verinin bulunduğu ortam, verinin niteliği, veri güvenliği riskleri ve teknik imkanlar birlikte değerlendirilmelidir.

Anonim hale getirme yönteminde ise veri tamamen ortadan kaldırılmamakta, belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir. Bu kapsamda maskeleme, toplulaştırma, veri türetme veya veri kümelerinin birleştirilmesi gibi çeşitli anonimleştirme tekniklerinden yararlanılabilmektedir.

Yönetmelik kapsamında saklama ve imha politikası hazırlama yükümlülüğü bulunan veri sorumlularının, kişisel verilerin hangi sürelerle saklanacağını, hangi yöntemlerle imha edileceğini ve bu süreçlerden kimlerin sorumlu olduğunu belirlemesi gerekmektedir. Ayrıca imha işlemlerinin kayıt altına alınması ve bu kayıtların en az üç yıl süreyle saklanması zorunludur.

Kişisel Verileri Koruma Kurulu kararlarında da kişisel verilerin gereğinden uzun süre saklanmasının veri güvenliği risklerini artırdığı ve Kanun’a aykırılık oluşturabileceği vurgulanmaktadır. Kurul, birçok kararında veri işleme amacı sona eren verilerin sistemlerde tutulmaya devam edilmesini hukuka aykırı değerlendirmiştir. Bu nedenle veri sorumlularının yalnızca veri toplama süreçlerine değil, veri yaşam döngüsünün son aşaması olan imha süreçlerine de aynı özeni göstermesi gerekmektedir.

Avrupa Birliği veri koruma hukukunda da benzer yaklaşım benimsenmektedir. GDPR’ın 5’inci maddesinde yer alan “storage limitation” (saklama süresinin sınırlandırılması) ilkesi uyarınca kişisel veriler, işlenme amaçları için gerekli olan süreden daha uzun süre muhafaza edilemez. Avrupa Komisyonu ve Avrupa Veri Koruma Kurulu (EDPB), veri sorumlularının belirli saklama süreleri oluşturmasını, düzenli gözden geçirme mekanizmaları kurmasını ve işleme amacı sona eren verileri silmesini beklemektedir.

Özellikle son yıllarda Avrupa veri koruma otoriteleri, silme hakkı ve saklama süreleri konusundaki denetimlerini artırmıştır. Veri sorumlularının yalnızca ilgili kişinin talebi üzerine değil, işleme şartları ortadan kalktığında kendiliğinden harekete geçerek imha süreçlerini işletmesi gerektiği vurgulanmaktadır.

Kişisel verilerin imhası, çoğu zaman KVKK uyum çalışmalarının son aşaması olarak görülse de gerçekte veri koruma sisteminin en önemli unsurlarından biridir. Çünkü gereksiz şekilde saklanan her veri, veri ihlali, yetkisiz erişim ve hukuki sorumluluk risklerini artırmaktadır. Bu nedenle şirketlerin veri işleme envanterlerini güncel tutmaları, saklama sürelerini belirlemeleri, saklama ve imha politikalarını oluşturmaları ve düzenli periyodik imha süreçlerini işletmeleri büyük önem taşımaktadır.

Kişisel verilerin korunmasına ilişkin yükümlülükler yalnızca verilerin elde edilmesi ve kullanılması ile sınırlı değildir. Verilerin doğru zamanda ve doğru yöntemle imha edilmesi de veri sorumlularının hukuki sorumluluğunun ayrılmaz bir parçasıdır.

Yararlanılan Kaynaklar

1. 6698 sayılı Kişisel Verilerin Korunması Kanunu m. 7
2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
3. KVKK, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi
4. KVKK Kurumu – Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Bilgilendirme Sayfası
5. GDPR m. 5/1-e (Storage Limitation Principle)
6. Avrupa Komisyonu – Data Retention ve Storage Limitation Rehberleri
7. EDPB – Data Protection by Design and by Default Guidelines
8. EDPB – Right to Erasure ve Veri Saklama Sürelerine İlişkin Çalışmaları

Şirketinizde kişisel verilerin saklanması, silinmesi, anonim hale getirilmesi veya periyodik imha süreçlerinin mevzuata uygun şekilde yürütülmesi konusunda destek almak için KVKK Uyum Danışmanlığı hizmet sayfamızı inceleyebilirsiniz.