Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi veri sorumlusunun uyması gereken yükümlülüklerden biridir. Silme, yok etme veya anonim hale getirme işlemlerinin yapılmasında tercih edilecek usul ve periyodik imha sürelerinin tespiti konuya ilişkin önem arz eden hususlardandır. Yükümlülüğün yerine getirilmesinde hata yahut eksiklik bulunması idari para cezalarının verilmesine neden olabilmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesinin Hukuki Dayanağı

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinin hukuki dayanağı Kişisel Verilerin Korunması Kanunu madde 7 hükmüdür. Bunun yanında, konuya ilişkin detaylar, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerinde düzenlenmektedir. 

İlgili kanuni düzenlemelere göre, veri işleme sebeplerinin ortadan kalkması halinde, veri sorumlusu tarafından işlenmekte olan yahut işlenmiş olan kişisel verilerin uygun yöntemlerle derhal imha edilmesi zorunludur. Bu husus veri sorumlusunun kanuni yükümlülüklerinden biri olarak düzenlenmiştir.

Kişisel Verilerin İmha Edilme Sebepleri

Kişisel verilerin imha edilme sebepleri; Kişisel Verileri Koruma Kanunu m.5 ve 6 hükümlerinde sayılan sebeplerin tamamının ortadan kalkması halidir. 

Örneğin, ilgili kişiden açık rıza alınması hukuki sebebine dayalı olarak işlenen sağlık ve cinsel hayata ilişkin özel nitelikli verilerin, rızanın geri alınmasıyla işlenen kişisel verilerin imha edilmesi gerekmektedir. Bu noktada, ilgili kişisel verilerin işlenmesi için geçerli başka bir sebebin de olmaması gerekmektedir.

Sayılan sebeplerin ortadan kalkmasıyla veri sorumlusu imha süreçlerini işletmek zorundadır. Aynı şekilde, verisi işlenen ilgili kişi tarafından yapılan bildirim sonucunda da imha işlemleri gerçekleştirilebilmektedir.

Kişisel Verilerin Silinmesi Nedir?

Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hale getirilmesidir. İlgili kullanıcılar ise verilerin depolanması korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu bünyesinde veri işleyen kişilerdir. 

Diğer bir ifadeyle, bir kişisel veri silindiğinde, verilerin depolanması, korunması ve yedeklenmesinden sorumlu olan kişiler, söz konusu verilere erişim sağlamaya devam etmektedir. Ancak silinen verilere erişim yalnızca bu kişiler kapsamındadır. Örneğin, arşiv sorumlusu yahut veri tabanı sorumlusu vb.

Kişisel Verilerin Silinmesi Süreci

Kişisel verilerin sürülmesi sürecinde ilk olarak silme işlemine konu olan kişisel verilerin tespiti yapılmaktadır. Sonrasında erişim yetki ve kontrol matrisi ve benzeri sistemler kullanılarak ilgili kişisel veriye erişim sağlayan kullanıcılar belirlenmektedir. 

Kullanıcıların belirlenmesinin ardından, işleminden sonra ilgili verilere erişim, geri getirme, tekrar kullanma işlemlerinin yapılması konusundaki yetkiler ve yöntemler belirlenmektedir Sonuç olarak ilgili kullanıcıların mevzubahis kişisel verilere erişimi geri getirme yetkisi yahut tekrar kullanma yetkisi kapatılıp ortadan kaldırılmaktadır.

Kişisel Verilerin Silinmesine İlişkin Yöntemler

Kişisel verileri silinmesine ilişkin yöntemler; kişisel verilerin depolandığı yahut saklandığı ortama göre değişiklik göstermektedir. 

Veri tabanında bulunan verilerin, ilgili satırların veri tabanı komutları ile silinmesi gündeme gelebilir. Taşınabilir medyada bulunan kişisel verileri şifreleme sistemi ile saklanması yahut uygun yazılımlarla silinmesi söz konusu olabilmektedir. Merkezi sunucuda bulunan ofis dosyalarına ise erişim haklarının kaldırılması söz konusu olabilir. 

Diğer bir ihtimal olarak, fiziki dosyada bulunan verilerin karartma, teknolojik çözümlerle okunamayacak hale getirme, sabit mürekkep kullanarak görünmez hale getirme yahut kesme yöntemi ile silinmesi mümkündür.

Kişisel Verilerin Yok Edilmesi Nedir?

Kişisel verilerin yok edilmesi ilgili verilere hiç kimsenin erişim sağlayamayacağı şekilde imha işleminin yapılmasıdır. Yok edilen veriler hiçbir surette geri getirilememekte ve tekrar kullanılamamaktadır.

Kişisel verilerin yok edilmesi halinde; silme işleminde olduğu gibi arşiv sorumlusu yahut veri tabanı sorumlusu gibi kişilerin erişiminin devamı mümkün değildir.

Kişisel verilerin yok edilmesi yöntemleri; manyetize etme fiziksel belgeleri yok etme üzerine yazma gibi yöntemlerdir. Kullanılan yöntem kişisel verilerin niteliğine saklanma yöntemine göre değişiklik göstermektedir.

Kişisel Verilerin Anonim Hale Getirilmesi Nedir?

Kişisel verilerin anonim hale getirilmesi; ilgili veriler başka verilerle eşleştirilse dahi veri sahibinin kim olduğunun belirlenemeyecek hale getirilmesidir. Diğer bir ifade ile, bir kişisel verinin ayırt edici özelliklerinin değiştirilmesi suretiyle veri sahibinin saptanabilir olmaktan çıkarıldığı işlemlerdir.

Kişisel verilerin anonim hale getirilebilmesi için kişisel verinin niteliğine uygun olacak şekilde çeşitli yöntemler uygulanır. Bu yöntemlerden bazıları şunlardır:

  • Genelleştirme,
  • Değişkenleri çıkarma,
  • Örnekleme dönüştürme,
  • Gürültü ekleme,
  • Verileri değiştirme
  • Bölgesel gizleme.

Örneğin, ilgili kişiler tarafından yapılan alışverişlerde bireylerin satın aldıkları ürünlerin bireysel bazda kalem kalem tutulduğu veri işleme süreçlerinin; “1500 adet x üründen, 600 adet y üründen alınmıştır” ifadesi gibi genelleştirerek saklanması bir anonimleştirme işlemidir. 

Gürültü ekleme yolu ise genellikle sayısal verilere ilişkin kişisel verilerin anonimleştirilmesinde kullanılan bir yoldur. Bu yolda her kişisel verinin üstüne aynı oranda değerler eklenir. Örneğin, 21 yaşındaki K cinsiyetindeki İstanbul’da ikamet eden bireyin geliri 45.000; 32 yaşındaki E cinsiyetli Adana’da ikamet eden bireyin geliri 100.000 liradır. Listede yer alan tüm veriler üzerinde 50 bin liralık oynama yapılarak 95 bin ve 150 bin lira gibi gürültü eklenmiş olarak yeni veriler girilmektedir. 

Anonimleştirme yapılırken farklı veri kümeleriyle birlikte değerlendirme yapılsa dahi gerçek sonuçlara ulaşılamayacak şekilde düzenleme yapılması gerekmektedir. Aynı şekilde veriler bir araya getirildiğinde anlamlı bir bütün oluşturmamalı ve sonuç üretebilir hale gelmemelidir.

Anonimleştirme yolu tercih edilirken işlenen kişisel veri nitelikleri ve veri sorumlusunun iş niteliği dikkate alınarak değerlendirme yapılmaktadır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel Verilerin İmha Edileceği Zaman Aralığı

Kişisel verilerin periyodik olarak imha edileceği zaman aralığı en fazla 6 aydır. Bu süre her veri sorumlusu tarafından, hazırlanan kişisel veri saklama ve imha politikasında ayrıca belirlenir. 

Kişisel verileri saklama ve imha politikası hazırlama yükümlülüğünün sonradan ortaya çıkması halinde, yükümlülüğün ortaya çıktığı tarihten itibaren 3 ay içinde verilerin imha edilmesi gerekmektedir. Diğer bir ifadeyle, kişisel veri saklama ve imha politikası yükümlülüğü altında olmayan bir veri sorumlusu tarafından işlenen ve işleme sebebi ortadan kalkan veriler, verir sorumlusunun bu yükümlülüğe tabi olduğu tarihten itibaren 3 ay içinde imha edilmelidir.

İlgili kişi tarafından yapılan başvuru sonucu, kişisel verilere ilişkin imha taleplerinin en geç 30 gün içinde sonuçlandırılması gerekmektedir.

Kişisel Veri Saklama ve İmha Politikası Nedir?

Kişisel bir saklama ve imha politikası; kişisel verilerin korunması kanunu kapsamında veri sorumlusuna getirilen yükümlülüklerden biridir. Kanunun 16 maddesi gereğince veri sorumlusu; kişisel veri envanterini uygun olacak bir saklama ve imha politikası hazırlamakla yükümlüdür. Tüm veri imha süreçlerinin, hazırlanan politikaya uygun olarak yürütülmesi ve düzenli takibinin yapılması gerekmektedir.

Veri saklama ve imha politikası hazırlama yükümlülüğü altında olan veri sorumluları; VERBİS kayıt yükümlülüğü olan veri sorumlularıdır.

Kişisel Veri Saklama ve İmha Politikasında Bulunması Gereken Bilgiler

Kişisel veri saklama ve imha politikasında bulunması gereken bilgiler şunlardır: 

  • Kişisel veri saklama ve imha politikasının hazırlanma amacı, 
  • Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamları, 
  • Politikanın hazırlanmasında kullanılan terminolojinin tanımları, 
  • Kişisel verilerin saklanmasını yahut imhasını gerektiren sebepler, 
  • Güvenliğini sağlamak için alınan teknik ve idari tedbirler, 
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınan teklif ve idari tedbirler, 
  • Bir sorumlusunun bünyesinde, kişisel verilerin saklanması ve imhasından sorumlu birimler ve görev tanımları, 
  • Kişisel verilerin saklama ve imha süreleri, 
  • Periyodik imha süreleri, 
  • Politika üzerinde yapılan değişikliklere ilişkin bilgiler.

Yukarıda sayılan ve Kanunda yer alan bilgiler asgari bilgiler olup veri sorumlusu tarafından hazırlanan politikada konu hakkında detaylı bilgilere yer verilmesi mümkündür.

İmha Süreçlerine İlişkin İşlemlerin Saklanma Süresi

İlgili yönetmelik hükümlerine göre; veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerinde yapılan iş ve işlemlere ilişkin her türlü bilgiyi kayıt altına almakla yükümlüdür. Bu kayıtlara ilişkin saklama süresi en az 3 yıldır.

Sonuç

Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemlerinin veri sorumluları tarafından tek seferlik değil periyodik olarak gerçekleştirilmesi önemlidir. Bunun yanında, VERBİS yükümlüsü olan veri sorumlularını veri saklama ve imha politikası ve hazırlaması zorunludur. İmha süreçlerinde ve politikanın hazırlanmasında herhangi bir eksiklik yaşanmaması adına süreçlerin adında uzman bir KVKK avukatı ile yürütülmesi önem taşımaktadır.

Avatar Mıhcı Hukuk Bürosu
Written by Mıhcı Hukuk Bürosu

Hukukun çeşitli alanlarında uzmanlaşmış avukat kadrosu olan ve Avukat Mustafa Mıhcı tarafından İstanbul'da kurulan Mıhcı Hukuk Bürosu, uzmanlık alanları ile ilgili konularda hukuki makaleler yazmakta ve bu konularda tüm Türkiye ve bir çok ülke dahil olmak üzere hukuki danışmanlık ve dava takibi hizmetleri vermektedir.