Kişisel veriler, hukuka uygun olarak işlenmiş olsa bile, işlenmesini gerektiren sebeplerin ortadan kalkması halinde; veri sorumlusu tarafından, ilgili kişinin talebi üzerine veya re’sen silinmek, yok edilmek yahut anonim hale getirilmek zorundadır.

İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmek, yok etmek ya da anonim hale getirmek veri sorumlusunun en büyük sorumluluklarından biridir. Bu imha işlemi için ilgili kişinin başvuruda bulunması gerekmemekte, veri sorumlusu re’sen bu işlemi gerçekleştirebilmektedir. Veri sorumlusunun yükümlüğünü ihlali durumlarında ise, ilgili kişinin kişisel verilerinin silinmesini, yok edilmesini ya da anonim hale getirilmesini talep etme hakkı vardır.

Kişisel Verilerin Silinmesi Nedir?

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin silinmesi dört aşamalı olarak gerçekleştirilmektedir. Öncelikle, silme işlemine konu edilecek kişisel veriler belirlenmektedir. Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi gerekmektedir. Daha sonra, ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri tespit edilerek; ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması işlemi gerçekleştirilmektedir.

Kişisel veriler çeşitli kayıt ortamlarında farklı yöntemlerle saklanabildiklerinden, her kayıt ortamına özgü farklı yöntemlerle silinmesi gerekmektedir. Aşağıda kısaca bunlara değineceğiz.

Bulut sistemi aracılığıyla saklanan veriler, silme komutu verilerek silinmektedir. Bu silme işlemi gerçekleştirilirken, ilgili kullanıcının bulut sistemi üzerinden silinen verileri geri getirme yetkisi bulunmamaktadır.

Kâğıt ortamında bulunan kişisel veriler, karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi yöntemidir.

Merkezi sunucuda yer alan ofis dosyaları, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması yöntemi ile silinmektedir.

Taşınabilir medyada bulunan kişisel veriler, flash tabanlı saklama ortamlarında muhafaza edilmektedirler. Bu verilerin şifreli olarak saklanması, kişisel korunma açısından büyük önem arz etmektedir. Dijital yöntemler aracılığı ile uygun yazılımlar tespit edilerek, bu yöntemle silinmektedirler.

Veri tabanları aracılığıyla muhafaza edilen veriler, veri tabanı komutları ile silinmektedir. Bu işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmaması gerekmektedir.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre yöntemler tespit edilerek, bu doğrultuda yok edilmelidir. Yok etme işlemiYerel SistemÇevresel Sistem, Bulut Ortamları, Kağıt ve Mikrofiş Ortamları olmak üzere dört ayrı başlıkta incelenmektedir.

Yerel Sistem; de-manyetize etme, fiziksel yok etme ve üzerine yazma yöntemlerini kullanarak verilerin yok edilmesini sağlamaktadır.

Çevresel Sistem; ağ cihazları, flash tabanlı ortamlar, manyetik bant, manyetik disk gibi üniteler, mobil telefonlar (Sim kart ve sabit hafıza alanları), optik diskler, veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri ve veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri için ayrı ayrı yok etme yöntemleri kullanmaktadır.

Ağ cihazlarında bulunan saklama ortamları sabit tutulmaktadır. Verileri silme komutu bulunmaktadır fakat yok etme özelliği barındırmamaktadırlar. Bu sebeple; de-manyetize etme ve üzerine yazma gibi yerel sistem yöntemleri kullanılarak yok edilebilmektedirler.

Flash tabanlı sabit disklerin ATA ve SCSI ara yüzüne sahip olanları, destekleniyorsa yok etme komutu kullanılarak; desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanılarak ya da de-manyetize etme ve üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilmektedirler.

Manyetik bantlar ve disk gibi üniteler ise, verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle verilerin yok edilmesi gerekmektedir.

Mobil telefonlarda (Sim kart ve sabit hafıza alanları), taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. De-manyetize etme, fiziksel yok etme ve üzerine yazma yöntemlerinin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekmektedir.

Optik diskler ise CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekmektedir.

Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri, tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre de-manyetize etme, fiziksel yok etme ve üzerine yazma yöntemlerinden uygun olan bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekmektedir.

Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimlerinde ise, çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. De-manyetize etme, fiziksel yok etme ve üzerine yazma yöntemlerinden uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilebilmektedir.

Kağıt ve mikrofiş ortamlarındaki kişisel verilerin yok edilmesi için, alıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekmektedir. Bu işlem gerçekleştirilirken, verilerin bulunduğu belgeleri kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta küçük parçalara bölmek faydalı olacaktır. Orijinal kâğıt formatından tarama yoluyla elektronik ortama aktarılan kişisel veriler ise bulundukları elektronik ortama göre, yukarıda da belirttiğimiz; de-manyetize etme, fiziksel yok etme ve üzerine yazma yöntemlerinden uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilebilmektedir.

Bulut sisteminde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekmektedir.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi için pek çok yöntem bulunmaktadır. Veri sorumluları, ellerinde bulundurdukları verilerin türüne göre bu yöntemlerden birini seçmek ve uygulamak zorundadırlar. Sahip olunan veri kümesindeki verilerin niteliği, boyutları, fiziki ortamlarda bulunma yapıları, çeşitliliği ve veriyi işleme amacının ne olduğunun tespitine göre; anonim hale getirme yöntemi seçilmektedir.

Verileri anonimleştirmede en sık kullanılan yöntemler; maskeleme, toplulaştırma, veri türetme ve veri karmasıdır.

Maskeleme,kişisel verilerin belli alanlarının yok edilerek kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin telefon numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur.

Toplulaştırma,verileri bütünleştirerek yalnızca toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette kadın çalışan sayısının 200 adet olması ve sayının %23’ünün şirketin servisini kullanmasına ilişkin veriler artık anonim hâle getirilmiştir.

Veri Türetme,mevcuttaki detaylı verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, maaş bilgisinin kuruşuna kadar detaylandırılması yerine “3500-8500 TL aralığında” şeklinde yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.

Veri Karması,veri kümesi içindeki değerlerin yer değiştirilerek kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Bir listedeki kişilerin maaşlarının rastgele şekilde yeniden dağıtılması veri karması yöntemine örnek olarak gösterilebilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirleyen yönetmelik 01.01.2018 tarihinde yürürlüğe girmiştir. Ayrıca bu yönetmelikte yer alan silme, anonim hale getirme ve yok etme işlemlerinin nasıl gerçekleştirileceği hakkında uygulamada kolaylık ve açıklık sağlaması açısından; Kişisel Verileri Koruma Kurumu tarafından “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi” hazırlanmıştır.

Kişisel verileri işlenme sebeplerin tümü ortadan kalktığı halde anonimleştirmeyen ve diğer yollarla imha edilmeyen veri sorumlusu Türk Ceza Kanunu kapsamında “Verileri Yok Etmeme” suçunu işlemiş olacaktır. Aynı zamanda yine Kişisel Verilerin Korunması Kanunu kapsamında Kurul’un anonimleştirmeye yönelik kararlarını uygulamayanlar hakkında da 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilmesi öngörülmektedir. Tüm bu cezalara ilave olarak, kişisel verisi anonimleştirilmediği, silinmediği yahut yok edilmediği için zarara uğrayan veri sahibinin de tazminat isteme hakları saklıdır.

Av. Begüm Gürel (LL.M.) &Stj. Av. Ayşenur Eroğlan

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü