6698 sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilerin İmhası

*Bu yazı Av. Burak Memiş tarafından CODEƎRA‘da yayımlanmak üzere kaleme alınmıştır.

  1. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”)’nun 7’nci maddesinde; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” düzenlemesi yer almakta olup imha başlığı altında silme, yok etme ve anonim hale getirme işlemleri düzenlenmektedir. Silme, yok etme ya da anonim hale getirme işlemlerinden hangisinin tercih edileceğine veri sorumlusu, aksine bir Kişisel Verileri Koruma Kurulu kararı olmadıkça, kendisi karar verebilecektir. Ayrıca, söz konusu kararı verirken ilgili kişinin talebine de bağlı olmayacaktır.

İmha işlemi, veri sorumlusu tarafından yerine getirilmesi gereken yükümlülüklerden birisi olarak karşımıza çıkmaktadır. Söz konusu yükümlülüğün yerine getirilmesi için ilgili kişi tarafından yapılacak bir başvuru şart değildir. Aksine veri sorumlusu tarafından imha işlemi, işleme sebepleri ortadan kalkan kişisel veriler özelinde re’sen yerine getirilecektir. Yok etme işleminin yerine getirilmemesine ilişkin olarak Türk Ceza Kanunu (“TCK”)’nun 138’inci maddesinde bir düzenleme yer almaktadır. Söz konusu düzenlemeye göre; kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilecektir. TCK madde 138’i, kişisel verilerin imha edilmemesi olarak yorumlamak KVKK ve ilgili mevzuat açısından daha yerinde olacaktır. Yok etme işlemi yerine silme işlemini ya da anonim hale getirme işlemini tercih eden veri sorumlusu hakkında TCK madde 138 kapsamında herhangi bir soruşturma açılmayacaktır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”)’te düzenlenmiştir. Yönetmelik’in 5’inci maddesinde kişisel veri saklama ve imha politikasına ilişkin esaslar düzenlenmiş ve söz konusu maddenin 1’inci fıkrasında, veri sorumluları sicil bilgi sistemine (“VERBİS”) kaydolmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamaları gerektiği belirtilmiştir. Kişisel Verileri Koruma Kurumu tarafından örnek olması açısından KVKK Kişisel Veri Saklama ve İmha Politikası yayımlanmıştır [1]. Aynı maddenin 3’üncü fıkrasında ise; VERBİS’e kaydolmakla yükümlü olmayan veri sorumlularının da kişisel verileri imha yükümlülüğü altında bulundukları vurgulanmıştır. 

Periyodik imha, “Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi” olarak Yönetmelik içerisinde tanımlanmaktadır. Yönetmelik’in 11’inci maddesinin 1’inci fıkrasına göre, VERBİS’e kaydolmakla yükümlü olan veri sorumlularının, veri işleme sebebinin ortadan kalkması ve işlemek için başkaca geçerli bir sebep bulunmaması halinde önlerindeki ilk periyodik imha tarihinde kişisel verileri imha etmesi gerekir. Aynı maddenin 2’inci fıkrasında ise; periyodik imha süresinin 6 ayı geçmeyecek bir şekilde veri sorumlusu tarafından belirleneceği ve belirlenen sürenin, kişisel veri saklama ve politika içerisinde yer alacağı belirtilmiştir. VERBİS’e kaydolmakla yükümlü olmayan veri sorumluları tarafından belirlenecek olan periyodik imha süresinin 3 ayı geçemeyeceği Yönetmelik’in 11’inci maddesinin 3’üncü fıkrasında vurgulanmıştır. İmha işlemine ilişkin işlemlerin kayıt altına alınması ve alınan kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerektiği Yönetmelik’in 7’nci maddesinin 3’üncü fıkrasında belirtilmiştir.

Bu çalışmada ilk olarak kişisel verilerin silinmesine değinilecektir. Daha sonra ise; kişisel verilerin yok edilmesi ve anonim hale getirilmesi kavramları açıklanacaktır. Sonuç kısmında ise veri sorumlularına yönelik bazı öneriler yer alacaktır.

  1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve kullanılamaz hale getirilmesi” olarak Yönetmelik’in 8’inci maddesinin 1’inci fıkrasında tanımlanmıştır. Söz konusu tanım içerisinde yer alan “ilgili kullanıcı” kavramı silme işleminde önemli ayrıntı olarak karşımıza çıkmaktadır. Yönetmelik’in 4’üncü maddesinin 1’inci fıkrasının b bendinde tanımlanan ilgili kullanıcı kavramı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri” ifade etmektedir. Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi, birim ya da departman genel olarak BT departmanı olarak karşımıza çıkmaktadır. Bu sebeple; silme işlemi veri sorumlusu tarafından uygulansa bile; BT departmanı silme işlemi uygulanan verilere erişebilecektir. 

Silme yöntemi, veri sorumluları tarafından en sık tercih edilen imha yöntemidir. Veri tabanı mimarisine zarar vermemesi, silme işleminin en önemli özelliği olarak karşımıza çıkmaktadır. Söz konusu yöntemde yapılan tek işlem; kişisel verilerin, ilgili kullanıcılar tarafından erişilemeyecek durumda olmasıdır.

Kişisel verilerin silinmesi süreci, Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi (“Rehber”)’nde, aşağıdaki gibi tanımlanmıştır [2];

  1. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi
  2. Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi
  3. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi
  4. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması

Rehber’de, kayıt ortamlarına göre önerilen silme yöntemleri aşağıdaki tabloda özetlenmiştir [2];

Verinin Saklandığı OrtamSilme Yöntemi
Fiziksel ortamFiziksel ortamda bulunan kişisel veriler, güvenli bir ortamda saklanılması suretiyle, ilgili kullanıcılar tarafından hiçbir şekilde erişilmeyecek şekilde, silinmektedir.
Veri tabanıİlgili kullanıcının, rol ve izin ataması yapılarak, veri tabanına ya da veri tabanı içerisinde yer alan belli bir alana (tablo gibi) erişimi engellenmektedir.
Merkezi Sunucuİlgili kullanıcının, kişisel veri içeren dosyanın bulunduğu dizin üzerinde, erişim hakları (okuma, yazma, indirme gibi tüm yetkileri) kaldırılmaktadır.
Taşınabilir cihazlar (USB, Hard disk, CD, DVD vb.)Kişisel verilerin bulunduğu dosyalar şifreli olarak saklanmakta ve ilgili kullanıcın dosyaya erişimi engellenmektedir.
  1. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi olarak Yönetmelik’in 9’uncu maddesinin 1’inci fıkrasında tanımlanmıştır. Kişisel verilerin silinmesi işleminden farklı olarak kişisel verilerin yok edilmesi işleminde; kişisel veriler, BT departmanında çalışanlar da dahil olmak üzere hiç kimse tarafından tekrar işlenemeyecek hale getirilecektir. 

Rehber’de, kayıt ortamlarına göre önerilen silme yöntemleri aşağıdaki tabloda özetlenmiştir [2];

Verinin Saklandığı OrtamSilme Yöntemi
Fiziksel ortamFiziksel ortamda yer alan kişisel veriler; kağıt kesme makinesi ile öğütülerek veya yakılarak yok edilmektedir.
Veri tabanıKişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile (Delete gibi) yok edilmektedir.
Bulut ortamıBulut ortamlarında yer alan kişisel veriler, depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmekte, kullanılan şifre anahtarlarının yok edilmesi ile de bu ortamlarda yer alan kişisel veriler yok edilmektedir.
Çevresel (ağ cihazları, flash tabanlı ortamlar, optik sistemler vb.) ve yerel sistemlerKişisel veri içeren cihazlar; yakma, küçük parçalara ayırma, eritme gibi fiziksel işlemlerle yok edilmektedir. Bununla birlikte; özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılması sonucu eski verilerin kurtarılmasının önüne geçilerek yok etme işlemi uygulanmaktadır.
  1. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak Yönetmelik’in 10’uncu maddesinin 1’inci fıkrasında tanımlanmıştır. Kişisel verilerin, ilgili kişi ile tekrar ilişkilendirilebilmesi mümkünse; anonim hale getirme işlemi başarılı bir şekilde gerçekleştirilmemiş olacaktır. Örneğin, anonim hale getirildiği düşünülen kişisel veriler başka verilerle eşleştirildiği durumlarda, ilgili kişi tanımlanabilir hale gelebilecektir.

Kişisel veriler gerçekten anonim hale getirildiğinde ve ilgili kişiler tanımlanamaz kılındığında, anonim hale getirme yöntemi riskleri azaltmak için iyi bir imha yöntemi olabilecektir [3]. Anonim hale getirme işlemi, veri minimizasyonu ilkesini de destekleyen bir yöntemdir. Ayrıca, anonim hale getirilmiş veriler yeni ve farklı amaçlar kapsamında kullanılabilecektir [4]. Kullanılan bazı anonim hale getirme yöntemleri aşağıda yer almaktadır [5];

  • Öznitelik Çıkarma (Attribute Supression): Öznitelik çıkarma yönteminde; bir tabloda yer alan sütun çıkarılmaktadır.

Öznitelik çıkarma yöntemi uygulanmadan önce

ÖğrenciEğitmenNot
AD100
BE95
CF90

Öznitelik çıkarma yöntemi uygulandıktan sonra (Öğrenci sütunu tablodan çıkarılmıştır)

EğitmenNot
D100
E95
F90
  • Kayıt Çıkarma (Record Supression): Kayıt çıkarma yönteminde; bir tabloda yer alan satır çıkarılmaktadır.

Kayıt çıkarma yöntemi uygulanmadan önce

ÖğrenciEğitmenNot
AD100
BE95
CF90

Kayıt çıkarma yöntemi uygulanmadan önce (Notu 95 olan öğrenciye ait kayıt silinmiştir.)

ÖğrenciEğitmenNot
AD100
CF90
  • Karakter Maskeleme (Character Masking): Karakter maskeleme, tablo içerisinde yer alan verilerin karakterlerle değiştirilmesi yöntemidir. 

Karakter maskeleme yöntemi uygulanmadan önce

Posta KoduTeslimat ZamanıAylık Ortalama Sipariş Sayısı
10011113:00 – 14:00 arası2
20022211:00 – 12:00 arası8
30033316:00 – 17:00 arası1

Karakter maskeleme yöntemi uygulandıktan sonra

Posta KoduTeslimat ZamanıAylık Ortalama Sipariş Sayısı
10xxx13:00 – 14:00 arası2
20xxx11:00 – 12:00 arası8
30xxx16:00 – 17:00 arası1

Seçilecek olan anonim hale getirilmesi yöntemi belirlenirken aşağıda yer alan özelliklerin veri sorumluları tarafından göz önünde bulundurulması gerekmektedir [2];

  • Verinin niteliği
  • Verinin büyüklüğü
  • Verinin fiziki ortamlarda bulunma yapısı
  • Verinin çeşitliliği
  • Veriden sağlanmak istenen fayda / işleme amacı 
  • Verinin işlenme sıklığı
  • Verinin aktarılacağı tarafın güvenilirliği 
  • Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması
  • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı
  • Verinin dağınıklık / merkezlilik oranı
  • Kullanıcıların ilgili veriye erişim yetki kontrolü
  • Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali. 
  1. Sonuç

Kişisel verilerin imhası; silme, yok etme ve anonim hale getirme işlemlerini kapsayan bir kavram olarak karşımıza çıkmaktadır. Veri sorumlusu tarafından, aksine bir Kişisel Verileri Koruma Kurulu kararı olmadıkça, silme, yok etme ya da anonim hale getirme yöntemlerinden herhangi birisi imha süreçlerinde kullanılabilecektir. Aşağıda yer alan hususların kişisel verilerin imhası sürecinde göz önünde bulundurulması tavsiye edilmektedir;

  1. İmha yönteminin, süreç sahibiyle birlikte seçilmesi gerekmektedir. Örneğin; verilerin istatistiki faaliyetlerde kullanılacak olması durumunda, en uygun yöntem olarak karşımıza anonim hale getirme çıkmaktadır.
  2. VERBİS’e kaydolmakla yükümlü olmayan veri sorumlularının da, imha süreçlerinin mevzuata uygun bir şekilde yürütülebilmesi için, veri saklama ve imha politikası hazırlaması uygun olacaktır.
  3. İmha sürecinin hukuka uygun bir şekilde yürütülebilmesi için; kişisel verinin sisteme kaydedildiği tarihin (hukuki ilişkinin başladığı tarih), sistemlerde tutulması gerekmektedir. Bu sayede; saklama süresi sona erdikten sonra kişisel veri imha edilebilecektir.
  4. İmha işlemine ait kayıtların diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanabilmesi için, sistemlerde gerekli iyileştirmelerin (örneğin, log kayıtlarının tutulabilmesi ve değiştirilemez bir şekilde saklanması) yapılması gerekmektedir.
  5. Fiziksel imha işlemlerine ilişkin kayıtlar ise bir tutanak yardımıyla tutulabilecektir. 
  6. Belirlenmiş olan periyodik imha süresinin takip edilebilmesi için bir kontrol mekanizmasının kurulması gerekmektedir.
  7. Saklama süreleri tablosunun imha süreçlerinde her zaman kontrol edilmesi gerekmektedir.
  1. Kaynaklar

[1] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/989fce64-d094-439b-b50d-6a538eb964fe.pdf (Erişim Tarihi: 02.06.2021)

[2] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf (Erişim Tarihi: 04.06.2021)

[3] https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf (Erişim Tarihi: 05.06.2021)

[4] https://ico.org.uk/media/about-the-ico/consultations/2619862/anonymisation-intro-and-first-chapter.pdf (Erişim Tarihi: 05.06.2021)

[5] https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf?la=en (Erişim Tarihi: 06.06.2021)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: