6698 sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilerin İmhası

*Bu yazı Av. Burak Memiş tarafından CODEƎRA‘da yayımlanmak üzere kaleme alınmıştır.

1. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”)’nun 7’nci maddesinde; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” düzenlemesi yer almakta olup imha başlığı altında silme, yok etme ve anonim hale getirme işlemleri düzenlenmektedir. Silme, yok etme ya da anonim hale getirme işlemlerinden hangisinin tercih edileceğine veri sorumlusu, aksine bir Kişisel Verileri Koruma Kurulu kararı olmadıkça, kendisi karar verebilecektir. Ayrıca, söz konusu kararı verirken ilgili kişinin talebine de bağlı olmayacaktır.

İmha işlemi, veri sorumlusu tarafından yerine getirilmesi gereken yükümlülüklerden birisi olarak karşımıza çıkmaktadır. Söz konusu yükümlülüğün yerine getirilmesi için ilgili kişi tarafından yapılacak bir başvuru şart değildir. Aksine veri sorumlusu tarafından imha işlemi, işleme sebepleri ortadan kalkan kişisel veriler özelinde re’sen yerine getirilecektir. Yok etme işleminin yerine getirilmemesine ilişkin olarak Türk Ceza Kanunu (“TCK”)’nun 138’inci maddesinde bir düzenleme yer almaktadır. Söz konusu düzenlemeye göre; kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara, görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilecektir. TCK madde 138’i, kişisel verilerin imha edilmemesi olarak yorumlamak KVKK ve ilgili mevzuat açısından daha yerinde olacaktır. Yok etme işlemi yerine silme işlemini ya da anonim hale getirme işlemini tercih eden veri sorumlusu hakkında TCK madde 138 kapsamında herhangi bir soruşturma açılmayacaktır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”)’te düzenlenmiştir. Yönetmelik’in 5’inci maddesinde kişisel veri saklama ve imha politikasına ilişkin esaslar düzenlenmiş ve söz konusu maddenin 1’inci fıkrasında, veri sorumluları sicil bilgi sistemine (“VERBİS”) kaydolmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamaları gerektiği belirtilmiştir. Kişisel Verileri Koruma Kurumu tarafından örnek olması açısından KVKK Kişisel Veri Saklama ve İmha Politikası yayımlanmıştır [1]. Aynı maddenin 3’üncü fıkrasında ise; VERBİS’e kaydolmakla yükümlü olmayan veri sorumlularının da kişisel verileri imha yükümlülüğü altında bulundukları vurgulanmıştır. 

Periyodik imha, “Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi” olarak Yönetmelik içerisinde tanımlanmaktadır. Yönetmelik’in 11’inci maddesinin 1’inci fıkrasına göre, VERBİS’e kaydolmakla yükümlü olan veri sorumlularının, veri işleme sebebinin ortadan kalkması ve işlemek için başkaca geçerli bir sebep bulunmaması halinde önlerindeki ilk periyodik imha tarihinde kişisel verileri imha etmesi gerekir. Aynı maddenin 2’inci fıkrasında ise; periyodik imha süresinin 6 ayı geçmeyecek bir şekilde veri sorumlusu tarafından belirleneceği ve belirlenen sürenin, kişisel veri saklama ve politika içerisinde yer alacağı belirtilmiştir. VERBİS’e kaydolmakla yükümlü olmayan veri sorumluları tarafından belirlenecek olan periyodik imha süresinin 3 ayı geçemeyeceği Yönetmelik’in 11’inci maddesinin 3’üncü fıkrasında vurgulanmıştır. İmha işlemine ilişkin işlemlerin kayıt altına alınması ve alınan kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerektiği Yönetmelik’in 7’nci maddesinin 3’üncü fıkrasında belirtilmiştir.

Bu çalışmada ilk olarak kişisel verilerin silinmesine değinilecektir. Daha sonra ise; kişisel verilerin yok edilmesi ve anonim hale getirilmesi kavramları açıklanacaktır. Sonuç kısmında ise veri sorumlularına yönelik bazı öneriler yer alacaktır.

2. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve kullanılamaz hale getirilmesi” olarak Yönetmelik’in 8’inci maddesinin 1’inci fıkrasında tanımlanmıştır. Söz konusu tanım içerisinde yer alan “ilgili kullanıcı” kavramı silme işleminde önemli ayrıntı olarak karşımıza çıkmaktadır. Yönetmelik’in 4’üncü maddesinin 1’inci fıkrasının b bendinde tanımlanan ilgili kullanıcı kavramı; “verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri” ifade etmektedir. Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi, birim ya da departman genel olarak BT departmanı olarak karşımıza çıkmaktadır. Bu sebeple; silme işlemi veri sorumlusu tarafından uygulansa bile; BT departmanı silme işlemi uygulanan verilere erişebilecektir. 

Silme yöntemi, veri sorumluları tarafından en sık tercih edilen imha yöntemidir. Veri tabanı mimarisine zarar vermemesi, silme işleminin en önemli özelliği olarak karşımıza çıkmaktadır. Söz konusu yöntemde yapılan tek işlem; kişisel verilerin, ilgili kullanıcılar tarafından erişilemeyecek durumda olmasıdır.

Kişisel verilerin silinmesi süreci, Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi (“Rehber”)’nde, aşağıdaki gibi tanımlanmıştır [2];

1. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi
2. Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi
3. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi
4. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması

Rehber’de, kayıt ortamlarına göre önerilen silme yöntemleri aşağıdaki tabloda özetlenmiştir [2];

Verinin Saklandığı Ortam	Silme Yöntemi
Fiziksel ortam	Fiziksel ortamda bulunan kişisel veriler, güvenli bir ortamda saklanılması suretiyle, ilgili kullanıcılar tarafından hiçbir şekilde erişilmeyecek şekilde, silinmektedir.
Veri tabanı	İlgili kullanıcının, rol ve izin ataması yapılarak, veri tabanına ya da veri tabanı içerisinde yer alan belli bir alana (tablo gibi) erişimi engellenmektedir.
Merkezi Sunucu	İlgili kullanıcının, kişisel veri içeren dosyanın bulunduğu dizin üzerinde, erişim hakları (okuma, yazma, indirme gibi tüm yetkileri) kaldırılmaktadır.
Taşınabilir cihazlar (USB, Hard disk, CD, DVD vb.)	Kişisel verilerin bulunduğu dosyalar şifreli olarak saklanmakta ve ilgili kullanıcın dosyaya erişimi engellenmektedir.

3. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi olarak Yönetmelik’in 9’uncu maddesinin 1’inci fıkrasında tanımlanmıştır. Kişisel verilerin silinmesi işleminden farklı olarak kişisel verilerin yok edilmesi işleminde; kişisel veriler, BT departmanında çalışanlar da dahil olmak üzere hiç kimse tarafından tekrar işlenemeyecek hale getirilecektir. 

Rehber’de, kayıt ortamlarına göre önerilen silme yöntemleri aşağıdaki tabloda özetlenmiştir [2];

Verinin Saklandığı Ortam	Silme Yöntemi
Fiziksel ortam	Fiziksel ortamda yer alan kişisel veriler; kağıt kesme makinesi ile öğütülerek veya yakılarak yok edilmektedir.
Veri tabanı	Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile (Delete gibi) yok edilmektedir.
Bulut ortamı	Bulut ortamlarında yer alan kişisel veriler, depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmekte, kullanılan şifre anahtarlarının yok edilmesi ile de bu ortamlarda yer alan kişisel veriler yok edilmektedir.
Çevresel (ağ cihazları, flash tabanlı ortamlar, optik sistemler vb.) ve yerel sistemler	Kişisel veri içeren cihazlar; yakma, küçük parçalara ayırma, eritme gibi fiziksel işlemlerle yok edilmektedir. Bununla birlikte; özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılması sonucu eski verilerin kurtarılmasının önüne geçilerek yok etme işlemi uygulanmaktadır.

4. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak Yönetmelik’in 10’uncu maddesinin 1’inci fıkrasında tanımlanmıştır. Kişisel verilerin, ilgili kişi ile tekrar ilişkilendirilebilmesi mümkünse; anonim hale getirme işlemi başarılı bir şekilde gerçekleştirilmemiş olacaktır. Örneğin, anonim hale getirildiği düşünülen kişisel veriler başka verilerle eşleştirildiği durumlarda, ilgili kişi tanımlanabilir hale gelebilecektir.

Kişisel veriler gerçekten anonim hale getirildiğinde ve ilgili kişiler tanımlanamaz kılındığında, anonim hale getirme yöntemi riskleri azaltmak için iyi bir imha yöntemi olabilecektir [3]. Anonim hale getirme işlemi, veri minimizasyonu ilkesini de destekleyen bir yöntemdir. Ayrıca, anonim hale getirilmiş veriler yeni ve farklı amaçlar kapsamında kullanılabilecektir [4]. Kullanılan bazı anonim hale getirme yöntemleri aşağıda yer almaktadır [5];

• Öznitelik Çıkarma (Attribute Supression): Öznitelik çıkarma yönteminde; bir tabloda yer alan sütun çıkarılmaktadır.

Öznitelik çıkarma yöntemi uygulanmadan önce

Öğrenci	Eğitmen	Not
A	D	100
B	E	95
C	F	90

Öznitelik çıkarma yöntemi uygulandıktan sonra (Öğrenci sütunu tablodan çıkarılmıştır)

Eğitmen	Not
D	100
E	95
F	90

• Kayıt Çıkarma (Record Supression): Kayıt çıkarma yönteminde; bir tabloda yer alan satır çıkarılmaktadır.

Kayıt çıkarma yöntemi uygulanmadan önce

Öğrenci	Eğitmen	Not
A	D	100
B	E	95
C	F	90

Kayıt çıkarma yöntemi uygulanmadan önce (Notu 95 olan öğrenciye ait kayıt silinmiştir.)

Öğrenci	Eğitmen	Not
A	D	100
C	F	90

• Karakter Maskeleme (Character Masking): Karakter maskeleme, tablo içerisinde yer alan verilerin karakterlerle değiştirilmesi yöntemidir. 

Karakter maskeleme yöntemi uygulanmadan önce

Posta Kodu	Teslimat Zamanı	Aylık Ortalama Sipariş Sayısı
100111	13:00 – 14:00 arası	2
200222	11:00 – 12:00 arası	8
300333	16:00 – 17:00 arası	1

Karakter maskeleme yöntemi uygulandıktan sonra

Posta Kodu	Teslimat Zamanı	Aylık Ortalama Sipariş Sayısı
10xxx	13:00 – 14:00 arası	2
20xxx	11:00 – 12:00 arası	8
30xxx	16:00 – 17:00 arası	1

Seçilecek olan anonim hale getirilmesi yöntemi belirlenirken aşağıda yer alan özelliklerin veri sorumluları tarafından göz önünde bulundurulması gerekmektedir [2];

• Verinin niteliği
• Verinin büyüklüğü
• Verinin fiziki ortamlarda bulunma yapısı
• Verinin çeşitliliği
• Veriden sağlanmak istenen fayda / işleme amacı 
• Verinin işlenme sıklığı
• Verinin aktarılacağı tarafın güvenilirliği 
• Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması
• Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı
• Verinin dağınıklık / merkezlilik oranı
• Kullanıcıların ilgili veriye erişim yetki kontrolü
• Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali. 

5. Sonuç

Kişisel verilerin imhası; silme, yok etme ve anonim hale getirme işlemlerini kapsayan bir kavram olarak karşımıza çıkmaktadır. Veri sorumlusu tarafından, aksine bir Kişisel Verileri Koruma Kurulu kararı olmadıkça, silme, yok etme ya da anonim hale getirme yöntemlerinden herhangi birisi imha süreçlerinde kullanılabilecektir. Aşağıda yer alan hususların kişisel verilerin imhası sürecinde göz önünde bulundurulması tavsiye edilmektedir;

1. İmha yönteminin, süreç sahibiyle birlikte seçilmesi gerekmektedir. Örneğin; verilerin istatistiki faaliyetlerde kullanılacak olması durumunda, en uygun yöntem olarak karşımıza anonim hale getirme çıkmaktadır.
2. VERBİS’e kaydolmakla yükümlü olmayan veri sorumlularının da, imha süreçlerinin mevzuata uygun bir şekilde yürütülebilmesi için, veri saklama ve imha politikası hazırlaması uygun olacaktır.
3. İmha sürecinin hukuka uygun bir şekilde yürütülebilmesi için; kişisel verinin sisteme kaydedildiği tarihin (hukuki ilişkinin başladığı tarih), sistemlerde tutulması gerekmektedir. Bu sayede; saklama süresi sona erdikten sonra kişisel veri imha edilebilecektir.
4. İmha işlemine ait kayıtların diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanabilmesi için, sistemlerde gerekli iyileştirmelerin (örneğin, log kayıtlarının tutulabilmesi ve değiştirilemez bir şekilde saklanması) yapılması gerekmektedir.
5. Fiziksel imha işlemlerine ilişkin kayıtlar ise bir tutanak yardımıyla tutulabilecektir. 
6. Belirlenmiş olan periyodik imha süresinin takip edilebilmesi için bir kontrol mekanizmasının kurulması gerekmektedir.
7. Saklama süreleri tablosunun imha süreçlerinde her zaman kontrol edilmesi gerekmektedir.

6. Kaynaklar

[1] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/989fce64-d094-439b-b50d-6a538eb964fe.pdf (Erişim Tarihi: 02.06.2021)

[2] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf (Erişim Tarihi: 04.06.2021)

[3] https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf (Erişim Tarihi: 05.06.2021)

[4] https://ico.org.uk/media/about-the-ico/consultations/2619862/anonymisation-intro-and-first-chapter.pdf (Erişim Tarihi: 05.06.2021)

[5] https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf?la=en (Erişim Tarihi: 06.06.2021)