Kişisel verilerin sınırsız ve süresiz bir şekilde saklanması, Kişisel Verilerin Korunması Kanunu'nun (KVKK) en temel ilkeleriyle doğrudan çelişmektedir. Kanun koyucu, kişisel verilerin sadece belirli, açık ve meşru amaçlar doğrultusunda işlenebileceğini ve bu amaçların ortadan kalkması ya da yasal saklama sürelerinin dolması durumunda verilerin güvenli bir şekilde imha edilmesi gerektiğini hükme bağlamıştır. Şirketlerin veri saklama politikasını doğru kurgulaması ve periyodik imha süreçlerini işletmesi yasal bir zorunluluktur. Bu yükümlülüğün yerine getirilmemesi, Kişisel Verileri Koruma Kurulu tarafından çok ciddi idari yaptırımlara ve para cezalarına tabi tutulmaktadır.
Birçok kuruluş, kişisel verileri silmeyi sadece bilgisayardaki bir dosyayı "çöp kutusuna göndermek" veya veritabanından basit bir "delete" sorgusu çalıştırmak olarak görmektedir. Oysa siber güvenlik ve veri koruma standartlarına göre, bu tür basit işlemler verilerin geri döndürülmesini engellemez. KVKK, kişisel verilerin imha edilmesi sürecinde üç temel yöntem tanımlamıştır: silme, yok etme ve anonim hale getirme. Her yöntemin kendine özgü teknik gereksinimleri, uygulama senaryoları ve hukuki sonuçları bulunmaktadır. Bu rehberde, veri imha süreçlerinin detaylarını ve IT altyapınızda almanız gereken teknik önlemleri inceleyeceğiz.
KVKK Kapsamında Üç Temel İmha Yöntemi
Kanun ve ilgili yönetmelikler uyarınca, veri sorumluları saklama süresi dolan kişisel verileri aşağıdaki üç yöntemden birini seçerek imha etmekle yükümlüdür:
1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, bu verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
- Erişim Sınırlandırması: Veri tabanında veya dosya sunucusunda saklanan veriler tamamen yok edilmez; ancak bu verilere erişim yetkisi olan kişilerin (ilgili kullanıcıların) yetkileri kalıcı olarak kaldırılır.
- Teknik Uygulama: Silinen verilere sadece sistem yöneticisi (admin) veya veri tabanı yöneticisi düzeyinde, o da sadece denetim veya yedekleme amacıyla erişilebilir. İlgili iş birimi çalışanları bu verileri hiçbir şekilde göremez ve işleyemez.
2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
- Fiziksel İmha: Kağıt ortamındaki belgelerin kağıt kırpma makinelerinde geri döndürülemeyecek şekilde imha edilmesi veya manyetik medyanın (sabit diskler, CD'ler, teypler) fiziksel olarak eritilmesi, yakılması veya degausser (manyetik arındırıcı) cihazlarıyla kullanılmaz hale getirilmesidir.
- Yazılımsal İmha (Wiping): Dijital ortamlardaki verilerin üzerine rastgele veriler yazılarak (overwriting) özel veri kurtarma yazılımlarıyla dahi geri getirilemeyecek şekilde kalıcı olarak silinmesidir.
3. Kişisel Verilerin Anonim Hale Getirilmesi
Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle hiçbir surette ilişkilendirilemeyecek hale getirilmesi işlemidir.
- Geri Döndürülemezlik: Anonimleştirilen veri, maskeleme, toplulaştırma veya veri türetme gibi yöntemlerle öyle bir hale getirilir ki, en gelişmiş analiz araçları kullanılsa bile verinin orijinal sahibine ulaşmak imkansızdır.
- İstatistiksel Değer: Anonim hale getirilen veriler artık "kişisel veri" niteliğini kaybettiği için KVKK kapsamı dışına çıkar. Şirketler bu verileri pazar araştırmaları, istatistiksel analizler ve iş geliştirme süreçlerinde süresiz olarak saklayabilir ve kullanabilir.
Periyodik İmha Süreci ve Veri Saklama Politikası
Şirketlerin veri imha süreçlerini rastgele değil, önceden tanımlanmış bir sistem dahilinde yürütmesi gerekir. Bunun için atılması gereken adımlar şunlardır:
- Kişisel Veri Saklama ve İmha Politikası Hazırlanması: VERBİS'e kayıt yükümlülüğü olan veya kurumsal yönetim standartlarını uygulayan tüm şirketler, yazılı bir saklama ve imha politikası oluşturmalıdır. Bu politikada hangi veri kategorisinin ne kadar süreyle saklanacağı ve hangi yöntemle imha edileceği açıkça belirtilmelidir.
- Periyodik İmha Sürelerinin Belirlenmesi: Şirketler, saklama süresi dolan veriler için periyodik imha süreçleri kurgulamalıdır. Yönetmeliğe göre periyodik imha aralığı en fazla 6 ay olabilir. Yani saklama süresi dolan bir veri, en geç 6 ay içinde imha edilmelidir.
- İmha İşlemlerinin Loglanması: Yapılan tüm silme, yok etme ve anonim hale getirme işlemleri detaylı bir şekilde raporlanmalı ve bu imha tutanakları/logları en az 3 yıl süreyle saklanmalıdır.
IT Altyapısında Teknik Tedbirler ve Entegrasyon
Veri imha süreçlerinin manuel olarak yönetilmesi, insan hatasına son derece açıktır ve veri sızıntısı riskini artırır. Bu nedenle, veri saklama sürelerinin ve imha süreçlerinin kurumsal IT sistemleriyle entegre edilmesi gerekir:
- Veritabanı Otomasyonu: Veritabanlarında saklanan kişisel verilerin (örneğin eski müşteri kayıtları veya iş başvuruları) saklama süreleri dolduğunda otomatik olarak silinmesini veya anonimleştirilmesini sağlayan scriptler ve trigger'lar kurgulanmalıdır.
- Yedekleme Sistemlerinin Yönetimi: Silinen veya yok edilen kişisel verilerin sistem yedeklerinden (backup) de temizlenmesi veya yedeklerin üzerine yazma (rotation) politikalarının KVKK saklama süreleriyle uyumlu hale getirilmesi zorunludur.
Yedekleme sistemlerinin güvenliği ve yedekleme politikalarının nasıl tasarlanması gerektiği hakkında daha fazla bilgi edinmek için ISO 27001 ve Yedekleme Politikaları makalemizi inceleyebilirsiniz.
Ayrıca, veri imha süreçlerinin bilgi güvenliği yönetim sisteminizle entegre edilmesi ve teknik tedbirlerin bütünsel bir yaklaşımla ele alınması son derece önemlidir. Bu konuda daha detaylı bilgi için KVKK ve ISO 27001 Entegrasyonu rehberimize göz atabilirsiniz.
Profesyonel Uyumluluk ve Veri Yönetimi Danışmanlığı
Ankara merkezli siber güvenlik ve danışmanlık firması LeonX olarak, şirketinizin veri envanterini analiz ediyor, yasal saklama sürelerini belirliyor ve IT altyapınızda otomatik veri imha mekanizmaları kuruyoruz. Hem hukuki süreçlerinizi (politika yazımı, imha tutanakları) hem de teknik altyapınızı KVKK ve uluslararası standartlara tam uyumlu hale getiriyoruz.
Şirketinizin veri saklama, imha ve siber güvenlik altyapısını analiz etmek ve olası riskleri önceden tespit etmek için Siber Güvenlik Değerlendirme Hizmeti çözümlerimizden yararlanabilirsiniz.
Kurumsal yönetim süreçlerinizi, veri envanterinizi, saklama ve imha politikalarınızı bütünsel bir yaklaşımla ele almak için İş ve Yönetim Danışmanlığı hizmetlerimiz kapsamında uzman ekibimizle çalışabilirsiniz.
Kişisel verilerin korunması ve bilgi güvenliği süreçlerinizi güçlendirmek için hazırladığımız diğer rehberlerimizi de inceleyebilirsiniz:
- Fiziksel ve dijital izleme sistemlerinin uyumluluğu için: KVKK Kapsamında Kamera Sistemleri
- IT altyapınızda yapılması gereken diğer teknik değişiklikler için: KVKK Uyumluluğu İçin IT Altyapısı
- Küçük işletmeler için pratik uyum adımları için: Küçük İşletmeler İçin KVKK
- Kimlik ve erişim kontrolü standartları için: ISO 27001 Erişim Kontrolü
- Bulut altyapılarında veri güvenliği için: ISO 27001 ve Bulut Bilişim
- Sistemlerinizdeki riskleri analiz etmek için: ISO 27001 Risk Değerlendirmesi
- BGYS kapsam sınırlarınızı çizmek için: ISO 27001 Kapsam Belirleme
- İç denetim süreçlerine hazırlanmak için: ISO 27001 İç Denetimi
- Denetçilerin sorabileceği sorular için: ISO 27001 Denetim Soruları
- Sertifikasyonun kuruma sağladığı tüm faydalar için: ISO 27001 Sertifikasyon Faydaları
- Siber olaylara müdahale süreçleri için: ISO 27001 ve Siber Güvenlik Olayları
- Ağ ve firewall güvenliği standartları için: ISO 27001 ve Ağ Güvenliği
- Standardın genel yapısı hakkında bilgi edinmek için: ISO 27001 Nedir?
Veri saklama ve imha süreçlerinizi yasal mevzuatlara ve siber güvenlik standartlarına uygun hale getirmek için dilediğiniz zaman bizimle iletişime geçebilirsiniz.
Sıkça Sorulan Sorulan
Bilgisayardan silip çöp kutusunu boşaltmak KVKK kapsamında "silme" veya "yok etme" sayılır mı?
Kesinlikle hayır. İşletim sistemlerinde bir dosyayı silip çöp kutusunu boşalttığınızda, verinin kendisi diskten silinmez; sadece o verinin adresi silinir ve diskin o bölümü "üzerine yazılabilir" olarak işaretlenir. Özel veri kurtarma yazılımları kullanılarak bu veriler çok kolay bir şekilde geri getirilebilir. KVKK kapsamında dijital verilerin yok edilmesi için üzerine veri yazma (wiping) yazılımlarının kullanılması veya diskin fiziksel olarak degausser cihazlarıyla arındırılması ya da fiziksel olarak parçalanması zorunludur.
Yedekleme sistemlerindeki verileri de silmek zorunda mıyız?
Evet. KVKK kapsamında bir kişisel verinin imha edilmesine karar verildiğinde, bu verinin aktif sistemlerin yanı sıra tüm yedekleme (backup), arşiv ve bulut depolama alanlarından da silinmesi gerekir. Ancak teknik olarak yedeklerden anlık veri silmek zor veya riskli olabileceğinden, yedekleme politikalarının (retention policy) veri imha süreleriyle uyumlu hale getirilmesi ve yedeklerin üzerine yazma döngülerinin doğru kurgulanması kabul edilebilir bir teknik çözüm olarak uygulanmaktadır.
İmha işlemlerini kayıt altına almak zorunlu mudur?
Evet, yasal bir zorunluluktur. Yapılan tüm kişisel veri silme, yok etme ve anonim hale getirme işlemleri bir "İmha Tutanağı" ile kayıt altına alınmalıdır. Bu tutanakta imha edilen veri kategorisi, imha yöntemi, imha tarihi ve işlemi gerçekleştiren kişilerin imzaları yer almalıdır. Yönetmelik uyarınca, bu imha tutanaklarının ve ilgili sistem loglarının en az 3 yıl süreyle saklanması ve olası bir Kurul denetiminde ibraz edilmesi zorunludur.
Sonuç
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri, sadece hukuki bir yükümlülük değil, aynı zamanda kurumsal siber güvenliğin ve veri yönetiminin en temel bileşenlerinden biridir. Saklama süresi dolan verilerin sistemlerinizde tutulmaya devam etmesi, olası bir siber saldırıda sızdırılabilecek veri miktarını ve dolayısıyla şirketin uğrayacağı zararı ve yasal cezaları katlayarak artırır. Yasal mevzuatlara ve teknik standartlara uygun olarak tasarlanmış bir veri imha politikası ve IT altyapısı, kurumsal verilerinizi korurken yasal denetimlerden de güvenle geçmenizi sağlar.



