Blog'a Dön
Siber Güvenlik

KVKK'da Silme, Yok Etme ve Anonim Hale Getirme Yükümlülükleri

KVKK'da Silme, Yok Etme ve Anonim Hale Getirme Yükümlülükleri
Kişisel verilerin işlenme amacının ortadan kalkması veya saklama süresinin dolması halinde uygulanması zorunlu olan silme, yok etme ve anonim hale getirme yöntemlerini, teknik gereksinimleri ve yasal süreçleri inceliyoruz.
Yayın Tarihi
02 Temmuz 2026
Güncellenme
02 Temmuz 2026
Okuma Süresi
8 dk okuma
Yazar
LeonX Team

Kişisel verilerin sınırsız ve süresiz bir şekilde saklanması, Kişisel Verilerin Korunması Kanunu'nun (KVKK) en temel ilkeleriyle doğrudan çelişmektedir. Kanun koyucu, kişisel verilerin sadece belirli, açık ve meşru amaçlar doğrultusunda işlenebileceğini ve bu amaçların ortadan kalkması ya da yasal saklama sürelerinin dolması durumunda verilerin güvenli bir şekilde imha edilmesi gerektiğini hükme bağlamıştır. Şirketlerin veri saklama politikasını doğru kurgulaması ve periyodik imha süreçlerini işletmesi yasal bir zorunluluktur. Bu yükümlülüğün yerine getirilmemesi, Kişisel Verileri Koruma Kurulu tarafından çok ciddi idari yaptırımlara ve para cezalarına tabi tutulmaktadır.

Birçok kuruluş, kişisel verileri silmeyi sadece bilgisayardaki bir dosyayı "çöp kutusuna göndermek" veya veritabanından basit bir "delete" sorgusu çalıştırmak olarak görmektedir. Oysa siber güvenlik ve veri koruma standartlarına göre, bu tür basit işlemler verilerin geri döndürülmesini engellemez. KVKK, kişisel verilerin imha edilmesi sürecinde üç temel yöntem tanımlamıştır: silme, yok etme ve anonim hale getirme. Her yöntemin kendine özgü teknik gereksinimleri, uygulama senaryoları ve hukuki sonuçları bulunmaktadır. Bu rehberde, veri imha süreçlerinin detaylarını ve IT altyapınızda almanız gereken teknik önlemleri inceleyeceğiz.

KVKK Kapsamında Üç Temel İmha Yöntemi

Kanun ve ilgili yönetmelikler uyarınca, veri sorumluları saklama süresi dolan kişisel verileri aşağıdaki üç yöntemden birini seçerek imha etmekle yükümlüdür:

1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, bu verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

  • Erişim Sınırlandırması: Veri tabanında veya dosya sunucusunda saklanan veriler tamamen yok edilmez; ancak bu verilere erişim yetkisi olan kişilerin (ilgili kullanıcıların) yetkileri kalıcı olarak kaldırılır.
  • Teknik Uygulama: Silinen verilere sadece sistem yöneticisi (admin) veya veri tabanı yöneticisi düzeyinde, o da sadece denetim veya yedekleme amacıyla erişilebilir. İlgili iş birimi çalışanları bu verileri hiçbir şekilde göremez ve işleyemez.

2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

  • Fiziksel İmha: Kağıt ortamındaki belgelerin kağıt kırpma makinelerinde geri döndürülemeyecek şekilde imha edilmesi veya manyetik medyanın (sabit diskler, CD'ler, teypler) fiziksel olarak eritilmesi, yakılması veya degausser (manyetik arındırıcı) cihazlarıyla kullanılmaz hale getirilmesidir.
  • Yazılımsal İmha (Wiping): Dijital ortamlardaki verilerin üzerine rastgele veriler yazılarak (overwriting) özel veri kurtarma yazılımlarıyla dahi geri getirilemeyecek şekilde kalıcı olarak silinmesidir.

3. Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle hiçbir surette ilişkilendirilemeyecek hale getirilmesi işlemidir.

  • Geri Döndürülemezlik: Anonimleştirilen veri, maskeleme, toplulaştırma veya veri türetme gibi yöntemlerle öyle bir hale getirilir ki, en gelişmiş analiz araçları kullanılsa bile verinin orijinal sahibine ulaşmak imkansızdır.
  • İstatistiksel Değer: Anonim hale getirilen veriler artık "kişisel veri" niteliğini kaybettiği için KVKK kapsamı dışına çıkar. Şirketler bu verileri pazar araştırmaları, istatistiksel analizler ve iş geliştirme süreçlerinde süresiz olarak saklayabilir ve kullanabilir.

Periyodik İmha Süreci ve Veri Saklama Politikası

Şirketlerin veri imha süreçlerini rastgele değil, önceden tanımlanmış bir sistem dahilinde yürütmesi gerekir. Bunun için atılması gereken adımlar şunlardır:

  1. Kişisel Veri Saklama ve İmha Politikası Hazırlanması: VERBİS'e kayıt yükümlülüğü olan veya kurumsal yönetim standartlarını uygulayan tüm şirketler, yazılı bir saklama ve imha politikası oluşturmalıdır. Bu politikada hangi veri kategorisinin ne kadar süreyle saklanacağı ve hangi yöntemle imha edileceği açıkça belirtilmelidir.
  2. Periyodik İmha Sürelerinin Belirlenmesi: Şirketler, saklama süresi dolan veriler için periyodik imha süreçleri kurgulamalıdır. Yönetmeliğe göre periyodik imha aralığı en fazla 6 ay olabilir. Yani saklama süresi dolan bir veri, en geç 6 ay içinde imha edilmelidir.
  3. İmha İşlemlerinin Loglanması: Yapılan tüm silme, yok etme ve anonim hale getirme işlemleri detaylı bir şekilde raporlanmalı ve bu imha tutanakları/logları en az 3 yıl süreyle saklanmalıdır.

IT Altyapısında Teknik Tedbirler ve Entegrasyon

Veri imha süreçlerinin manuel olarak yönetilmesi, insan hatasına son derece açıktır ve veri sızıntısı riskini artırır. Bu nedenle, veri saklama sürelerinin ve imha süreçlerinin kurumsal IT sistemleriyle entegre edilmesi gerekir:

  • Veritabanı Otomasyonu: Veritabanlarında saklanan kişisel verilerin (örneğin eski müşteri kayıtları veya iş başvuruları) saklama süreleri dolduğunda otomatik olarak silinmesini veya anonimleştirilmesini sağlayan scriptler ve trigger'lar kurgulanmalıdır.
  • Yedekleme Sistemlerinin Yönetimi: Silinen veya yok edilen kişisel verilerin sistem yedeklerinden (backup) de temizlenmesi veya yedeklerin üzerine yazma (rotation) politikalarının KVKK saklama süreleriyle uyumlu hale getirilmesi zorunludur.

Yedekleme sistemlerinin güvenliği ve yedekleme politikalarının nasıl tasarlanması gerektiği hakkında daha fazla bilgi edinmek için ISO 27001 ve Yedekleme Politikaları makalemizi inceleyebilirsiniz.

Ayrıca, veri imha süreçlerinin bilgi güvenliği yönetim sisteminizle entegre edilmesi ve teknik tedbirlerin bütünsel bir yaklaşımla ele alınması son derece önemlidir. Bu konuda daha detaylı bilgi için KVKK ve ISO 27001 Entegrasyonu rehberimize göz atabilirsiniz.

Profesyonel Uyumluluk ve Veri Yönetimi Danışmanlığı

Ankara merkezli siber güvenlik ve danışmanlık firması LeonX olarak, şirketinizin veri envanterini analiz ediyor, yasal saklama sürelerini belirliyor ve IT altyapınızda otomatik veri imha mekanizmaları kuruyoruz. Hem hukuki süreçlerinizi (politika yazımı, imha tutanakları) hem de teknik altyapınızı KVKK ve uluslararası standartlara tam uyumlu hale getiriyoruz.

Şirketinizin veri saklama, imha ve siber güvenlik altyapısını analiz etmek ve olası riskleri önceden tespit etmek için Siber Güvenlik Değerlendirme Hizmeti çözümlerimizden yararlanabilirsiniz.

Kurumsal yönetim süreçlerinizi, veri envanterinizi, saklama ve imha politikalarınızı bütünsel bir yaklaşımla ele almak için İş ve Yönetim Danışmanlığı hizmetlerimiz kapsamında uzman ekibimizle çalışabilirsiniz.

Kişisel verilerin korunması ve bilgi güvenliği süreçlerinizi güçlendirmek için hazırladığımız diğer rehberlerimizi de inceleyebilirsiniz:

Veri saklama ve imha süreçlerinizi yasal mevzuatlara ve siber güvenlik standartlarına uygun hale getirmek için dilediğiniz zaman bizimle iletişime geçebilirsiniz.

Sıkça Sorulan Sorulan

Bilgisayardan silip çöp kutusunu boşaltmak KVKK kapsamında "silme" veya "yok etme" sayılır mı?

Kesinlikle hayır. İşletim sistemlerinde bir dosyayı silip çöp kutusunu boşalttığınızda, verinin kendisi diskten silinmez; sadece o verinin adresi silinir ve diskin o bölümü "üzerine yazılabilir" olarak işaretlenir. Özel veri kurtarma yazılımları kullanılarak bu veriler çok kolay bir şekilde geri getirilebilir. KVKK kapsamında dijital verilerin yok edilmesi için üzerine veri yazma (wiping) yazılımlarının kullanılması veya diskin fiziksel olarak degausser cihazlarıyla arındırılması ya da fiziksel olarak parçalanması zorunludur.

Yedekleme sistemlerindeki verileri de silmek zorunda mıyız?

Evet. KVKK kapsamında bir kişisel verinin imha edilmesine karar verildiğinde, bu verinin aktif sistemlerin yanı sıra tüm yedekleme (backup), arşiv ve bulut depolama alanlarından da silinmesi gerekir. Ancak teknik olarak yedeklerden anlık veri silmek zor veya riskli olabileceğinden, yedekleme politikalarının (retention policy) veri imha süreleriyle uyumlu hale getirilmesi ve yedeklerin üzerine yazma döngülerinin doğru kurgulanması kabul edilebilir bir teknik çözüm olarak uygulanmaktadır.

İmha işlemlerini kayıt altına almak zorunlu mudur?

Evet, yasal bir zorunluluktur. Yapılan tüm kişisel veri silme, yok etme ve anonim hale getirme işlemleri bir "İmha Tutanağı" ile kayıt altına alınmalıdır. Bu tutanakta imha edilen veri kategorisi, imha yöntemi, imha tarihi ve işlemi gerçekleştiren kişilerin imzaları yer almalıdır. Yönetmelik uyarınca, bu imha tutanaklarının ve ilgili sistem loglarının en az 3 yıl süreyle saklanması ve olası bir Kurul denetiminde ibraz edilmesi zorunludur.

Sonuç

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri, sadece hukuki bir yükümlülük değil, aynı zamanda kurumsal siber güvenliğin ve veri yönetiminin en temel bileşenlerinden biridir. Saklama süresi dolan verilerin sistemlerinizde tutulmaya devam etmesi, olası bir siber saldırıda sızdırılabilecek veri miktarını ve dolayısıyla şirketin uğrayacağı zararı ve yasal cezaları katlayarak artırır. Yasal mevzuatlara ve teknik standartlara uygun olarak tasarlanmış bir veri imha politikası ve IT altyapısı, kurumsal verilerinizi korurken yasal denetimlerden de güvenle geçmenizi sağlar.

İç Link Rotası

Bu konu için ilgili hizmet sayfalarına geçin

Bu yazıyı daha hızlı ticari niyete bağlamak için ana hizmet, ilgili alt hizmet ve teklif akışını aşağıdan takip edebilirsiniz.

Paylaş

Facebook
Twitter
LinkedIn

İlgili Yazılar

Benzer konular hakkında daha fazlasını keşfedin

KVKK Kapsamında Kamera Sistemleri ve Biyometrik Veri
Siber Güvenlik
2026-06-30
8 dk okuma

KVKK Kapsamında Kamera Sistemleri ve Biyometrik Veri

İşyerlerinde güvenlik amacıyla kullanılan kapalı devre kamera sistemleri (CCTV) ve biyometrik erişim kontrol cihazlarının KVKK uyumluluğu süreçlerini, yasal sınırları ve teknik gereksinimleri inceliyoruz.

Devamını Oku
Küçük İşletmeler İçin KVKK: Nereden Başlamalı?
Siber Güvenlik
2026-06-29
8 dk okuma

Küçük İşletmeler İçin KVKK: Nereden Başlamalı?

Kişisel Verilerin Korunması Kanunu (KVKK) uyumluluğunun küçük ve orta ölçekli işletmeler (KOBİ) için ne anlama geldiğini, nereden başlanması gerektiğini ve pratik uyum adımlarını inceliyoruz.

Devamını Oku
KVKK Uyumluluğu İçin IT Altyapısında Hangi Değişiklikler Gerekli?
Siber Güvenlik
2026-06-28
8 dk okuma

KVKK Uyumluluğu İçin IT Altyapısında Hangi Değişiklikler Gerekli?

Kişisel Verilerin Korunması Kanunu (KVKK) uyumluluğunun teknik boyutunu, IT altyapısında yapılması gereken yapılandırmaları ve alınması gereken teknik tedbirleri inceliyoruz.

Devamını Oku

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.