6698 sayılı Kişisel Verilerin Korunması Kanununun ( KVKK) 7 nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” diyerek söz konusu durum açıkça kanunu içerisinde düzenlenmemiş olup yönetmelik ile düzenleme altına almıştır.
28 Ekim 2017 tarihinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” resmi gazetede yayımlanarak yürürlüğe girmiştir. Söz konusu yönetmeliğin amacı 1. maddesi içerisinde belirtilmiş olup “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir” şeklinde tanımlanmıştır.
Yine ilgili yönetmelik; kanunun 7 nci maddesinde yer alan hükümlerin veri sorumluluları hakkında uygulanacağını da belirtmiştir.
Söz konusu yönetmeliğin 4 üncü maddesi ise yönetmeliğin uygulanmasında tanım ve kavramları ifade eden bir hüküm olarak yer almaktadır.
Yönetmeliğin 5 inci maddesi ise kişisel veri saklama ve imha politikasına ilişkin esasları düzenlemektedir. Veri Sorumluları Siciline[1] kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür. İkinci fıkrasında ise kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmediğini belirtmektedir. Maddenin üçüncü fıkrası ise kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hale getirme yükümlülükleri devam eder diyerek sorumluluk kapsamına dahil etmiştir.
Kişisel veri saklama ve imha politikasının kapsamı ise yönetmeliğin 6 ncı maddesinde açıklanmıştır. Söz konusu madde hükmü gereğince kişisel veri saklama ve imha politikasının hazırlanma amacına, düzenlenen kayıt ortamlarına, yer verilen hukuki ve teknik terimlerin tanımlarına, kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine ve mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsamaktadır.
Kişisel verilerin silinmesi yönetmeliğin 8 inci maddesinde ele alınmıştır. Maddenin birinci fıkrası, kişisel verilerin silinmesi işleminin ne olduğunu bize tanımlamış ve kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi denilmektedir. İkinci fıkrası ise veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür diyerek söz konusu kişisel verilerin silinmesi işleminde veri sorumlusunun sorumluluğunu açıkça belirtmiştir.
Kişisel verilerin silinmesi aşamasından sonra işlemesi gerekli süreçlerin neler olduğu ise Kişisel Verileri Koruma Kurum Başkanlığı[2] web sitesinde belirtmiştir.Süreci özetleyecek olursak eğer;
● Silme işlemini teşkil edecek konuya ilişkin kişisel verilerin belirlenmesi
● Her bir kişisel veri için ilgili kullanıcıların tespit edilmesi ( Her bir kişisel veriyi tespit edebilmek için ise erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanılarak kullanıcıların tespit edilmesi gerekmektedir.)
● Söz konusu kullanıcıların tekrar kullanma, erişim, geri getirme gibi yetkilerinin ve yöntemlerinin belirlenmesi
● İlgili kullanıcıların kişisel veriler kapsamındaki tekrar kullanma, erişim, geri getirme yetki ve metodlarının kapatılması ve ortadan kaldırılması olarak bu süreci özetleyebiliriz[3].
Kişisel verilerin hangi yöntemle silinecekleri de kişisel verilerin hangi yöntem ve metodla tutulduğu ile yakından ilgilidir. Eğer bir kişisel veri kağıt ortamında tutulmuş ise bu ortamda bulunan kişisel verilerin karartma yöntemi kullanılarak silinmesi gerekmektedir. Bu yöntemin ise nasıl yapılacağı evrak üzerinde bulunan kişisel verilerin mümkünse kesilmesi, mümkün değil ise teknolojik çözümlerle okunmayacak ve geri döndürülemeyecek şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünmez hale gelecek şekilde yapılması gerekmektedir.
Eğer bir kişisel veri bulut ortamında bulunuyor ise bu veriler bulut sistemine silme komutu verilerek yok edilmesi gerekmektedir. Söz konusu işlem gerçekleştirilirken kullanıcının, bulut sisteminden tamamen silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir.
Merkezi sunucuda bulunan ofis dosyaları ise dosyanın işletim sisteminde yer alan silme komutu ile silinmesi veyahut da dosya ya da dosyanın yer aldığı dizin üzerinde yer alan kullanıcının erişim haklarının kaldırılması gerekmektedir. Söz konusu işlem yapılırken dikkat edilmesi gereken husus ise ilgili kullanıcının aynı zamanda sistem yöneticisi olmaması gerekmektedir.
Taşınabilir medyada bulunan kişisel veriler ise tabanlı saklama ortamlarındaki kişisel veriler, şifreli bir biçimde muhafaza edilerek saklanmalı ve bu duruma uygun yazılımlar kullanılmak kaydıyla silinmelidir.
Veri tabanlarında muhafaza edilen kişisel verilerin silinmesi işlemi ise bu verilerin bulunduğu ilgili satırların veri tabanı komutları kullanılarak silinmesi şeklinde gerçekleştirilmelidir. Bahsedilen işlem gerçekleştirildiği zaman ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmesi gerekmektedir.
[1] Yönetmelik burada KVKK 16 ncı maddesine atıfta bulunmuş ve kanunun 16 ncı maddesine göre Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularından bahsetmektedir.
[2] https://www.kvkk.gov.tr/
[3] https://www.kvkk.gov.tr/Icerik/4099/Kisisel-Verilerin-Silinmesi,-Yok-Edilmesi-veya-Anonim-Hale-Getirilmesi-Rehberi#:~:text=2.2.,-Ki%C5%9Fisel%20Verilerin%20Yok&text=Ki%C5%9Fisel%20verilerin%20yok%20edilmesi%2C%20ki%C5%9Fisel,ve%20idari%20tedbirleri%20almakla%20y%C3%BCk%C3%BCml%C3%BCd%C3%BCr.