Veri Silme ve Anonimleştirme: KVKK Uyumlu Yöntemler

BumerangData Hukuk Ekibi · · 12 dk okuma
Veri Silme ve Anonimleştirme: KVKK Uyumlu Yöntemler

Veri Silme ve Anonimleştirme: KVKK Uyumlu Yöntemler

Kişisel verilerin korunması, modern işletmelerin en önemli sorumluluklarından biridir. Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında şirketler, topladıkları kişisel verileri belirli sürelerde silmeli veya anonimleştirmelidir. Bu yazıda, veri silme ve anonimleştirme yöntemlerini detaylı bir şekilde inceleyeceğiz.

Veri Silme ve Anonimleştirmenin Farkı Nedir?

Birçok işletme, veri silme ile anonimleştirmeyi aynı kavram olarak düşünse de, bu ikisi tamamen farklı süreçlerdir. Her iki yöntemin de KVKK kapsamında önemli yeri vardır ve ne zaman kullanılacağı kanun tarafından belirlenmiştir.

Veri Silme (Deletion) Nedir?

Veri silme, kişisel verilerin tamamen sistemden kaldırılmasıdır. KVKK'nın 5. maddesine göre, veri işleme amacı ortadan kalktığında veya yasal dayanak sona erdiğinde veriler silinmelidir. Silme işlemi, verinin tekrar kurtarılmasının imkansız hale getirilmesi anlamına gelir.

Silme işlemi gerçekleştirilirken dikkat edilmesi gereken noktalar:

  • Veri tabanında yer alan tüm kopyaların silinmesi
  • Yedek ve arşiv ortamlarındaki verilerin de silinmesi
  • İşletme ortaklarıyla paylaşılan verilerin bildirilmesi
  • Silme işleminin dokümante edilmesi ve kaydedilmesi

Anonimleştirme (Anonymization) Nedir?

Anonimleştirme, kişisel verilerin öyle bir şekilde işlenmesi veya değiştirilmesi ki, ilgili kişinin tanımlanmasının artık mümkün olmaması anlamına gelir. Anonimleştirilmiş veriler, KVKK'nın kapsamı dışında kalır ve daha uzun süre saklanabilir.

KVKK'nın 28. maddesine göre, anonimleştirilmiş veriler hakkında bu kanunun hükümleri uygulanmaz. Bu, şirketlere istatistiksel analizler ve araştırmalar için veri kullanma esnekliği sağlar.

KVKK Kapsamında Yasal Silme Yükümlülükleri

KVKK, veri işleyenlere belirli durumlarda veri silme yükümlülüğü getirmektedir. Bu yükümlülükler kanunun 5. ve 6. maddelerinde açıkça belirtilmiştir.

Silme Yükümlülüğü Olan Durumlar

KVKK'nın 6. maddesine göre, veri işleme amacının ortadan kalktığı veya verinin işlenmesinin yasal dayanağı sona erdiği durumlarda veriler silinmek zorundadır. Pratik örnekler:

  • İstihdam İlişkisinin Sona Ermesi: Çalışan ayrıldığında, ilişkili tüm kişisel verilerin belirlenen sürede silinmesi
  • Hizmet Sözleşmesinin Bitişi: Müşteri hizmetlerinden vazgeçtiğinde, onunla ilgili verilerin silinmesi
  • Rıza Geri Çekilmesi: Kişi rızasını geri çektiğinde, verinin derhal silinmesi
  • Amaç Değişikliği: Veri toplama amacı değiştiğinde, eski amaçla ilgili verilerin silinmesi

İstisna Durumları

KVKK'nın 5. maddesine göre bazı durumlarda veriler saklanmaya devam edilebilir:

  • Yasal Yükümlülükler: Vergi mevzuatı, muhasebe kayıtları gibi zorunlu saklama süreleri
  • Hukuki Talepte Bulunma/Savunma: Dava veya idari işlemlerde gerekli olan veriler
  • Kamu Güvenliği: İç güvenlik, polis, askerlik gibi alanlarda gerekli veriler
  • Sağlık ve Sosyal Hizmetler: Tıbbi veri ve hastane kayıtları

Veri Silme Yöntemleri ve Uygulamaları

Teorik olarak silme yükümlülüğü anlamak önemli olmakla beraber, pratikte bu işlemin nasıl gerçekleştirileceği daha kritiktir. Farklı veri türleri ve saklama ortamları, farklı silme yöntemleri gerektirmektedir.

Fiziksel Silme Yöntemleri

Fiziksel silme, verilerin saklandığı fiziksel ortamın tamamen imha edilmesidir. Özellikle eski bilgisayarlar, sunucular ve depolama cihazlarında kullanılır.

  • Hazmıyor (Shredding): Sabit diskler, SSD'ler ve magnetik bantların fiziksel olarak parçalanması
  • Isıtma (Thermal Destruction): Veri taşıyıcılarının yüksek ısıl işleme tabi tutulması
  • Demagnetizasyon: Magnetik verilerin manyetik alan kullanılarak silinmesi
  • Kemiksel Oksidizasyon: Veri taşıyıcılarının hava ortamında yanıtılması

Yazılımsal Silme Yöntemleri

Yazılımsal silme, bilgisayar sistemleri üzerinden veri kaydını değiştiren yazılımlar kullanılarak gerçekleştirilir. Modern işletmelerde en yaygın kullanılan yöntemdir.

  • Üzerine Yazma (Overwriting): Verinin bulunduğu alanın rastgele veriler veya belirli kalıplarla tekrar tekrar üzerine yazılması. NIST SP 800-88 standartına göre en az 3 kez üzerine yazılması önerilir.
  • Şifreleme Tabanlı Silme: Verinin şifreli halde saklanması ve daha sonra şifre anahtarının silinmesi
  • Veri Maskeleme: Hassas alanların maskelenip gerçek veri silinmesi
  • Veri Bölüntüleme (Partitioning): Verinin mantıksal bölütler halinde