6698 sayılı Kişisel Verilerin Korunması Kanununun ( KVKK) 7 nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” diyerek yönetmelik ile düzenleme altına almıştır. Söz konusu yönetmelik ise 28 Ekim 2017 tarihinde “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” resmi gazetede yayımlanarak yürürlüğe girmiştir.
Söz konusu yönetmeliğin 9. Maddesinde “Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür”[1] denilmektedir. Yani söz konusu yönetmelik hükmüne göre kişisel verilerin erişilememe, geri getirilememe ve herhangi bir kişi yada kurum tarafından ne şekilde olursa olsun asla geri kullanılamamasını ifade etmektedir. Yine yönetmelik çerçevesinde veri sorumlusuna sorumluluk atfetmekte olup söz konusu yok edilen veyahut imha edilen kişisel verilerin yok edilmesi ile ilgili her türlü teknik ( verilerin elde ediliş ve tutuluş yöntemi ile ilgili) ve idari önlemleri alma yükümlülüğü de vermektedir.
Kişisel Verileri Koruma Kurumu[2] tarafından kendi resmi web sitesinde de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi”’ nde de bu verilerin yok edilmesi için izlenenen prosedürün ne şekilde olacağına ilişkin başlıca yöntemleri açıklanmakta olup verilerin bulunduğu ortam da dikkate alınarak ayrı ayrı açıklanmıştır. Bizlerin de bu konuya ilişkin buradan yola çıkarak bir takım açıklamalarda bulunmamız gerekmektedir.
Verilerin imhası için, kişisel verilerin yer aldığı tüm kopyaların tespit edilerek verilerin yer aldığı sistemlerin cinsine göre aşağıda belirtilen metodlardan birinin kullanılmasıyla her bir kişisel verinin tek tek yok edilmesi gerekmektedir
İmhalarda her veri grubu için ayrı prosedür gereklidir.
Öncelikle kişisel veriler; Yerel Sistemler, Çevresel Sistemler, Kağıt ve Mikrofiş Ortamları, Bulut Ortamı mı hangi yöntemle veriler kayıt altına alınıyor bunun tespit edilmesi gerekmektedir. Veriler hangi yöntemle muhafaza ediliyor ise yine imha edilirken de her biri için ayrı bir prosedür söz konusudur
Eğer yerel sistemler söz konusu ise bu sistemlerde yer alan verilerin yok edilmesi için aşağıdaki yer alan metodlardan yöntemlerden bir ya da birkaçı kullanılabilir.
i) Demanyetize etme yöntemi ile verilerin yok edilmesi demek, manyetik depo işlemi yapan medyaların (harddisk, floppy disk, manyetik kaset, LTO, DLT, vb.) içerisinde yer alan verilerin yine yüksek bir manyetik alan ile işlevsiz hale getirilerek veyahut da bozularak ulaşılmaz hale getirilme işlemidir. Bu işlem ile kişisel veriler okunamaz bir hale getirilir.
ii) Fiziksel olarak yok edilmesi ise optik medya veyahut manyetik medyanın eritilmek sureti ile yahut yakılarak veya toz haline dönüştürülmesi şeklinde fiziksel anlamda ortadan kaldırma yada yok etme işlemidir. Amaç, manyetik veya optik medyayı yakmak, eritmek, toz haline getirmek ya da bir metal öğütücüden geçirerek erişilmez hale gelmesinin sağlanmasıdır. Eğer katı hal diskler bakımından gerçekleştirilen işlem başarılı olma durumu söz konusu olmazsa yani üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, söz konusu medyanın da fiziksel olarak yok edilmesi gerekmektedir.
iii) Üzerine yazma yöntemi ile yeniden yazılabilir optik medya ve manyetik medya üzerine en az yedi kez 0 ve 1’lerden oluşan gelişi güzel veriler yazılarak eski verilerin kurtarılma olasılığının önüne geçilmesi için yapılan işlemdir. Bu işlem için özel yazılımlar kullanılmaktadır.
Eğer çevresel sistemler söz konusu ise ortam türüne bağlı olarak kullanılabilecek yok etme metodları şöyledir;i) Ağ cihazları (switch, router vb.) gibi söz konusu cihazların içerisinde yer alan saklama ortamları sabit bulunmaktadır. Bu ürünler, pek çok zaman silme komutuna sahip olup herhangi bir yok edebilme özellikleri yer almamaktadır.Bunun için yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir.
ii) Flash tabanlı ortamlar ise sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzünü sağlayanları, destekleniyorsa bu komutları kullanmak suretiyle eğer desteklenmiyorsa üretenin önermiş olduğu yok etme metodunu kullanmak suretiyle ya da yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir.
iii) Manyetik bant ise verileri esnek bant üzerinde yer alan en küçük mıknatısa ait parçaların desteği ile muhafaza eden ortamlardır. Bu metod çok yüksek oranda manyetik ortamlarda maruz bırakılarak ya da yakılarak, eritilmesi gibi fiziksel olarak imha edilmesi yöntemleriyle yok edilmesi gerekir.
iv) Manyetik disk gibi üniteler ise verileri esnek (plaka) ya da stabil yerler üzerindeki en küçük mıknatıs parçaları yardımıyla muhafaza eden ortamlardır. Yine burada da manyetik gücün çok yüksek ve çok güçlü olduğu ortamlarda demanyetize edilerek ya da eritme, yakma gibi fiziki değişikliğin yol açtığı yok etme yöntemleriyle imha edilmesi gerekir.
v) Mobil telefonlarda yer alan sabit hafıza yerleri ve sim kartlara ait alanlar akıllı telefonların hemen hemen hepsinde bulunmaktadır. Bu telefonlarda her ne kadar silme komutu bulunmakta ise de yok edilmesine ilişkin bir herhangi bir komut yer almamaktadır. Bu nedenle de yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir.
vi) Optik diskler ise CD, DVD gibi verilerin saklamasına ilişkin ortamlarıdır. Bunların yakılarak, eritilerek, küçük parçalara ayırarak gibi üzerinde fiziksel değişiklikler yapılarak yok etme yöntemleriyle imha edilmesi gerekmektedir
vii) Veri kayıt ortamı çıkartılabilir nitelikte olan parmak izli kapı geçiş sistemi, yazıcı gibi çevre birimlerinde ise türün özelliğine göre yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir. Veri kayıt ortamı sabit olan sistemlerin çoğunda silme komutu bulunmakla birlikte yok etme komutu bulunmamaktadır. Bu durumda da yukarıda belirtmiş olduğumuz yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir.
Kişisel Veriler, kağıt ve mikrofiş ortamlarında yer almaktaysa eğer, fiziksel ve kalıcı bir biçimde üzerine yazılı bulunduğundan dolayı ana ortamın yok edilmesi gerekmektedir. Bu işlemi genel olarak da şu şekilde gerçekleştirilmesi gerekmektedir; söz konusu verinin yer aldığı kağıt, kağıt kırpma veya imha makinası ile anlaşılamaz boyutta, mümkünse dikey ve yatay bir biçimde, yine geri dönüştürülemeyecek bir biçimde küçük parçalara bölmek suretiyle gerçekleştirilmesi gerekmektedir. Orijinal kağıt formattan, tarama metoduyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir.
Bulut bilişim hizmet ilişkisi son bulduğunda; kişisel verileri kullanılabilir hale getirilmesi için gerekli bulunan şifreleme anahtarlarının tüm kopyalarının imhası gerekmektedir. Belirtmiş olduğumuz ortamlara ek olarak arızalanmış olan yahut da bakım için gönderilen cihazlarda bulunan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilmesi gerekmektedir:
i) Söz konusu cihazların onarım, bakım işlemleri nedeniyle satıcı, servis, üretici gibi üçüncü kurumlara aktarılma işlemi gerçekleşmeden önce içerisinde yer alan kişisel verilerin yerel sistemlerde belirtilen en uygun düşen metod hangisi ise bunlardan bir ya da birkaçının kullanılması suretiyle yok edilmesi gerekmektedir.
ii) Yine söz konusu verilerin yok edilmesinin uygun ya da mümkün olmadığı durumlarda, verilerin saklandığı ortamın sökülerek muhafaza altına alınması, arıza gösteren diğer parçaların satıcı, üretici, servis gibi üçüncü kurumlara gönderilmesi,
iii) Dışarıdan onarım, bakım gibi gerekçelerle veyahut nedenlerle gelen personelin, kişisel verileri kopyalamak sureti ile kurum dışına çıkmasının önüne geçilmesi yada engellenmesi için gerekli önlem ve tedbirlerin alınması, gerekir.[3]
[1] https://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm
[2] https://www.kvkk.gov.tr/
[3]https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20S%C4%B0L%C4%B0NMES%C4%B0,%20YOK%20ED%C4%B0LMES%C4%B0%20VEYA%20ANON%C4%B0M%20HALE%20GET%C4%B0R%C4%B0LMES%C4%B0%20REHBER%C4%B0.pdf
