Makale
Kişisel verilerin hukuka uygun saklanması, amaç ortadan kalktığında imha edilmesi ve veri güvenliğinin sağlanması şirketlerin temel yasal yükümlülüğüdür. Bu makalede, KVKK ve ilgili mevzuat uyarınca yasal saklama süreleri, imha yöntemleri ile alınması zorunlu teknik ve idari siber güvenlik tedbirleri hukuki perspektifle incelenmektedir.
KVKK Kapsamında Veri Saklama, İmha ve Siber Güvenlik Tedbirleri
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri sorumlularının en temel yükümlülüklerinden biri kişisel verilerin güvenliğini sağlamak ve bu verileri yalnızca hukuka uygun bir şekilde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektir. Günümüzde teknolojinin hızla gelişmesi ve dijitalleşmenin hayatımızın merkezine yerleşmesi, veri sızıntısı risklerini artırmakta; bu durum da siber güvenlik tedbirlerinin ve veri koruma politikalarının önemini zirveye taşımaktadır. İşlenen verilerin amacı ortadan kalktığında veya yasal saklama süreleri dolduğunda, bu verilerin hukuka uygun imha yöntemleri ile (silinmesi, yok edilmesi veya anonim hale getirilmesi) ortadan kaldırılması yasal bir zorunluluktur. Aksi takdirde, veri sorumluları hem ciddi idari para cezalarıyla karşılaşmakta hem de Türk Ceza Kanunu kapsamında verileri yok etmeme suçuna vücut verebilmektedir. Bu makalede, bir KVKK avukatı merceğinden, şirketlerin veri saklama sürelerini nasıl tayin etmeleri gerektiği, imha süreçlerinin yasal altyapısı ve siber güvenlik risklerini bertaraf etmek için alınması gereken teknik ve idari tedbirler detaylıca ele alınacaktır.
Mevzuat Işığında Kişisel Veri Saklama Süreleri
Kişisel verilerin saklanmasında temel prensip, verilerin işlendikleri amaç için gerekli olan veya mevzuatta öngörülen süre kadar muhafaza edilmesidir. Veri sorumluları, saklama sürelerini tayin ederken öncelikle Türk Ticaret Kanunu (TTK), Türk Borçlar Kanunu (TBK) ve kendi sektörlerini ilgilendiren özel kanunlardaki emredici hükümlere bakmalıdır. Örneğin, TTK'nın 82. maddesi gereği ticari defter ve belgelerin on yıl süreyle saklanması zorunludur. Aynı şekilde, TBK madde 146 uyarınca genel dava zamanaşımı süresi de on yıl olarak belirlenmiştir. Finans ve sigorta gibi spesifik sektörlerde ise MASAK mevzuatı gereğince kimlik tespitine ilişkin belge ve kayıtların son işlem tarihinden itibaren sekiz yıl muhafaza edilmesi öngörülmektedir. Eğer yasal mevzuatta özel bir süre öngörülmemişse, veri sorumlusu işleme amacının devam edip etmediğini dikkate alarak makul bir saklama süresi belirlemelidir. Amacın tamamen ortadan kalktığı durumlarda ise verilerin ileride ihtiyaç duyulma ihtimaliyle süresiz olarak elde tutulması, veri minimizasyonu ilkesine açıkça aykırılık teşkil edecek ve ciddi veri güvenliği ihlali riski doğuracaktır.
Kişisel Verilerin İmhası ve Hukuki Prosedürler
KVKK madde 7 uyarınca, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir. Uygulamada veri sorumluları, yükümlülüklerini Kişisel Veri Saklama ve İmha Politikası hazırlayarak bu politika çerçevesinde gerçekleştirdikleri periyodik imha süreçleri ile yerine getirmektedir. Kişisel verilerin kanuni süreler geçmesine rağmen imha edilmemesi, Türk Ceza Kanunu'nun 138. maddesinde düzenlenen verileri yok etmeme suçunu oluşturmaktadır. İlgili kişinin talep etmesi halinde imha yöntemini gerekçelendirerek seçme hakkı bulunurken; resen imha sürecinde veri sorumlusu, Kurul aksine karar almadıkça uygun yöntemi kendisi seçebilmektedir. İşlemler sırasında verilerin yetkisiz kişilerce geri döndürülemez biçimde ortadan kaldırılması büyük önem taşımaktadır. Silme, verinin ilgili kullanıcılar için erişilemez hale getirilmesini; yok etme, hiçbir şekilde geri getirilemez şekilde donanımsal veya yazılımsal imhayı; anonimleştirme ise verinin gerçek kişiyle hiçbir surette eşleştirilemez hale getirilmesini ifade etmektedir.
Veri Güvenliğini Sağlamaya Yönelik Teknik ve İdari Tedbirler
KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü yüklemiştir. Veri güvenliği risklerinin bertaraf edilmesi idari organizasyonun ve sistemsel altyapının bir arada kurgulanmasıyla mümkündür. İdari tedbirler kapsamında, organizasyon içinde kişisel veri envanteri oluşturulması, çalışanlara yönelik farkındalık eğitimleri düzenlenmesi ve çalışanlarla gizlilik taahhütnameleri akdedilmesi gerekmektedir. Bunun yanı sıra, şirketlerin bilgi güvenliği politikaları geliştirmesi ve düzenli denetim mekanizmaları kurması yasal bir zorunluluktur. Sistem altyapısının güvenliği ise doğrudan teknik tedbirler ile sağlanmalıdır. Ağ ve uygulama güvenliği, güncel anti-virüs yazılımlarının kullanımı, siber saldırı tespit ve önleme sistemleri, erişim loglarının tutulması ve yetki matrislerinin oluşturulması veri sızıntılarını önlemenin temel yapıtaşlarındandır. Kurul kararlarında açıkça vurgulandığı üzere, güvenlik önlemleri statik değil, gelişen teknolojiye entegre olarak sürekli güncellenen dinamik bir yapıya sahip olmalıdır.
Özel Nitelikli Kişisel Verilerde İlave Güvenlik Önlemleri
Kanun koyucu, bireylerin mağduriyetine veya ayrımcılığa sebep olma potansiyeli taşıyan özel nitelikli kişisel verilerin işlenmesi ve saklanması aşamasında ek güvenlik önlemlerinin alınmasını zorunlu kılmıştır. Kişisel Verileri Koruma Kurulu tarafından yayımlanan karar ve rehberler doğrultusunda alınması gereken başlıca ilave tedbirler şunlardır:
- Kriptografik şifreleme: Elektronik ortamda tutulan verilerin standartların üzerinde güvenli algoritmalarla şifrelenmesi ve kriptografik anahtarların farklı ortamlarda saklanması.
- Erişim sınırlandırmaları: Uzaktan erişim gerektiren sistemlerde en az iki kademeli kimlik doğrulama süreçlerinin işletilmesi ve erişim yetkilerinin sıkı şekilde kontrolü.
- Güvenli aktarım kanalları: Verilerin e-posta ile aktarımında kurumsal posta adresleri veya Kayıtlı Elektronik Posta (KEP) hesaplarının tercih edilmesi.
- Fiziksel güvenlik: Belgelerin bulunduğu fiziki alanların yangın, hırsızlık ve su baskını gibi risklere karşı güvence altına alınması ve yetkisiz giriş çıkışların engellenmesi.
Veri İhlali Durumunda Bildirim Yükümlülükleri
Alınan tüm siber güvenlik önlemlerine rağmen yetkisiz kişilerin sisteme sızması veya bir çalışan hatası neticesinde verilerin dışarı sızması halinde veri ihlali prosedürlerinin derhal işletilmesi gerekmektedir. KVKK 12. madde uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda veri sorumlusu bu olayı en kısa sürede ve en geç yetmiş iki saat içinde Kurula ve etkilenen ilgili kişilere bildirmekle yükümlüdür. KVK Kurulu, geç yapılan bildirimlerde veri sorumlularına yüksek tutarlarda idari para cezası uygulamaktadır. İhlal bildirimlerinin süresi içerisinde şeffaf bir şekilde yapılması, olası itibar kayıplarını ve hukuki yaptırımları minimize eden kritik bir adımdır. İlgili kişilere yapılacak bildirimlerde; ihlalin tarihi, etkilenen kişisel veri kategorileri, olası riskler ve zararı azaltmak için alınan önlemlerin açık ve anlaşılır bir dille aktarılması yasal bir gerekliliktir. Gelişen teknolojilerle birlikte, veri minimizasyonunu sağlayan ve ihlal riskini düşüren sıfır bilgi ispatı gibi yenilikçi kriptografik yöntemlerin de sistemlere entegre edilmesi veri güvenliği açısından oldukça değerli bir hukuki yaklaşımdır.