Makale
Kişisel verilerin işlenme amacının ortadan kalkması halinde, bu verilerin hukuka uygun olarak imha edilmesi zorunludur. KVKK ve GVKT uyarınca veri imhası; silme, yok etme ve anonimleştirme yöntemleriyle gerçekleştirilir. Bu makale, veri sorumlularının imha yükümlülüklerini ve uygulanabilecek hukuki yöntemleri detaylı bir şekilde incelemektedir.
KVKK ve GVKT Kapsamında Kişisel Veri İmha Yöntemleri
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte, kişisel verilerin işlenmesi süreçleri kurumlar için vazgeçilmez bir hal almıştır. Ancak hukuka uygun olarak işlenen bu verilerin, işlenme amacı ortadan kalktığı durumlarda süresiz olarak saklanması mümkün değildir. Gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) gerekse Avrupa Genel Veri Koruma Tüzüğü (GVKT) uyarınca, amacı sona eren verilerin re'sen veya ilgili kişinin talebi ile imhası hukuki bir zorunluluktur. Veri sorumlusu tarafından yerine getirilmesi gereken bu imha süreci, mevzuatta öngörülen çeşitli yöntemlerle gerçekleştirilebilir. Kişisel verilerin güvenli bir şekilde ortadan kaldırılması, yalnızca yasal bir uyum meselesi değil, aynı zamanda bireylerin özel hayatının gizliliği ve temel haklarının korunması açısından da kritik bir öneme sahiptir. Kanun koyucu, veri sorumlularına bu yükümlülüğü yerine getirmeleri için silme, yok etme veya anonimleştirme gibi farklı hukuki alternatifler sunmuştur.
Kişisel Verilerin Silinmesi ve AYM Perspektifiyle)">AYM Perspektifiyle)">Unutulma Hakkı
Kişisel verilerin imha yollarından ilki olan silme işlemi, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında düzenlenmiştir. Bu yöntemde temel amaç, kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Bulut sistemleri, merkezi sunucular veya kâğıt gibi fiziki ortamlarda bulunan veriler, karartma veya erişim kısıtlaması gibi teknik ve idari tedbirler alınarak silinebilir. GVKT kapsamında ise bu durum 17. maddede ele alınmış ve özellikle ABAD'ın Google kararı sonrasında AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı olarak geniş bir yankı bulmuştur. Bireylerin dijital dünyada kendilerine ilişkin verilerin silinmesini talep ederek unutulmayı isteme hakkı, hem Avrupa hukuku hem de Türk yargı içtihatları çerçevesinde kişilik hakları ve özel hayatın gizliliği bağlamında güçlü bir koruma mekanizması olarak kabul edilmektedir.
Kişisel Verilerin Yok Edilmesi
Silme işleminden farklı olarak kişisel verilerin yok edilmesi, verilere hiç kimsenin erişememesi, geri getirememesi ve hiçbir şekilde tekrar kullanamaması için yapılan işlemleri ifade etmektedir. İlgili yönetmelik uyarınca veri sorumlusu, kişisel verilerin yok edilmesinde de gerekli her türlü idari ve teknik tedbiri almakla yükümlü tutulmuştur. Yok etme işlemi, dijital veya fiziki ortamdaki verilerin geri dönüştürülemez biçimde ortadan kaldırılmasını sağlamaktadır. Bu yöntemin kullanılmasında hangi tekniklerin tercih edileceği, büyük ölçüde veri sorumlusunun inisiyatifinde olup yasal standartlara uygunluk esastır. Ayrıca, söz konusu kişisel verilerin üçüncü kişilere aktarıldığı durumlarda, işlenme şartlarının tamamen ortadan kalkması halinde veri sorumlusu bu durumu derhal üçüncü kişilere bildirmek zorundadır. Bu sayede, verilerin paylaşıldığı tüm ağlarda imha süreçlerinin eksiksiz bir biçimde işletilmesi ve üçüncü tarafların da gerekli yok etme işlemlerini yerine getirmesi yasal olarak güvence altına alınmaktadır.
Kişisel Verilerin Anonimleştirilmesi
Veri imha yöntemlerinden bir diğeri olan anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir şekilde kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Veri, bu işlem sayesinde kişiselliğini tamamen kaybetmekte ve böylece KVKK ve GVKT kapsamından çıkmaktadır. Araştırma ve istatistiki gayelerle verilerin yeniden kullanılmasına imkân tanıyan bu yöntem, kişisel verilerin korunması hukuku sınırlarının dışına çıkılmasına olanak verir. Başarılı bir anonimleştirme işlemi ile verilerden yola çıkılarak ilgili kişinin iş performansı, ekonomik durumu, sağlığı veya kişisel tercihleri gibi özelliklerini yansıtan bir profil çıkarılması imkânsız hale gelmelidir. Ancak teknolojinin ilerlemesi ve büyük veri analizlerinin gelişmesiyle birlikte, verilerin yeniden tanımlanması riski her zaman mevcuttur. Bu nedenle anonimleştirmenin mutlak surette geri döndürülemez nitelikte tasarlanması şarttır.
Yaygın Anonimleştirme Teknikleri
Anonimleştirme sürecinde, veri sorumluları tarafından verinin yapısına ve risk durumuna göre çeşitli veri gizleme teknikleri kullanılmaktadır. Bu bağlamda uygulamada en sık karşılaşılan temel anonimleştirme yöntemleri şunlardır:
- k-anonimlik: Yarı tanımlayıcıları değiştirerek, veri setindeki her bir kişinin en az belirli sayıdaki diğer kişilerden ayırt edilemez hale getirilmesini sağlayan bir gizlilik modelidir.
- l-çeşitlilik: Her eşdeğerlik sınıfında farklı hassas değerlerin bulunmasını zorunlu kılarak, bireyin yeniden tanımlanması durumunda bile hassas verilerin ifşasını engelleyen tamamlayıcı bir tekniktir.
- Veri Bulanıklaştırma ve Maskeleme: Niteliklerin değerlerini değiştirerek veya görüntüleri tam anlamıyla bulanıklaştırarak bireylerin tanımlanmasını imkânsızlaştıran pratik anonimleştirme uygulamalarıdır.