KİŞİSEL VERİLERİN İMHASI
Endüstri 4.0 ile birlikte toplumun her sektöründe hızlı bir dijitalleşme yaşanmaya başlamasıyla birlikte büyük miktarda veri dolaşıma girmiştir. Hemen hemen her sektör kişilerden çeşitli amaçlarla veri talep etmeye başlamıştır. Elde edilen veriler çeşitli yöntemlerle işlenerek kayıt edilmekte ve depolanmaktadır. İhtiyaç duyulduğunda kullanılmak üzere hazır tutulurken güvenlik ve bütünlüğünün sağlanması amacıyla da uygun yöntemlerle şifrelenmektedir. (kişisel verilerin imhası, ISO 15713)
Dijital ortama aktarılan ve bu ortamda yaratılmış olan veriler toplum hayatını çok kolaylaştırmıştır. Kullanım amaçlarına ulaşılan ve süreç sonrasında ihtiyaç duyulmayan verilerin ne yapılacağı konusu zamanla önem kazanmış ve uygun yöntemlerle imhası araştırılmaya başlanmıştır. Verilerin muhafazası sürerken gizlilik ve güvenliğine gösterilen hassasiyetin verilerin imhası sürecinde de gösterilmesi gerektiğinin farkına varılmıştır.
Kişisel Verilerin İmhası Politikaları
Kişisel Verilerin İmhası konusu 6698 Sayılı Kişisel Verilerin korunması Kanunu kapsamında “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7. maddesinde ele alınmaktadır. İlk zamanlarda çok dikkat edilmeyen bir konu olmakla beraber zamanla önemi anlaşılmıştır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenmiştir.
Kurum tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarihli ve 30224 sayılı Resmî Gazete ’de yayımlanmış ve 01.01.2018 tarihi itibariyle yürürlüğe girmiştir. Söz konusu yönetmelik ile kişisel veri saklama ve imha politikasına ilişkin esaslar, bu politikada yer alması gereken asgari hususlar, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesindeki yöntemler belirlenmiştir.
Kişisel verilerin yok edilmesi, elde edilen kişisel verilerin imha sonrasında hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin elde edildikten sonra işlenmesi ve kullanılması sürecinde çeşitli ortamlarda muhafaza edildiği bilinmektedir. Bu ortamlarda muhafaza edilen verilerin yönetmelikte açıklandığı üzere imha edilmesi bir süreç teşkil etmektedir. Öncelikle verilerin tüm kopyaları tespit edilmeli ve imha işlemi bu kopyaların tamamı için gerçekleştirilmelidir.
İmha Süreci
İmha sürecinin tüm adımlarında gizlilik ve güvenilirlik kontrol edilmelidir. İmha işlemini uygulayacak görevli personelin seçim ve görevlendirilmesi sürecinden başlayarak süreç adım adım kontrollü olarak işletilmelidir.
Bir diğer önemli husus ise verilerin muhafaza edildiği ortamlara uygun imha yöntemlerinin belirlenmesidir. Kâğıt ve benzeri ortamlarda muhafaza edilen veriyi imha etmek için geri dönüştürülemez şekilde kırpılması ve sonrasında ihtiyaç duyulursa yakılarak imhası gerekmektedir. Her ne kadar yakma işlemi kâğıt gibi geri dönüşümde kullanılması gereken ortamlar için çok fazla tercih edilmese de teknolojinin gelişmesi ile kırpılan küçük parçaların resimlerinin çekilerek anlamlı bilgi edinme çalışmaları yapılabildiği görülmektedir. Bu nedenle imha edilecek bilginin önemine uygun bir şekilde gerekirse yakma işlemi yapılmalıdır. (KVKK)
Manyetik alanda muhafaza edilen veriler için kuvvetli manyetik alanlardan geçirerek manyetik bozulma ile imha süreci işletilmektedir. Kuvvetli manyetik alanların yardımı ile içerisindeki verilerin okunamaz hale getirilmesine ek olarak fiziksel imha yöntemleri de kullanılmaktadır. CD/DVD gibi optik medyalar ise küçük parçalara ayırma, yakma v eritme gibi yöntemler kullanılarak imha edilmelidir.
Sonuç
İmha sürecinde dikkat edilecek hususların başında; imha sürecini işletecek ve imhayı gerçekleştirecek görevli personel gelmektedir. Profesyonel veri imha eğitimi almış kişiler tarafından yapılması gereken hassas bir işlemde görevlendirilecek personel imha sürecinin kendisi kadar önemlidir.
İmha yöntemlerinin seçilerek uygulanması ise süreçte bir diğer önem arz eden konudur. Medyaya özel yöntemlerin belirlenmesi imha sürecinin başarısı için çok büyük önem arz etmektedir.
ISO 15713:2009 (TS EN 15713:2009) Gizli Malzemenin Güvenli İmhası Standardı imha edilecek verilerin sahipleri adına verileri yok eden profesyonel veri imhası yapan şirketler tarafından uyulması gereken zorunlu kurallar kapsayan bir rehber niteliğindedir. Güvenli imha sürecinin her bir adımı için gerekli ve zorunlu koşulları içeren bu standart Bilgi Güvenliği kapsamındaki diğer tüm standartlara tam olarak uyumlu bir imhanın sağlanması açısından büyük önem arz etmektedir. Verinin yaşam döngüsü ancak kanunlara uygun güvenli bir veri imhasının sağlanmasıyla tamamlanmaktadır.
Siber Güvenlik Hukuku alanındaki diğer yazılarımızı bağlantıdan okuyabilirsiniz.
Ayrıca Uluslararası İlişkiler, Güvenlik ve Siber Güvenlik isimli yazıya da bağlantıdan ulaşabilirsiniz.
REISSWOLF 1985 yılından beri Avrupa’da Güvenli İmha konusunda sektörün öncüsü konumundadır. Yenilikçi ve sürdürülebilir imha çözümleri ile iş dünyasının değişen dinamiklere göre süreçlerini şekillendirmektedir. 2008 yılından beri Türkiye’de faaliyet gösteren REISSWOLF, Türkiye’nin ilk Güvenli İmha Tesisi‘ni kurmuştur.
Bilgisayar Yüksek Mühendisi olarak uzun yıllar Siber Güvenlik ve Bilgi Güvenliği alanlarında çalışmıştır. Hukuk eğitimini Marmara Üniversitesi Hukuk Fakültesinde tamamlamıştır. Bilişim ve Hukuk gibi iki farklı disiplini birleştirerek Bilişim Hukuku alanında çalışmalarını sürdürmektedir. Eskişehir Barosu nezdinde avukatlık yapmaktadır.