6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'deki tüm veri sorumlularını kişisel veri içeren cihazların kullanım sonrası güvenli biçimde imha edilmesi konusunda açık yükümlülükler altına sokmaktadır. Cihaz tasfiyesi sürecinde bu yükümlülüklerin yerine getirilmemesi hem idari para cezası hem de itibar kaybı anlamına gelir.
KVKK'nın Cihaz İmhasına Yönelik Yükümlülükleri
KVKK'nın 12. maddesi, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almak zorunda olduğunu belirler. Bu kapsamda depolama ortamlarının tasfiyesi doğrudan kapsam dahilindedir.
Kişisel Verileri Koruma Kurumu (KVKK Kurumu) tarafından yayınlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi", kurumların veri imha süreçleri için referans belge niteliğindedir. Bu rehbere göre imha yöntemleri şu üç kategoride değerlendirilir:
Silme
Verilerin kullanıcılar tarafından hiçbir şekilde erişilemez hale getirilmesi; ancak fiziksel ortam varlığını sürdürür.
Yok Etme
Kişisel verilerin hiçbir şekilde geri getirilemeyeceği biçimde kalıcı olarak ortadan kaldırılması (fiziksel imha dahil).
Anonimleştirme
Verilerin kişiyle ilişkilendirilemeyecek hale getirilmesi; genellikle istatistiksel süreçlerde tercih edilir.
Elektronik Cihazlarda Uygulanabilecek Teknik İmha Yöntemleri
Cihaz türü ve hassasiyet derecesine göre farklı yöntemler tercih edilmektedir. Aşağıda en yaygın teknik imha yöntemlerini ve uygulanabilirlik koşullarını özetledik:
- Güvenli Yazılım Silme (Overwrite): DoD 5220.22-M veya NIST 800-88 standardı ile 3–7 geçiş halinde veri üzerine yazma. Çalışır durumdaki diskler için uygundur.
- Degaussing (Manyetik Silme): Güçlü manyetik alan ile disk kalıbının bozulması. SSD'lere uygulanamaz, HDD ve manyetik bantlar için etkilidir.
- Fiziksel İmha / Shredding: Disk ve depolama ortamlarının sertifikalı ekipmanla parçalanması. En yüksek güvence düzeyini sağlar.
- Kriptografik Silme (Crypto Erase): Şifreli disklerde şifreleme anahtarının imhası. Tam disk şifrelemesinin daha önce aktif olduğu sistemlerde geçerlidir.
İmha Sonrası Zorunlu Belgeler
KVKK uyumluluğu açısından imha süreci kağıt üzerinde de kanıtlanabilir olmalıdır. Asgari düzeyde şu belgeler düzenlenmelidir:
- Veri imha tutanağı (tarih, yöntem, seri numarası, imzalar)
- İmha gerçekleştiren firma/personelin kimlik bilgileri
- Uygulanan standart ve kullanılan yazılım/donanım sertifikası
- İmha öncesi ve sonrası fotoğraf/log kaydı
Kurumsal Alıcı Seçiminde Dikkat Edilmesi Gerekenler
Cihazlarınızı bir geri dönüşüm ya da ikinci el alıcısına teslim etmeden önce veri imhasını kendi bünyenizde tamamlamış olmanız en güvenli yaklaşımdır. Alternatif olarak, sertifikalı veri imhasını sözleşme kapsamında gerçekleştiren ve buna ilişkin tutanak teslim eden kurumsal alıcılarla çalışmanız gerekir.
Bu noktada sormanız gereken temel sorular şunlardır: Alıcı şirketin ISO 27001 sertifikası var mıdır? Hangi imha standardını uygulamaktadır? İmha tutanağını ne zaman iletiyor?
KVKK Uyumlu Veri İmha Süreci Hakkında Bilgi Alın
Cihaz tasfiyenizde sertifikalı veri imhası ve resmi tutanak isterseniz bizimle iletişime geçin.