Kişisel verilerin imhasında “Kişisel Verilerin Yok Edilmesi” yöntemi

Kişisel verilerin hiçbir şekilde hiç kimse tarafından erişilemez, tekrar kullanılamaz ve geri getirilemez hale getirme işlemidir. Veri sorumlusu kişisel verilerin yok edilmesiyle alakalı her türlü idari ve teknik tedbirleri almakla sorumludur.

  1. Kağıt ve Mikrofiş Ortamları
  2. Bulut Ortamı
  3. YEREL SİSTEMLER
  4. Çevresel Sistemler

olmak üzere yok etme işlemini 4 maddede tanımlayabiliriz. Bu sistemler kendi içlerinde farklı yöntemler ile verileri yok etmeye olanak sağlamaktadır.

 

  1. KAĞIT VE MİKROFİŞ Ortamları: ortamlardaki kişisel verilerin kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekmektedir

 

  1. BULUT ORTAMI: Kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.

3.     YEREL SİSTEMLER

  •  De-manyetize Etme
  • Fiziksel Yok Etme
  • Üzerine Yazma
  1. ÇEVRESEL SİSTEMLER
  • Ağ cihazları (switch, router vb.)
  • Flash tabanlı ortamlar
  • Manyetik bant
  • Manyetik disk gibi üniteler
  • Mobil telefonlar (Sim kart ve sabit hafıza alanları)
  • Optik diskler
  • Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
  • Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri

Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel

verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:

  • İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara

aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da

birkaçı kullanılmak suretiyle yok edilmesi,

  • Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının

sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara

gönderilmesi,

  • Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak

kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması,

gerekir.