Bilişim & Yapay Zekâ Hukuku
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Yayın tarihi 14 Temmuz 2026·4 dk okuma
Av. Mona Hukuk Editör Ekibi - Antalya · Antalya Barosu
Bir müşteri sözleşmesi sona erdiğinde, bir çalışan işten ayrıldığında ya da bir pazarlama izni geri çekildiğinde şirketinizin elindeki kişisel veriler ne olacak? 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verinin süresiz saklanmasına izin vermez. İşlenmesini gerektiren sebepler ortadan kalktığında veri sorumlusu bu verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür. Bu yükümlülüğün kaynağı KVKK m.7 ile buna dayanılarak çıkarılan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik"tir (RG 28/10/2017). Bu rehber, üç imha yönteminin farkını, saklama ve imha politikası yükümlülüğünü ve şirketlerin uyması gereken süreleri ele alır.
İmha Yükümlülüğü Ne Zaman Doğar?
KVKK m.7/1 açıktır: veriler kanuna uygun işlenmiş olsa bile, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusu tarafından resen (kendiliğinden) veya ilgili kişinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir. Yönetmelik bunu, KVKK m.5 ve m.6'daki işlenme şartlarının tamamının ortadan kalkması olarak somutlaştırır. Bu şartlar tipik olarak şu hallerde ortadan kalkar:
- verinin işlendiği amacın gerçekleşmiş ya da ortadan kalkmış olması,
- işlemenin dayandığı açık rızanın geri çekilmesi,
- ilgili mevzuatta öngörülen azami saklama süresinin dolması,
- sözleşmenin sona ermesiyle veriye artık ihtiyaç kalmaması.
Diğer kanunlarda yer alan saklama yükümlülükleri (örneğin vergi veya ticaret mevzuatındaki asgari saklama süreleri) saklıdır; bu süreler dolmadan imha yapılamaz.
Üç Yöntem ve Aralarındaki Fark
Yönetmelik "imha" kavramını üç farklı işlemin üst başlığı olarak kullanır ve her birini ayrı tanımlar:
- Silme (m.8): Kişisel verinin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Veri teknik olarak sistemde bir süre daha bulunabilir; belirleyici olan, veriyi işleme yetkisi bulunan kullanıcıların ona erişememesidir.
- Yok etme (m.9): Kişisel verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Fiziksel evrakın imhası ya da manyetik medyanın geri döndürülemez biçimde bozulması bu kapsamdadır.
- Anonim hale getirme (m.10): Kişisel verinin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Usulüne uygun anonimleştirmede veri artık kişisel veri olmaktan çıkar; bu nedenle istatistik ve analiz amaçlı en çok tercih edilen yöntemdir.
Kişisel Veri Saklama ve İmha Politikası
Yönetmelik m.5, Veri Sorumluları Siciline (VERBİS) kayıt olmakla yükümlü veri sorumlularına Kişisel Veri Saklama ve İmha Politikası hazırlama zorunluluğu getirir. Bu politika asgari olarak (m.6):
- kayıt ortamlarını ve saklamayı gerektiren hukuki/teknik sebepleri,
- alınan teknik ve idari tedbirleri,
- saklama ve imha süreçlerinde görevli kişilerin unvan ve görev tanımlarını,
- saklama ve imha sürelerini gösteren tabloyu,
- periyodik imha sürelerini
içerir. Önemli bir nokta: politikanın hazırlanmış olması, verinin gerçekten kanuna uygun imha edildiği anlamına gelmez (m.5/2). Ayrıca politika hazırlama yükümlülüğü bulunmayan veri sorumlusunun da silme, yok etme ve anonim hale getirme yükümlülüğü aynen devam eder (m.5/3).
Periyodik İmha ve Süreler
Süreler, veri sorumlusunun politikası olup olmamasına göre değişir:
- Politikası olan veri sorumlusu, imha yükümlülüğünün doğduğu tarihi takip eden ilk periyodik imha işleminde veriyi imha eder. Periyodik imha aralığı politikada belirlenir; ancak bu süre her halde altı ayı geçemez (m.11/2) — yani en geç altı ayda bir periyodik imha yapılmalıdır.
- Politikası olmayan veri sorumlusu, yükümlülüğün doğduğu tarihi takip eden üç ay içinde imhayı gerçekleştirir (m.11/3).
- İlgili kişinin talebi üzerine yapılan imhada, işleme şartlarının tamamı ortadan kalkmışsa talep en geç otuz gün içinde sonuçlandırılır (m.12).
Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık hallerinde bu süreleri kısaltabilir (m.11/4).
Uyumun Belgelenmesi
Yönetmelik, imhayı yalnızca yapmayı değil belgelemeyi de zorunlu kılar. Silme, yok etme ve anonim hale getirmeyle ilgili tüm işlemler kayıt altına alınır ve bu kayıtlar, başka hukuki yükümlülükler saklı kalmak üzere en az üç yıl saklanır (m.7/3). Veri sorumlusu uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamak zorundadır. Uygulamada şirketlere şu adımlar önerilir:
- Kişisel veri işleme envanterini çıkarmak ve her veri kategorisi için azami saklama süresini belirlemek.
- Saklama ve imha politikasını hazırlamak ve periyodik imha aralığını (altı ayı aşmayacak şekilde) tespit etmek.
- İmha işlemlerini tutanakla kayıt altına almak ve en az üç yıl saklamak.
- İlgili kişi taleplerini otuz günlük süreye uygun yönetmek.
- Politikayı ve envanteri düzenli olarak gözden geçirip güncellemek.
Sıkça Sorulan Sorular
Silme ile yok etme arasındaki fark nedir? Silmede veri, işleme yetkisi bulunan ilgili kullanıcılar için erişilemez hale getirilir; veri sistemde teknik olarak bir süre kalabilir. Yok etmede ise veri hiç kimse tarafından geri getirilemeyecek biçimde tamamen ortadan kaldırılır.
Her şirket saklama ve imha politikası hazırlamak zorunda mı? Hayır. Bu yükümlülük, VERBİS'e kayıt olmakla yükümlü veri sorumlularına aittir. Ancak politika hazırlamak zorunda olmayan şirketlerin de verileri süresi geldiğinde imha etme yükümlülüğü devam eder.
Periyodik imha en geç ne zaman yapılmalı? Periyodik imha aralığı politikada serbestçe belirlenir; fakat her halükârda altı ayı geçemez. Yani politikası olan veri sorumlusu en az altı ayda bir periyodik imha yapmak zorundadır.
Anonim hale getirilen veri KVKK kapsamında mıdır? Usulüne uygun anonimleştirilen veri belirli bir kişiyle ilişkilendirilemediğinden kişisel veri niteliğini kaybeder ve KVKK kapsamı dışına çıkar. Ancak eşleştirme yoluyla kimliğe ulaşılabiliyorsa anonimleştirme geçerli sayılmaz.
Mona Hukuk Nasıl Yardımcı Olabilir?
Mona Hukuk olarak şirketlere kişisel veri envanteri çıkarma, saklama ve imha politikası hazırlama, periyodik imha süreçlerini kurma ve imha işlemlerinin hukuka uygun biçimde belgelenmesi konularında destek veriyoruz. Bilişim ve yapay zekâ hukuku alanındaki uzmanlığımızla şirketinizin KVKK'nın imha yükümlülüklerine tam uyumunu güvence altına alıyoruz.
Antalya'da danışmanlık için contact@monahukuk.com adresinden yazabilir ya da +90 (242) 606 14 32 numarasını arayabilirsiniz.
Türk Hukuku'ndaki gelişmeleri haftalık özet olarak almak ister misiniz?
Resmî Gazete duyuruları, yargı kararları ve mevzuat değişikliklerini haftalık olarak e-postanıza gönderiyoruz. Ücretsiz; istediğiniz an iptal edebilirsiniz.
İlgili Makaleler
Bilişim & Yapay Zekâ Hukuku
Türkiye'de Veri Sorumlusu ve Veri İşleyen Ayrımı: Sözleşme Yükümlülükleri
14 Tem 2026 · 5 dk okuma
Makaleyi okuBilişim & Yapay Zekâ Hukuku
Siber Güvenlik İhlallerinde Şirketlerin Hukuki Sorumluluğu
14 Tem 2026 · 5 dk okuma
Makaleyi okuBilişim & Yapay Zekâ Hukuku
Türkiye'de Elektronik İmza Hukuken Ne Zaman Geçerlidir?
13 Tem 2026 · 4 dk okuma
Makaleyi oku