General Data Protection Regulation (GDPR), yani AB’nin 2018’de devreye aldığı Genel Veri Koruma Yönetmeliği ‘Unutulma Hakkı’ (Right to Be Forgotten – RTBF) denilen talebe çok önem vermekte. Bu talep, bir kişinin bir firmadan kendiyle ilgili ellerindeki tüm verilerin silinmesini istemesi anlamına gelmekte. Bu durumda firma arşivinde tutulan kişisel müşteri verilerinin silinmesi zorunludur. Unutulma Hakkı talepleri ülkemizde geçerli olan Kişisel Verileri Koruma Kanunu (KVKK) düzenlemesinde de aynı ciddiyetle ele alınmakta.
Fakat teknik nedenlerden dolayı bu verilerin silinememesi söz konusu olduğunda süreç nasıl işler? GDPR’ın 17’inci maddesinin altında yatan fikir gayet açık: herhangi bir kişi bilgilerinin silinmesini istiyorsa, firma sahip olduğu bu verileri silmek zorundadır. Firmaların bu zorunluluğu gerçekleştirebilmesi kolay değildir; hatta bazı durumlarda imkânsız bile olabilir. Örnek olarak verilerin tam anlamıyla silinemediği büyük veri ortamlarını düşünebilirsiniz. Tabi ki bu durum GDPR yönetmeliklerinin hiç umurunda değil. Firma hala veri koruma kanunu gereğine uymak ve talep edildiği şekilde verileri silmek zorunda.
Buraya kadar yeterince karmaşık gelmediyse, size firmanızın Unutulma Hakkı maddelerinin veri saklama gerekliliklerine ilişkin bir başka senaryoyla karşı karşıya kalabileceğini de hatırlatmamız gerekiyor. Firmalar yasal prosedürler gereği saklamak zorunda oldukları verileri 5-10 yıl gibi bir süre tutma hakkına sahipler. Böyle olunca da bir tarafta silmekle yükümlü oldukları veriler diğer tarafta saklamak zorunda oldukları verilerle baş başa kalıyorlar.
Bu Durumu Çözmek için Ne Yapılması Gerekiyor? Cevap kesinlikle ‘Mantıksal Silme’
Şöyle açıklayabiliriz, silmekle yükümlü olduğunuz veritabanınızdaki verileri gerçekten silmeden önce bu verilere erişimi engellemek için kişisel müşteri verilerini uygulama düzeyinde maskeleme işlemi yapmak sizin ihtiyacınız olan işlemdir. Büyük veri ortamları gibi verilerin kolayca silinemediği sistemlerde mantıksal silme işlemi gerçekleştirmek, müşterilerinizin gizliliğini korumak ve uyumlu olmak için yapabileceğiniz en doğru işlemdir ve kişisel verileri erişim riskini önemli ölçüde azaltır.
Saklama süresi de söz konusu olduğunda mantıksal silme işlemi DPO’lar gibi yetkili kullanıcılar veya yasal prosedürler hariç tutulacak şekilde kişisel verilere erişimi kısıtlar, sonrasında ise saklama süresinin dolmasıyla verilerin tamamen fiziksel olarak silinmesini sağlar.