Silinme Hakkı Nedir? EDPB Raporu Işığında GDPR, KVKK ve Yedekleme Süreçlerinde Uyum

Rapor, silinme hakkının veri sahipleri tarafından en sık kullanılan GDPR haklarından biri olduğunu, ancak uygulamada veri sorumlularının bu hakkı çoğu zaman yalnızca bireysel bir talebe verilen teknik bir yanıt olarak gördüğünü göstermektedir. Oysa GDPR'ın sistematiği, silinme hakkının yalnızca bir talep yönetimi süreci olmadığını; veri saklama politikası, veri yaşam döngüsü yönetimi, sistem mimarisi ve özellikle yedekleme (back-up) altyapıları ile doğrudan bağlantılı bir kurumsal uyum alanı olduğunu ortaya koymaktadır.

1. GDPR, Uluslararası Veri Koruma Hukuku ve KVKK Çerçevesinden Genel Bakış

Kişisel verilerin korunması hukukunda silinme hakkı (unutulma hakkı), bireyin verileri üzerindeki kontrolünü sağlayan en önemli güvencelerden biri olarak kabul edilmektedir. Bu hak, bireylerin kişisel verilerinin artık işleme amacı bakımından gerekli olmadığı durumlarda veri sorumlusundan verilerin kaldırılmasını talep edebilmesini ifade eder. Günümüzde bu hak en görünür ve sistematik düzenlemesini Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (GDPR) 17'nci maddesinde bulmaktadır.

GDPR'ın 17'nci maddesi kapsamında silinme hakkı, kamuoyunda sıklıkla "unutulma hakkı" ile anılmakta ve bireyin dijital ortamda kendisine ilişkin veriler üzerinde yeniden kontrol sahibi olmasını sağlamayı amaçlamaktadır. Buna göre ilgili kişi:

• Kişisel verilerin artık işleme amacı için gerekli olmaması,
• Veri işleme faaliyetinin rızaya dayanması ve rızanın geri çekilmesi,
• Verinin hukuka aykırı işlenmesi,
• Veri sahibinin itiraz hakkını kullanması,
• Verinin hukuki bir yükümlülük gereği silinmesi

gibi durumlarda veri sorumlusundan verilerin silinmesini talep edebilir.

Bununla birlikte silinme hakkı mutlak bir hak değildir. GDPR'ın 17'nci maddesinin 3'üncü fıkrasında:

• İfade özgürlüğü,
• Hukuki yükümlülükler,
• Kamu yararı kapsamında arşivleme,
• Bilimsel veya tarihsel araştırma,
• Hukuki taleplerin tesisi veya savunulması

gibi durumlarda veri sorumlusunun silinme talebinin reddedebileceği düzenlenmektedir.

Silinme hakkının uluslararası veri koruma hukukundaki kökeni yalnızca GDPR ile sınırlı değildir. Avrupa Konseyi'nin 1981 tarihli 108 sayılı Veri Koruma Sözleşmesi (Convention 108) ve bunun güncellenmiş versiyonu olan Convention 108+, kişisel verilerin amaç için gerekli süreden fazla saklanmaması ve bireylerin verileri üzerinde etkili haklara sahip olması gerektiğini ortaya koymuştur. Bu sözleşmeler veri minimizasyonu ve saklama süresi sınırlaması ilkelerini uluslararası veri koruma hukukunun temel prensipleri hâline getirmiştir.

Türk hukukunda ise silinme hakkı, GDPR'daki gibi doğrudan "right to erasure" başlığı altında düzenlenmemiştir. Bunun yerine sistem, ilgili kişi hakları (KVKK m.11) ile imha yükümlülüğü (KVKK m.7) birlikte okunarak kurulmuştur.

Bu çerçevede ilgili kişi:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• İşlenmişse buna ilişkin bilgi talep etme,
• İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
• Verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme

haklarının yanı sıra,

"kişisel verilerin silinmesini veya yok edilmesini talep etme hakkı"na da sahiptir.

Bu hak, KVKK'nın 11'inci maddesi ile tanınan bir başvuru hakkı olmakla birlikte, uygulamada KVKK'nın 7'nci maddesinde düzenlenen imha rejimi ile de bağlantılıdır. Nitekim KVKK'nın 7'nci maddesi uyarınca:

"Kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında veri sorumlusu, kişisel verileri resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hâle getirmekle yükümlüdür."

Bu düzenleme, Türk hukukunda silme mekanizmasının yalnızca talep üzerine çalışan bir hak olmadığını; aynı zamanda veri sorumlusunun kendiliğinden (resen) yerine getirmesi gereken bir yükümlülük olduğunu göstermektedir.

Dolayısıyla GDPR ve KVKK farklı terminoloji kullansa da ortak bir ilkeye dayanır:

Kişisel veri, hukuki dayanağı ortadan kalktıktan sonra aktif sistemlerde, arşivlerde veya yedekleme ortamlarında süresiz olarak tutulamaz.

2. EDPB 2025 CEF Raporu: Silinme Hakkının Uygulanmasına İlişkin Avrupa Genelindeki Bulgular

Avrupa Veri Koruma Kurulu (EDPB), 2025 yılı Koordine Uygulama Çerçevesi kapsamında silinme hakkının uygulanmasına ilişkin geniş çaplı bir inceleme gerçekleştirmiştir.

Raporda:

• 32 Avrupa veri koruma otoritesi
• 764 veri sorumlusu
• Çok sayıda sektör ve kamu kurumu

incelenmiştir.

Raporun temel amacı:

• Silinme hakkının pratikte nasıl uygulandığını tespit etmek,
• Veri sorumlularının karşılaştığı teknik ve hukuki zorlukları belirlemek,
• İyi uygulama örneklerini ortaya koymak

olarak açıklanmıştır.

EDPB'ye göre silinme hakkı, veri sahipleri tarafından en sık kullanılan GDPR haklarından biri olup, veri koruma otoritelerine yapılan şikâyetlerin önemli bir bölümünü oluşturmaktadır. Rapor kapsamında EDPB tarafından aşağıdaki bulgular tespit edilmiştir:

a) Silinme taleplerine ilişkin prosedür eksikliği

Birçok veri sorumlusunun silinme taleplerinin nasıl değerlendirileceğine ilişkin açık ve belgelenmiş bir prosedüre sahip olmadığı tespit edilmiştir. Bu durum özellikle şu riskleri doğurmaktadır:

• Taleplerin tutarsız değerlendirilmesi
• Farklı departmanlar arasında farklı uygulamalar oluşması
• Veri sorumlusunun hesap verebilirliğinin zayıflaması

EDPB, veri sorumlularının silinme taleplerini yönetmek için açık ve test edilmiş kurumsal politika ve prosedürler oluşturması gerektiğini vurgulamaktadır.

Türk hukukunda da benzer bir yaklaşım bulunmaktadır. KVKK kapsamında veri sorumlularının kişisel veri saklama ve imha politikası hazırlaması ve silme işlemlerini politika ve prosedürlerinde açıklaması gerekmektedir. Bu nedenle prosedür temelli yaklaşım her iki sistemde de uyumun temel unsurlarından biridir.

EDPB tarafından veri sorumlularının aşağıdaki aksiyonları alması iyi uygulama örneği olarak değerlendirilmiştir:

• Silinme taleplerine ilişkin yazılı prosedür oluşturmalı
• Talep yönetimi için merkezi bir sorumlu birim belirlemeli
• Silme sürecini belgelemelidir.

b) Farkındalık eksikliği

EDPB'ye göre birçok kurumda personel, GDPR'ın 17'nci maddesi taleplerinin nasıl tanınacağı, nasıl sınıflandırılacağı ve hangi iç prosedür üzerinden yürütüleceği konusunda yeterli eğitim almamaktadır. Bu durum, silinme taleplerinin yanlış yorumlanmasına veya geç işleme alınmasına neden olmaktadır. Rapor, rol bazlı eğitimleri ve periyodik farkındalık çalışmalarını iyi uygulama olarak öne çıkarmaktadır.

c) İlgili kişilere yetersiz bilgi verilmesi

Raporun işaret ettiği bir diğer sorun, veri sahiplerine silinme hakkının kapsamı, başvuru yöntemi, süreler ve olası ret gerekçeleri hakkında yeterli bilgi verilmemesidir. EDPB, aydınlatma metinlerinin anlaşılır ve erişilebilir olmasını, veri sahiplerine süreç boyunca gerekli bilgilerin verilmesini önermektedir.

d) Saklama sürelerinin belirsizliği

Raporun dikkat çektiği bir diğer önemli sorun, veri kategorisi bazlı saklama sürelerinin belirlenmemiş olmasıdır. GDPR'ın 5'inci maddesinin 1'inci fıkrasının (e) bendinde düzenlenen saklama süresinin sınırlandırılması ilkesi, kişisel verilerin işlendikleri amaç için gerekli süre kadar saklanması gerektiğini belirtmektedir.

EDPB'ye göre birçok veri sorumlusu:

• Veri kategorisi bazlı saklama politikası oluşturmamakta,
• Tüm veri setleri için aynı saklama süresini uygulamakta,
• Veya saklama süresini fiilen belirsiz bırakmaktadır.

Bu durum, silinme hakkının uygulanmasını doğrudan zorlaştırmaktadır.

Türk hukukunda ise veri sorumlularının kişisel veri işleme envanterinde saklama sürelerini belirlemesi ve saklama-imha politikasında bu süreleri açıkça belirtmesi gerekmektedir. Hatta veri sorumlusu olarak belirli kriterleri sağlaması durumunda 3. kişilere açık Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kaydolmaları ve burada da bu süreleri kategorik bazlı olarak belirtmeleri gerekmektedir. Bu yönüyle KVKK sistemi, saklama sürelerinin belirlenmesini daha açık bir prosedüre bağlamaktadır.

e) Silme istisnalarının yanlış uygulanması

Raporda veri sorumlularının sıkça kullandığı bir gerekçe şu şekildedir: "Hukuki yükümlülük nedeniyle veri saklanmaktadır."

Ancak çoğu durumda veri sorumluları:

• Hangi mevzuatın veri saklama yükümlülüğü getirdiğini
• Hangi veri kategorisinin saklanması gerektiğini
• Saklama süresinin ne olduğunu

somut şekilde ortaya koyamamaktadır.

EDPB'ye göre soyut hukuki yükümlülük iddiaları silinme talebini reddetmek için yeterli değildir.

f) Back-up sistemlerinde silme

EDPB'nin 2025 CEF raporunda en fazla dikkat çekilen konulardan biri yedekleme (back-up) sistemlerinde silme süreçlerinin yönetimi olmuştur. Veri sorumlularının önemli bir bölümünün aktif sistemlerde silme işlemi gerçekleştirmesine rağmen, aynı verilerin yedekleme ortamlarında tutulmaya devam ettiği tespit edilmiştir. Bu durum özellikle büyük ölçekli IT altyapılarında yaygın bir uygulama sorunu olarak ortaya çıkmaktadır.

Back-up sistemleri:

• Veri bütünlüğünü korumak
• Sistem arızaları veya veri kaybı durumunda kurtarma sağlamak
• Fidye yazılımı saldırılarına karşı veri güvenliği oluşturmak

amacıyla kullanılan kritik altyapılardır. Bu nedenle birçok kuruluş, yedekleme verilerinin yapısının bozulmaması için back-up dosyaları üzerinde doğrudan değişiklik yapılmasını teknik olarak riskli görmektedir.

EDPB raporu bu teknik gerekliliği kabul etmekle birlikte önemli bir ilkeyi açıkça vurgulamaktadır: "Back-up sistemlerinin varlığı silme yükümlülüğünü ortadan kaldırmaz."

Başka bir ifadeyle, veri sorumlusu aktif sistemlerde silinen kişisel verilerin yedekleme sistemlerinde süresiz şekilde erişilebilir veya tekrar kullanılabilir hâlde kalmasına izin veremez.

Türk hukukunda da paralel bir uygulama olup back-up sistemleri imha rejiminin dışında değildir. Yönetmelikte "kayıt ortamı" tanımı, kişisel verilerin bulunduğu her türlü ortamı kapsar.

KVKK İmha Rehberi de silmeyi, "kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesi" olarak tanımlamaktadır. Bu nedenle verinin yedeklerde bulunması tek başına hukuka aykırılık oluşturmaz, ancak verinin erişilebilir ve tekrar kullanılabilir durumda kalması hukuki risk yaratır.

Silme Yükümlülüğü Back-Up Ortamlarını da Kapsar mı?

GDPR'da "kişisel veri işleme" kavramı yalnızca aktif veri tabanları ile sınırlı değildir. Kişisel verinin bulunduğu her ortam veri işleme faaliyetinin parçası olarak değerlendirilmektedir. Bu nedenle:

• Fiziksel yedekleme ortamları
• Harici diskler
• Tape arşivleri
• Bulut yedekleme sistemleri
• Disaster recovery sistemleri

veri işleme altyapısının parçasıdır.

Dolayısıyla kişisel verinin yalnızca üretim sistemlerinden silinmesi yeterli değildir. Aynı verinin yedekleme sistemlerinde de kontrol altına alınması gerekir.

Ancak EDPB raporu, teknik gerçeklikler nedeniyle back-up verilerinin her durumda anlık olarak silinmesinin mümkün olmayabileceğini kabul etmektedir. Bu nedenle rapor, veri sorumlularının silme yükümlülüğünü yerine getirmek için alternatif kontrol mekanizmaları kurması gerektiğini belirtmektedir.

Back-Up Sistemlerinde Silme Nasıl Olmalı?

Uygulamada veri sorumlularının karşılaştığı temel sorun, yedekleme dosyalarının genellikle bütünsel veri setleri hâlinde saklanmasıdır. Bu nedenle tek bir veri sahibine ait kayıtların yedekleme dosyasından ayrıştırılarak silinmesi her zaman mümkün olmayabilir.

Bu durumda veri sorumlularının aşağıdaki mekanizmaları kurması önerilmektedir:

1. Silinme taleplerinin merkezi olarak kayıt altına alınması

Back-up sistemlerinde silme yükümlülüğünün uygulanabilmesi için öncelikle silinme taleplerinin merkezi bir sistemde kayıt altına alınması gerekir.

Bu kayıtlar genellikle:

• Silinme talebinin tarihi
• Veri sahibinin kimliği
• Silinmesi gereken veri kategorileri
• Silmenin hangi sistemlerde gerçekleştirildiği

gibi bilgileri içermelidir.

Bu kayıtlar özellikle sistem restore edildiğinde hangi verilerin yeniden silinmesi gerektiğini belirlemek için kritik önem taşır.

2. Restore sonrası yeniden silme mekanizması

EDPB raporuna göre iyi uygulama yaklaşımı şudur: "Eğer bir sistem restore edilirse ve daha önce silinmiş veriler yedeklerden geri yüklenirse, bu verilerin yeniden silinmesi gerekir."

Bu nedenle veri sorumlularının:

• Restore sonrası otomatik veri kontrolü
• Silinmiş veri listesi ile karşılaştırma
• Yeniden silme prosedürü

gibi mekanizmalar kurması önerilmektedir.

Bu yaklaşım, yedekleme sistemlerinin bütünlüğünü korurken silinme hakkının da ihlal edilmemesini sağlar.

3. Back-up saklama sürelerinin belirlenmesi

EDPB raporu, birçok veri sorumlusunun yedekleme verileri için açık bir saklama süresi belirlemediğini tespit etmiştir.

Oysa iyi uygulama yaklaşımında:

• Günlük yedekler
• Haftalık yedekler
• Aylık arşiv yedekleri

gibi farklı katmanlar için açık saklama süreleri belirlenmesi gerekir.

Örneğin:

• Günlük yedekler → 30 gün
• Haftalık yedekler → 90 gün
• Aylık arşiv → 1 yıl

Bu şekilde yedekleme verileri otomatik olarak üzerine yazılarak (overwrite) sistemden kaldırılır. Bu yaklaşım silme yükümlülüğünün teknik olarak uygulanabilir hâle gelmesini sağlar.

4. Back-up verilerinin erişim kontrolü

Yedekleme verileri silinmese bile erişilebilir ve kullanılabilir durumda olmamalıdır.

Bu nedenle veri sorumlularının:

• Back-up ortamlarını üretim sistemlerinden ayırması
• Çalışan erişimini sınırlandırması
• Yedek verilerin operasyonel kullanıma açılmasını engellemesi

gerekmektedir.

Bu yaklaşım özellikle KVKK İmha Rehberi'nde yer alan "ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirme" tanımı ile de uyumludur.

5. Anonimleştirme veya veri maskelenmesi

EDPB raporunda bazı veri sorumlularının, yedekleme sistemlerinde silinmesi gereken kişisel verileri:

• Rastgele karakter dizileri ile değiştirdiği
• Veri seti içinde anonimleştirdiği

uygulamalara da yer verilmiştir.

Bu yöntem yedekleme verisinin yapısal bütünlüğünü bozmadan kişisel veri riskini azaltmaktadır.

EDPB raporunda bazı veri sorumluları tarafından uygulanan iyi uygulamalara da yer verilmiştir:

• Silinme taleplerinin merkezi bir sistemde kayıt altına alınması
• Restore (geri yükleme) sonrası otomatik silme mekanizması kurulması
• Back-up saklama sürelerinin belirlenmesi
• Silme işlemlerinin doğrulanabilir şekilde loglanması
• Bazı veri sorumluları ayrıca silinecek kişisel verileri rastgele karakter dizileri ile değiştirerek (random string replacement) yedeklerin bütünlüğünü koruyan teknikler kullanmaktadır.

g) Hesap kapatma ile silme aynı şey değildir

EDPB raporu, veri sorumlularının sık yaptığı bir hataya da dikkat çekmektedir: "Hesap kapatma ile veri silmeyi eşdeğer görmek."

Oysa iki işlem farklıdır:

Hesap kapatma, kullanıcının sisteme erişiminin kaldırılmasıdır. Silme ise veri sorumlusunun veri işleme yetkisinin sona ermesi ve verinin sistemlerden kaldırılmasıdır.

Bu nedenle hesap kapatılmış olsa bile veriler:

• CRM sistemlerinde
• Pazarlama veri setlerinde
• Analitik platformlarda
• Profil oluşturma algoritmalarında

tutulmaya devam ediyorsa silme gerçekleşmiş sayılmaz.

Türk hukukunda da benzer yaklaşım geçerlidir. Silme, yalnızca kullanıcı arayüzünden görünürlüğün kaldırılması değil, verinin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hâle getirilmesidir.

3. ISO 27001 ve ISO 27701 Perspektifinden Silme Süreçleri

EDPB raporu doğrudan ISO standartlarına dayanmasa da ortaya koyduğu sorun alanları, ISO 27001 ve ISO 27701 veri yönetişimi yaklaşımıyla büyük ölçüde örtüşmektedir.

ISO 27001 açısından silme süreçleri:

• Bilgi varlık yönetimi
• Erişim kontrolü
• Bilgi silme ve imha
• Yedekleme yönetimi

ile doğrudan ilişkilidir.

ISO 27701 ise kişisel veri işleme faaliyetlerinde veri öznesi haklarının etkin şekilde uygulanmasını gerektirir. Bu nedenle olgun bir veri koruma programında aşağıdaki unsurların bulunması beklenir:

• Veri kategorisi bazlı saklama süresi matrisi
• Silinme talebi iş akışı
• Back-up restore silme prosedürü
• Silme loglarının tutulması
• İstisna değerlendirme kayıtları

EDPB'nin 2025 CEF Raporu, silinme hakkının yalnızca veri sahibinin bireysel talebine verilen teknik bir yanıt olarak ele alınamayacağını; aksine, veri sorumlusunun saklama politikası, veri yaşam döngüsü yönetimi, sistem mimarisi, back-up altyapısı, iç kontrol mekanizmaları ve hesap verebilirlik yükümlülüğü ile doğrudan bağlantılı çok katmanlı bir uyum alanı olduğunu açık biçimde ortaya koymaktadır. Raporda tespit edilen bulgular, özellikle yazılı prosedür eksikliği, saklama sürelerinin belirsizliği, silme istisnalarının yanlış uygulanması, back-up sistemlerinde silmenin yönetilememesi ve hesap kapatma ile silmenin karıştırılması gibi sorunların, kurumların silinme hakkını hâlen bütüncül bir veri yönetişimi meselesi olarak ele almadığını göstermektedir.

Bu tablo, Türk hukuku bakımından da yabancı değildir. Her iki sistemin ulaştığı temel sonuç ortaktır: Kişisel veriler, işlenmesini gerektiren hukuki sebep ortadan kalktıktan sonra aktif sistemlerde, arşiv ortamlarında veya yedekleme altyapılarında süresiz şekilde tutulamaz. Bu nedenle veri sorumluları açısından asıl mesele, yalnızca gelen talepleri yanıtlamak değil; verinin hangi amaçla işlendiğini, ne kadar süre tutulacağını, hangi sistemlerde bulunduğunu, hangi şartlarda silineceğini ve restore veya yeniden kullanım riskine karşı nasıl yönetileceğini önceden kurgulayan sürdürülebilir bir uyum mimarisi kurmaktır.

Bu çerçevede gerek GDPR gerekse KVKK bakımından etkili bir silme rejimi; açık saklama süreleri, veri kategorisi bazlı envanter yönetimi, yazılı ve test edilmiş prosedürler, back-up ve restore senaryolarını içeren teknik kontroller, erişim sınırlandırması, loglama ve ispatlanabilir işlem kayıtları ile mümkündür. ISO 27001 ve ISO 27701 standartlarının işaret ettiği bilgi güvenliği ve mahremiyet yönetişimi yaklaşımı da bu ihtiyacı desteklemektedir.

Sonuç olarak silinme hakkı, artık yalnızca hukuki bir yükümlülük değil; kurumsal risk yönetimi, bilgi güvenliği, veri mimarisi ve regülasyon uyumunun kesişim noktasında yer alan stratejik bir yönetişim konusudur. Bu noktada "EDPB Raporu" çok yönlü bir şekilde yaşayan bir veri koruma sistemi gerekliliğinin bir kez daha altını çizmiştir.

İlgili rapora buradan ulaşabilirsiniz.

Ülke bazlı ulusal raporlara buradan ulaşabilirsiniz.