KVKK İçin Kağıt İmha Makinesi Şart mı? Doğru İmha Seviyesi Rehberi

KVKK’da “şu model kağıt imha makinesi alın” diye bir zorunluluk cümlesi yok. Ama şu çok net: Kişisel veriyi işlemeyi gerektiren sebep ortadan kalktığında, veri sorumlusu bu veriyi siler, yok eder veya anonim hâle getirir (resen ya da ilgili kişinin talebi üzerine). Adalet Bakanlığı 

Kâğıt üzerinde saklanan kişisel veriler söz konusu olduğunda pratikte en güvenli ve kontrol edilebilir yöntemlerden biri kağıt imha (shred) sürecidir—bu yüzden “şart mı?” sorusunun saha cevabı genelde “çoğu işletme için evet, fiilen şart gibi” olur.

Aşağıda, “KVKK’ya uygun imha”yı gereksiz masraf yapmadan ama risk bırakmadan nasıl kurgulayabileceğinizi, imha seviyelerini ve makine seçim kriterlerini sade şekilde anlattım.

Kağıt İmha Makinesi KVKK İçin Gerçekten Şart mı?

Hukuken şart olan şey makine değil, sonuç: Yetkisiz erişimi ve yeniden kullanılabilirliği ortadan kaldıracak şekilde imha/erişilemez kılma.  KVKK rehber yaklaşımında kâğıt gibi “kalıcı ve fiziksel olarak ortama yazılı” verilerde ana kural, ana ortamın yok edilmesi. Bu yapılırken kâğıdın anlaşılmaz boyuta, tercihen yatay ve dikey (çapraz) kesimle, geri birleştirilemeyecek şekilde küçük parçalara ayrılması gerektiği özellikle vurgulanıyor.

Ne zaman “makine almak” gerçekten mantıklı olur?

• Düzenli evrak çıktısı (sipariş, kargo, iade, teklif, müşteri formu, CV, personel evrakı vb.) olan her yerde
• İmha işi “haftada bir poşete doldurup çöpe” dönüyorsa
• Ofiste birden fazla kişi evrak görüyor ve kontrollü imha ihtiyacı varsa

Ne zaman alternatif düşünülebilir?

• Çok az evrak üretiyorsanız: kilitli imha kutusu + anlaşmalı güvenli imha hizmeti (teslim zinciri/tutanakla)
• Zaten kâğıdı “imha ederek” değil, örneğin bir örnek evrağı paylaşmanız gerektiğinde karartma gibi yöntemlerle kişisel veri görünmez hale getiriyorsanız (bu, yok etme değil; “erişilemez kılma/silme” bağlamında bir yöntem olarak geçer).

Evrak yoğunluğu olan ofislerde, ihtiyaca göre seçilmiş bir kağıt imha makinesi ile süreci pratik hâle getirmek mümkün; bu noktada farklı seviye ve kapasitedeki modelleri OfiseAl’dan inceleyebilirsiniz.

“İmha Seviyesi” Ne Demek? (P-Seviyeleri Basit Anlatım)

“İmha seviyesi” çoğunlukla DIN 66399 standardındaki P-1’den P-7’ye giden güvenlik seviyelerini ifade eder. Seviye yükseldikçe, çıktı daha küçük parçalara dönüşür; yeniden birleştirme/okuma riski düşer.

Pratik okuma (kısa rehber):

• P-2 / P-3: Genel – düşük/orta hassas evrak (çoğu KVKK senaryosu için zayıf kalabilir)
• P-4: İş dünyasında “güvenli varsayılan” seviye (çapraz kesim; parçalar küçülür)
• P-5: Daha kritik kişisel veriler için (mikro kesim; çok daha küçük parçalar)
• P-6 / P-7: Çok yüksek gizlilik (kurumsal strateji/çok kritik veri)

Boyut mantığını görmek için: DIN 66399’te örneğin P-4 parçacık alanı < 160 mm², P-5 < 30 mm² gibi sınırlar verilir. 

KVKK açısından doğru yaklaşım şudur: Belgenin hassasiyetini (kimlik, sağlık, finans, bordro, disiplin, müşteri şikâyeti vb.) P seviyesiyle eşleştir.

Şerit Kesim mi Çapraz Kesim mi? KVKK Açısından Hangisi Daha Güvenli?

Kısa cevap: Çapraz kesim (cross-cut) ve mikro kesim (micro-cut) daha güvenli.

• Şerit kesim: Uzun şeritler çıkar. “Zaman + sabır” ile birleştirme ihtimali, çapraz kesime göre daha yüksektir.
• Çapraz kesim: Kâğıdı hem enine hem boyuna böler; parça küçülür, birleştirme zorlaşır.
• Mikro kesim: Çok daha küçük parçalar üretir; yüksek hassas belgelerde ciddi avantaj sağlar.

KVKK rehberinde kâğıt imhası için özellikle “mümkünse yatay ve dikey” ve “geri birleştirilemeyecek şekilde küçük parçalara bölmek” ifadesi geçmesi, pratikte çapraz/mikro kesimi işaret eder. 

Benim “işin içinden” gördüğüm en sık hata şu: İşletme P-2/P-3 seviyesinde bir cihaz alıp “KVKK’yı çözdüm” sanıyor. Oysa risk çoğu zaman imha çıkışının tekrar okunabilir olması değil; imha sürecinin kontrolsüzlüğü (kutusuz toplama, açık çöp, herkesin erişimi, dışarıya taşınırken dökülme) oluyor. Makine seçimi kadar süreç de önemli.

Hangi Belgeler Mutlaka İmha Edilmeli? (Pratik Liste)

Aşağıdaki liste, ofislerde en çok “gereksizce elde kalan” ve risk çıkaran evraklar:

Müşteri / kullanıcı tarafı

• Sipariş çıktıları, adres/telefon içeren kargo çıktıları, iade formları
• Çağrı merkezi notları, şikâyet/inceleme çıktıları
• Kimlik fotokopisi/kimlik bilgisi içeren formlar (gereksiz kopyalar)

Çalışan / aday tarafı

• CV’ler, mülakat notları, referans yazıları (süre dolduysa)
• Bordro/maaş bilgi çıktıları, izin/sağlık raporu gibi özel nitelikli veri içerebilen evraklar (saklama süresi bittiyse)

Finans / operasyon

• Banka dekont çıktıları, kart bilgisi barındıran slip örnekleri
• İç denetim notları, tutanak taslakları, olay inceleme çıktıları

Dikkat: “Mutlaka imha” demeden önce saklama yükümlülüğünü kontrol edin.
 Örneğin vergi ve ticari kayıtlar için mevzuatta geçen saklama süreleri vardır: VUK kapsamında defter/vesikalar için 5 yıl ifadesi geçer.
 Ayrıca ticari defter ve belgeler için 10 yıl saklama yükümlülüğüne atıf yapılan düzenlemeler bulunur.
 Yani “KVKK var diye hemen yok edelim” değil; önce saklama süresi, sonra kontrollü imha.

Doğru Makineyi Seçerken Dikkat Edilecek Teknik Kriterler

Makine seçerken sadece “kaç sayfa alıyor?”a bakmak, çoğu zaman yanlış cihazla sonuçlanır. Benim önerdiğim kontrol listesi:

1. Güvenlik seviyesi (DIN P seviyesi)

• Genel müşteri/personel evrakı için çoğu ofiste P-4 makul tabandır; daha hassas dosyalar için P-5 düşünülür. (P seviyeleri standardın bir parçasıdır.)

2. Kesim tipi

• KVKK riskini azaltmak için çapraz kesim / mikro kesim öncelikli.

3. Kullanım yoğunluğu (duty cycle)

• Günde kaç sayfa imha ediyorsunuz? “5 kişi aynı anda kullanacak” bir ortamda ev tipi cihazlar çok hızlı ısınır, bekletir, sonunda da çekmecede çürür.

4. Sıkışma önleme ve ters çalıştırma

• Sıkışma yaşayan cihaz, kullanıcıyı “sonra yaparım”a iter; sonra evrak birikir ve kontrolsüzleşir.

5. Zımba/ataş/kredi kartı gibi materyaller

• Ofiste gerçek hayat: zımbayı kimse sökmüyor. Bu yüzden zımba/ataş tolere eden bir model iş akışını kurtarır.

6. Hazne hacmi ve atık yönetimi

• Küçük hazne = sık boşaltma = etrafa dökülme riski. İmha atığını da “normal çöp” gibi değil, kontrollü atık gibi yönetin.

7. Süreç dokümantasyonu

• KVKK tarafında sadece “imha ettik” demek değil, imha işlemlerini kayıt altına almak ve kayıtları belirli süre saklamak beklentisi de vardır (uygulamada sık atlanan konu).