Kişisel veriler, 6698 sayılı KVKK kanunun 3. Maddesinde tanımlanmıştır.  Buna göre kişisel veriler. Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir. Örneğin bir kimsenin Adı, soyadı, yaşı, göz rengi, internetteki arama geçmişi gibi unsurlar belli bir kişiye ait kişisel verilerken, Ankara Adliyesi Otoparkına park etmiş; kırmızı renkli, 06 XX 0000 plakalı araç kimliği belirlenebilir gerçek kişiye ait bir veridir çünkü sahibinin kim olduğu bulunabilir. 

Kişisel verilerin imhasından kast edilen ise Kişisel Verilerin Korunması Kanununun 7. Maddesinde bahsi geçen kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi yollarıyla verilerin imhası yoludur. Kanun maddesine göre,  hukuka uygun olarak işlenmiş olmasına rağmen işleme sebeplerinin ortadan kalkması durumunda toplanan kişisel veriler ya resen ya da kişisel verisi işlenen ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Verilerin imhasına ilişkin usul ve esaslar, 28 Ekim 2017 Tarihli ve 30224 Sayılı Resmi Gazetede yayımlanan: Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile düzenlenmektedir. Yönetmelikte yer alan imha işlemlerinin nasıl yerine getirileceğine ilişkin olarak Kişisel Verilerin Koruma Kurumu tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi hangi verinin ne şekilde silineceğine, yok edileceğine ya da anonim hale getirileceğine dair yol gösterici bir rehberdir.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, Yönetmeliğin 8. Maddesinde “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.” Şeklinde tanımlanmıştır. Silinmeden kast edilen şey aslında erişimin kısıtlanması veya engellenmesidir. Verinin silinmesinde izlenecek yöntem verinin niteliğine göre değişiklik arz edecektir. Örneğin kağıt ortamında bulunan kişisel verilerin üzerine silme şekliyle silinmesi gerekmekteyken bir dijital verinin silinmesi için ilgililerin veriye erişimin bir şekilde engellenmesi gerekmektedir. Hangi verinin ne şekilde silineceği ilgili rehberde detaylıca belirtilmektedir.

Kişisel Verilerin Yok Edilmesi 

Kişisel verilerin yok edilmesi, verinin gerçek manada ortadan kaldırılmasıdır. Yok edilen veri bir daha geri getirilemeyecek, tekrar kullanılamayacaktır. Buna göre kişisel verinin kağıda, flash diske veya CD’de bulunması halinde kağıdın yakılması, flash disk ve CD’nin kırılıp parçalara ayrılması yok etmeye örnektir. Her ne kadar dijital ortamda tutulan bir verinin tam olarak yok edilmesi mümkün olmasa da KVKK temelde bunu amaçlamaktadır. 

Kişisel Verilerin Anonim Hale Getirilmesi 

Kişisel verilerin anonim hale getirilmesi, yönetmelikte sayılan bir diğer imha yöntemidir. Yönetmeliğin 10 maddesine göre “Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.” Burada amaçlanan kişisel veri ile veri ilgilisi arasındaki ilişkinin kesilmesi, veriden yola çıkarak o verinin sahibi olan gerçek kişiye ulaşılamamasıdır. Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberinde belirttiği üzere, Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.