İçindekiler
1. Kişisel Verilerin Anonim Hale Getirilmesi Nedir?
Gelişen dijital dünyadaki muazzam gelişmeler, teknolojik dönüşümün bir örneği olarak karşımıza çıkmaktadır. Bu bağlamda dijitalleşme, hukuksal alanda da konuya ilişkin yeni düzenlemelerin yapılmasını gerektirmektedir. Artan veri işleme kapasitesi ve yaygınlaşan teknolojiler, bireylerin kişisel verilerinin gizliliği, güvenliği ve kullanımı konularında yeni zorluklar ve riskler ortaya çıkarmıştır. Kişisel verilerin anonim hale getirilmesi de veri güvenliğini sağlama açısından önemli bir düzenlemedir.
Kişisel verilerin anonimleştirilmesi, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 Sayılı Kanun”) “Tanımlar” başlıklı 3. maddesinde “kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” olarak tanımlanmıştır. Anonimleştirme, gerçek kişilere ilişkin kişisel verilerin gizliliğini koruyarak veri güvenliğini artırmada bir yöntem olarak kullanılır.
Anonim hale getirme, kişilerin tespit edilebilirlik özelliğini yok ederek veri güvenliği risklerini azaltır ve kişilerin gizlilik haklarını korur. Örneğin, kişileri doğrudan adresleyecek isimler, elektronik posta hesapları, kredi kartı ekstreleri, konum bilgileri gibi verilerin anonimleştirme işlemi ile koruma altına alınması sağlanır.
Kişisel verilerin kamuya yönelik amaçlar için kullanılması gerekecekse söz konusu verilerin anonim hale getirilmesi şarttır.1 Böylelikle, kamu yararı gözetilirken kişisel veriler de koruma altına alınmış olacaktır. Ayrıca, verilerle ilgili her türlü işlem veri işleme olduğundan kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi işlemlerinin de veri işleme faaliyeti kapsamında olduğu kabul edilmelidir.2
2. Anonimleştirmenin Esasları
6698 Sayılı Kanun kişisel verilerin anonim hale getirilmesini hüküm altına alırken 28.10.2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) de kişisel verilerin imhasına ilişkin usul ve esasları belirlemektedir.
6698 Sayılı Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” başlıklı 7. maddesi, “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” şeklindedir. Buna göre, kişisel verilerin işlenme şartlarının ortadan kalkması halinde kişisel verilerin anonim hale getirilmesi gerekecektir. Anonim hale getirme işlemi veri sorumlusu tarafından resen yapılabileceği gibi ilgili kişinin talebi üzerine de yapılabilir.
Veri sorumlusunun yükümlülüklerinden biri de kişisel verilerin anonim hale getirilmesi işlemi ile ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamaktır.3 Veri sorumlusu, kendisine yüklenen görevleri yerine getirmediği durumlarda idari ve cezai yaptırımlarla karşılaşacaktır. Nitekim, 5237 Sayılı Türk Ceza Kanunu’nun 138. maddesi “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.” şeklindedir. Bu hükme göre, 6698 Sayılı Kanun’un 7. maddesine aykırı olarak kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında cezai yaptırım uygulanacaktır.4
Kişisel verilerin anonimleştirilmesi, ilgili kişinin talebi üzerine veya veri sorumlusu tarafından resen yapılabilir. Yönetmelik’in 11. maddesine göre, veri sorumlusunun kişisel veri saklama ve imha politikası hazırlama yükümlülüğü bulunuyorsa söz konusu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde veri sorumlusu kişisel verileri anonim hale getirir. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu ise anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde kişisel verileri anonim hale getirir.
İlgili kişinin talebi üzerine yapılacak olan anonim hale getirme işlemi, kişisel verilerin işleme şartlarının tamamının ortadan kalkıp kalkmadığına göre değişecektir. Bu husus Yönetmelik’in 12. maddesi ile hüküm altına alınmıştır. Buna göre, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa veri sorumlusu talebe konu kişisel verileri anonim hale getirir. Bu talep veri sorumlusu tarafından en geç otuz gün içinde sonuçlandırılır. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Ek olarak, Yönetmelik’in 7. maddesine göre, kişisel verilerin anonim hale getirilmesi ile ilgili yapılan tüm işlemler veri sorumlusu tarafından kayıt altına alınır ve söz konusu kayıtlar en az üç yıl boyunca saklanır.
3. Anonimleştirmede Kullanılan Bazı Yöntemler
Kişisel verilerin anonimleştirilmesi, ilgili veri sorumlusu veya alıcı grupları tarafından uygun teknikler kullanılarak gerçekleştirilir. Anonimleştirme süreci ile verilerin geri döndürülmesi veya başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bu süreç, kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen esaslara uygun olarak gerçekleştirilir.5
Kişisel verilerin anonim hale getirilmesinde kullanılan bazı yöntemler aşağıdaki gibidir:
3.1. Veri Maskeleme
Bir veri setindeki değerlerin gizlenmesi veya değiştirilmesi yöntemidir. Maskeleme yöntemi ile orijinal veriler, gerçek değerlerle ilişkilendirilemeyen ancak hala erişilebilir olan yapay veriler ile değiştirilir. Kısmi olarak elektronik posta adreslerinin veya telefon numaralarının yerine “xxx@xxx.com” veya “xxx-xxx-xxxx” gibi semboller kullanılarak değiştirilmesi veri maskeleme yöntemine örnek olarak gösterilebilir.
3.2. Genelleştirme
Verilerin belli özelliklerini veya hassas bilgilerini kısmen veya tamamen gizleyerek daha genel bir değere çevirme yöntemidir. Bir kişi topluluğunda belirli bir yaşın üstündeki kişilerin yüzde (%) şeklinde belirtilmesi örnek olarak verilebilir.
3.3. Değişken Çıkartma
Bu yöntemle bir veri setinde yer alan bazı betimleyici nitelikteki değişkenlerin (yüksek dereceli betimleyiciler) çıkartılarak veri setinin anonimleştirilmesi sağlanır. Bir veri setinde yer alan telefon numaralarının tamamen çıkartılması buna örnek olarak verilebilir. Bu sayede, telefon numaraları üzerinden kişilerin kimlik bilgileri gizlenerek anonimleştirilmiş bir veri seti elde edilebilecektir.
3.4. Veri Karma
Bir veri setinde yer alan değerlerin yer değiştirilerek kişilerin tespit edilebilmelerini ortadan kaldıran yöntemdir. Bir sağlık kuruluşundaki hastaların adları, cinsiyetleri, hastalık teşhisleri, tedavi bilgileri gibi kişisel verileri rastgele değiştirilerek hastaların kimliklerinin orijinal verilere dayanarak belirlenemez hale getirilme işlemi buna örnek verilebilir. Bu sayede hastaların tespit edilebilirliği ortadan kaldırılarak gizlilik sağlanmış olur.
Sonuç
Dijitalleşme ve kişisel verilerin korunması arasındaki ilişki, sürekli olarak değişen teknolojiye ve toplumsal ihtiyaçlara bağlı olarak gelişmeye devam etmektedir. Hukuk sistemleri, dijital dünyadaki hızlı değişimlere ayak uydurabilmek için düzenlemelerini güncel tutmalı ve teknolojik dönüşüme uygun çözümler üretmelidir. Böylece, bireylerin kişisel verilerinin güvence altında tutulması ve dijital ortamda güvenli bir şekilde faaliyet gösterebilmesi sağlanabilir. Anonimleştirme yöntemlerinin doğru ve etkili bir şekilde uygulanması da kişisel verilerin güvenliğini artırarak veri koruma standartlarını karşılamaya ve güncel veri koruma mevzuatına uygun bir şekilde hareket etmeye yardımcı olacaktır.
F. Şimal KUNCAN
Stajyer Avukat
Kaynakça
1 Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Resmi Gazete 30224 (28 Ekim 2017), md. 7/4.
2 Oğuz, Sefer. “Kişisel Verilerin Korunması Hukukunun Genel İlkeleri”. Bilgi Ekonomisi ve Yönetimi Dergisi. 2018; 13(2): 121-138.
3 Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Rehberi. KVKK Yayınları. Ocak, 2018.
4 Kutlu, Önder, Kahraman, Selçuk. “Türkiye’de Kişisel Verilerin Korunması Politikasının Analizi”. Siyaset, Ekonomi ve Yönetim Araştırmaları Dergisi 5 / 4 (Ekim 2017): 45-62.
5 Kılınç, Doğan. “Anayasal Bir Hak Olarak Kişisel Verilerin Korunması”. Ankara Üniversitesi Hukuk Fakültesi Dergisi 61 (2012): 1089-1172.
Comentários