TAKMA ADLAŞTIRMA KİŞİSEL VERİYİ ANONİMLEŞTİRİR Mİ? AB YARGI KARARLARI IŞIĞINDA BELİRLENEBİLİRLİK TARTIŞMASI
GENEL OLARAK
Kişisel verilerin korunmasına ilişkin tartışmalarda sıkça karşılaşılan sorulardan biri, bir verinin doğrudan bir kişiyi işaret etmiyorsa hâlâ kişisel veri sayılıp sayılmayacağıdır. Bu noktada takma adlaştırma (pseudonymisation) kavramı devreye girmektedir. Takma adlaştırma, verileri daha güvenli hâle getirmeyi amaçlasa da onları otomatik olarak anonim kılmamaktadır. Aksine, belirli koşullar altında bu veriler kişisel veri olarak kabul edilmeye devam edebilecektir. Tartışmanın merkezinde “belirlenebilirlik” kavramı bulunmaktadır. Bu çerçevede, bir verinin hangi aktör bakımından ve hangi hukuki ve teknik imkânlarla yeniden bir gerçek kişiyle ilişkilendirilebildiği önem kazanmaktadır.
Bu yazıda, takma adlaştırılmış verilerin kişisel veriyle ilişkisi; KVKK ve GDPR çerçevesinde ele alınacak, Avrupa Birliği yargı kararları ışığında üçüncü kişiler bakımından kişisel veri değerlendirmesinin nasıl yapılması gerektiği ortaya konulacaktır.
TAKMA ADLAŞTIRILMIŞ VERİNİN KİŞİSEL VERİYLE İLİŞKİSİ
Kişisel veri KVKK m.3/1-d’ye göre “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi[yi]” ifade etmektedir. GDPR m. 4/1’de ise bu tanım genişletilerek, bir kişinin kimliğinin doğrudan veya dolaylı olarak belirlenmesini sağlayan fiziksel, zihinsel, kültürel ve benzeri unsurlara ilişkin verilerin de kişisel veri kapsamında olduğu belirtilmiştir.
İlgili tanımlara göre elde edilen verinin herhangi bir şekilde gerçek kişiyle ilişkilendirilmesi ve o kişinin belirlenebilir kılması gereklidir (Kişisel Verileri Koruma Kurumu, 2025, s. 10). “Belirlenebilirlik” kavramı, kişisel verinin tespitinde merkezi bir rol oynamakta; bir verinin kişisel veri sayılabilmesi için ilgili kişiyle doğrudan bağlantılı olması şart olmayıp, dolaylı olarak tanımlamaya elverişli olması da yeterli görülmektedir (Lodie, 2023, s. 3).
KVKK m. 7/1 uyarınca, kişisel veriler işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir ya da anonim hâle getirilir. Veri sorumlusu, bu yöntemlerden hangisinin uygulanacağına; verinin niteliği, kapsamı, işlenme amacı, saklama süresi ve organizasyonel yapısı gibi unsurları dikkate alarak karar verecektir (Kişisel Verileri Koruma Kurumu, 2017, s. 34). Anonimleştirme ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m. 10’da kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi olarak tanımlanmıştır. Diğer bir deyişle kişisel veri niteliğini kaybetmektedir.
Takma adlaştırma ise KVKK tanımı olmamakla birlikte GDPR m. 4/5’te kişisel verilerin, ek bilgiler kullanılmadıkça belirli bir ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi olarak tanımlanmıştır. Bu ek bilgilerin ayrı tutulması ve verilerin yeniden bir gerçek kişiyle ilişkilendirilmesini önleyecek teknik ve organizasyonel tedbirlerle korunması gerekmektedir. Veri işleme süreci boyunca kişisel verilerin gerçek kişilerle doğrudan ilişkilendirilmesini engelleyerek veri sahipleri bakımından ortaya çıkabilecek riskleri azaltmaktadır. Aynı zamanda, yetkisiz erişim veya kullanım durumlarında da kişisel verilerin belirli bir gerçek kişiye atfedilmesini zorlaştırarak koruyucu bir işlev görmektedir. Bununla birlikte, ek bilgiler kullanılması suretiyle bir gerçek kişiyi “belirlenebilir” kılacağından bunlar kişisel veri olarak kabul edilebilecektir (European Data Protection Board, 2025, s. 3).
Bu noktada, ek bilgiye sahip olmayan üçüncü kişiler bakımından takma adlaştırılmış verilerin kişisel veri sayılıp sayılmayacağı sorusu önem kazanmaktadır. Bu mesele, özellikle Breyer ve Single Resolution Board kararlarında ele alınmıştır (Yücedağ ve Akkanat-Öztürk, 2023). Öğretide bu tartışma, kişisel veri tespitinde benimsenmesi gereken yaklaşım üzerinden yürütülmektedir. Nisbi yaklaşıma göre, veriyi elinde bulunduran kişinin halihazırda hangi bilgilere erişimi olduğu ve bu bilgilerle ilgili kişiyi belirleyip belirleyemeyeceği dikkate alınması gerekmektedir (Yücedağ ve Akkanat-Öztürk, 2023). Buna karşılık nesnel yaklaşıma göre, sadece mevcut erişim imkanları değil, bugün veya gelecekte herhangi bir kişinin ilgili verilere erişerek kimliği belirleme ihtimali de göz önünde bulundurulmaktadır. Burada verinin yapısı ve yeniden belirleme potansiyeli soyut olarak ele alınmaktadır (Lodie, 2023, s. 4).
AB YARGI KARARLARINDA TAKMA ADLAŞTIRMA VE BELİRLENEBİLİRLİK KAVRAMI
T-557/20 sayılı Single Resolution Board v. EDPS davası, Banco Popular’ın çözümlenmesi sürecinde pay sahiplerinden alınan görüşlerin üçüncü bir tarafa aktarılmasının kişisel veri işleme kapsamında değerlendirilip değerlendirilemeyeceği sorunu etrafında şekillenmiştir. Çözümleme sürecinde Single Resolution Board, olası tazminat hakkının belirlenmesi amacıyla pay sahiplerini görüş bildirmeye davet etmiş; iletilen görüşleri sınıflandırarak isimler yerine alfa sayısal (alphanumeric) kodlar atamış ve bu görüşlerin bir kısmını bağımsız değerleme kuruluşu Deloitte’a iletmiştir (T-557/20, par. 16-24). Bunun üzerine bazı pay sahipleri, kişisel verilerinin üçüncü bir tarafa aktarıldığı konusunda bilgilendirilmedikleri gerekçesiyle Avrupa Veri Koruma Denetçisi’ne (EDPS) başvurmuştur (T-557/20, par. 25).
EDPS, Single Resolution Board’un gönderdiği verilerin takma adlaştırılmış olduğunu, ilgili kişilerle ilişkilendirilebilir nitelikte olduğu ve bu nedenle Deloitte’a yapılan aktarımın kişisel veri işleme teşkil ettiği kanaatine varmıştır (T-557/20, par. 32). Buna karşılık Single Resolution Board, AB Genel Mahkemesi’ne başvurarak Deloitte’un elindeki verilerle pay sahiplerini belirlenebilir kılmasını mümkün olmadığını, dolayısıyla aktarılan bilgilerin kişisel veri sayılmayacağını savunmuştur (T-557/20, par. 57). AB Genel Mahkemesi ise kişisel veri kavramını nisbi yaklaşımıyla yorumlamış ve EDPS’in görüşünü benimsememiştir. Veri alıcısının (Deloitte) ilgili kişileri yeniden belirleyebilme imkanına sahip olmaması halinde, kendisine aktarılan takma adlandırılmış verilerin kişisel veri olarak kabul edilemeyeceğine karar vermiştir (T-557/20, par. 97). Buna göre, veri alıcısı bakımından kişisel veri sayılabilmesi için, o veri alıcısının ilgili kişiyi ek bilgiler yoluyla belirleyebilmesini sağlayan hukuki imkanlara sahip olup olmadığına bakılması gerektiğini belirtmiştir. Yani belirleyici olan, sadece ek bilgiyi elinde bulunduran aktörün değil, takma adlaştırılmış verileri alan Deloitte’in ilgili kişiyi belirleyebilme kapasitesi esas alınmıştır. Deloitte’un böyle bir hukuki veya fiili imkana sahip olup olmadığı değerlendirilmediğinden EDPS’nin kararını iptal etmiştir (T-557/20, par. 105).
AB Genel Mahkemesi, bu değerlendirmede ek bilgilere sahip olan SRB’yi yer sağlayıcıya; Deloitte’u ise ek bilgiye sahip olmayan erişim sağlayıcıya benzetmiştir (T-557/20, par. 99). Breyer kararında mahkeme, erişim sağlayıcısının yer sağlayıcısından ek bilgiye ulaşma imkanı olduğunu belirterek kişiyi belirlenebilir kılabileceğine hükmetmiştir (Breyer, par. 48,49). Bu karara göre, ilgili kişinin belirlenebilmesi için tüm bilgilerin veri sorumlusunun elinde bulunması şart değildir; ancak üçüncü kişilerin ek bilgilere erişimin hukuken mümkün olması ve orantısız zaman, emek veya maliyet gerektirmemesi gerekmektedir (Yücedağ ve Akkanat-Öztürk, 2023). Aynı şekilde Single Resolution Board kararında üçüncü kişilerin ek bilgiye sahip olmak için makul hukuki ve teknik imkanlara sahip olup olmadığı tespitinin önemli olduğu görülmektedir (T-557/20, par. 103,104). Dolayısıyla takma adlaştırma söz konusu olduğunda AB Genel Mahkemesinin veri alıcısı olan üçüncü kişiler yönünden inceleme yaparak nisbi yaklaşımla ele aldığı anlaşılmaktadır. Böylelikle takma adlandırılmış verilerin, tanımlayıcı unsurlar hangi tarafta bulunursa bulunsun her durumda kişisel veri sayılacağı yönündeki varsayımı sorgulamaya açmıştır (Mateus, 2025).
Kararın temyiz aşamasında Avrupa Birliği Adalet Divanı, ek bilgilerin varlığının takma adlandırılmış verilerin her durumda anonim veri olarak kabul edilmesini engellediğini belirtmiştir (C-413/23 P, par. 73). Ancak veri sorumlusu ek bilgilere sahip olduğundan takma adla gizlenmiş olmalarına rağmen, bu yorumların hâlâ kişisel nitelikte olduğunu belirtmektedir. Bu durumda takma adlaştıran veri sorumlusu Single Resolution Board, Deloitte’a iletilen yorumların ilgili kişiye atfedilmesini sağlayan ek bilgilere sahip olduğundan kişisel veri nitelikleri devam etmektedir (C-413/23 P, par. 76). Takma adlaştırılan verileri alan Deloitte bakımından ise gerçek kişiyi “doğrudan veya dolaylı olarak” tanımlamak için araçların kullanılmasının “işleme anındaki teknoloji ve gelişmeler dikkate alınarak, tanımlamanın maliyeti ve gerektirdiği süre gibi tüm objektif faktörlerin” dikkate alınması gerektiği belirtilmiştir (C-413/23 P, par. 79). Sonuç olarak Mahkeme, takma adlandırılmış verilerin her durumda ve herkes için kişisel veri sayılması gerektiği yönündeki mutlak varsayımı reddetmiş; üçüncü kişi bakımından yeniden belirlemenin makul şekilde mümkün olmadığı hallerde, bu verilerin kişisel veri olarak nitelendirilmeyebileceğini kabul etmiştir (Amini, 2025; C-413/23 P, par. 86).
SONUÇ
Yargı kararları ışığında ortaya çıkan tablo, takma adlaştırmanın kişisel verileri otomatik olarak veri koruma hukukunun dışına çıkarmadığını açıkça göstermektedir. Takma adlandırılmış veriler, ek bilgiler aracılığıyla yeniden belirlenebilir olduğu sürece, bu verileri işleyen veri sorumlusu bakımından kişisel veri niteliğini korumaya devam etmektedir.
Bu tespit, uygulamada sıklıkla birbirine karıştırılan takma adlaştırma ile anonimleştirme arasındaki ayrımı da netleştirmektedir. Anonimleştirme, verinin artık hiçbir koşulda bir gerçek kişiyle ilişkilendirilemeyeceği bir durumu ifade ederken; takma adlaştırmada yeniden belirleme ihtimali tamamen ortadan kalkmış değildir. Bu nedenle anonimleştirilmiş veriler veri koruma hukukunun kapsamı dışında kalabilirken, takma adlandırılmış verilerin kişisel veri sayılıp sayılmayacağı, veriyi hangi aktörün ve hangi imkânlar çerçevesinde elde ettiğine bağlı olarak değişmektedir.
Özellikle takma adlandırılmış verileri elde eden üçüncü kişiler bakımından yapılacak değerlendirme mutlak değil, nisbi niteliktedir. Yeniden belirlemenin hukuken ve fiilen makul biçimde mümkün olup olmadığı; mevcut teknolojik imkânlar, zaman, maliyet ve erişilebilir ek bilgiler dikkate alınarak somut olay temelinde incelenmelidir. Avrupa Birliği Adalet Divanı’nın yaklaşımı da, kişisel veri kavramının geniş yorumunu sürdürmekle birlikte, takma adlaştırılmış verilerin herkes ve her durumda kişisel veri sayılması gerektiği yönündeki katı varsayımı reddetmektedir.
Bu çerçevede uygulamada, özellikle işletmeler ve kamu otoriteleri açısından en güvenli yaklaşım; takma adlaştırılmış verileri kural olarak kişisel veri kabul ederek veri koruma yükümlülüklerini sürdürmek, istisnai durumları ise dikkatli ve belgelenebilir bir değerlendirme sürecine tabi tutmak olabilecektir.
Av. Beste GÖDEN’in “THOMSON REUTERS v. ROSS INTELLIGENCE: YAPAY ZEKA ÜRETİMİNDE TELİF HAKKI VE ADİL KULLANIM” isimli yazısını bağlantıdan hemen okuyun.
Hukuk ve Bilişim Dergisi’nin Yeni Sayı’sını okumak için bağlantıya tıklayınız.
Av. Beste GÖDEN (LL.M.)
KAYNAKÇA
Kişisel Verileri Koruma Kurumu, “Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü”, 2025, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/062384e3-d18c-4c38-b108-3a7a2a28e849.pdf (Erişim Tarihi: 13.12.2025).
Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi”, 2017, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf (Erişim Tarihi: 13.12.2025).
Avrupa Birliği Adalet Divanı, Patrick Breyer v. Bundesrepublik Deutschland, C-582/14, 19.10.2016, https://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=3758371 (Erişim Tarihi: 13.12.2025).
Avrupa Birliği Adalet Divanı, SRB v. EDPS, T-557/20, 26.04.2023, https://curia.europa.eu/juris/document/document_print.jsf?mode=req&pageIndex=0&docid=274813&part=1&doclang=EN&text=&dir=&occ=first&cid=3768794 (Erişim Tarihi: 13.12.2025).
Avrupa Birliği Adalet Divanı, SRB v. EDPS, C‑413/23 P, 04.09.2025, https://curia.europa.eu/juris/document/document_print.jsf?mode=DOC&pageIndex=0&docid=303863&part=1&doclang=EN&text=&dir=&occ=first&cid=4414215 (Erişim Tarihi: 13.12.2025).
Lodie, Alexandre, “Are personal data always personal? Case T-557/20 SRB v. EDPS or when the qualification of data depends on who holds them”, 2023, (Erişim Tarihi: 13.12.2025).
European Data Protection Board, “Guidelines 01/2025 on Pseudonymisation”, 2025, https://www.edpb.europa.eu/system/files/2025-01/edpb_guidelines_202501_pseudonymisation_en.pdf (Erişim Tarihi: 13.12.2025).
Quathem, Kristof Van, “EU General Court Clarifies When Pseudonymized Data is Considered Personal Data”, 2023, https://www.insideprivacy.com/eu-data-protection/eu-general-court-clarifies-when-pseudonymized-data-is-considered-personal-data/ (Erişim Tarihi: 13.12.2025).
Yücedağ, Nafiye ve Akkanat-Öztürk Elif Beyza, “Kişisel Veri Tanımını Dikkate Almayan Değerlendirmeler Sona Erer Mi? ABAD’ın 26.04.2023 Tarihli ve T-557/20 Sayılı Kararı Üzerine”, 2023, https://blog.lexpera.com.tr/kisisel-veri-tanimini-dikkate-almayan-degerlendirmeler-sona-erer-mi-abadin-26-04-2023-tarihli-ve-t-557-20-sayili-karari-uzerine/ (Erişim Tarihi: 13.12.2025).
Amini, Sina Mindus, “No Revolution in Sight: EU Court Upholds Narrow Interpretation on Pseudonymised Data”, 2025, https://digitalcompliance.snellman.com/no-revolution-in-sight-eu-court-upholds-narrow-interpretation-on-pseudonymised-data/ (Erişim Tarihi: 13.12.2025).
