Kişisel Verilerin Anonimleştirilmesi
Teknolojinin yaygınlaşması beraberinde verilerin nasıl korunacağına ilişkin sorunları da meydana getirmiştir. Hem ulusal hem de uluslararası kanun ve yönetmeliklerle kişisel verilere ilişkin tanımlamalar ve koruma mekanizmaları düzenlenerek olası ihlallere karşı riski azaltma istenmiştir. Ülkemizde 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kanunlaşma yoluna gidilmiştir. Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olarak tanımlanmıştır. Bu kanunla birlikte verisi işlenen kişilere bazı haklar atfedilmiştir. Öncelikle bu kanunun kimler için geçerli olduğunu ve hak sahiplerinin kimler olduğunu belirleyerek başlayabiliriz. (Kişisel Verilerin Anonimleştirilmesi)
İlgili Kişi ve Hakları
Kişisel veri kısaca kimliği belirli ya da belirlenebilir gerçek kişiye ait her türlü bilgidir.[1] Kişisel veri kişinin sadece kimliğini açıklayan bilgiler değildir. Direkt ve dolaylı olarak belirlenebilir kılan veriler de kişisel veridir. Kanunun bu maddesine bakarak sadece gerçek kişilerin verisinin Kanun kapsamına girdiğini söyleyebiliriz. Bu kişilerin sahip olduğu bazı haklar bulunmaktadır. Madde 11’de düzenleme bulan bu haklardan ilgili kişinin verilerini silmesi, yok edilmesi ve anonimleştirilmesi hakkı kapsamında inceleme yapılacaktır.
Kişisel verilerin işlenmesi belli şartlar ve sebepler koşuluyla işlenmektedir. Bu işlemelerin sebebi olmaksızın işlenmesi veya maddi olarak geçerli şartları sağlanmaması halinde kanuna aykırı veri işlenmesi gerçekleştirilmiş olup veri sorumlusu belli yaptırımlarla karşılaşacaktır.
Kanunun 7.maddesi “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” Şeklinde düzenleme yapılmıştır.
İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri silmek, yok etmek veya anonim hale getirmek zorundadır. Bu veri sorumlusunun yükümlülükleri arasında yer alır. Bunun için ilgili kişinin başvurusu şart değildir. Veri sorumlusu gerekli idari ve teknik tedbirleri almakla yükümlüdür.[2]
Kişisel verilerin yok edilmesi halinde veriler hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilir. Kişisel verilerin anonim haline getirilmesi işleminde ise verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Anonim Hale Getirme
KVKK’ da düzenlenen anonim hale getirme durumu GDPR’ da tam olarak karşılık bulmamıştır. GDPR’da yer alan düzenlemede “bulanıklaştırma (pseudonymisation)” ifadesi kullanılır. Bu iki terim aynı anlama gelmemektedir. Bu çerçevede bulanıklaştırma kavramıyla, kişisel verilerin ek bilgi kullanılmaksızın belirli bir veri süjesine artık atfedilemeyecek biçimde işlenmesi ifade edilmektedir. Maddede söz konusu ek bilgilerin ayrı ayrı tutulması gerektiği ve söz konusu kişisel verilerin belirli veya belirlenebilir bir gerçek kişiye atfedilmemesinin sağlanması konusunda teknik ve idari önlemlerin alınması gerektiği ifade edilmektedir. Anonimleştirme terimi bir kişinin kimliğinin bilinmediği veya bu kimliğin kasıtlı olarak gizlendiği durumu ifade ederken bulanıklaştırma belirli bir algoritmayla kişiyi belirleyici verilerin şifrelenmiş verilerle değiştirildiği teknik bir yöntemi ifade etmektedir. Algoritma bir kişi için farklı kaynaklardan birden fazla bilgiyi bir araya getirerek daima aynı pseudonym’i hesaplayabilmektedir. Bu niteliği ise söz konusu kavramı anonimleştirmeden ayırmaktadır. Zira anonimleştirme çözümünde farklı kaynaklardan elde edilen verilerin birleştirilerek kişiyle ilişkilendirilmesi mümkün değildir.[3] Bulanıklaştırma (pseudonymisation) Kişisel verilerin işlenmesini kolaylaştırır ve hassas verilerin yetkisiz personele ve çalışanlara ifşa edilmesi riskini azaltır. Veriler takma isim haline getirildiğinde, veri işleme ve veri analizi için uygun kalırken veri kaydını tanımlanamaz hale getirdiği için kişisel verilerin açığa çıkma şansı çok daha azdır.
- Yunan Veri Koruma Otoritesinin Cosmote adlı telokominasyon şirketine verdiği 6 miyon Euroluk cezaya ilişkin kararda ihlali gerçekleştiren şirketin sistemine bilgisayar korsanı tarafından girilmesi sonucunda müşterilerin verileri elde edilmiş ve sızdırılmıştı. Çalınan veriler, Cosmote abonelerinden yaş, cinsiyet ve sözleşme bilgileri gibi hassas bilgileri içeriyordu. Olaydan yaklaşık 10 milyon kişi etkilendi. Bu nedenle Yunan Otoritesi Cosmote’un veri anonimleştirme sürecinin uygun şekilde yürütülmesini sağlamak için yeterli teknik ve organizasyonel önlemleri uygulamada başarısız olduğunu tespit etti. . Cezayı hesaplarken, DPA, ihlallerin çok uzun sürmesini (6 yıl), çok sayıda veri sahibinin yanı sıra, uzun bir süre boyunca veriler için hiçbir takma ad önlemi uygulanmamış olmasını ağırlaştırıcı bir şekilde dikkate aldı.
Anonimleştirme İçin Kullanılan Yöntemler
Verilerin anonim hale getirilmesi sonrası verilerin gerçek kişi ile arasındaki bağ kopar ve ilgili kişi ile ilişkilendirilemeyecek hale getirilmiş olur. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir. Bu yöntemler sınırlı olmayıp farklı çeşitleri de bulunmaktadır.
- Farklı kişiler tarafından Kurul’a yapılan başvurular ile geçmişte çeşitli sebeplerden kaydedilen sağlık raporlarının özellikle psikiyatrik hastalık tanımlarının yaşamlarında sorun yarattığı sebebiyle ilgili sağlık kayıtlarının düzeltilmesi ya da silinmesi talep edilmiştir. Kurul tarafından konuya ilişkin olarak ilgili Bakanlık’tan alınan görüşler neticesinde kişilerin geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği belirtilerek ilgili kayıtlar bakımından kişisel veri işleme şartlarından ” kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması nedeniyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği ve Bakanlık tarafından işleme amacının ortadan kalkmaması nedeniyle KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.[4]
- Kurul tarafından verilen kararda, ilgili kişinin market zincirinin sadakat kartı kullanmaya devam edebilmek için karşısına çıkan metinlerde kişisel verilerin işlenmesine izin vermeye mecbur bırakıldığı iddiasını incelenmiştir. Ayrıca bu süreçte 0,01TL hizmet bedeli alındığı tespit edilmiştir. Bu bağlamda kurulun yaptığı inceleme sonucu; firmadan alışveriş yapmanın sadakat kart varlığına bağlı olmadığı gerekçesiyle bu anlamda aykırılık bulunmamıştır. Ancak “üyelik ve rıza beyanı” belgesi ile “aydınlatma metni” arasındaki tutarsızlığı giderilmesi konusunda talimat verilmesine, ayrıca sosyal siteler ile paylaşılan kişisel verilerin kanuna uygun olarak anonimleştirilmediği konusunda şirkete talimat verilmesine, ve son olarak 0,01 TL lik bedelin sehven alınmış olup zaten iade edildiği gerekçesiyle işlem yapılmasına gerek olmadığına karar verilmiştir.[5]
KVKK alanındaki tüm Blog yazılarımızı bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi’nin Yeni Sayı’sını okumak için bağlantıya tıklayınız.
Kaynakça
[1] KVKK m.3
[2] Kişisel Verilerin Silinmesi ve Anonim Hale Getirilmesi, KVKK, Ankara 2021,
[3] AB Veri Koruma Tüzüğü, sayfa 30
[4] KVKKARAR 2020/93 06/02/2020
[5] KVKKARAR 2019/82 25/03/2019
İstanbul Üniversitesi Hukuk Fakültesi/ 4.sınıf öğrencisi