Mobile logo
Top

Kişisel Verilerin Anonim Hale Getirilmesi

Bilgi Bankası Nasıl?

Kişisel Verilerin Anonim Hale Getirilmesi

Hukukumuza göre veri sorumluları, her ne kadar başta hukuka uygun olarak işlenmiş olsa da; bütün işlenme sebepleri ortadan kalktıktan sonra kişisel verileri silmeli, yok etmeli yahut anonim hale getirmeli.  Peki anonim hale getirmek tam olarak ne oluyor ve kişisel verileri anonim hale getirirken nelere dikkat edilmesi gerekiyor? 

Anonim Hale Getirme Nedir?

Kanunun tanımıyla anonim hâle getirme, kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.

Anonimleştirmeden sonra elde kalan verilerin çeşitli tekniklerle aslında kime ait olduğu anlaşılabiliyorsa gerçek anlamda bir anonimleştirmeden söz edilemeyecektir. Dolayısıyla anonimleştirme yalnızca isim silmekten ibaret değildir.

Bu teorik açıklamayı örneklendirmek gerekirse; bir veri tabanında kişinin oturduğu semt (Bakırköy), mesleği (doktor), yaşı (39), boyu (183), kilosu (81) ve araba modeline (Passat) ait bilgiler bulunuyor iken yalnızca kişinin adı silinmek suretiyle bir anonimleştirme yapılmaya çalışıldıysa, ilgili kişiye ait bilgiler muhtemelen anonimleşmemiştir. Zira Bakırköy’de yaşayıp Passat’ı olan 39 yaşında 81 kilogram ve 183 cm olan başka birisi muhtemelen yoktur. Dolayısıyla sadece bu verilerle kişinin kim olduğu tespit edilebilecek ve o veri tabanındaki (yaptığı kazalar, mezun olduğu üniversite vb.) diğer verilerin de o kişiye ait olduğu tespit edilebilecektir.

Geçmişten verilebilecek örnekler arasında ise AOL ve Netflix öne çıkmaktadır. İki şirket de sayıları milyonlara varan kullanıcılarının bilgilerini anonim hale getirdiklerini düşünerek İnternet’e sunmuş, ancak veri uzmanları tarafından bazı kullanıcıların kimliği, tarafından tespit edilebilmiştir. Bu örnekler anonimleştirildiği düşünülen verilerin gerçekten anonimleştirildiğinin uzmanlarca test edilmesi gerektiğini göstermektedir. 

Ne Zaman ve Nasıl Anonimleştirmek Gerekir?

Öncelikle belirtmek gerekir ki kişisel veriyi anonim hale getirmek bir zorunluluk olmayıp belirli hallerde silme veya yok etmeye bir alternatiftir. Kanun, anonimleştirmeyi (veya silmeyi / yok etmeyi) bütün veri işleme sebeplerinin ortadan kalkması ile veri sorumlusuna yüklemektedir.

Örneğin; iş başvurusu için bir şirkete gönderilen özgeçmişlerin belirli bir süre sonra anonimleştirilmesi veya diğer yollarla imha edilmesi gerekmektedir. Zira belirli bir süreden sonra kişinin o kuruma başvurusu zımnen ortadan kalkmakta; o verilerin şirket tarafından hala işlenmesinin bir anlamı kalmamaktadır. 

Bu bağlamda kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumluları, anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde kişisel verileri anonim hale getirmekle (veya silmekle / yok etmekle) mükelleftir. Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları ise; kişisel veri saklama ve imha politikası oluşturmakla mükellef olup, bu politikada belirtilen “periyodik imha süresi” kapsamında anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri anonimleştirmekle veya diğer yollarla imha etmekle yükümlüdür. Yasal düzenleme uyarınca belirlenecek periyodik imha süresinin 6 aydan daha uzun olması mümkün değildir.

Bu noktada ayrıca kişisel verilerin ilgili kişinin talebi üzerine en geç otuz gün içinde anonimleştirilmesi veya diğer yollarla imha edilmesi veri sorumlularına Kanun ile getirilen yükümlülüklerinden birisidir. Bir başka yükümlülük ise kişisel verilerin anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınması ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması zorunluluğudur.

Anonimleştirmeyle ilgili uygulanabilecek sayısız teknik olmakla birlikte yaygın olan bazı teknikler aşağıdaki şekilde ifade edilebilir:

i) Maskeleme:

Kişisel verilerin belli alanlarının yok edilerek kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kimlik numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur. (32******* 6 vb)

ii) Toplulaştırma:

Verilerin bütünselleştirilerek yalnızca toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette erkek çalışan sayısının 234 adet olması ve sayının %23’ünün şirketin servisini kullanmasına ilişkin veriler artık anonim hâle getirilmiştir.

iii) Veri Türetme:

Mevcuttaki detaylı verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, maaş bilgisinin kuruşuna kadar detaylandırılması yerine “2000-5000 TL bandında” şeklinde yazılması durumunda veri türetmek suretiyle anonimleştirmenin yapıldığı söylenebilir.

iv) Veri Karması:

Veri kümesi içinde değerlerin yer değiştirilerek kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Bir listedeki kişilerin maaşlarının rastgele şekilde yeniden dağıtılması veri karması yöntemine örnek olarak gösterilebilir. 

Anonimleştirmemenin Yaptırımı Nedir?

Kişisel verileri işlenme sebeplerin tümü ortadan kalktığı halde anonimleştirmeyen ve diğer yollarla imha edilmeyen veri sorumlusu Türk Ceza Kanunu kapsamında “Verileri Yok Etmeme” suçunu işlemiş olacaktır. 

Aynı zamanda yine Kişisel Verilerin Korunması Kanunu kapsamında Kurul’un anonimleştirmeye yönelik kararlarını uygulamayanlar hakkında da 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilmesi öngörülmektedir. Tüm bu cezalara ilave olarak, kişisel verisi anonimleştirilmediği (yahut silinmediği/ yok edilmediği) için zarara uğrayan veri sahibinin de tazminat isteme hakları saklıdır.

11 Ocak 2018
0
0
anonimleştirme
Related Posts
Whatsapp’la Ne Yapmalı?
 9 Ocak 2021
Biyometrik İmza ve Bir Kurul Kararının Anatomisi
 1 Ekim 2020
İmza Tanıma Teknolojisi Nedir?
 27 Eylül 2020
Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın