Kişisel Veri
Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanmış olup, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilmiştir. Buna göre, bir gerçek kişinin adı, soyadı, kimlik bilgileri, özgeçmişi, fotoğrafı, adresi, telefon numarası, kapalı devre kamera görüntüleri, ses kayıtları gibi her bilgiler, kişisel veriye örnek oluşturabilir.
Kişisel Verilerin Anonim Hale Getirilmesi
Kanun kapsamında anonim hale getirme; “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini” ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.
Bu teorik açıklamayı örneklendirmek gerekirse; bir veri tabanında kişinin oturduğu semt (Sarıyer), mesleği (Avukat), yaşı (34), boyu (172), kilosu (56) ve araba modeline (BMV) ait bilgiler bulunuyor iken yalnızca kişinin adı silinmek suretiyle bir anonimleştirme yapılmaya çalışıldıysa, ilgili kişiye ait bilgiler muhtemelen anonimleşmemiştir. Zira Sarıyerde yaşayıp BMV’ye sahip olan 34 yaşında 56 kilogram ve 172 cm olan başka birinin bulunma ihtimali düşüktür. Dolayısıyla sadece bu verilerle kişinin kim olduğu tespit edilebilecek ve o veri tabanındaki (yaptığı kazalar, mezun olduğu üniversite vb.) diğer verilerin de o kişiye ait olduğu tespit edilebilecektir.
Anonimleştirmede En Sık Kullanılan Yöntemler
Maskeleme: Kişisel verilerin belli alanlarının yok edilerek kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kimlik numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur. (26******* 7 vb)
Toplulaştırma: Verileri bütünleştirerek yalnızca toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette erkek çalışan sayısının 195 adet olması ve sayının %24’ünün şirketin servisini kullanmasına ilişkin veriler artık anonim hâle getirilmiştir.
Veri Türetme: Mevcuttaki detaylı verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, maaş bilgisinin kuruşuna kadar detaylandırılması yerine “3000-7500 TL bandında” şeklinde yazılması durumunda veri türetmek suretiyle anonimleştirmenin yapıldığı söylenebilir.
Veri Karması: Veri kümesi içinde değerlerin yer değiştirilerek kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Bir listedeki kişilerin maaşlarının rastgele şekilde yeniden dağıtılması veri karması yöntemine örnek olarak gösterilebilir.
Anonimleştirme Yönteminin Seçilmesi
Veri Sorumluları ellerindeki veriye bakarak hangi yöntemi kullanması gerektiğini belirler. Veri sorumlularının yöntem seçerken dikkat etmesi gereken hususlar aşağıda verildiği gibidir:
– Verinin niteliği,
– Verinin büyüklüğü,
– Verinin fiziki ortamlarda bulunma yapısı,
– Verinin çeşitliliği,
– Veriden sağlanmak istenen fayda / işleme amacı,
– Verinin işlenme sıklığı,
– Verinin aktarılacağı tarafın güvenilirliği,
– Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması,
– Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
– Verinin dağıtıklık/merkezilik oranı,
– Kullanıcıların ilgili veriye erişim yetki kontrolü,
– Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali.
Anonimleştirmemenin Yaptırımı Nedir?
Kişisel verileri işlenme sebeplerin tümü ortadan kalktığı halde anonimleştirmeyen ve diğer yollarla imha edilmeyen veri sorumlusu Türk Ceza Kanunu kapsamında “Verileri Yok Etmeme” suçunu işlemiş olacaktır. Aynı zamanda yine Kişisel Verilerin Korunması Kanunu kapsamında Kurul’un anonimleştirmeye yönelik kararlarını uygulamayanlar hakkında da 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilmesi öngörülmektedir. Tüm bu cezalara ilave olarak, kişisel verisi anonimleştirilmediği (yahut silinmediği/ yok edilmediği) için zarara uğrayan veri sahibinin de tazminat isteme hakları saklıdır.