Makale

Dijitalleşmenin hız kazanmasıyla birlikte, kişisel verilerin korunması hukukun en temel tartışma alanlarından biri haline gelmiştir. Bireylerin mahremiyetini koruma ihtiyacı, verilerin işlenerek teknolojik ve ticari fayda sağlama amacı ile çoğu zaman çatışmaktadır. Avrupa Birliği veri koruma hukukunun temel taşı olan Avrupa Genel Veri Koruma Tüzüğü (GVKT), bu çatışmayı dengelemek adına çeşitli yasal ve teknik standartlar öngörmektedir. GVKT içerisinde özellikle dikkat çeken ve veri güvenliğinde bir mihenk taşı olan kimlik kodlama (pseudonymization), kişisel verilerin hukuka uygun bir şekilde işlenmesini sağlarken aynı zamanda bireylerin temel hak ve özgürlüklerine yönelik riskleri asgari düzeye indiren koruyucu bir mekanizmadır. Bu kavram, doğrudan tanımlayıcı verilerin kodlarla değiştirilerek, yetkisiz kişilerin verilere erişimi halinde dahi gerçek kişilerin tespit edilmesini engellemeyi amaçlar. Hukuk uygulamaları bağlamında veri sorumluları ve işleyenler açısından büyük bir uyum kolaylığı sağlayan bu yöntem, mahremiyet ile yenilikçilik arasındaki dengeyi tesis eden en işlevsel araçlardan biri olarak kabul edilmektedir.

GVKT Madde 4(5) Uyarınca Kimlik Kodlama Tanımı

GVKT'nin tanımlara ayrılan 4. maddesinin 5. fıkrasında kimlik kodlama, kişisel verilerin ek bilgiler kullanılmaksızın spesifik bir veri öznesiyle ilişkilendirilemeyecek şekilde işlenmesi olarak tanımlanmıştır. Bu yöntemin hukuki geçerliliği, söz konusu ek bilgilerin ayrı tutulması ve verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmesini önleyecek teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluna bağlanmıştır. Hukuki bir perspektifle analiz edildiğinde, kimlik kodlama işlemi sonrasında veriler tamamen anonim hale gelmez. Avrupa Birliği Adalet Divanı'nın yaklaşımı ve Tüzüğün 26. gerekçesinde de vurgulandığı üzere, ek bilgilerin kullanılmasıyla gerçek bir kişiye atfedilebilme ihtimali bulunduğundan, kimlik kodlamaya tabi tutulmuş kişisel veriler halen hukuken kişisel veri niteliğini korumaya devam eder. Bu durum, yöntemin veri işleyenlere hukuki bir esneklik sunarken, aynı zamanda GVKT'nin sıkı koruma rejiminin bu veriler üzerinde uygulanmaya devam etmesini temin eder.

Tasarım Yoluyla Veri Koruma ve Hukuki Yükümlülükler

GVKT'nin en önemli yeniliklerinden biri olan tasarım yoluyla veri koruma (privacy by design) ilkesi, 25. maddede düzenlenmiş olup, kimlik kodlamayı bu ilkenin temel araçlarından biri olarak göstermektedir. Veri sorumluları, işleme faaliyetlerinin henüz tasarım aşamasındayken bile kişisel verilerin mahremiyetini sağlayacak önlemleri almakla yükümlü kılınmıştır. Bu yükümlülük, salt bir teknik zorunluluk değil, aynı zamanda kişisel veri ihlallerinin önlenmesine yönelik bir hukuki sorumluluktur. GVKT'nin 32. maddesi de risk temelli yaklaşım bağlamında, veri işlemenin güvenliğini sağlamak amacıyla şifreleme ve kimlik kodlama gibi tedbirlerin alınmasını açıkça işaret eder. Olası bir siber saldırı veya yetkisiz erişim durumunda, verilerin kimlik kodlaması ile korunuyor olması, 34. maddede düzenlenen ilgili kişiye bildirim yükümlülüğü açısından veri sorumlusuna önemli bir hukuki savunma ve hafifletici neden sunabilir. Zira veriler okunamaz ve anlamsız hale getirildiğinde, kişilerin temel hak ve özgürlüklerine yönelik yüksek risk ortadan kalkmış kabul edilebilir.

Kimlik Kodlama ile Anonimleştirme Arasındaki Hukuki Farklar

Hukuk uygulamasında en çok karıştırılan kavramların başında kimlik kodlama ile anonimleştirme gelmektedir. Anonimleştirilmiş veriler, hiçbir şekilde ve hiçbir ek bilgiyle gerçek bir kişiyle ilişkilendirilemeyecek duruma getirildiğinden GVKT'nin kapsamı dışına çıkmaktadır. Ancak kimlik kodlamada amaç verinin kişisel veri niteliğini tamamen ortadan kaldırmak değildir. Aksine, verinin kişisel veri olma özelliği devam ederken, sadece yetkisiz kişilerin veri ile kişi arasındaki bağı kurması teknik olarak zorlaştırılmaktadır. Bu farklılık hukuki sorumluluklar açısından son derece kritiktir. Kimlik kodlama yönteminde, elinde anahtarı veya ek bilgiyi bulunduran veri işleyen için bu veriler GVKT koruması altındadır ve veri işleme şartları olan açık rıza veya kanuni istisnalar uygulanmaya devam eder. Hukuk büroları ve uyum danışmanları, müvekkillerine strateji çizerken, verinin analitik değerinden faydalanılmaya devam edilecekse, GVKT'nin 89. maddesi uyarınca istatistiki veya bilimsel araştırmalar için hukuki bir dayanak sunan kimlik kodlama yöntemini tavsiye etmektedir.

GVKT Çerçevesinde Temel Kimlik Kodlama Teknikleri

Veri güvenliğini tesis etmek ve GVKT uyumluluğunu sağlamak amacıyla kullanılan başlıca kimlik kodlama teknikleri, hukuki güvenlik standartlarını karşılayacak düzeyde tasarlanmalıdır:

• Şifreleme (Encryption): Düz metinlerin şifreleme algoritmaları ve bir kriptografik anahtar kullanılarak anlamsız şifreli metinlere dönüştürülmesidir. Sadece doğru anahtara sahip olan yetkili kişiler orijinal veriye ulaşabilir.
• Hash Fonksiyonu (Karma İşlevi): Veri kümesinin, boyutundan bağımsız olarak sabit uzunlukta bir karakter dizisine dönüştürüldüğü tek yönlü bir süreçtir. Geri döndürülmesi çok zordur ve veri bütünlüğünü sağlamakta etkilidir.
• Tokenizasyon (Belirteç Oluşturma): Gerçek tanımlayıcı verilerin, orijinal verilerle hiçbir matematiksel bağlantısı olmayan rastgele değerlerle (token) değiştirilmesidir. Orijinal veri ayrı ve güvenli bir veri tabanında saklanır.

Bu tekniklerin uygulanması, bir ihlal anında idari yaptırımlardan ve hukuki sorumluluklardan korunmak adına veri sorumlusunun gerekli her türlü teknik ve idari tedbiri aldığına dair karine teşkil etmekte ve uyum süreçlerinde kritik bir kalkan görevi görmektedir.