Makale
Avrupa Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kişisel verilerin korunmasında öne çıkan kimlik kodlama ve anonimleştirme kavramlarının hukuki nitelikleri, birbirleri arasındaki temel farklar ve mevzuattaki yerleri uzman bir hukuki perspektifle incelenmektedir.
GDPR ve KVKK Işığında Kimlik Kodlama ve Anonimleştirme
Dijitalleşmenin her alana yayılmasıyla birlikte, kişisel verilerin korunması devletler ve şirketler için en temel hukuki zorunluluklardan biri haline gelmiştir. Bu kapsamda, Avrupa Genel Veri Koruma Tüzüğü (GDPR) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri işleme süreçlerinde uyulması gereken katı kurallar getirmektedir. Kişisel verilerin hukuka uygun olarak işlenmesi ve saklanması süreçlerinde, veri güvenliğini sağlamak amacıyla başvurulan iki temel yöntem bulunmaktadır: kimlik kodlama (pseudonymization) ve anonimleştirme. Hukuki uygulamada sıkça birbirine karıştırılan bu iki kavram, verinin hukuki statüsünü ve veri sorumlularının yükümlülüklerini doğrudan etkilemektedir. Ülkemizdeki yasal mevzuatta daha çok anonimleştirme yöntemi ön planda tutulurken, uluslararası standartlar ile birlikte veri mahremiyetini sağlayan ancak verinin işlevselliğini de koruyan kimlik kodlama yöntemi resmi olarak hukuki bir zemin kazanmıştır. Bu makalede, bir veri koruma stratejisi olarak bu iki yöntemin yasal çerçevesi, uygulanma biçimleri ve hukuk dünyasındaki temel farkları detaylıca ele alınacaktır.
GDPR ve KVKK Kapsamında Anonimleştirme Kavramı
KVKK mevzuatı kapsamında kişisel verilerin işlenme şartları ortadan kalktığında, bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yasal bir zorunluluktur. İlgili ikincil düzenlemeler uyarınca anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonimleştirme işlemi sonucunda veri, kişisel veri olma özelliğini tamamen yitirir ve yasal düzenlemelerin koruma kapsamından çıkar. Avrupa Genel Veri Koruma Tüzüğü gerekçelerinde de vurgulandığı üzere, veri koruma ilkeleri yalnızca kimliği belirli veya belirlenebilir gerçek kişilere ilişkin bilgiler için geçerlidir; dolayısıyla başarılı bir şekilde anonimleştirilmiş veriler GDPR kapsamı dışında değerlendirilir. Ancak modern teknolojik imkanlar, büyük veri analitiği ve farklı veri setlerinin birleştirilmesi ihtimalleri göz önüne alındığında, bir veriyi mutlak surette geri döndürülemez şekilde anonimleştirmek hukuken ve teknik olarak oldukça zordur.
GDPR Çerçevesinde Kimlik Kodlama (Pseudonymization)
Kimlik kodlama (pseudonymization), kişisel verilerin ek bilgiler kullanılmaksızın belirli bir veri öznesiyle ilişkilendirilemeyecek şekilde işlenmesini ifade eder. GDPR düzenlemeleri içerisinde açıkça tanımlanan bu yöntemde, kişileri doğrudan tanımlayan isim, kimlik numarası gibi veriler özel bir kodla değiştirilmekte, bu verilerin çözülmesini sağlayacak ek bilgiler ise ayrı ve güvenli ortamlarda muhafaza edilmektedir. Anonimleştirmenin aksine, kimlik kodlama işlemine tabi tutulmuş veriler hukuken kişisel veri olma niteliğini korumaya devam eder. Bu nedenle, kimlik kodu ile korunan verilerin işlenmesinde de GDPR ve veri koruma ilkeleri aynen geçerliliğini sürdürür. Veri sorumluları, tasarım yoluyla veri koruma ilkesi gereği, veri mahremiyetini temin etmek ve olası bir veri ihlali durumunda ilgili kişilerin göreceği zararı en aza indirmek için kimlik kodlama yöntemini yasal bir uyumluluk aracı olarak uygulamakla yükümlü tutulmaktadır.
Kimlik Kodlama ve Anonimleştirme Arasındaki Hukuki Farklar
Hukuk uygulayıcıları ve veri sorumluları açısından kimlik kodlama ile anonimleştirme arasındaki sınırın doğru çizilmesi ve hukuki etkilerinin kavranması büyük önem taşır. Bir verinin hangi gizleme tekniğiyle işlendiği, veri sorumlusuna uygulanacak hukuki yaptırımları, idari para cezalarını ve alınması gereken teknik tedbirleri doğrudan belirlemektedir. Anonimleştirilmiş veriler hukuken kişisel veri sayılmadığından, veri ihlali bildirimleri veya aydınlatma yükümlülüğü gibi süreçler bu veriler için işletilmez. Buna karşılık, kimlik kodlaması yapılmış veriler siber saldırıya uğradığında veya yetkisiz kişilerin eline geçtiğinde hukuken bir veri ihlali doğmuş kabul edilir ve derhal denetim makamlarına bildirim yapılması yasal bir zorunluluktur. Uygulamada veri sorumlularının bu iki metodu sıkça birbirine karıştırması, ciddi idari yaptırımlarla karşılaşmalarına yol açmaktadır. İki yöntem arasındaki en temel hukuki farkları aşağıdaki tabloda özetleyebiliriz:
| Karşılaştırma Kriteri | Anonimleştirme | Kimlik Kodlama (Pseudonymization) |
|---|---|---|
| Verinin Hukuki Statüsü | Kişisel veri niteliği tamamen ortadan kalkar. | Veri, kişisel veri olma özelliğini korumaya devam eder. |
| Kanuni Kapsam (GDPR/KVKK) | Veri koruma mevzuatı kapsamı dışına çıkar. | GDPR ve KVKK kurallarına tabi olmaya devam eder. |
| Geri Döndürülebilirlik | Kişiyle bağlantı kesin ve kalıcı olarak koparılmıştır, geri döndürülemez. | Ayrı tutulan ek bilgiler (anahtarlar) ile kişi yeniden tanımlanabilir. |
| Uygulama Amacı | Verinin tamamen silinmesi yerine istatistiksel kullanım vb. için elde tutulması. | Veri güvenliğini artırmak ve mahremiyeti koruyarak analitik işlemler yapmak. |
Tablodan da anlaşılacağı üzere, anonimleştirme işleminde bireyle veri arasındaki bağın yeniden kurulamayacak şekilde koparılması yasal bir zorunluluktur. Oysa kimlik kodlama yönteminde, meşru amaçlarla veya hukuki zorunluluklar gereği verilere yetkili kişilerce tekrar ulaşılabilmesi için bir şifre çözme anahtarı kurgulanmaktadır. Özellikle ulusal yasal sistematiğimizde kimlik kodlama doğrudan bir kavram olarak kanun metninde yer almasa da, ikincil hukuki düzenlemelerde kimliksizleştirme adıyla benzer koruma mekanizmaları öngörülmektedir. Uzman bir veri koruma stratejisinde, veri minimizasyonu ve amaca bağlılık ilkeleri çerçevesinde her iki yöntem de hukuki vakanın niteliğine göre dikkatle seçilmeli, ihlal risklerini minimize edecek yasal ve idari tedbirler veri sorumluları tarafından eksiksiz olarak uygulanmalıdır.