ABD Gizlilik Uyumu için Veri Tanımlamasının Gizeminin Ortadan Kaldırılması

Kimlik gizleme, tüketici gizliliğini korumak için değerli bir araçtır, ancak süreç birden fazla eyalet ve federal standarda titizlikle uyulmasını gerektirmektedir. Verilerinin ve teknoloji kullanımının gizlilik yasalarına uyması konusunda endişe duyan işletmeler, bireysel kimlikleri korumak için bilgileri değiştirme süreci olan kimliksizleştirmeye (de-identification) odaklanmaktadır.
Verilerin tanımlanabilirliği bir spektrumda mevcuttur. Bir uçta doğrudan tanımlanabilir veriler bulunur; örneğin, Sosyal Güvenlik numaraları ve elektronik posta adresleri. Diğer uçta ise, belirli bir uygulama için bir haftada yapılan indirme sayısı gibi kişisel olmayan veriler bulunur. Verileri kimliksizleştirme yoluyla bu spektrum boyunca kaydırmak, kimliği belirsizleştirilmiş verilerin genellikle federal ve eyalet yasaları uyarınca muafiyetlerden yararlandığı göz önüne alındığında, bir işletmenin gizlilik uyum yükümlülüklerini potansiyel olarak azaltabilir. Ancak, veri kimliksizleştirmenin bu yasal standartları karşıladığından emin olmak karmaşık bir süreçtir.
1. Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası kapsamında korunan sağlık bilgilerinin kimliğinin gizlenmesi
Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (Health Insurance Portability and Accountability Act), anılan yasa kapsamında düzenlenen kuruluşlar tarafından, karşılaştırmalı etkinlik çalışmaları, politika değerlendirmesi ve diğer yaşam bilimleri araştırmaları için verilerin ikincil kullanımlarını desteklemek amacıyla korunan sağlık bilgilerinin (protected health information) kimliksizleştirilmesine uzun zamandır izin vermektedir. Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası gizlilik kuralı, kimliksizleştirme için iki yöntem sağlar: uzman belirleme ve güvenli liman (expert determination and safe harbor).
Uzman belirlemesi, bir uzmanın beklenen alıcının bilgileri bireyi tanımlamak için kullanabileceği çok küçük bir riski belirlemesini ve belgelemesini gerektirir. Güvenli liman ise, 18 tanımlayıcının kaldırılmasını gerektirir ve kimliksizleştiren varlık, bilgilerin bireyi tanımlamak için kullanılabileceğine dair gerçek bir bilgiye sahip değildir.
Hangi yöntem kullanılırsa kullanılsın, gizlilik kuralı, bu tür bilgiler korunan sağlık bilgilerinin konusunu tanımlamıyorsa ve bilgilerin bireyi tanımlamak için kullanılabileceğine inanmak için makul bir temel yoksa korunan sağlık bilgilerini kimliksizleştirilmiş olarak değerlendirir. Özellikle, Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası’nı uygulayan ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi (Department of Health and Human Services’ Office for Civil Rights), Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası kimliksizleştirme standartları ve yöntemleri kimliksizleştirme için sıfır risk gerektirmediği için uygun şekilde kimliksizleştirilmiş verilerin yeniden kimliklendirilme potansiyelini kabul eder. Tıbbi kayıtlar uygun şekilde kimliksizleştirildikten sonra, Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası kayıtların üretilmesine engel teşkil etmez. Ancak, saklanan bilgilere bağlı olarak, bu kimliksizleştirilmiş veriler yine de diğer düzenleyici veya sözleşmesel yükümlülükler kapsamına girebilir.
2. Federal Ticaret Komisyonu’nun veri gizliliğinin kaldırılmasına ilişkin görüşleri
Geçtiğimiz on yılda, Federal Ticaret Komisyonu (Federal Trade Commission) verilerin etkili bir şekilde kimliksizleştirilmesini sürekli olarak vurgulamıştır. Federal Ticaret Komisyonu, tüketici verilerini korumada başarısız olan şirketlere karşı dava açmak da dâhil olmak üzere, ticaretteki haksız veya aldatıcı eylem veya uygulamalara karşı yaptırım uygulayabilir. Kararları, korunan sağlık bilgileri ile ilgili olarak Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası’nın kimliksizleştirme standardını geçersiz kılmaz.
Son zamanlarda Federal Ticaret Komisyonu, “InMarket Media” ve “X-Mode Social”a karşı açtığı davalarda “kimliksizleştirme”yi tanımlarken Kaliforniya Tüketici Gizlilik Yasası (California Consumer Privacy Act) gibi bir yaklaşım benimseyerek kimliksizleştirme konusundaki pozisyonunu netleştirmiştir. Federal Ticaret Komisyonu, her iki şirketin de tüketicilerden bilgilendirilmiş onayları olmadan konumla ilgili bilgileri topladığını, bir araya getirdiğini ve üçüncü taraflara sattığını iddia etmiş; her iki şirket de belirli rahatsız edici konum verilerini silmeyi kabul ederek anlaşmıştır. İlginç bir şekilde, Federal Ticaret Komisyonu “kimliksizleştirilmiş veriler”i (de-identified data) bu silme yükümlülüğünden muaf tutmuş ve kimliksizleştirilmiş verilerin Federal Ticaret Komisyonu’nun birincil endişesi olmadığını öne sürmüştür.
Federal Ticaret Komisyonu her iki durumda da, kimliği belirsizleştirilmiş verilerin Kaliforniya Tüketici Gizlilik Yasası ile aynı tanımını benimsemiş olup; Komisyon kimliği belirsizleştirilmiş bilgileri, belirli bir tüketiciyle doğrudan veya dolaylı olarak makul bir şekilde ilişkilendirilemeyen veya ilişkilendirilemeyen veriler olarak tanımlamaktadır. Bu, kimliği belirsizleştirilmiş işletmenin dört kriteri karşılayıp karşılamadığına bağlıdır: işletme; (i) bilginin ait olduğu tüketicinin kimliğinin yeniden belirlenmesini önlemek için teknik güvenlik önlemleri uygular, (ii) bilginin kimliğinin yeniden belirlenmesini özel olarak yasaklayan iş süreçlerine sahiptir, (iii) kimliği belirsizleştirilmiş bilgilerin yanlışlıkla yayınlanmasını önlemek için önlemler uygular ve (iv) bilgileri yeniden belirleme girişiminde bulunmaz.
Federal Ticaret Komisyonu’nun mobil reklam tanımlayıcısı veya bir bireyin eviyle bağlantılı verileri kimliği belirsizleştirilmiş veri olarak görmediğini belirtmekte fayda vardır.
3. Eyalet gizlilik yasaları: Kaliforniya Tüketici Gizlilik Yasası örneği
Çoğu eyalet gizlilik yasası, kimliği belirsizleştirilmiş veriler için farklı muafiyetlere sahiptir. Son güncelleme itibarıyla, 18 eyalette kapsamlı veri gizliliği yasaları bulunmaktadır. Bu yasalar, Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası’nın korunan sağlık bilgileri yükümlülüklerini geçersiz kılmaz veya değiştirmez. Teknik olarak, birçok kimliği belirsizleştirme yöntemi kolayca tersine çevrilebilir ve bu muafiyetlerin pratik etkinliğini belirsiz hale getirir. Kimliği belirsizleştirilmiş verilerin yeniden tanımlanması konusunda eyalet düzenleyici otoritelerinden veya yasal emsallerden asgari düzeyde rehberlik mevcuttur.
Örneğin, Kaliforniya Tüketici Gizlilik Yasası kimliği belirsizleştirilmiş verileri “kişisel bilgi” (personal information) olarak sınıflandırmaz ve bu nedenle muaf tutar. Kaliforniya’da kişisel bilgilerin kimliği belirsizleştirilmesiyle ilgili doğrudan bir yaptırım eylemi olmamıştır. Kaliforniya Gizlilik Koruma Ajansı (California Privacy Protection Agency), veri minimizasyonunu Kaliforniya Tüketici Gizlilik Yasası’nın temel bir ilkesi olarak görmekte olup; bir işletmenin tüketicilerin kişisel bilgilerini topladığı, kullandığı, sakladığı ve paylaştığı tüm amaçlar için geçerlidir.
Kimliksizleştirme, toplanan verilerin faydasını korurken Kaliforniya Tüketici Gizlilik Yasası’nın veri en aza indirme ilkesine bağlı kalarak önemli bir denge sağlayabilir. Kimliği belirsizleştirilmiş veriler tüketici davranışları, eğilimleri veya kalıpları hakkında hâlâ anlama kapasiteleri sağlayabildiği ölçüde, gereksiz tanımlayıcıları kaldırmak tüketici gizliliğini ihlal etmeden ticari amaçlara ulaşır.
4. ABD işletmeleri için pratik hususlar
Veri kimliksizleştirme, veri minimizasyonu ilkesi de dâhil olmak üzere gizlilik yasalarına uyarken toplanan verilerden değer elde etmek için ikna edici bir strateji sunar. Federal ve eyalet düzenleyici otoriteleri, korunan sağlık bilgileri için Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası marifetiyle belirlenenlere kıyasla tüketici bilgileri için daha sağlam kimliksizleştirme standartları geliştirmiştir. Bu, veri kümelerini kimlik spektrumunda kaydırma sürecini karmaşıklaştırmış ve böylece bireylerin gizlilik haklarının korunmasını artırmıştır.
Gizlilik yasaları genişledikçe ve yaptırım eylemleri yoğunlaştıkça, tek bir kimlik gizleme standardına güvenmek yeterli olmayabilir. Örneğin, bir veri kümesi korunan sağlık bilgileri olarak sınıflandırılırsa ve aynı zamanda federal ve eyalet gizlilik yasalarına tabiyse, Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası kapsamında kimliği gizlenen veriler yine de Federal Ticaret Komisyonu veya eyalet gizlilik yönetmeliklerinin yargı yetkisi altına girebilir.
Sonuç olarak, kimlik gizleme gizliliği korumak için değerli bir araçtır, ancak düzenleyici standartlara titizlikle uyulmasını gerektirir. Gizlilik yasası uyum stratejilerinin bir parçası olarak kimlik gizlemeyi düşünen şirketler şunları yapmalıdır:
• Uygulanabilir kimlik gizleme standartlarını doğru bir şekilde belirlemek için köken yargı yetkisi ve kişisel bilgilerin özellikleri değerlendirilmelidir.
• Etkili bir kimlik gizleme sağlamak için mevcut kaynaklar ve sektördeki en iyi uygulamalar göz önünde bulundurularak veri türüne uygun kimlik gizleme teknikleri uygulanmalıdır.
• Verilerin yeniden tanımlanmasını önlemek için dâhili prosedürler ve teknik güvenlik önlemleri oluşturulmalı, uygulanmalı ve güncellenmelidir.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.