Giriş
Birleşik Krallık Bilgi Komiserliği Ofisi [United Kingdom’s Information Commissioner’s Office], Mart 2025’te, anonimleştirme ve takma adlandırma konusunda yeni kapsamlı bir rehber [new comprehensive guidance on anonymisation and pseudonymisation] yayınlamıştır. Daha önceki istişarelere dayanan bu rehber, anonimleştirme ve takma adlandırma tekniklerinin etkili bir şekilde nasıl kullanılacağına dair pratik tavsiyeler sunarak Bilgi Komiserliği Ofisi’nin veri paylaşımı uygulama kurallarını[1] tamamlamaktadır.
Bilgi Komiserliği Ofisi, kişisel verilerin paylaşılmasının kuruluşlara önemli faydalar sağlayabileceğinin yanı sıra önemli riskler de taşıdığını vurgulamaktadır.
Anonimleştirme, kuruluşların bireyleri tanımlamadan verileri paylaşmasına ve kullanmasına olanak tanıyarak gizlilik dostu bir çözüm sunar.
Öte yandan, kimliği belirlenebilir bilgileri diğer verilerden ayırarak riskleri azaltan önemli bir teknik olan takma adlandırma da vardır.
Bu yazıda, Bilgi Komiserliği Ofisi’nin rehberliği ve kuruluşların çeşitli amaçlarla kişisel verileri anonimleştirmesine ve/veya takma adlandırmasına nasıl yardımcı olabileceği incelenecektir.
- Anonimleştirme
1.1. Anonimleştirme nedir?
Anonimleştirme, kişisel verilerin [personal data] bireyleri artık tanımlayamayacak hale getirilmesi sürecidir. Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne[2] [General Data Protection Regulation] göre kişisel veriler, bir kişiyi doğrudan veya dolaylı olarak tanımlayabilecek her türlü bilgi anlamına gelir; isim, kimlik numarası, konum veya çevrimiçi tanımlayıcı gibi şeyler.
Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 26 no.lu Gerekçesinde[3], anonim bilginin, doğrudan veya dolaylı olarak bir kişiye bağlanamayan her şey olduğu belirtilmektedir.
1.2. Anonimleştirilmiş veriler kişisel veri midir?
Kişisel veriler uygun şekilde anonimleştirildiğinde, bilgiler Birleşik Krallık veri koruma düzenlemelerinin kapsamı dışında kalır.
Ancak, tamamen anonimleştirilmiş verilerin artık kişisel veri olmadığını, ancak anonimleştirme sürecinin hâlâ kişisel verilerin işlenmesi olarak kabul edildiğini anlamak gerçekten önemlidir. Bu, kuruluşların anonimleştirmeyi gerçekleştirirken veri koruma kurallarına uymaları gerektiği anlamına gelir (bu tür verileri işlemek için yasal bir temele sahip olmak, neden işlendiğini açıkça açıklamak ve ilgili veri sahiplerini bu konuda bilgilendirmek gibi).
Bir kuruluşun kişisel verileri başarıyla anonimleştirdiğine yanlışlıkla inanması riski vardır, ancak gerçekte birileri bilgilerin kimin hakkında olduğunu bir araya getirebilir. Genel anlamda, yasal test şudur: Siz veya başka biri, elinizde bulunan ek bilgileri kullanarak bir kişiyi makul bir şekilde yeniden tanımlayabiliyorsa, o zaman veriler anonimleştirilmez. Bu durumda, veriler hâlâ kişisel veridir ve Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin kapsamına girer.
1.3. Kuruluşlar anonimleştirmeyi ne zaman düşünmelidir?
Kuruluşlar, amaçlarına ulaşmak için kişisel verilerin gerekli olmadığı durumlarda anonimleştirmeyi değerlendirmelidir. Çünkü bu, yasal riskleri azaltır, verilerin kuruluşla veya kamuoyuyla paylaşılmasını daha güvenli hale getirir ve bilgilerin nasıl kullanılıp dağıtılacağı konusunda daha fazla esneklik sağlar.
1.4. Etkili anonimleştirme süreci
Kişisel verilerin anonimleştirilmesinin amacı, bir kişinin, bu bilgiler ışığında tespit edilebilme olasılığını azaltmaktır.
Bilgi Komiserliği Ofisi yüksek bir standart belirler: anonimleştirme, kimlik belirleme riskini yeterince uzak bir düzeye [sufficiently remote level] indirmelidir. Yeterince uzak olarak kabul edilen şey, bireysel koşullara bağlı olacaktır. Bilgi Komiserliği Ofisi, birinin bilgiden kimliklendirilip kimliklendirilemeyeceğini değerlendirirken tanımlanabilirlik kavramını (aşağıda tartışılmıştır) hesaba katmayı önermektedir.
Etkili bir anonimleştirme sürecinin sonucunda kuruluş, anonim bilgilerin ifşa edilmesinin veya paylaşılmasının kişisel verilerin uygunsuz bir şekilde ifşa edilmesine yol açmayacağını gösterebilmelidir.
1.5. Tanımlanabilirlik kavramı
Tanımlanabilirlik [identifiability] kavramı geniştir ve bir kişinin yalnızca ismiyle tanımlanamayacağını hatırlamak önemlidir. Kimlik numarası, konum verileri veya hatta çevrimiçi bir kullanıcı adı gibi faktörler, tek başlarına veya diğer bilgilerle birleştirildiğinde birini tanımlamak için yeterli olabilir.
Bilgi Komiserliği Ofisi, kuruluşların anonimleştirilmiş verilerinin gerçekten anonimleştirilip anonimleştirilmediğini kontrol etmelerine yardımcı olmak için ‘motive saldırgan’ testinin [motivated intruder test] kullanılmasını önermektedir.
Motive bir saldırgan, ‘kişisel bilgilerinden elde edilen anonim bilgilerden bir kişiyi tanımlamak isteyen kişidir’. Bu test, motive saldırganın bireyi tanımlamayı başarabilmesi durumunda, verilerin uygun şekilde anonimleştirilmediğini gösterir.
Bilgi Komiserliği Ofisi ayrıca bir bilginin kişisel veri olup olmadığını belirlemek için dikkat edilmesi gereken iki önemli göstergeyi vurgulamaktadır: ayırt edilebilirlik ve bağlantılandırılabilirlik [singling out and linkability].
1.6. Ayırt edilebilirlik nedir?
Ayırt edilebilirlik (ya da tek tek ayırma), bir veri kümesinden bir kişiyi, adını kullanmadan bile seçmek mümkün olduğunda gerçekleşir. Örneğin, bir şirket her ekibin ne kadar kazandığını gösteren bir rapor paylaşırsa ve bir ekipte yalnızca bir üye varsa, o kişinin kim olduğu açıkça belli olur. Adını kullanmadan bile, yine de tanımlanabilirler, yani veri gerçekten uygun şekilde anonimleştirilmemiş olur.
1.7. Bağlantılandırılabilirlik nedir?
Bağlantılandırılabilirlik biraz daha zordur. Birinin bir kişiyi yalnızca bir bilgi kümesinden tanımlayamaması, ancak bunu başka bir veriyle (başka bir veritabanı veya hatta kamu kayıtları) ilişkilendirerek o kişinin kim olduğunu anlayabilmesidir.
Örneğin, bir kuruluşun bazı anonim anket sonuçlarını tuttuğunu düşünün. Bunlar tek başlarına kimlikleri açığa çıkarmaz. Ancak, bunları sosyal medya profilleri veya kamu kayıtları gibi diğer ayrıntılarla birleştirirseniz, kimin neyi yanıtladığını bir araya getirmek mümkün olabilir. Bu durumda, veriler gerçekten anonimleştirilmemiş olur; yine de kişisel verilerdir.
1.8. Anonimleştirme teknikleri
Kuruluşlar kişisel verileri anonimleştirmek istediklerinde, sıklıkla kullanılan iki ana anonimleştirme tekniği vardır: genelleştirme ve rastgeleleştirme [generalisation and randomisation]. Her ikisi de bireylerin kimliklerini korur ancak biraz farklı şekillerde çalışır. Doğru tekniği seçmek, verinin türüne, nasıl kullanılacağına ve hangi düzeyde korumaya ihtiyaç duyulduğuna bağlıdır.
Genelleştirme, verilerdeki ayrıntı düzeyini azaltarak daha az kesin hale getirir. Bir kişiyi tanımlayabilecek belirli bilgileri göstermek yerine, veriler daha geniş kategorilere ayrılır. Bu, bilgileri artık bir grup insanla ilişkilendirdiği için birini tek tek belirlemeyi zorlaştırır. Örneğin, birinin tam yaşını göstermek yerine, veriler bir yaş aralığını, örneğin 20-30 yaşını gösterebilir.
Öte yandan rastgeleleştirme, verileri bir bireye kolayca bağlanamayacak şekilde değiştirmeyi içerir. Bu, rastgele gürültü ekleyerek veya değerleri değiştirerek yapılır. Ancak rastgeleleştirme, verilerin genel örüntülerini ve istatistiksel yararlılığını korumayı amaçlar. Örneğin, anket sonuçlarını yayınlarken araştırmacılar, hiçbir katılımcının tanımlanamayacağından ancak araştırmanın geçerliliğini koruyacağından emin olmak için katılımcıların yaşlarını veya gelirlerini ayarlayabilir.
- Takma adlandırma
2.1. Genel olarak
Bilgi Komiserliği Ofisi, takma adlandırmaya önemli bir bölüm ayırmıştır. Anonimleştirmeyi takma adlandırmayla karıştırmamak önemlidir. Aynı şey değildir. Basitçe söylemek gerekirse, takma adlandırma, bir kişinin kimliğini, ayrıntılarını başka bir şeyle (örneğin bir kod) değiştirerek gizler ancak kimliğine olan bağlantı kuruluş içinde hâlâ mevcuttur ve geri yüklenebilir. Bu nedenle, her iki veri kümesi de kişisel veridir çünkü kuruluş, takma adlandırılmış veri kümesini yeniden tanımlama olanağına sahiptir. Öte yandan, anonimleştirme, “bilgi ile ilgili kişi arasında bir bağlantı olmasını engeller”.
Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 4(5) no.lu maddesine göre, takma adlandırma: “(…) kişisel verilerin, ek bilgi kullanılmadan, söz konusu ek bilgilerin ayrı tutulması ve kişisel verilerin belirli veya belirlenebilir bir gerçek kişiye atfedilmemesi için teknik ve organizasyonel önlemlere tabi olması kaydıyla, belirli bir veri sahibine atfedilemeyecek şekilde işlenmesidir.”
Bu, kişisel verileri takma ad vererek, bir kişiyi tanımlayan bilgileri ayırıp ayrı ayrı sakladığımız, temelde bir girdiyi (kişisel veriler) iki çıktıya (takma ad verilmiş veriler ve ek bilgiler) dönüştürdüğümüz anlamına gelir. Bu iki çıktı, birlikte orijinal kişisel verileri oluşturdukları için ayrı ayrı saklanır.
Anonimleştirilmiş verilerin aksine, bir kişi hem takma adlı verileri hem de ek bilgileri elinde tutuyorsa, takma adlı veriler yine de kişisel veri olarak kabul edilir. Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 26 no.lu Gerekçesinde, ‘ek bilgiler kullanılarak gerçek bir kişiye atfedilebilen, takma adlandırmaya tabi tutulmuş kişisel verilerin, tanımlanabilir gerçek bir kişiyle ilgili bilgi olarak kabul edilmesi gerektiği’ belirtilmektedir.
Takma adlı veriler ek bilgi olmadan başka bir kuruluşla paylaşılırsa, anonim bilgi olabilir. Bunun nedeni, üçüncü taraf kuruluşun onu yeniden tanımlama olanağına sahip olmamasıdır. Ancak, üçüncü tarafın yine de anonimleştirmeyle ilgili yukarıdaki noktaları dikkate alması gerekir.
Peki, kuruluşlar neden takma adlandırma kullanır? Çünkü takma adlandırma, kişisel veri ihlalinden kaynaklanabilecek insanlara gelebilecek zarar riskini azaltabilir.
2.2. Takma adlandırma teknikleri
Kişisel verileri takma adlandırmanın üç yaygın yolu vardır:
- Karıştırma/Karma [hashing], kişisel verileri bir koda (karma adı verilir) dönüştürerek korumanın bir yoludur ve bu da verilerin bir bireye kadar izlenmesini zorlaştırır. Tek yönlü bir işlemdir, yani orijinal bilgilere kolayca geri döndürülemez. Daha da güvenli hale getirmek için, karmadan önce rastgele veriler (tuz veya biber adı verilir) eklenebilir.
- Şifreleme [encryption], kişisel verileri yalnızca özel bir anahtarla açılabilecek şekilde ‘kilitlemenin’ bir yoludur. İki türü vardır: verileri şifrelemek ve şifresini çözmek için tek bir anahtarın kullanıldığı simetrik şifreleme veya farklı anahtarların (genel anahtar ve özel anahtar) kullanıldığı asimetrik şifreleme. Genel anahtar yaygın olarak paylaşılabilir ancak yalnızca gizli tutulan özel anahtar verileri şifresini çözebilir. Bu, genel anahtarı elinde tutan herkesin verileri şifreleyebileceği ancak yalnızca özel anahtarın sahibinin verileri şifresini çözebileceği anlamına gelir.
- Tokenleştirme [tokenisation], orijinal bilgileri (bir isim gibi) token adı verilen rastgele oluşturulmuş bir kodla değiştirerek kişisel verileri korumanın bir yoludur. Token ile orijinal bilgi arasındaki bağlantı ayrı ve güvenli bir şekilde tutulur, böylece birisi token’ı görse bile kime ait olduğunu anlayamaz.
2.3. Anonimleştirme sürecinde yönetişim ve hesap verebilirlik [governance and accountability]
Kişisel verileri anonimleştirirken, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin hesap verebilirlik ilkesi, kuruluşların anonimleştirilmiş bilgilerin nasıl oluşturulacağını ve paylaşılacağını planlamasını ve yönetmesini gerektirir. Bir kuruluşun kurumsal yönetişim yaklaşımı, anonimleştirme için planlama, anonimleştirme sürecinden kimin sorumlu olduğu, riskleri belirleme ve yönetme, veri koruma etki değerlendirmesi tamamlama ve anonimleştirme nedenlerini belirleme gibi alanları kapsamalıdır. Anonimleştirme yöntemlerinin arkasındaki tüm önemli kararlar ve gerekçeler, hesap verebilirlik yükümlülüklerinin bir parçası olarak belgelenmelidir.
Kuruluşun veri koruma yasasına uymak için ciddi çaba gösterdiğini ve kimlik tespiti riskinin yeterince uzak olduğunu göstererek bilgilerin kişisel veri olmadığına inanmak için gerçek bir sebebi olduğunu kanıtlayabilmesi halinde, Bilgi Komiserliği Ofisi’nin bir yaptırım eylemi (para cezaları dâhil) gerçekleştirme olasılığı daha düşüktür.
Sonuç
Bilgi Komiserliği Ofisi’nin mezkûr kılavuzunda, anonimleştirme ve takma adlandırma tekniklerini etkili bir şekilde kullanmanın önemi vurgulanmaktadır. Kuruluşlar bu kılavuza uyarak, değerli bilgileri kullanmanın faydalarını elde ederken gizlilik risklerini azaltabilir.
[1]<https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/data-sharing-a-code-of-practice/ >.
[2]<https://www.legislation.gov.uk/eur/2016/679/article/4 >.
[3]<https://www.legislation.gov.uk/eur/2016/679/introduction >.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.