6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde TBMM’de yasalaşmış ve kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7. maddesi kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenlemektedir. Ancak kanunun yürürlüğe girdiği tarihte kişisel verileri işleyenler ve veri sorumluları açısından oldukça önemli olan bu konunun nasıl uygulanacağı belirsizdi. Bu belirsizlik nedeniyle, gelen görüşler ve uluslararası mevzuat dikkate alınarak "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik " hazırlanmış ve 28 Ekim 2017 tarihli Resmi Gazete'de yayınlanmıştır.
Bunun akabinde, uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından, Kurum tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) hazırlanmış ve bu Rehber Ocak 2018’de kamuoyu ile paylaşılmıştır. Kurum tarafından oluşturulan rehbere bakacak olursak;
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri sorumlusu, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki yöntemlerle gerçekleştirilir.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir.
Anonimleştirmede En Sık Kullanılan Yöntemler
Maskeleme: Kişisel verilerin belli alanlarının yok edilerek kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kimlik numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur. (65******* 2 vb)
Toplulaştırma: Verileri bütünleştirerek yalnızca toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette erkek çalışan sayısının 150 adet olması ve sayının %24’ünün şirketin servisini kullanmasına ilişkin veriler artık anonim hâle getirilmiştir.
Veri Türetme: Mevcuttaki detaylı verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, maaş bilgisinin kuruşuna kadar detaylandırılması yerine “2000-4500 TL bandında” şeklinde yazılması durumunda veri türetmek suretiyle anonimleştirmenin yapıldığı söylenebilir.
Veri Karması: Veri kümesi içinde değerlerin yer değiştirilerek kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Bir listedeki kişilerin maaşlarının rastgele şekilde yeniden dağıtılması veri karması yöntemine örnek olarak gösterilebilir.
