Skip to main content
Veri Koruma Hukuku

Kişisel Verilerin Anonim Hale Getirilmesi

Yazar 17 Ocak 2023Ekim 3rd, 2023No Comments10 dakikalık okuma
Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta düzenleme alanı bulmuştur.

Kişisel Verilerin Anonim Hale Getirilmesi Nedir?

Kişisel verilerin anonim hale getirilmesi kavramı ilk olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ile hayatımıza girmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3. maddesinde belirtilen tanım uyarınca anonim hale getirme; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak tanımlanmıştır. Yine aynı Kanun’un Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi başlıklı 7. maddesi uyarınca hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinebilecek, yok edilebilecek veya anonim hale getirilebilecektir.  Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı olacaktır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7. maddesinde yukarıda sayılanlara ek olarak kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Bu hüküm göz önüne alınarak 28 Ekim 2017 tarihinde Kişisel Verileri Koruma Kurumu’ndan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Resmî Gazete’de yayımlanmıştır.

Kişisel Veriler Nasıl Anonim Hale Getirilir?

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesinde yer alan ilkeler uyarınca 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. maddelerinde yer alan kişisel veri işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekecektir. 

Kişisel verilerin anonim hale getirilmesi sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Genel İlkeler başlıklı 4. maddesine ve Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12. maddesine, ilgili mevzuat hükümlerine, Kişisel Verileri Koruma Kurulu kararlarına ve veri sorumlularınca daha önce hazırlanacak olan kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. 

Veri sorumluları tarafından yürütülecek olan kişisel verilerin anonim hale getirilmesi süreciyle ilgili yapılan tüm işlemlerin kayıt altına alınması ve söz konusu kayıtların diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanması gerekmektedir.

Veri sorumlusu kişisel verilerin anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamalıdır. Yine Kişisel Verileri Koruma Kurulu tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçecektir. İlgili kişinin talebi olması halinde uygun yöntemi gerekçesini açıklayarak seçecektir.

Kişisel verilerin imhasıyla ilgili yukarıda sayılan ilkelere ek olarak Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 10. maddesinde kişisel verilerin anonim hale getirilmesi süreci açıklanmıştır. İlgili hüküm uyarınca kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel veriler anonim hale getirilirken veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Veri sorumlusu kişisel verilerin anonimleştirilmesi sürecini yürütürken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde ve ilgili mevzuatta yer alan tüm teknik ve idari tedbirleri almakla yükümlü kılınmıştır.

Kişisel verilerin anonimleştirilmesiyle ilgili olarak dikkate alınması gereken diğer bir konu periyodik imhadır. Veri sorumlusu kişisel veri saklama ve imha politikası hazırlamasının ardından, kişisel verileri anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde kişisel verileri anonim hale getirme yoluyla imha etmelidir. Periyodik imhanın gerçekleştirileceği zaman aralığı veri sorumlusu tarafında hazırlanan kişisel veri saklama ve imha politikasında belirlenecektir. Bu süre Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca altı ayı geçmemelidir. Kişisel veri saklama ve imha politikası hazırlamakla yükümlü olmayan veri sorumluları ise periyodik imha işlemini, kişisel verileri silme, yok etme ve anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde gerçekleştirmelidir.

Yukarıda periyodik imha ile ilgili olarak Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirtilen süreler, her ne kadar zorunlu olsa da telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kişisel Verileri Koruma Kurulu tarafından kısaltılabilecektir.

Kişisel Verileri Anonim Hale Getirme Örnekleri

Kişisel veriler anonim hale getirilirken, veri ile bu verinin tanımladığı gerçek kişi arasındaki bağ koparılacaktır. Bağ koparma işlemi; otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle gerçekleştirilebilecektir. Bu yöntemlerin uygulanması sonucunda elde kalan kişisel veriler belirli bir kişiyi tanımlayamaz hale gelecektir.

Anonim hale getirme yöntemleri ana başlık olarak üçe ayrılmaktadır. Bu başlıklardan ilki değer düzensizliği sağlamayan anonim hale getirme yöntemleridir. Burada kümedeki verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmayacak, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılacaktır. Bu başlık altında aşağıda yer alan şu yöntemler kullanılmaktadır:

  • Değişkenleri Çıkartma: Bu yöntemde değişkenlerden biri veya birkaçı tablodan silinerek çıkarılmaktadır. Böylece tablodaki bütün bir sütun kaldırılmaktadır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılabilecektir.
  • Kayıtları Çıkartma: Bu yöntemde veri kümesinde yer alan ve diğerleri arasında farklı ve tekil olan bir satırın çıkarılması ile tekillik kuvvetlendirilmekte, veri kümesine dair varsayımlar üretilebilmesinin önüne geçilmektedir. Örneğin herhangi bir sektörden tek kişinin olduğu veri kümesinde bu kişiye ait kayıt anonimliği kuvvetlendirebilmek adına çıkarılabilecektir.
  • Bölgesel Gizleme: Bölgesel gizlemede belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyor ve bu da o kişinin ayırt edilebilir hale gelmesine sebep olabiliyorsa, istisnai durum yaratan sütun o kişi için “bilinmiyor” olarak değiştirilmektedir.
  • Genelleştirme: Genelleştirmede ilgili kişisel veri özel bir değerden daha genel bir değere çevrilmektedir. Sonuç olarak elde edilen yeni değerler yalnıza bir gruba ait toplam değer ve istatistikleri göstermektedir.
  • Alt ve Üst Sınır Kodlama: Burada belli bir değişkendeki değerlerin düşük veya yüksek olanları bir sütundan alınarak bu değerlere yeni bir tanımlama yapılmaktadır. (Örn. İlgili veriler için harcamalar sütununa harcama 10.000₺ den fazlaysa “yüksek” 10.000₺ den azsa “düşük” belirlemesi yapılması.)
  • Global Kodlama: Burada alt ve üst sınır kodlama uygulaması yapılamayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere ait gruplamalar bulunmaktadır. Global kodlama ile belli değerler öbeklenerek tahmin ve varsayımların yapılması engellenmektedir. (Örn. Yalnızca mimar ve mühendislerden oluşan bir veri setinde meslek kısmının öbeklenerek “mimar veya mühendis” olarak bütünleştirilmesi.)
  • Örnekleme: Örnekleme yönteminde ise bütün bir veri kümesi yerine yalnızca, kümeden alınan bir alt küme açıklanmaktadır. Böylece o kümede yer alabilecek diğer kişiler hakkında isabetli varsayımlar yürütülmesine engel olunmaktadır.

Anonim hale getirme yöntemlerinden ikincisi değer düzensizliği sağlayan anonim hale getirme yöntemleridir. Bu yöntemler mikro birleştirme, veri değiş tokuşu ve gürültü ekleme olarak sayılmıştır. Bu yöntemler kullanılırken mevcut değerler değiştirilerek mevcut veri kümesinde bozulma yaratılır. Ancak burada veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak veriden fayda sağlanmaya devam edilebilmelidir.

Anonim hale getirme yöntemlerinden üçüncüsü ise anonim hale getirmeyi kuvvetlendirici istatistik yöntemlerdir. Bu yöntemler K-anonimlik, L-çeşitlilik ve T- yakınlık olarak sıralanabilecektir. Burada hali hazırda anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliği minimuma indirilmekte, böylelikle anonimlik güçlendirilmektedir.

Yukarıda hukuki açıdan önem ihtiva eden Kişisel Verilerin Anonim Hale Getirilmesi konusu genel bir çerçeveyle açıklanmıştır. Kişisel Verilerin Anonim Hale Getirilmesi konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Mesaj gönder.
Mesaj Gönder!
Scan the code
👋 Merhaba!
Nasıl yardımcı olabiliriz? Hemen WhatsApp mesajı gönder!
AEY Legal ekibimin tarafımla toplantı yapabilmesi, iletişim kurabilmesi, online görüşme yapabilmesi, hukuki işlerin takibi için ön hazırlık sürecini yürütebilmesi, memnuniyet yükseltici önlemlere başvurabilmesi ve Yurt Dışı Aktarıma İlişkin Açık Rıza Beyanı kapsamında kişisel verilerimi yurt dışına aktarmasına ve işlemesine onay veriyorum.

Gizlilik Politikasına ve Çerez Politikasını inceleyebilirsiniz.