Psödonimleştirme ve Kişisel Veri Niteliği

Yazar: Av. Burcu HEPGÜVEN (LL.M.)

Giriş

Dijitalleşen dünyada verinin “yeni petrol” olarak adlandırılması, beraberinde bu verilerin korunması ve mahremiyetin tesisi ihtiyacını doğurmuştur. Veri koruma hukukunun Türkiye’deki temel taşı olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve KVKK ile büyük ölçüde paralellik arz eden ve Avrupa Birliği veri koruma hukukunun temelini oluşturan GDPR Genel Veri Koruma Tüzüğü (GDPR), verinin anonim hale getirilmesi ile psödonimleştirilmesi arasında keskin bir ayrım yapmaktadır.

Makalenin temel sorunsalı, psödonimleştirilmiş verinin hala bir “kişisel veri” olup olmadığıdır. Psödonimleştirme, veri güvenliğini artıran bir teknik olmasına rağmen, çoğu zaman “anonimleştirme” ile karıştırılmaktadır. Oysa psödonimleştirme, ek bilgi kullanılmaksızın verinin ilgili kişiyle ilişkilendirilmesini engelleyen bir güvenlik önlemidir; dolayısıyla bu durum verinin kişisel veri niteliğini tamamen ortadan kaldırmaz. Bu çalışma, psödonimleştirmenin teknik ve hukuki boyutlarını inceleyerek, yargı kararları ve doktrindeki görüşler ışığında bu verilerin hukuki statüsünü tayin etmeyi amaçlamaktadır.

Psödonimleştirme Kavramı ve Teknik Boyutu

Psödonimleştirme (Pseudonymization), bir veri kümesindeki doğrudan tanımlayıcıların (ad, soyad, T.C. kimlik numarası vb.) çıkarılarak yerine yapay tanımlayıcıların (kodlar, takma isimler) getirilmesi işlemidir. Psödonimleştirme KVKK’da kavramsal bir tanım olarak ayrıca düzenlenmiş değildir; buna karşılık “kişisel veri”“anonim hâle getirme”“kişisel verilerin işlenmesi” ve “veri güvenliği” kavramları KVKK’da açıkça tanımlanmıştır. Bu nedenle psödonimleştirme, uygulamada çoğunlukla anonimleştirme ile karıştırılan fakat hukuki sonuçları bakımından anonimleştirmeden ayrılan bir güvenlik tekniği olarak ele alınır.

Tanım ve İşleyiş Mekanizması

GDPR Madde 4(5) uyarınca psödonimleştirme; kişisel verilerin, ek bilgi kullanılmaksızın belirli bir veri konusuyla artık ilişkilendirilemeyecek şekilde işlenmesidir. Buradaki kritik nokta, ek bilginin ayrı bir yerde tutulması ve bu bilginin veriyi tekrar tanımlanabilir hale getirme potansiyelidir.

Psödonimleştirme yöntemleri arasında şunlar yer alır:

  • Maskeleme: Verinin belirli kısımlarının yıldızlanması veya gizlenmesi.
  • Hashing (Özetleme): Salt ve ek teknik önlemlerle desteklenen hashing yöntemleri, psödonimleştirme kapsamında değerlendirilebilir.
  • Tokenizasyon: Hassas verinin rastgele üretilen bir “token” ile değiştirilmesi.

Psödonimleştirme ile Anonimleştirme Arasındaki Fark

Anonimleştirme, verinin ilgili kişiyle bağının geri döndürülemezşekilde koparılmasıdır. Anonim hale gelen veri, artık kişisel veri niteliğinde değildir ve veri koruma kanunlarının kapsamı dışına çıkar. Ancak psödonimleştirmede veri, uygun anahtar veya ek bilgiye sahip olan biri tarafından tekrar tanımlanabilir hale getirilebilir. Bu nedenle, psödonimleştirilmiş veri “dolaylı olarak tanımlanabilir” statüsünü korur.

Psödonimleştirilmiş Verinin Kişisel Veri Statüsü ve Hukuki Tartışmalar

Bu bölümde, psödonimleştirilmiş verinin neden hala kişisel veri kabul edildiği ve bu durumun veri sorumluları üzerindeki yükümlülükleri incelenecektir.

Tanımlanabilirlik Kriteri ve Dinamik Yaklaşım

KVKK ve GDPR’a göre bir bilginin kişisel veri sayılması için kişinin “belirli veya belirlenebilir” olması gerekir. Psödonimleştirilmiş verilerde kişi doğrudan belirli değildir; ancak veri sorumlusunun elindeki ek bilgilerle kişi belirlenebilir durumdadır.

Avrupa Birliği Adalet Divanı’nın (ABAD) Breyer Kararı (C-582/14), bu konuda dönüm noktasıdır. Mahkeme, dinamik IP adreslerinin bile, servis sağlayıcının elindeki ek bilgilerle birleştiğinde “kişisel veri” teşkil edebileceğine hükmetmiştir. Bu yaklaşım psödonim veriler için de geçerlidir; eğer veriyi geri döndürecek anahtara hukuken veya fiilen makul surette erişilebilirlik söz konusuysa (erişen kişi veri sorumlusunun kendisi olmasa bile), veri kişisel veri niteliğini korur.

Veri İşleme İlkeleri ve Güvenlik Avantajları

Psödonimleştirme, veriyi koruma kanunlarının kapsamından çıkarmaz ancak veri sorumlusu için ciddi avantajlar sağlar:

  • Veri Minimizasyonu: Sadece gerekli olan verilerin işlenmesini sağlar.
  • Veri İhlali Bildirimleri: Veriler psödonimleştirilmişse ve anahtar veriler sızmamışsa, veri ihlalinin ilgili kişiler üzerindeki riskinin düşük olduğu kabul edilebilir.
  • Esneklik: Bilimsel araştırmalar ve istatistiksel analizler için psödonim verilerin kullanımı, veri koruma otoriteleri tarafından teşvik edilmektedir.

Doktrindeki Tartışmalar: Mutlak vs. Göreli Yaklaşım

Hukuk doktrininde iki temel görüş hakimdir:

  1. Mutlak Görüş: Eğer dünyanın herhangi bir yerinde veriyi deşifre edebilecek bir anahtar varsa, o veri herkes için kişisel veridir.
  2. Göreli Görüş: Veri, sadece elinde anahtarı tutan kişi için kişisel veridir; bu anahtara erişimi imkansız olan üçüncü taraflar için anonim veridir.

Güncel eğilim ve kurul kararları, veri güvenliği odaklı olduğu için daha çok “mutlak görüşe” yakın durmakta ve psödonimleştirilmiş veriyi koruma şemsiyesi altında tutmaktadır.

4. Sonuç

Psödonimleştirme, kişisel verilerin korunmasında vazgeçilmez bir teknik tedbirdir ancak hukuki bir “kurtuluş reçetesi” değildir. Yapılan analizler göstermektedir ki, psödonimleştirilmiş veri, ek bilgi aracılığıyla gerçek kişiye ulaşma ihtimali barındırdığı sürece kişisel veri niteliğini haizdir.

Veri sorumluları, psödonimleştirmeyi bir anonimleştirme yöntemi olarak görmemeli; aksine bu verileri işlerken aydınlatma yükümlülüğü, veri güvenliği ve ilgili kişi haklarına (erişim, silme vb.) riayet etmeye devam etmelidir. Gelecekte, özellikle yapay zeka ve büyük veri algoritmalarının gelişmesiyle, “belirlenebilirlik” eşiğinin daha da düşeceği ve psödonimleştirmenin öneminin artacağı öngörülmektedir. Sonuç olarak, psödonimleştirme hukuki yükümlülüklerden kaçınmanın değil, bu yükümlülükleri daha güvenli bir zeminde yerine getirmenin aracı olarak konumlandırılmalıdır.

Yazar: Burcu HEPGÜVEN (LL.M.)

KAYNAKÇA

Kitaplar ve Makaleler:

  • Dülger, M. V. (2020). Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi Yayınları.
  • Küzeci, Elif. (2022). Kişisel Verilerin Korunması. Ankara: Turhan Kitabevi.
  • Bygrave, L. A. (2014). Data Privacy Law: An International Perspective. Oxford University Press.
  • Erdoğan, M. (2021). “Psödonimleştirme ve Anonimleştirme: KVKK Kapsamında Bir İnceleme”. Bilişim Hukuku Dergisi.

Mevzuat ve Rehberler:

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK).
  • General Data Protection Regulation (GDPR) – Regulation (EU) 2016/679.
  • Kişisel Verileri Koruma Kurumu (KVKK). Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler).
  • Article 29 Working Party (now European Data Protection Board – EDPB). Opinion 05/2014 on Anonymisation Techniques.

Yargı Kararları:

  • European Court of Justice (ECJ), Patrick Breyer v Bundesrepublik Deutschland, Case C-582/14.
  • KVKK Kurulu Kararı, 27/12/2018 Tarihli ve 2018/156 Sayılı Karar (Veri Güvenliği ve Tanımlanabilirlik üzerine).