Türkçe’ye “rumuzlandırma” olarak çevirebileceğimiz “pseudonymization” işlemi ve hukuki niteliği, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki yerine dair sizleri bilgilendirmek isteriz.
Öncelikle belirtmek isteriz ki, rumuzlandırma işlemi, bir anonim hale getirme işlemi niteliğinde veya anonim hale getirmenin farklı bir görünümü değildir.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Rumuzlandırma ise, Kanun kapsamında tanımlanmamış olmakla birlikte, GDPR kapsamında şöyle tanımlanmıştır.
- “Rumuzlandırma kişisel verinin öyle bir işleme şeklidir ki, bu kişisel veri artık ek bilgi olmaksızın belirli bir veri öznesiyle ilişkilendirilemez. Şu kadar ki, söz konusu verinin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmemesi adına, bu ek bilgi ayrı tutulmalı ve teknik ve idari tedbirlere tabi tutulmalıdır.” (Madde 4: Tanımlar, 5. bent)
Yani rumuzlandırma işlemi kapsamında;
- Teknik ve idari tedbirlere tabi olarak ayrı tutulan bir Ek Bilgi (anahtar veya tekrar tanımlama bilgisi) bulunmalı,
- Bu Ek Bilgi olmaksızın rumuzlandırılan kişisel veri artık herhangi bir kişiyle ilişkilendirilmemelidir.
GDPR’da, “kişisel verilere rumuzlandırma uygulanması, ilgili veri özneleri açısından riski azaltabilir, veri sorumluları ve veri işleyenlerin yükümlülüklerini yerine getirmelerine yardımcı olabilir” denilerek rumuzlandırma işleminin önemine vurgu yapılmış ve fakat rumuzlandırmanın tek başına diğer tedbirleri de içereceğinin anlaşılamayacağı belirtilmiştir.
Gerçektende, veri sorumluları açısından, veri işleyenlere aktarılan verilerin Kanun’a uyumlu olarak aktarılması ve veri işleyenlerin de bu verileri işlerken Kanun’a uyumlu davranması mecburidir. Veri işleyene aktarılan verilerin, verinin tekrar tanımlanmasını sağlayan anahtar bilginin veri sorumlusu nezdinde teknik ve idari tedbirlere tabi olarak saklı tutularak aktarılması halinde, veri sorumlusu, aktarılan verilere ilişkin daha az endişe taşıyacaktır. Veri işleyen açısından ise, daha hafif ve az maliyetli teknik ve idari tedbirler alınarak veri işlenebilmesi mümkün olacak, böylelikle hem verilerin gizliliği korunmuş hem de işlem maliyeti azaltılmış olacaktır.
Rumuzlandırmanın, her türlü veri işleme faaliyetinde kullanılamayacağı da bir gerçektir. Örneğin, çağrı merkezine, müşteriler ile iletişime geçilmesi adına veri sorumlusu tarafından çağrı merkezine aktarılan müşteri iletişim verilerinin rumuzlandırılması, işlem amacına aykırı olacağından uygulama mümkün olmayacaktır. Bununla birlikte, analiz, geliştirme gibi, doğrudan kişiye ulaşılması gerekli olmayan ve hatta bu kişilere ulaşılmasının istenmediği durumlarda, aktarılacak verilerin usulüne uygun olarak rumuzlandırılması büyük bir avantaj sağlayacaktır.
Bu noktada, rumuzlandırmanın tek başına koruma sağlamayacağını da tekrar hatırlatmak isteriz. Rumuzlandırma ile anonim hale getirme bu yönden de büyük bir farklılık göstermektedir. Usulüne uygun şekilde anonimleştirilmiş veri kişisel veri olmaktan çıkarken, rumuzlandırılan veri halen kişisel veridir ve tekrar tanımlanması mümkündür. Örneğin yurtdışına aktarılacak olan verinin, sırf rumuzlandırma işlemine tabi tutulması sebebiyle Kanun kapsamı dışında değerlendirilmesi mümkün olmayacak, 1) kişilerin açık rızasının alınması veya 2) Kişisel Verileri Koruma Kurulu’ndan (“Kurul”) Kanun’un 9. Maddesi kapsamında izin alınması ve diğer yükümlülüklerin yerine getirilmesi gerekecektir. Kurul izni verilirken, rumuzlandırmanın ek bir tedbir olarak olumlu etkisi olacağını yine örneğimize ek olarak belirtmekte fayda görüyoruz.
Rumuzlandırma anahtar bilgisinin, kendi içinde, keşfedilmesi kolay bir belirli bir kural şeklinde yapılandırılmaması da önemli bir gerekliliktir. Örneğin, genel bir Sezar şifreleme yöntemi kullanılması tek başına bir veri setinin rumuzlandırılması anlamına gelmeyecektir. Kompleks ve çözülmesi mümkün olmayan bir anahtar kullanılması elzemdir.
Yine rumuzlandırmanın şifreleme (encryption) ile de karıştırılmaması gerekmektedir. Şifreleme veriye erişimi sınırlarken, rumuzlandırma erişilen verinin gerçek kişiyle ilişkilendirilmesini sınırlamaktadır.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.