Kişisel Verilerin Korunması Kanunu 3’ncü maddesinde “anonim hale getirme”yi “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” olarak tanımlamakta. Avrupa Genel Veri Koruma Tüzüğü’nde de (GDPR) benzeri bir tanım var: “information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.”
Kişisel verilerin anonimleştirilmesi ilk bakışta sanıldığından çok daha zor olabilmekte. Anonim hale getirildiği zannedilen pek çok veri aslında kişisel veri niteliğine sahip olmaya devam etmekte. Bu nedenle İspanyol Veri Koruma Otoritesi anonimleştirme ile ilgili yanlış anlaşılmaları gidermek için bir kitapçık yayımlamış. Bu kitapçıkta şu hatalı genel kabullerin doğruları anlatılıyor:
“Pseudonymisation ile anonimleştirmeyle aynıdır.”*
“Şifreleme anonimleştirmedir.”
“Verilerin anonimleştirilmesi her zaman mümkündür.”
“Anonimleştirmiş veri (bu halini) sonsuza kadar sürdürür.”
“Anonimleştirme, bir veri kümesinin yeniden tanımlanma olasılığını her zaman sıfıra indirger.”
“Anonimleştirme ölçülemeyen temel bir kavramdır.”
“Anonimleştirme tamamen otomatikleştirilebilir.”
“Anonimleştirme verileri işe yaramaz kılar.”
“Başkalarının başarıyla kullandığı bir anonimleştirme sürecini tekrarlamak, kuruluşunuzu eşdeğer sonuçlara götürecektir”
“Bir verinin kime ait olduğunu ortaya çıkarmanın hiçbir riski ve yararı yoktur”
(* “Pseudonymisation” Türkçe’de tam karşılığı bulunan bir terim değil. “Pseudonym”, “müstear ad” demek. “Pseudonymisation” ise bir kişisel verinin içinden “kişisel” kısmının ayıklanması ve alınacak çeşitli teknik ve idari tedbirlerle o verinin başkaca verilerle bir araya getirilmesi önlenerek kişisel veri niteliği kazanmasına engel olunmasıdır. Oysa “anonim hale getirilmiş veri” başkaca verilerle eşleştirildiğinde dahi kişisel veri niteliği kazanmayan veriyi ifade eder.)
İspanyol Veri Koruma Otoritesinin “10 Misunderstanding Related to Anonymisation” adlı kitapçığına buraya tıklayarak erişebilirsiniz. (Dili İngilizce.)
Bu vesileyle, Kişisel Verilerin Korunması Kurulu’nun içinde kişisel verilerin anonim hale getirilmesi yöntemleri de yer alan “Kişisel Verilerin Korunması Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” rehberine ve Avrupa Birliği Siber Güvenlik Ajansı’nın “Pseudonymisation Yöntemleri ve İyi Uygulamalar” ( Pseudonymisation Techniques and Best Practices) raporuna de bakmanızı öneririm.
Yorumlar kapatıldı.