Kişisel verilerin imhasında “Kişisel Verileri Anonim Hale Getirme” yöntemi

Anonim Hale Getirme  / Anonimleştirme; verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır.

Veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez.

Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Anonim hale getirilen veri artık kişisel veri niteliklerine sahip  olmayacağından, Kanun hükümleri kapsamında değerlendirilemeyecektir.

Anonim hale getirme yöntemleri;

  1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme
  2. Değer Düzensizliği Sağlayan Anonim Hale Getirme
  3. Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler

Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir.

Anonim hale getirme için yaygın kullanılan teknikler nedir?

  1. Maskeleme: Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişiyi belirtemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006)

 

  1. Toplulaştırma/Kümülatif Data Oluşturma:Verilerin kümülatif hale getirilerek toplam değerlerin yansıtılmasını ifade eder. Örneğin, şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.

 

  1. Veri Türetme: Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.
  1. Veri Karması: Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır

Anonim hale getirme yöntemini seçilmesi;

Veri Sorumluları ellerindeki veriye bakarak hangi yöntemi kullanması gerektiğini belirler.

Veri sorumlularının yöntem seçerken dikkat etmesi gerek hususlar ise;

  • Verinin niteliği,
  • Verinin büyüklüğü,
  • Verinin fiziki ortamlarda bulunma yapısı,
  • Verinin çeşitliliği,
  • Veriden sağlanmak istenen fayda / işleme amacı,
  • Verinin işlenme sıklığı,
  • Verinin aktarılacağı tarafın güvenilirliği,
  • Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması,
  • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
  • Verinin dağıtıklık/merkezilik oranı,
  • Kullanıcıların ilgili veriye erişim yetki kontrolü,
  • Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali.

Veri sorumlusu,  söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol etmek sorumluluğundadır.