EDPB'nin Ocak 2025 Açıklaması
Avrupa Veri Koruma Kurulu'nun Ocak 2025'te yayımlanan Takma Adlandırma ile İlgili Rehberleri 01/2025, veri anonimleştirme araçları kullanan kuruluşlar için önemli uyum sonuçları olan birkaç açıklama getirmiştir.
En önemli açıklama: rehberler, "takma adlandırma alanı" kavramını tanıtmaktadır — takma adlandırılmış verilerin gerçek bireylerle bağlantılı kalabildiği taraflar kümesi. Takma adlandırılmış veri, takma adlandırma anahtarını elinde bulunduran veya bunu çıkarabilen herhangi bir taraf için GDPR kapsamında kişisel veridir. Rehberler, takma adlandırılmış verinin kişisel veri statüsünü değiştirmediğini açıkça belirtmektedir — bu veri, alan dışındaki taraflar için tanımlayıcı görünse bile tüm GDPR yükümlülüklerine tabidir.
Bu açıklama, "tokenizasyon" veya "anahtarlarla takma adlandırma" ile verilerinin GDPR kapsamından çıkarıldığına inanan kuruluşları etkilemektedir. Ocak 2025 rehberlerine göre, bu durum geçerli değildir. Takma adlandırma anahtarını elinde bulunduran kuruluş, takma adlandırılmış veri için bir GDPR veri denetleyicisidir.
Araç Pazarlama Açığı
"Anonimleştirme" araçları olarak pazarlanan birçok araç aslında takma adlandırılmış veri üretmektedir. Ayrım:
Gerçek anonimleştirme (geri döndürülemez): Dönüşüm, herhangi bir taraf tarafından, mevcut veya gelecekteki herhangi bir yöntemle geri döndürülemez. Gerçek anonimleştirme, verileri GDPR kapsamından tamamen çıkarır.
Takma adlandırma (geri döndürülebilir): Dönüşüm, bir anahtar, bir arama tablosu veya ayrı olarak tutulan ek bilgiler kullanılarak geri döndürülebilir. Takma adlandırma, verileri GDPR kapsamından çıkarmaz — anahtarı elinde bulunduran veya çıkarabilen taraflar için kişisel veri olmaya devam eder.
Token tabanlı sistemler (PII'yi tutarlı tokenlarla değiştirmek ve bir eşleme tablosu tutmak), şifreleme tabanlı sistemler (PII'yi şifrelenmiş değerlerle değiştirmek ve bir şifre çözme anahtarı tutmak) ve format koruyucu şifreleme, hepsi takma adlandırılmış veri üretmektedir. Veriler, EDPB'nin Ocak 2025 rehberlerine göre kişisel veri olmaya devam etmektedir.
Hashing (PII değerlerine tek yönlü bir hash fonksiyonu uygulamak) anonimleştirmeye daha yakındır — eğer hash fonksiyonu kriptografik olarak güvenliyse ve herhangi bir ön görüntü araması mümkün değilse — ancak EDPB'nin rehberleri, düşük-entropy verilerin (isimler veya yaygın tanımlayıcılar gibi kısa dizeler) hashing'inin rainbow table saldırılarına karşı savunmasız olduğunu ve gerçek anonimleştirme oluşturmayabileceğini belirtmektedir.
Yeni Rehberler Altında Uyum Stratejisi
DPO'lar, EDPB'nin Ocak 2025 rehberleri ışığında veri sınıflandırma stratejilerini yeniden değerlendirmelidir:
"Anonimleştirilmiş" (GDPR kapsamının dışında) olarak sınıflandırılan veriler için: dönüşümün gerçekten geri döndürülemez olup olmadığını yeniden değerlendirin. Herhangi bir taraf bunu geri döndürebiliyorsa — veri denetleyicisi dahil — bu takma adlandırılmıştır ve GDPR hala geçerlidir.
GDPR kapsamının dışında kalması gereken veriler (analiz, arşivleme veya araştırma için): geri döndürülemez anonimleştirme yöntemleri kullanın — redaksiyon (kalıcı kaldırma), geri alınamaz değerlerle maskeleme veya yüksek-entropy verilerin kriptografik hashing'i. Yöntemi ve anonimleştirme belirlemesi için dayanağı belgeleyin.
Kontrollü geri döndürülebilirlikten fayda sağlayan veriler (yeniden iletişim gereksinimleri olan araştırmalar, denetim izleri, keşif yükümlülükleri): açıkça takma adlandırılmış kişisel veri olarak sınıflandırın, tüm GDPR yükümlülüklerini yerine getirin, EDPB'nin anahtar ayırma gerekliliklerine göre takma adlandırma anahtarı saklama düzenlemelerini belgeleyin.
Açık beş yöntem çerçevesi — Değiştir, Redakte Et, Maskele, Hashle, Şifrele — bu sınıflandırmaya doğrudan karşılık gelir: Değiştir, Maskele ve Şifrele takma adlandırılmış veri üretir (GDPR hala geçerlidir). Redakte Et ve Hash (yüksek-entropy veriler için) gerçek anonimleştirmeye yaklaşır (tamlık ve entropy analizi şartıyla).
Kaynaklar: