Anonimleştirme mi Takma Adlandırma mı: 20 Milyon Euro'luk Risk
Madde 83, azami cezaları 20 milyon euro veya küresel yıllık gelirin %4'ü olarak belirliyor. Bu riski belirleyen tek hukuki soru şu: kanun, veri kümenize uygulanıyor mu?
Anonimleştirme kapsamı kaldırır. Takma adlandırma kaldırmaz. Bu fark son derece büyük.
İki Tanım, Sade Bir Dille
Recital 26, anonimleştirme için çıtayı koyuyor. Bir kişi "tanımlanmış veya artık tanımlanabilir" olmamalıdır. Test geniş kapsamlıdır. "Makul olasılıkla kullanılabilecek" her yöntemi kapsar. Buna veri sorumlusu da dahildir. Aynı zamanda her işlemci ve her üçüncü tarafı da kapsar.
Madde 4(5) takma adlandırmayı tanımlıyor. Kayıtlar, bir anahtarın onları geri alabildiği durumlarda takma adlandırılmış sayılır. Anahtarı kaldırın, veri hâlâ orada. O ek verinin ayrı tutulması gerekir. Bu anonimleştirme değildir.
Takma adlandırılmış kayıtlar kişisel kayıt olmaya devam eder. Kanun tam anlamıyla geçerlidir. Kapsam muafiyeti yoktur. Nokta.
Yanlış Etiketin Bedeli
Takma adlandırılmış bir veri kümesini anonim olarak ele almak aynı anda beş sorun yaratır:
- Madde 30 kapsamında hatalı ROPA kayıtları
- Erişim, silme veya taşınabilirlik için veri sahibi hakları süreci yok
- Saklama takvimi yok — silme tetikleyicisi bulunmuyor
- Sınır ötesi çalışmalar için transfer güvenceleri yok
- Silinme hakkı talepleri için silme yolu yok
Her boşluk ayrı bir ihlaldir. Beşi de aynı süreçte bir arada bulunabilir.
2025 Uygulama Sinyali
2025 yılında EDPB ortak bir uygulama egzersizi yürüttü. Rapor, tekrarlayan bir başarısızlığa dikkat çekti: "silme işlemine alternatif olarak kullanılan verimsiz anonimleştirme teknikleri." VKY'ler artık anonimleştirmenin kalitesini denetliyor. Yalnızca bir adım atılıp atılmadığını değil, o adımın işe yarayıp yaramadığını inceliyorlar.
Arama tablosuna sahip tokenize edilmiş bir veri kümesi takma adlandırılmıştır. Anonim değildir. Bir anahtarı vardır. Anahtar onu geri alabilir. Bunu anonim olarak nitelendirmek, 2025 raporunun hedef aldığı tam da bu hatadır.
Doğru Yöntemi Seçmek
Gerçek anonimleştirme — kapsam dışı. Sansür kullanın. Kişisel veri geri bağlantı olmaksızın yok edilir. Ayrıca önceki görüntü yolu olmayan yüksek entropili değerleri Hashleyebilirsiniz. Dayanağı belgeleyin. Çıktıya yasal yükümlülük bağlanmaz.
Takma adlandırma — kapsam içinde. Değiştir, Maskele veya Şifrele kullanın. Kanun tam anlamıyla geçerlidir. Takma adlandırma ihlal halindeki zararı azaltır; yasal yükümlülükleri azaltmaz.
Kontrollü geri alınabilirlik — araştırma veya denetim. Müşteri tarafında tutulan anahtarlarla Şifreleme kullanın. Anahtar gözetimi EDPB 05/2022 anahtar ayrışma kurallarını karşılamalıdır. Alanı DPIA'ya not edin.
Gerçek Bir Kullanım Örneği
Bir şirket, araştırmacılara "anonimleştirilmiş" müşteri kayıtları satıyor. Sansür yöntemini uyguluyorlar. Kişisel veri yok edildi. Token tablosu yok. Hash önceki görüntüsü yok. Yeniden tanımlamanın yolu bulunmuyor.
VKY bunu DPIA'ya yazıyor. Kullanılan yöntem. Tanımlayıcı türleri. Neden geri alınamayacağı. Artık risk düzeyi. Çıktı kapsam dışına düşüyor. Araştırma kopyalarına veri sahibi hakları ve transfer kuralları uygulanmıyor.
Yöntem, iddiayı karşılıyor. Bu doğru süreçtir. Denetimde ayakta durur.
Kaydın Önemi
Bir şirket anonimleştirmeyi yalnızca iddia edemez. İddiasının bir kaydı olmalıdır. DPIA dört şeyi göstermelidir. Hangi tanımlayıcıların kapsandığı. Hangi yöntemin kullanıldığı. Yeniden tanımlamanın neden mümkün olmadığı. Artık risk düzeyinin ne olduğu.
Bu kayıt olmadan bir denetim, veri kümesini kapsam dahilinde değerlendirir. Tüm yükümlülükler geçerli sayılır. ROPA kaydı olmalıdır. Transfer güvenceleri olmalıdır. Silme yolu olmalıdır. Kanıt olmadan hiçbir yükümlülük ortadan kalkmaz.
Silme haklarının anonimleştirilmiş kayıtlarla nasıl etkileşime girdiği için GDPR silinme hakkı ve EDPB 2025 kılavuzuna bakın. Sınır ötesi kayıt paylaşımındaki transfer kuralları için veri transferi uyumu ve TikTok cezasına bakın.