EDPB'nin 2025 Uygulama Eylemi
Avrupa Veri Koruma Kurulu'nun 2025 Koordine Edilmiş Uygulama Çerçevesi (CEF) eylemi, GDPR Madde 17'yi — kaldırma hakkını hedef aldı. Avrupa Birliği ve EEA'daki otuz iki Kişisel Verileri Koruma Otoritesi, kuruluşların kaldırma hakkı taleplerine nasıl yanıt verdiğini eş zamanlı olarak araştırdı. Koordine yaklaşım, bireysel aykırı durumlar yerine sistemik hataları tanımlamak için tasarlandı.
Bulunanlar, araştırılan kuruluşlar arasında yedi sürekli uyum zorluğunu belirledi:
- Kaldırma taleplerini işleme konusunda kötü belgelenmiş iç prosedürler
- Meşru taleplerin aşırı geniş bir şekilde reddedilmesi (izin verilen istisnaların çok geniş bir şekilde kullanılması)
- Bireylerin kaldırma taleplerini sunduklarında üzerlerine düşen gereksiz yükler
- Kaldırma talebini işlerken sistemler arasında tüm kişisel verilerin bulunamaması
- Taleplerin GDPR'nın 30 günlük yanıt süresinin ötesinde aşırı gecikmelerle işlenmesi
- Veri sahiplerine taleplerinin sonuçları hakkında yetersiz iletişim
- Silme yerine alternatif olarak kullanılan verimsiz anonimleştirme teknikleri — verilerin yeniden tanımlanabilir kalmasına neden olan teknik olarak hatalı "anonimleştirme" kullanan kuruluşlar tarafından özellikle işaretlenmiştir.
Dokuz Kişisel Verileri Koruma Otoritesi, CEF bulgularına dayanarak resmi soruşturmalar başlattı. Yedinci sürekli zorluk — verimsiz anonimleştirme — anonimleştirmeyi birincil veri minimizasyon stratejisi olarak kullanan kuruluşlar için doğrudan ilgili.
Silmeye Alternatif Olarak Anonimleştirme
GDPR'nın kaldırma hakkı her durumda silmeyi gerektirmez. 65. geçiş maddesi, silmenin teknik olarak mümkün olmadığı durumlarda anonimleştirme yoluyla gerçekleştirilebileceğini belirtir (örneğin, bireysel kayıt silmenin sistemin yeniden yapılandırılmasını gerektirdiği yedekleme bantlarında veya entegre analiz sistemlerinde).
EDPB'nin CEF bulguları, bu alternatifin kötüye kullanıldığını göstermektedir: kuruluşlar, verilerin teknik olarak yeniden tanımlanabilir kalmasına neden olan veri dönüşümü için "anonimleştirme" iddia ediyor — bu kelimeyi, gerçek silmenin operasyonel yükünden kaçınmak için kullanıyorlar, anonimleştirmenin sağlaması gereken veri koruma sonucunu elde etmek yerine.
EDPB'nin çizdiği ayrım: gerçek anonimleştirme — veriler ile birey arasındaki bağlantının veri denetleyicisi veya herhangi bir üçüncü tarafın mevcut olanaklarıyla yeniden kurulamayacağı durum — verileri GDPR'nın kapsamından çıkarır ve kaldırma talebini yerine getirir. Pseudonymizasyon — uygun anahtar ile yeniden tanımlamanın mümkün olduğu durum — kaldırma talebini yerine getirmez; veri sahibinin kişisel verileri hala mevcuttur ve silinmesi veya anahtarın yok edilmesi gerekmektedir.
Pratik Uyum Stratejisi
Analiz sistemlerinde silmeye alternatif olarak anonimleştirme kullanan kuruluşlar için:
Doğru mimari, veri alımını (ham kişisel veriler) veri analizinden (anonimleştirilmiş türevler) ayırır. Alım katmanındaki kişisel veriler kaldırma taleplerine tabidir — bir veri sahibi Madde 17 haklarını kullandığında, alım katmanındaki kişisel veriler silinir. Analiz katmanındaki anonimleştirilmiş türevler — eğer anonimleştirme kapsamlı ve geri döndürülemezse — değiştirilmesine gerek yoktur çünkü artık kişisel veri değildir.
Bu mimari, alım ve analiz arasındaki sınırda yapılan anonimleştirmenin teknik olarak sağlam olmasını gerektirir: geri döndürülemez (tokenizasyon değil), kapsamlı (tüm tanımlayıcı kategoriler ele alınmış), ve belgelenmiş (kuruluş, anonimleştirme yönteminin EDPB'nin standartlarını karşıladığını bir Kişisel Verileri Koruma Otoritesine gösterebilir). Müşteri satın alma geçmişini analiz işleminden önce anonimleştiren perakende şirketi, isimleri ve iletişim bilgilerini geri döndürülebilir şifreleme altında tokenlarla değiştirdiğinde, verileri pseudonymize (anonimleştirilmiş değil) etmiştir — analiz veri seti hala kaldırma taleplerine tabi olan kişisel veriler içermektedir.
Kaynaklar: