Yarı PII Problemi
GDPR Madde 4, kişisel verileri "tanımlanmış veya tanımlanabilir bir gerçek kişi ile ilgili herhangi bir bilgi" olarak tanımlar. Anahtar kelime "tanımlanabilir" — sadece şu anda tanımlanmış değil, ek işleme ile tanımlanabilir olmalıdır. Doğrudan tanımlayıcı olmayan ancak iç sistemler aracılığıyla gerçek bir kişiyle ilişkilendirilebilen bir değer, GDPR kapsamında kişisel veridir.
İç çalışan kimlikleri en yaygın örnektir. "EMP-EU-123456" doğrudan kimseyi tanımlamaz. Ancak İK veritabanında bir tablo bulunmaktadır: EMP-EU-123456 → Maria Schmidt, Kıdemli Mühendis, Münih. EMP-EU-123456 içeren herhangi bir belge, İK veritabanına erişimi olan herkes tarafından Maria Schmidt ile ilişkilendirilebilir. GDPR kapsamında, EMP-EU-123456 kişisel veridir — tanımlanabilir bir gerçek kişi ile ilgili bilgidir.
Aynı analiz müşteri hesap numaraları (CRM kayıtlarına bağlantı), proje kodları (sözleşme veritabanlarındaki müşteri kimliği ile bağlantı), hukuki konular için iç referans numaraları (DMS'deki dava katılımcıları ile bağlantı) ve dış sistemlerdeki tıbbi kayıt numaraları (hastane EHR'sindeki hasta kayıtları ile bağlantı) için de geçerlidir.
Açık PII'yi (isimler, e-posta adresleri, ulusal kimlikler) anonimleştiren ancak iç tanımlayıcıları dokunulmamış bırakan organizasyonlar, GDPR uyumlu anonimleştirme sağlamamıştır. Onlar, bir adım yerine iki adımda de-anonimleşme sağlamışlardır — bir saldırganın (veya aşırı meraklı bir çalışanın) belgeyi doğrudan okumak yerine İK veritabanına danışmasını gerektirir.
Uygulamadaki Kapsama Açığı
DLA Piper'ın 2025 GDPR Yıllık Raporu, GDPR cezalarının %34'ünün Madde 32 kapsamında yetersiz teknik önlemleri içerdiğini bulmuştur — uygun teknik korumaların uygulanması gerekliliği. Yetersiz anonimleştirme, yarı tanımlayıcı iç tanımlayıcıları tespit etme ve kaldırma başarısızlığı dahil, Madde 32 ihlalleri için belgelenmiş bir kategoridir.
EDPB, 2024 yılında 900'den fazla tutarlılık mekanizması vakası işlemiştir ve bu, AB üye devletleri arasındaki uygulama koordinasyonundaki artan hacmi yansıtmaktadır. Sınır ötesi uygulama (bir ülkedeki ana denetleyici otoritenin diğerleriyle koordinasyon sağlaması) demektir ki, AB sınırları boyunca paylaşılan bir veri setindeki Madde 32 ihlali, koordineli bir uygulamayı tetikleyebilir.
Kod Olmadan Desen Çözümü
Bir küresel lojistik şirketinin, dış İK denetimi için çalışan kayıtlarını anonimleştiren uyum ekibi:
Çalışan kimlikleri EMP-[BÖLGE]-[0-9]{6} formatını takip eder — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. Uyum ekibi, AI desen yardımcıya 3 örnek sağlar. AI, şunu döndürür: tespit edilen desen EMP-[A-Z]{2,4}-d{6}; sağlanan tüm örneklerle eşleşir; önerilen varlık adı: ÇALIŞAN-KİMLİĞİ; farklı bölge kodları da dahil olmak üzere kenar durumları ile test edilir.
Ekip, EMP-DACH-000001 ve EMP-APAC-999999 dahil 10 ek örnekle test eder. Desen doğru bir şekilde doğrulanır. Özel varlık, tüm ekip üyeleriyle paylaşılan GDPR uyum ön ayarına kaydedilir. İK denetim paketindeki tüm 47 belge bir partide işlenir. Tüm çalışan kimlikleri rol tabanlı takma adlarla değiştirilir. Denetim firması, belgeleri iç veritabanı aracılığıyla bireysel çalışanlarla ilişkilendirilemeyecek şekilde alır.
Kaynaklar: