Türkiye’de dijital ekosistemi düzenleyen 5651 sayılı kanun, yeni torba yasa ile birlikte önemli değişikliklere uğradı. Özellikle sosyal ağ sağlayıcıları, oyun platformları ve diğer içerik sağlayıcılar için veri yönetimi, saklama ve imha süreçlerine yönelik yeni yükümlülükler getirildi. Bu düzenlemeler, platformların hem yasal uyumluluklarını sağlamalarını hem de kullanıcı verilerini daha sorumlu bir şekilde yönetmelerini zorunlu kılıyor. Verilerin toplanmasından başlayarak saklanması, anonimleştirilmesi ve nihayetinde güvenli bir şekilde imha edilmesine kadar uzanan bu yaşam döngüsü, artık çok daha sıkı kurallara bağlanmış durumda. Bu süreçte doğru teknolojik çözümlerin kullanılması, yasal riskleri en aza indirirken operasyonel verimliliği artırmanın anahtarıdır.
Yeni Torba Yasa ve 5651 Sayılı Kanun Kapsamında Veri Yönetimi Yükümlülükleri
Son yapılan yasal düzenlemeler, 5651 Sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” üzerinde önemli güncellemeler getirerek dijital platformların veri yönetimi sorumluluklarını yeniden şekillendirdi. Bu değişiklikler, özellikle kullanıcı kitlesi geniş olan sosyal ağlar ve dijital oyun platformları için kritik öneme sahip. Yeni düzenlemeler, sadece veri toplama ve işlemeyle sınırlı kalmayıp, bu verilerin yasalara uygun şekilde saklanması, korunması, gerektiğinde anonim hale getirilmesi ve yasal süreler dolduğunda güvenli bir şekilde imha edilmesini de kapsayan bütünsel bir yaklaşım gerektiriyor. Bu nedenle, kurumların veri yönetimi politikalarını bu yeni çerçeveye hızla adapte etmeleri büyük bir zorunluluk haline gelmiştir.
Torba Yasa ile 5651 Sayılı Kanun’a Getirilen Yeni Sorumluluklar
Yeni torba yasa, 5651 Sayılı Kanun’un kapsamını genişleterek özellikle Türkiye’den günlük erişimi bir milyondan fazla olan yurt dışı kaynaklı sosyal ağ sağlayıcılarına yönelik ciddi sorumluluklar getirmiştir. Kanunun Ek Madde 4’ü uyarınca bu platformlar, Türkiye’de yetkili bir temsilci bulundurmakla yükümlüdür. Bu temsilci; adli ve idari makamlarla iletişimi sağlamak, bildirimlere cevap vermek ve en önemlisi, hukuka aykırı içeriklerin kaldırılmasına yönelik kararları uygulamakla sorumludur. Aksi takdirde, reklam yasağından internet trafiği bant genişliğinin daraltılmasına kadar varan ağır yaptırımlarla karşı karşıya kalabilirler.
Sosyal Ağ Sağlayıcıları ve Oyun Platformları İçin Yaş Doğrulama Zorunluluğu
Torba yasa ile getirilen en dikkat çekici yeniliklerden biri, çocukların çevrimiçi ortamda korunmasına yönelik yaş doğrulama zorunluluğudur. Sosyal ağ sağlayıcıları ve dijital oyun platformları, artık hizmetlerini yaş segmentasyonuna göre sunmak zorundadır. Özellikle 15 yaşını doldurmamış çocuklara hizmet sunulması yasaklanırken, 15-18 yaş arası kullanıcılar için “çocuklara özgü ayrıştırılmış hizmet” sunulması gerekmektedir. Bu, platformların sadece bir beyana dayalı yaş bilgisini kabul etmeyip, güvenilir yaş doğrulama mekanizmaları kurmasını zorunlu kılar. Ayrıca, ebeveyn kontrol araçlarının sunulması da yasal bir yükümlülük haline gelmiştir.
Elde Edilen Verilerin Saklanması, İmhası ve Anonimleştirilmesine İlişkin Genel Çerçeve
5651 Sayılı Kanun, veri saklama süreleri konusunda net sınırlar çizmektedir. Örneğin, yer sağlayıcılar trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere, erişim sağlayıcılar ise altı aydan az ve iki yıldan fazla olmamak üzere saklamakla yükümlüdür (Madde 5 ve 6). Yasal saklama süresi dolan veya işlenme amacı ortadan kalkmış verilerin güvenli bir şekilde imha edilmesi veya geri döndürülemez biçimde anonimleştirilmesi gerekmektedir. Bu süreçler, hem 5651 Sayılı Kanun hem de Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumlu olmalıdır.
Kişisel Verilerin Korunması Kanunu (KVKK) ile 5651 Sayılı Kanun Arasındaki İlişki
5651 Sayılı Kanun, belirli veri türlerinin (trafik bilgisi gibi) saklanmasını zorunlu kılarken, KVKK kişisel verilerin işlenmesine ilişkin genel ilkeleri belirler. İki kanun birbiriyle entegre bir şekilde çalışır. 5651 kapsamında toplanan her türlü kişisel veri, aynı zamanda KVKK’nın “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” gibi temel ilkelerine tabidir. Özellikle yaş doğrulama gibi süreçlerde toplanan biyometrik veriler, KVKK kapsamında “özel nitelikli kişisel veri” sayıldığından, bu verilerin işlenmesi için açık rıza alınması ve daha yüksek güvenlik önlemleriyle korunması zorunludur.
Yükümlülükler Kapsamında Toplanan Veriler ve Nitelikleri
Yeni yasal düzenlemeler, dijital platformların toplamak zorunda olduğu veri türlerini ve bu verilerin niteliklerini daha belirgin hale getirmiştir. Süreç sadece veri toplamayı değil, bu verilerin doğru sınıflandırılmasını, hassasiyetine göre korunmasını ve yasalara uygun yönetilmesini de içerir. Özellikle yaş doğrulama, trafik bilgilerinin kaydı ve kullanıcı kimlik verilerinin yönetimi gibi kritik süreçlerde toplanan verilerin niteliği, kurumların alması gereken teknik ve idari tedbirlerin seviyesini doğrudan etkiler. Bu bölümde, yasal yükümlülükler çerçevesinde toplanan temel veri türleri ve bu verilerin yönetiminde dikkat edilmesi gerekenler incelenecektir.
Yaş Doğrulama Sürecinde Toplanan Veri Türleri
Yaş doğrulama zorunluluğu, platformların kullanıcılarından belirli verileri toplamasını gerektirir. Bu süreçte en yaygın olarak toplanan veri türleri şunlardır:
- Kimlik Belgesi Bilgileri: T.C. Kimlik Kartı, pasaport gibi resmi belgeler üzerinden ad, soyad, doğum tarihi gibi veriler Optik Karakter Tanıma (OCR) ile dijital ortama aktarılır.
- Biyometrik Veriler: Yüz tanıma teknolojileri kullanılarak yapılan canlılık tespiti (liveness detection) ve biyometrik eşleşme sırasında elde edilen yüz verileri, KVKK uyarınca özel nitelikli kişisel veri statüsündedir.
- NFC Verileri: Yeni nesil çipli kimlik kartlarının NFC (Yakın Alan İletişimi) teknolojisiyle okunmasıyla elde edilen ve yüksek güvenlikli kabul edilen kimlik verileri.
Trafik Bilgisinin Saklanma Yükümlülüğü (Madde 5 ve 6)
5651 Sayılı Kanun’un 2. maddesinde tanımlanan trafik bilgisi, internet ortamındaki iletişimin taraflarını ve detaylarını içerir. Yer ve erişim sağlayıcılar, bu bilgileri yasal süreler boyunca saklamakla yükümlüdür. Saklanması gereken trafik bilgileri temel olarak şunları içerir:
- IP Adresi ve Port Bilgileri: Kullanıcının internete bağlandığı IP adresi ve kullandığı port numaraları.
- Hizmet Başlama ve Bitiş Zamanı: İnternet erişim hizmetinin ne zaman başlayıp ne zaman sona erdiği.
- Aktarılan Veri Miktarı: Oturum boyunca aktarılan toplam veri boyutu.
- Abone Kimlik Bilgileri: Hizmeti alan abonenin kimliğini belirlemeye yarayan bilgiler.
Kullanıcı Kimlik Bilgileri ve Hassas Verilerin Yönetimi
Platformlar, kullanıcı kaydı veya yasal zorunluluklar gereği çeşitli kimlik bilgilerini toplar. Bu veriler arasında ad, soyad, e-posta adresi, telefon numarası gibi temel bilgiler yer alabilir. Ancak biyometrik veri gibi özel nitelikli kişisel verilerin yönetimi çok daha sıkı kurallara tabidir. Bu tür hassas verilerin, yetkisiz erişimi önlemek için uçtan uca şifrelenmesi, erişim yetkilerinin sınırlandırılması ve düzenli güvenlik denetimlerinden geçirilmesi kritik öneme sahiptir.
Veri Minimizasyonu İlkesi ve Sadece Gerekli Verilerin Toplanması
KVKK’nın temel ilkelerinden biri olan veri minimizasyonu, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” prensibini ifade eder. Bu ilke uyarınca kurumlar, yasal bir amacı yerine getirmek için gerekenden fazla veri toplamamalıdır. Örneğin, bir kullanıcının yaşını doğrulamak için tüm kimlik bilgilerini kalıcı olarak saklamak yerine, sadece yaşın doğrulandığına dair bir sinyal (token) saklamak, veri minimizasyonu ilkesine daha uygun bir yaklaşımdır. Bu, hem yasal riski azaltır hem de kullanıcı güvenini artırır.
Uyumlu Veri Toplama Yöntemleri: Bulut KYC (Udentify) Çözümleri
Yasal yükümlülüklerin artmasıyla birlikte, veri toplama süreçlerinin hem güvenli hem de verimli olması zorunluluğu doğmuştur. Manuel yöntemler, hem sahtecilik risklerine açık olmaları hem de yavaş işlemeleri nedeniyle günümüzün dijital dünyasında yetersiz kalmaktadır. Bu noktada, yapay zeka ve derin öğrenme tabanlı Müşterini Tanı (KYC) çözümleri devreye girer. Özellikle İHS Teknoloji güvencesiyle sunulan Udentify gibi bulut tabanlı platformlar, işletmelerin yasal uyumluluğu sağlarken aynı zamanda kullanıcı deneyimini optimize etmelerine olanak tanır. Bu çözümler, veri toplama süreçlerini otomatize ederek hem güvenliği artırır hem de operasyonel maliyetleri düşürür.
Dijital Kimlik Doğrulama (KYC) Nedir ve Neden Gereklidir?
Dijital Kimlik Doğrulama (Know Your Customer – KYC), bir kurumun hizmet verdiği müşterinin kimliğini dijital kanallar aracılığıyla doğrulama sürecidir. Bu süreç, sahte hesap açılışlarını, dolandırıcılığı ve kara para aklamayı önlemek için kritik bir öneme sahiptir. 5651 Sayılı Kanun kapsamında getirilen yaş doğrulama zorunluluğu gibi yeni düzenlemeler, KYC süreçlerini sosyal medya ve oyun platformları için de vazgeçilmez kılmıştır. Güçlü bir KYC altyapısı, platformları yasal cezalardan korurken marka itibarını da güçlendirir.
İHS Teknoloji’nin Sunduğu Udentify ile Yaş ve Kimlik Doğrulamasının Sağlanması
İHS Teknoloji, Türkiye’deki yerel bulut altyapısı üzerinden sunduğu Udentify platformu ile uçtan uca otonom bir kimlik doğrulama çözümü sağlar. Bu çözüm, 5651 Sayılı Kanun’un getirdiği yeni yükümlülüklere tam uyum sağlamak için tasarlanmıştır. Udentify’ın sunduğu temel teknolojiler şunlardır:
- Canlılık Tespiti (Liveness Detection): Deepfake ve spoofing saldırılarına karşı koruma sağlayarak, kimlik doğrulama işlemi sırasında kameranın karşısında gerçek bir insan olduğunu teyit eder.
- Optik Karakter Tanıma (OCR): Kimlik belgelerindeki bilgileri saniyeler içinde hatasız bir şekilde okuyarak veri girişini hızlandırır.
- Yüz Tanıma ve Biyometrik Eşleşme: Belgedeki fotoğraf ile kullanıcının selfie’sini karşılaştırarak kimliğin doğruluğunu teyit eder.
- NFC ile Çipli Kimlik Okuma: Yeni T.C. Kimlik Kartlarının çipindeki verileri doğrudan okuyarak sahteciliğe karşı en üst düzeyde güvenlik sağlar.
Süreçte Elde Edilen Verilerin Güvenliğinin ve Bütünlüğünün Sağlanması
Udentify gibi modern KYC platformları, veri güvenliğini en üst düzeyde tutmak için gelişmiş teknolojiler kullanır. İHS Teknoloji’nin yerel bulut altyapısı, verilerin Türkiye sınırları içinde kalmasını sağlayarak KVKK uyumluluğunu garanti eder. Veriler, aktarım ve saklama sırasında güçlü şifreleme algoritmalarıyla korunur. Ayrıca, platformun SaaS (Hizmet Olarak Yazılım) modeli sayesinde, kurumların herhangi bir donanım yatırımı yapmasına gerek kalmadan en güncel ve güvenli teknolojiye erişmesi mümkün olur.
Zero-Knowledge Proof (Sıfır Bilgi İspatı) ve Sinyal Bazlı Doğrulama Modelleri
Sıfır Bilgi İspatı (Zero-Knowledge Proof), bir tarafın elindeki bilginin içeriğini açıklamadan, o bilgiye sahip olduğunu diğer tarafa kanıtlamasına olanak tanıyan kriptografik bir yöntemdir. Veri minimizasyonu ilkesiyle tam uyumlu olan bu yaklaşım, yaş doğrulama süreçlerinde devrim yaratma potansiyeline sahiptir. Platform, kullanıcının kimlik belgesindeki tüm detayları saklamak yerine, sadece “18 yaşından büyük” veya “15-18 yaş aralığında” gibi bir doğrulama sinyalini (token) kaydedebilir. Bu model, hem kullanıcı gizliliğini en üst düzeye çıkarır hem de platformun saklamak zorunda olduğu hassas veri miktarını azaltarak yasal riskleri minimize eder.
Yasal Sürelere Göre Veri Saklama Politikalarının Oluşturulması
Veri yönetimi yaşam döngüsünün en kritik adımlarından biri, verilerin yasalara uygun sürelerle saklanmasıdır. Hem 5651 Sayılı Kanun hem de diğer ilgili mevzuatlar, farklı veri türleri için belirli saklama süreleri öngörmektedir. Bu sürelere uyulmaması, ciddi idari para cezalarına ve hukuki sorumluluklara yol açabilir. Bu nedenle, her kurumun kendi iş süreçlerine özgü, net ve uygulanabilir veri saklama politikaları oluşturması, bu politikaları düzenli olarak gözden geçirmesi ve teknolojik araçlarla otomatize etmesi zorunludur. Etkili bir veri saklama politikası, yasal uyumu sağlamanın yanı sıra veri depolama maliyetlerini optimize etmeye de yardımcı olur.
5651 Sayılı Kanun’a Göre Trafik Bilgileri İçin Saklama Süreleri
5651 Sayılı Kanun, yer sağlayıcılar ve erişim sağlayıcılar için trafik bilgilerinin saklanmasına yönelik net çerçeveler belirlemiştir. Bu yükümlülükler, olası bir adli soruşturmada dijital delillerin korunmasını amaçlar. Kanuna göre saklama süreleri şöyledir:
- Yer Sağlayıcılar (Hosting Firmaları vb.): Yer sağladıkları hizmetlere ilişkin trafik bilgilerini, yönetmelikle belirlenecek şekilde bir yıldan az ve iki yıldan fazla olmamak üzere saklamakla yükümlüdür (Madde 5).
- Erişim Sağlayıcılar (İnternet Servis Sağlayıcıları): Sağladıkları hizmetlere ilişkin trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere saklamakla yükümlüdür (Madde 6).
| Sağlayıcı Türü | Veri Türü | Yasal Dayanak | Minimum Saklama Süresi | Maksimum Saklama Süresi |
|---|---|---|---|---|
| Yer Sağlayıcı | Trafik Bilgisi | 5651 Sayılı Kanun, Madde 5 | 1 Yıl | 2 Yıl |
| Erişim Sağlayıcı | Trafik Bilgisi | 5651 Sayılı Kanun, Madde 6 | 6 Ay | 2 Yıl |
| Sosyal Ağ Sağlayıcı (Genel Veri) | Kişisel Veriler (KYC vb.) | KVKK / İlgili Mevzuat | İşleme amacı devam ettiği sürece | Yasal zorunluluklar ve zamanaşımı süreleri |
KYC ile Toplanan Kimlik Verileri İçin Saklama Süresinin Belirlenmesi
Dijital kimlik doğrulama (KYC) süreçlerinde toplanan kimlik ve biyometrik verilerin saklama süresi, doğrudan 5651 Sayılı Kanun’da belirtilmemiştir. Bu noktada KVKK ve diğer özel mevzuatlar (örn: MASAK yükümlülükleri) devreye girer. Genel kural, kişisel verilerin “işlendikleri amaç için gerekli olan süre kadar” saklanmasıdır. Kullanıcı ile kurum arasındaki hukuki ilişki devam ettiği sürece bu veriler saklanabilir. İlişki sona erdiğinde ise olası hukuki uyuşmazlıklar için Türk Ticaret Kanunu ve Borçlar Kanunu’nda belirtilen genel zamanaşımı süreleri (genellikle 10 yıl) dikkate alınarak bir saklama süresi belirlenir.
Veri Saklama Matrislerinin ve Politikalarının Hazırlanması
Kurumlar, topladıkları tüm veri türlerini, yasal dayanaklarını, işleme amaçlarını, saklama sürelerini ve imha periyotlarını içeren detaylı “Veri Saklama ve İmha Politikaları” hazırlamalıdır. Bu politika kapsamında oluşturulacak veri saklama matrisleri, hangi verinin nerede, ne kadar süreyle ve hangi güvenlik önlemleriyle saklandığını net bir şekilde ortaya koyar. Bu dokümanlar, hem kurum içi farkındalığı artırır hem de olası bir denetimde yasal uyumluluğun kanıtı olarak sunulur.
Saklama Süresi Dolan Verilerin Tespiti İçin Otomasyon Sistemleri
Büyük veri hacimleriyle çalışan kurumlar için saklama süresi dolan verileri manuel olarak tespit etmek neredeyse imkansızdır. Bu nedenle, veri envanterine bağlı olarak çalışan otomasyon sistemlerinin kullanılması kritik öneme sahiptir. Bu sistemler, veri saklama matrisindeki kurallara göre süresi dolan verileri otomatik olarak belirler ve imha süreçlerini tetiklemek üzere ilgili birimlere bildirimde bulunur. Bu, hem insan hatası riskini ortadan kaldırır hem de imha süreçlerinin zamanında ve eksiksiz bir şekilde yürütülmesini sağlar.
Veri İmha Süreçlerinin Planlanması ve Uygulanması
Veri yaşam döngüsünün son ve en önemli adımı, yasal saklama süresi dolan veya işlenme amacı ortadan kalkan verilerin güvenli bir şekilde imha edilmesidir. Veri imhası, sadece dosyaları silmekten ibaret değildir; verilerin bir daha geri getirilemeyecek ve kullanılamayacak şekilde kalıcı olarak yok edilmesini gerektiren teknik bir süreçtir. KVKK ve ilgili yönetmelikler, veri imha süreçlerinin planlanması, uygulanması ve kayıt altına alınması konusunda kurumlara ciddi sorumluluklar yüklemektedir. Düzgün planlanmamış bir imha süreci, hem veri ihlali risklerini artırır hem de kurumu yasal yaptırımlarla karşı karşıya bırakabilir.
Veri İmhasını Gerektiren Durumlar
Bir verinin imha edilmesi, keyfi bir karar değil, yasal ve mantıksal gerekliliklere dayanan bir zorunluluktur. Veri imhasını tetikleyen temel durumlar şunlardır:
Yasal Saklama Süresinin Sona Ermesi
5651 Sayılı Kanun, Vergi Usul Kanunu veya Türk Ticaret Kanunu gibi mevzuatlarla belirlenen zorunlu saklama sürelerinin dolması, veri imhası için en birincil nedendir. Örneğin, bir yer sağlayıcının trafik bilgilerini iki yıldan fazla saklaması hukuka aykırıdır ve bu sürenin sonunda imha edilmelidir.
Veri İşleme Amacının Ortadan Kalkması
Kişisel veriler, toplandıkları amaç ortadan kalktığında daha fazla saklanamaz. Örneğin, bir pazarlama kampanyası için toplanan iletişim bilgileri, kampanya sona erdiğinde ve başka bir hukuki dayanak (örneğin, ticari elektronik ileti izni) yoksa imha edilmelidir.
İlgili Kişinin Talebi (KVKK Kapsamında)
KVKK’nın 11. maddesi uyarınca, veri sahipleri kişisel verilerinin silinmesini veya yok edilmesini talep etme hakkına sahiptir. Veri işlemek için geçerli olan şartlar ortadan kalkmışsa, veri sorumlusu bu talebi yerine getirmek ve veriyi imha etmekle yükümlüdür.
Güvenli Veri İmha Yöntemleri
Verilerin bulunduğu ortama göre farklı imha yöntemleri kullanılır. Temel amaç, veriye yeniden erişimi teknik olarak imkansız hale getirmektir.
Dijital Veriler İçin Yazılımsal İmha (Güvenli Silme, Üzerine Yazma)
Bu yöntemde, özel yazılımlar kullanılarak verilerin saklandığı dijital alanların üzerine anlamsız veya rastgele veriler (genellikle 0 ve 1’ler) birden çok kez yazılır. Bu işlem, standart dosya silme komutlarının aksine, verinin manyetik izlerini ortadan kaldırarak kurtarılmasını imkansız hale getirir.
Kriptografik Şifreleme Anahtarlarının Yok Edilmesi
Özellikle bulut ortamlarında veya büyük veri tabanlarında etkili bir yöntemdir. Veriler güçlü algoritmalarla şifrelenir ve veriyi çözmek için gereken kriptografik anahtarlar güvenli bir şekilde imha edilir. Anahtar olmadan şifreli verinin (ciphertext) anlamsız bir karakter yığınından farkı kalmaz, bu da veriyi etkili bir şekilde kullanılamaz hale getirir.
Fiziksel İmha (De-gaussing, Parçalama)
Verilerin saklandığı sabit disk (HDD), SSD, manyetik teyp gibi fiziksel medyanın tamamen yok edilmesini içerir. De-gaussing (manyetiksizleştirme) işleminde güçlü bir manyetik alan uygulanarak medyanın manyetik yapısı bozulur. Parçalama (shredding) ise medyanın fiziksel olarak küçük parçalara ayrılmasıdır. Bu yöntem, en güvenli imha metodu olarak kabul edilir.
Veri İmha Süreçlerinin Kayıt Altına Alınması: İmha Tutanakları
Yapılan tüm veri imha işlemleri, yasal bir ispat aracı olarak kayıt altına alınmalıdır. “Veri İmha Tutanağı” olarak adlandırılan bu belgeler, imha edilen verinin tanımını, imha tarihini, kullanılan yöntemi ve imha işleminden sorumlu personelin bilgilerini içermelidir. Bu tutanaklar, olası bir denetimde veya hukuki süreçte kurumun üzerine düşen yükümlülüğü yerine getirdiğini kanıtlaması açısından hayati öneme sahiptir.
Veri Anonimleştirme Süreçleri ve Teknikleri
Bazı durumlarda verilerin tamamen imha edilmesi yerine, kişisel kimlik bilgilerinden arındırılarak kullanılmaya devam etmesi gerekebilir. İşte bu noktada veri anonimleştirme devreye girer. Anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi sürecidir. KVKK’ya göre, usulüne uygun olarak anonim hale getirilmiş veriler kişisel veri olarak kabul edilmez ve bu veriler üzerindeki yasal kısıtlamalar ortadan kalkar. Bu durum, kurumlara veriyi istatistiksel analiz, raporlama veya ürün geliştirme gibi amaçlarla özgürce kullanma imkanı tanır.
Veri Anonimleştirme Nedir? İmhadan Farkları Nelerdir?
Veri imhası, veriyi geri döndürülemez şekilde yok etmeyi amaçlarken; veri anonimleştirme, verinin özünü koruyarak onu kişilerden ayrıştırmayı hedefler. Temel fark, anonimleştirme sonrası verinin hala kullanılabilir olmasıdır. Örneğin, bir e-ticaret sitesi, müşteri isimlerini ve adreslerini silip sadece satın alınan ürün, işlem tarihi ve şehir bilgisi gibi verileri saklayarak pazar analizi yapabilir. Bu işlem, veriyi anonim hale getirir.
| Özellik | Veri İmhası | Veri Anonimleştirme |
|---|---|---|
| Amaç | Veriyi kalıcı olarak yok etmek. | Veriyi kişisel kimlikten arındırmak. |
| Sonuç | Veri artık mevcut değildir. | Veri, kimlikle ilişkilendirilemez halde mevcuttur. |
| Kullanım Alanı | Yasal saklama süresi dolan veriler. | İstatistik, raporlama, analiz, Ar-Ge. |
| Geri Döndürülebilirlik | Geri döndürülemez. | Teknik olarak geri döndürülemez olmalıdır. |
Anonimleştirmenin Kullanım Alanları: Raporlama ve İstatistiksel Analizler
5651 Sayılı Kanun’un Ek Madde 4’ü, sosyal ağ sağlayıcılarının belirli konularda raporlama yapmasını zorunlu kılar. Örneğin, içerik kaldırma taleplerine ilişkin istatistiksel bilgilerin altı aylık dönemlerle BTK’ya bildirilmesi gerekir. Bu raporlar hazırlanırken, başvuru yapan kişilerin kimlik bilgileri gibi kişisel verilerin ayıklanarak sadece istatistiki değerlerin paylaşılması gerekir. Anonimleştirme, bu tür yasal raporlama yükümlülüklerini yerine getirirken veri gizliliğini korumanın en etkili yoludur.
Temel Anonimleştirme Teknikleri
Veri setinin yapısına ve kullanım amacına göre farklı anonimleştirme teknikleri uygulanabilir. Yaygın olarak kullanılan bazı yöntemler şunlardır:
Maskeleme (Masking)
Verinin belirli bölümlerinin yıldız (*) veya ‘X’ gibi karakterlerle gizlenmesidir. Örneğin, bir T.C. Kimlik Numarasının “123xxxxxx89” şeklinde veya bir telefon numarasının “+90 (532) *** ** 12” şeklinde gösterilmesi maskeleme tekniğidir.
Genelleştirme (Generalization)
Spesifik verilerin daha genel kategorilerle değiştirilmesidir. Örneğin, kullanıcıların doğum tarihlerini (örn: 23.05.1992) saklamak yerine, yaş aralıkları (örn: 30-35 yaş) olarak gruplandırmak bir genelleştirme işlemidir.
Rasgeleleştirme (Randomization)
Veri setindeki bazı değerlerin, veri setinin genel bütünlüğünü bozmayacak şekilde küçük ve rastgele değişikliklerle saptırılmasıdır. Bu, bireysel kayıtların tespitini zorlaştırırken istatistiksel doğruluğu büyük ölçüde korur.
Permütasyon (Permutation)
Bir veri sütunundaki değerlerin kendi içinde rastgele karıştırılarak satırlar arasındaki bağlantının koparılmasıdır. Örneğin, bir sütunda hastalık isimleri, diğerinde hasta isimleri varsa, hastalık isimleri sütununu karıştırarak hangi hastalığın hangi hastaya ait olduğunun tespit edilmesi engellenir.
Anonimleştirilmiş Verinin Geri Döndürülemez Olmasının Sağlanması
Bir anonimleştirme işleminin başarılı sayılabilmesi için geri döndürülemez olması şarttır. Eğer anonim hale getirildiği düşünülen bir veri, başka kaynaklardan elde edilen verilerle birleştirilerek tekrar bir kişiyle ilişkilendirilebiliyorsa (de-anonimizasyon), bu işlem hukuken geçerli bir anonimleştirme sayılmaz. Bu nedenle, kullanılan tekniğin veri setinin yapısına uygun olması ve k-anonimlik, l-çeşitlilik gibi matematiksel gizlilik modelleriyle test edilmesi, sürecin güvenilirliği açısından önemlidir.
Uyumlu Veri İmha ve Anonimleştirme Süreçleri İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
5651 Sayılı Kanun ve KVKK çerçevesinde veri yönetimi, yalnızca bir yasal zorunluluk değil, aynı zamanda teknolojik yetkinlik ve stratejik planlama gerektiren karmaşık bir süreçtir. Verilerin toplanmasından imhasına kadar her adımda doğru araçları ve yöntemleri kullanmak, kurumları büyük idari cezalardan ve itibar kayıplarından korur. İHS Teknoloji, sunduğu Bulut KYC ve diğer uyumluluk çözümleriyle bu zorlu süreçte işletmelerin en güvenilir teknoloji ortağı olur. Udentify platformu, veri toplama aşamasında yaş ve kimlik doğrulamasını KVKK uyumlu ve güvenli bir şekilde gerçekleştirirken, veri minimizasyonu ilkelerine sadık kalarak sadece gerekli verilerin işlenmesini sağlar. İHS Teknoloji’nin Türkiye’deki yerel bulut altyapısı, verilerinizin ülke sınırları içinde kalmasını garanti ederek yasal uyumluluğu pekiştirir. Veri yaşam döngüsünün son aşamaları olan imha ve anonimleştirme süreçlerinde ise, kurumların ihtiyaç duyduğu güvenli altyapıyı ve danışmanlık hizmetini sunarak bütünsel bir çözüm sağlar. Yasal mevzuatlara tam uyumlu, teknolojik olarak gelişmiş ve yerel bir iş ortağı ile çalışmak, dijital dönüşüm yolculuğunuzda sizi bir adım öne taşıyacaktır.
