Takma adlaştırma nedir?
Takma adlaştırma (pseudonymization); kişisel verinin, ayrı ve güvenli biçimde saklanan ek bilgi olmadan kişiyle ilişkilendirilemeyecek şekilde işlenmesidir (GDPR m.4(5)) — isimleri kullanıcı ID’siyle değiştirmek, e-postaları hash’lemek, kayıtları token’laştırmak. Kritik nokta: takma adlaştırılmış veri hâlâ kişisel veridir. Veriyi hukukun kapsamı dışına yalnızca geri döndürülemez anonimleştirme çıkarır.
Yine de neden önemli?
Takma adlaştırma düzenleyicilerin beklediği temel güvenlik tedbiridir: ihlalin etkisini azaltır, veri minimizasyonu savunmasını destekler, GDPR m.32 ve KVKK teknik tedbirler kataloğu kapsamındaki güvenlik yükümlülüklerini karşılamaya yardım eder, meşru menfaat dengelemesini güçlendirir. Yapay zeka hatlarında kullanıcı verisiyle eğitim öncesi standart ön işleme adımıdır — ancak takma adlaştırılmış kayıtlarla eğitilen model yine kişisel veriyle eğitilmiştir; hukuki sebep sonuçları aynen geçerlidir.
Sınıflandırma tuzakları
Hash’lenmiş tanımlayıcılar anonim değil takma adlıdır — hash tutarlıdır ve eşleştirilebilir. Küçük kohortlarda toplulaştırılmış veri yeniden kimliklendirebilir. “İsimleri sildik” savunması, birleşik alanlar (işyeri + rol + şehir) kişiyi tekilleştiriyorsa geçmez. Kurul pratiği de aynı özü izler: organizasyonun herhangi bir yerinde geri döndürülebilirlik varsa veri kişiseldir.
Takma adlaştırma rızayı atlamamızı sağlar mı?
Hayır — risk profilini değiştirir, hukuki sebep ihtiyacını değil. Ama meşru menfaat dengesini lehinize çevirebilir.
Data room’da takma adlı veri paylaşmak güvenli mi?
Daha güvenli, ama güvenli değil: paylaşım yine kişisel veri işleme/aktarımıdır; diligence setlerinde mümkünse toplulaştırma veya gerçek anonimleştirme kullanın.
İlgili: anonimleştirme, DPIA.