Anonimleştirme ve Kimliksizleştirme (Psödönimleştirme) Kavramları

Giriş

Anonimleştirme ve kimliksizleştirme, kişisel verilerin korunması alanında hem KVKK hem de GDPR kapsamında en çok tartışılan iki temel yöntem olarak öne çıkmaktadır. Anonimleştirme, kişisel verinin bireyi tanımlayacak hiç bir şekilde ilişkilendirilemez hale getirilmesi işlemidir. Bu durumda veriler “bireyle ilişkilendirilemez” olduğundan GDPR ve benzeri veri koruma düzenlemelerinin kapsamı dışında kalır. KVKK 6698 sayılı Kanun’a göre anonimleştirme, “kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi” şeklinde tanımlanmıştır. Avrupa Birliği’nin 29. Çalışma Grubu ve EDPS gibi otoriteler, anonimleştirmeyi kişisel verileri “anonim hale getirme” işlemi olarak özetler. Ancak bu süreçte yeniden kimlik tespit riski her zaman göz önünde bulundurulmalıdır. EDPS tarafından yayımlanan çalışmada, eksik veya hatalı anonimleştirme süreçlerinde veriler önceki hâline getirilebildiği örneklerle gösterilmiştir.

Veri maskeleme ise anonimleştirme yöntemlerinden biridir. Maskelemede, verinin belirli alanları, yok edilerek veya silinerek bireyin tanınmaz hale getirilir. Örneğin bir kişinin telefon numarasındaki bazı hanenin silinmesi maskeleme örneğidir. Benzer şekilde toplulaştırma (örn. çalışan sayılarını topluca yayınlama), veri türetme (detaylı bilgiyi aralıklarla gösterme) veya veri karması (değerleri karıştırarak dağıtma) gibi yöntemlerle de anonimleştirme gerçekleştirilebilir. Anonimleştirme uygulamaları, özellikle araştırma veya raporlama gibi birey bilgisine doğrudan ihtiyaç duyulmayan durumlarda tercih edilir. Bu sayede veriler, güçlü gizlilik sağlayarak üçüncü taraflarla paylaşılabilir hale gelir.

Psödönimleştirme (pseudonymization) ise kimliksizleştirme olarak da anılmaktadır. GDPR Madde 4(5)’te tanımlandığı üzere, psödönimleştirme kişisel verilerin ek bilgiler kullanılmadan artık belli bir gerçek kişiye atfedilemeyecek şekilde işlenmesidir. Bu işleme sırasında, verilerden açık tanımlayıcılar ayrıştırılır ve veriler anahtarlı bir biçimde saklanır. Dolayısıyla psödönimleştirilmiş veri kümesi tek başına kişiyle bağlanamaz; ancak ek bilgi (anahtar) ile birleştirildiğinde kişinin kimliği yeniden tespit edilebilir. Örneğin veri tabanında T.C. kimlik numarası yerine rasgele bir kod tutulması veya ad-soyad yerine takma ad kullanılması psödönimleştirmeye örnektir. Kişisel Sağlık Verileri Yönetmeliği de “kimliksizleştirme” terimiyle benzer bir tanım sunar; yönetmeliğe göre veriler, diğer ortamda saklanan ek verilerle birleştirilmeden bireyle ilişkilendirilemeyecek biçimde işlenmelidir.

Özetle, anonimleştirmede verilerden kişinin kimliğine dair tüm imkânlar kaldırılırken, psödönimleştirmede kimlik yalnızca ek anahtar bilgileri olmadan gizlenir. Anonimleştirilen veriler bir gerçek kişiyle eşleştirilemez hâle geldiğinden GDPR kapsamı dışı kalabilir. Oysa psödönimleştirme uygulanan veriler ek bilgi olmadan ilişkilendirilemeyecek olsa da, ek bilgi saklı tutulduğu sürece hâlâ kişisel veri niteliğindedir. Hatta Avrupa Veri Koruma Kurulu (EDPB) da yayımladığı açıklamada, ek bilgiyle yeniden kimlik saptanabildiği sürece psödönim veri setlerinin hâlen tanımlanabilir birey bilgisini taşıdığına dikkat çekmiştir. Bir başka deyişle, GDPR açısından pseudonimleştirme yapıldıktan sonra veri seti hâlen “kişisel veri” kabul edilmeye devam eder.

Anonimleştirme ve Kimliksizleştirme(psödönimleştirme) Arasındaki Farklar ve Kullanım Alanları

• Veri Koruma Kapsamı: Anonimleştirme sonucunda elde edilen veriler, kişisel niteliğini yitirdiğinden GDPR, KVKK vb. kapsamından çıkar. Örneğin GDPR 26. önsözde anonimleşmiş bilgilerin koruma ilkesine tabi olmayacağı belirtilmiştir. Oysa psödönimleştirme sonrası veriler hâlâ teknik olarak kişiye ait bilgiler barındırır; dolayısıyla kişisel veri kabul edilmeye devam eder. Bu sebeple anonim veri, kanunlarda öngörülen aydınlatma veya saklama süreleri yükümlülüğüne tabi değildir, psödönim veri ise kişisel veri olarak aynı kurallara tabidir.
• Geri Dönüş İmkânı: Anonimleştirme tasarlandığı şekilde yapılırsa geri dönüşü olmayan bir işlemdir. Başka verilerle veya ek bilgilerle birleştirilse bile veri sahibinin kimliğini belirlemek mümkün olmamalıdır. Güçlü anonimleştirme, bellekten çıkarılmış veri gibi düşünülebilir. Buna karşılık psödönimleştirmede ek bilgi (anahtar) saklanır ve bu ek bilgiyle verinin kime ait olduğu tekrar bulunabilir. Dolayısıyla anonimleştirme “geri dönülemez” iken, psödönimleştirme “belirli bir ihtimal dahilinde geri kimliklendirme” barındırır.
• Uygulama Örnekleri: Anonimleştirme genellikle istatistik, pazarlama veya kamu politikası araştırmaları gibi, bireysel veri ihtiyacı olmayan durumlarda tercih edilir. Örneğin bir şehirde her mahalleye göre ortalama harcama miktarının yayınlanması anonim veri analizi gerektirir. Psödönimleştirme ise, verinin analiz sürecinde kimlik korunmak istenen ancak gerektiğinde telafi edilebileceği durumlarda uygulanır. Sağlık araştırmaları, klinik çalışma verileri veya büyük veri analizlerinde ad-soyad gizlenip yine de kişiye özgü bilgilerin analizini sağlamak için psödönim yöntemleri kullanılır. Veri maskeleme ise genellikle psödönimleştirme altında yer alır; örneğin bir veri tabanında TC kimlik numarasının sadece son 4 hanesi saklanarak kalanının yıldızla gizlenmesi maskeleme tekniğidir.
• Teknik ve İşlevsel Farklar: Anonimleştirme, verinin değerini kısmen azaltabilir, çünkü detaylar yok sayılır. Psödönimleştirmede ise veri hâlâ işlevseldir; gerekli teknik tedbirlerle kimlik unsuru gizlenir ama analizlerde kullanılabilir. Örneğin yaş bilgisini “30” yerine “30-35 arası” olarak vermek toplulaştırma (anonimleştirme), “30” rakamının sadece son hanesinin gizlenmesi maskeleme olarak değerlendirilebilir. EDPB ve EDPS gibi kurumlar, anonimleştirmenin bir amacı veri minimizasyonunu desteklemek, psödönimleştirmenin ise veri paylaşımı ve işleme esnekliği sağlamak olduğunu vurgulamaktadır.

Türkiye’de Mevzuat ve Uygulamalar

Türkiye’de KVKK ve ilgili yönetmelikler anonimleştirme ve psödönimleştirme ayrımını net olarak yapmıştır. KVKK’da açık bir psödönim tanımı yoktur, fakat anonimleştirme kanunda tanımlanmış ve veri imha yöntemlerinden biri olarak kabul edilmiştir. Kanuna göre anonim hale getirme; veriler başka kayıtlarla eşleşse bile artık hiçbir şekilde belirli bir kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Bu nedenle Türkiye’de anonimleştirilmiş verilerin kime ait olduğu hiçbir teknik işlemle tespit edilemez. KVKK 28/1(b) bendine göre, istatistik veya araştırma amaçları için resmi veriler anonim hale getirilerek işlenebilir; anonim veriler bu şekilde doğrudan KVKK kapsamı dışına çıkarılmaktadır.

2018’de yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” yönetmeliği anonimleştirmeye ilişkin ayrıntıları düzenler. Yönetmeliğe göre anonimleştirme, veri imha tekniklerinden biridir ve veri sorumlularının imha politikasında yer almalıdır. Örneğin VERBİS kayıtlı olsun veya olmasın tüm veri sorumlular anonimleştirme de dahil uygun imha yöntemlerini belirlemekle yükümlüdür. Yönetmelik ayrıca ilgili kişinin KVKK kapsamındaki hakkı olarak anonimleştirmeyi tanımlar ve anonimleştirme işlemlerine dair tüm kayıtların saklanmasını şart koşar. KVKK Kurulu’nun teknik rehberlerinde de anonimleştirmenin bir teknik tedbir olduğu vurgulanmakta, veri sorumlularının yetkilendirilmeyen erişimi önlemek için titiz bir süreç takip etmesi tavsiye edilmektedir.

Türkiye’de psödönimleştirme için özel bir kanuni tanım olmamakla birlikte, Kurul kararları ve rehberlerde bu kavramın varlığı kabul edilmiştir. KVKK Kurumu’nun “Teknik ve İdari Tedbirler Kılavuzu”nda, psödönimleştirme kişisel verilerin kimliğini belirlemeyi zorlaştırmak amacıyla silinmesi, karartılması veya belirli alanlarının yıldızlanması gibi işlemler olarak tanımlanmıştır. Kurul kararlarında tipik örnekler verilmiş; örneğin kullanıcı verilerinin şifrelenmesi veya kısmi maskeleme ile saklanması psödönimleştirme sayılmıştır. Sağlık sektöründe hastaya ait veriler bir basılı doküman üzerinden işlenirken de zorunlu kısmi maskeleme veya psödönimleştirme tedbirlerinin alınması gerektiği belirtilmiştir. Türk mevzuatında anonimleştirme, GDPR ve UK GDPR’ye kıyasla daha katı yorumlanır: anonimleştirilmiş veriler devlet politikası olarak veri sahibinden ayrı tutulur. Buna karşılık psödönimleştirme, KVKK’da tanımlanmasa da “veri koruma yükümlülüğünü hafifleten teknik bir tedbir” olarak kabul edilmektedir.

KVKK ayrıca verilerin gereksiz yere saklanmasına izin vermeyerek, işleme amacı ortadan kalkınca verilerin silinmesini, yok edilmesini veya anonimleştirilmesini şart koşar. Bu çerçevede, kişisel verileri imha etmesi gerekirken etmemek “Verileri Yok Etmeme” suçu kapsamında yaptırım doğurur. Kurum kararları ve rehberler, anonimleştirmeyi gerçekleştirilen bir işlem olarak kabul etmekle birlikte kişisel veriyi tamamen ortadan kaldırmayacağına dikkat çekmekte; aksine veri sahibinin zarar görmemesi için yeniden kimlik belirleme riskinin en aza indirilmesini vurgulamaktadır.

Uluslararası Perspektif ve GDPR

GDPR, psödönimleştirme kavramını açıkça tanımlayan bir düzenlemeye ilk kez sahip olmuş; Madde 4(5)’te “kişisel verilerin ek bilgi olmaksızın artık belirli bir kişiye atfedilemeyecek şekilde işlenmesi” olarak ifadelenmiştir. Bu tanım, Avrupa Birliği Hukuku’na yeni girmiş olup verinin “sözde anonimleştirilmesi” olarak da anılmaya başlamıştır. GDPR 25. ve 32. maddelerinde de psödönimleştirme, uygun teknik önlemler örneği olarak zikredilmiş; veri güvenliği için uygun bir güvencelerden biri olduğu vurgulanmıştır. Avrupa Veri Koruma Kurulu (EDPB), 2025’te yayımladığı taslak yönergede psödönimleştirmenin veri koruma ilkelerine uyumu kolaylaştırdığını ve riski azalttığını belirtmiştir. EDPB ayrıca, ek bilgiyle yeniden kimlik tespit edilebilen tüm psödönim verilerin hâlen kişisel veri kategorisinde kaldığını açıkça ortaya koymuştur. Buna göre, ek bilgiye erişimi olanlar için pseudonym data hala kişisel veridir.

GDPR’da anonimleştirme tanımlanmamakla birlikte 26. önsözde anonim bilgiler GDPR’nın kapsamı dışında sayılmıştır. GDPR, anonim hale getirilmiş verinin bir daha kişisel veri haline gelemeyeceğini varsayar. EDPB de anonim veriye uygulama yapılabileceği aşırı bir beklenti olmamakla birlikte, anonimleştirme derecesinin analiz edilebileceğine ve sürecin uzmanlık gerektirdiğine dikkat çeker. AB bünyesinde Anonimleştirmeye İlişkin Kılavuz geliştirilme aşamasındadır (2023-2024 EDPB çalışma programında yer almaktadır) ve bu alandaki pratik bilgileri derinleştirmesi beklenmektedir.

İngiltere’de de GDPR’la uyumlu “UK GDPR” metninde anonimleştirme tanımı yoktur, fakat ICO tarafından yayımlanan uygulama kılavuzları bu kavramları ele alır. UK mahkemeleri anonimleştirme işlemleri için “makul risk” testini uygulamış; “yeniden kimliklendirme olasılığı” veya “muhtemel risk” değerlendirmesi yapmıştır. ICO’ya göre anonimleştirme, kuruluşların GDPR yükümlülüklerini yerine getirirken verileri kamuya açabilmesine olanak sağlar; ancak tüm veri türlerinde her zaman uygulanabilir değildir. Örneğin güvenlik logları gibi yapıdaki veriler tamamen anonimleştirilemeyebilir.

2025 yılına ait önemli bir uluslararası gelişme de CJEU’nin “SRB v EDPS” davasında verdiği karardır. CJEU, pseudonimleştirilmiş verilerin her koşulda kişisel veri olarak kabul edilmemesi gerektiğini; durumun bağlama bağlı değerlendirileceğini belirtmiştir. Kararda, veri gönderen kuruluşta ek bilgiye sahip olanlar için veriler hâlâ kişisel veri iken, veriyi alanlar ek bilgiye erişimi yoksa bu veriler “belki artık belirli bir kişiye ait olmayabilir” demek mümkün olmuştur. Bu görüş, kişisel verinin tanımının mutlak değil göreceli olduğunu ortaya koyar. Sonuç olarak CJEU, psödönimleştirilmiş verilerin GDPR kapsamında olup olmadığını her olayın şartlarına göre değerlendirmiştir.

Diğer yargı bölgelerinde de benzer anlayışlar gelişmektedir. Örneğin Brezilya’nın veri koruma kanunu (LGPD) uyarınca anonimleştirilmiş veri, kişisel veri olarak kabul edilmez. Brezilya Veri Koruma Kurumu (ANPD) çalışmalarında, psödönim verilerde ek tanımlayıcıların saklanması nedeniyle verinin hâlen geri kimliklendirilebileceğine işaret etmiş, tam anonimleşmede ise bu bilgilerin tamamen kaldırıldığı ve verinin hiçbir varlık için kişisel niteliğini kaybettiğini vurgulamıştır. OECD ve diğer uluslararası kuruluşlar da kimliksizleştirme tekniklerini veri paylaşımını güvenli hale getiren mahremiyet artırıcı yöntemler olarak desteklemektedir.

Yurtiçi ve Uluslararası Doktrin Görüşleri

Türk doktrini, anonimleştirme ve psödönimleştirmenin uygulamadaki önemini vurgular. Hukukçular, KVKK uygulamalarında anonim verinin kapsam dışı olduğu, psödönim verilerin ise korunmaya devam ettiği görüşündedir. Kimliksizleştirme terimi, özellikle sağlık ve araştırma mevzuatında yer bulmuş; bu süreçlere özel yönetmeliklerde tanımlanmıştır. Meslek örgütleri ve hukuk bürolarının yayımlarında, veri madenciliği ile GDPR ilkeleri uyumlu hale getirmenin yolları olarak bu teknikler detaylıca anlatılmaktadır. Örneğin, hukukçular anonimleştirme sürecinde “veri değerinin kaybını” mutlaka doğurmayacağının altını çizer; doğru anonimleştirme ile verilerin hâlâ amaçlarına hizmet edebileceğini belirtir.

Uluslararası doktrinde de benzer çizgiler gözlenir. GDPR şerhlerinde psödönimleştirmenin hukuki teşvik edildiği, riskleri azalttığı ve bu yolla “uygun güvenceler” sağladığı belirtilmiştir. AB Adalet Divanı’nın kararındaki yorumlar da veri sorumlusunun tasarım aşamasında bu yöntemleri gözetmesini beklemektedir. AEPD, EDPS gibi otoriteler anonymizasyonun sonsuza dek garanti edilemeyeceği uyarısını yaparken, ICO ve EDPB psödönimleştirmenin veri işleme güvenliğini artırdığını vurgulamaktadır. Tüm bu görüşler, KOBİ’ler, avukatlar ve şirketler için, hangi durumlarda hangi yöntemin daha uygun olacağına dair yol göstericidir: Örneğin veri sahibinin kimliğini her koşulda tamamen gizlemesi gereken analizlerde anonimleştirme tercih edilirken; verinin faydalılığının korunması gereken hâllerde psödönimleştirme daha uygundur.

Sonuç

Anonimleştirme ile psödönimleştirme birbirini dışlayan yöntemler değildir; aksine farklı risk/tatmin dengesine sahiptir. Anonimleştirme, veriyi GDPR’nın korumasından çıkararak paylaşıma uygun hâle getirir, ancak geri dönüşü olmayan bir işlemdir. Psödönimleştirme ise veriye esneklik kazandırırken hâlen teknik önlemlere bağlı olarak gizliliği korur. GDPR ve KVKK uygulamaları göz önüne alındığında, anonimleştirme kapsamındaki verilerin koruma kanunları dışında kalması olağanken, psödönim verilerin dikkatli bir şekilde korunmaya devam etmesi gereklidir. Sonuç olarak şirketler ve hukuk uzmanları, verinin kategorisi ve kullanım amacına göre uygun yöntemi seçmeli; her iki süreçte de yeniden kimliklendirme riskini minimuma indirecek teknik ve idari tedbirleri uygulamalıdır.

Kaynakça

• Turkish Law Blog, Veri Koruması İçin Yöntemler: Anonimleştirme ve Psödönimleştirme Hakkında Bir İncelemeturkishlawblog.comturkishlawblog.com.
• BG Hukuk Bürosu, Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesibghukukburosu.com.trbghukukburosu.com.tr.
• Nitelikli Veri, Kişisel Verilerin İşlenmesinde Kimliksizleştirme Ne Derece Güvenlidirnitelikliveri.comnitelikliveri.com.
• Avrupa Veri Koruma Kurulu (EDPB) Basın Açıklaması, EDPB adopts pseudonymisation guidelines…edpb.europa.euedpb.europa.eu.
• Alex LaCasse (IAPP), CJEU clarifies personal data definition in context of pseudonymization (4 Eylül 2025)iapp.orgiapp.org.
• EDPS ve AEPD Birlikte Yayımlanan Rapor, 10 Misunderstandings related to Anonymisationedps.europa.eu.
• Mattos Filho Hukuk Bürosu, Consultation on anonymization, pseudonymization… in Brazil (8 Şubat 2024)mattosfilho.com.br.