Teknik tedbir: veri maskeleme, kişisel verilerin belli alanlarının silinerek, değiştirilerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Veri maskeleme; yazılım testi, eğitim ve gerçek verileri gerektirmeyen diğer amaçlar için kullanabileceğiniz kurumsal verilerinizin sentetik bir sürümünü oluşturmanıza olanak tanır. Amaç, gerektiğinde işlevsel bir alternatif sunarken aynı zamanda verileri korunmasını sağlamaktır.
Veri maskeleme, veri türünü korur ancak değerleri değiştirir. Veriler, şifreleme, karakter karıştırma ve karakter veya sözcük değiştirme dahil olmak üzere çeşitli şekillerde değiştirilebilir. Maskeleme yöntemi sırasında değerleri tersine mühendislik uygulanamayacak şekilde oluşturmanız önemlidir.
Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12.nci maddesi’nin birinci fıkrası uyarınca veri sorumlusu kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Veri Güvenliği Rehberi (“Rehber”) hazırlanmıştır. Veri maskeleme yöntemi veri sorumlusu tarafından alınması gereken bir tedbir olduğu Rehber’in Teknik Tedbirler Özet Tablosu’nda öngörülmüştür.
Bu kapsamda teknik tedbir kapsamında veri maskeleme yöntemi uygulama alanı olarak birçok iş akışında karşımıza çıkabilir. Bunlardan bazıları şu şekildedir:
Kanun’un genel ilkelerinden “veri minimizasyonu” ilkesinin ve kişisel veri güvenliğinin sağlanması adına kurum çalışanlarının sadece görmesi gerektiği ve bilmesi gerektiği kadar veriye erişmesi gerekmektedir. Bu bağlamda kurum sistemleri üzerinde bulunan ilgili kişilere ait her bilgi çalışanın iş süreci ile bağdaşmamaktaysa, amaç ile bağdaşmayan kişisel veri alanlarının maskelenmesi gerekmektedir.
Kurul’un 01.10.2019 Tarihli ve 2019/294 sayılı Karar’ında da değindiği gibi eski kimliklerin arka yüzünde bulunan din ve kan grubu gibi özel nitelikli kişisel verilerin işlenilmesi sırasında ilgili kişilerden açık rıza alınması gereklidir. Açık rızası olmaksızın veri sorumlusu tarafından işlenen özel nitelikli kişisel verilerin kimlik belgesinin kaydı dışında herhangi bir amaç ile kullanılmaması gerekmektedir. Bu bağlamda açık rızası temin edilemeyen kimlik belgesindeki özel nitelikli veri alanlarının maskelenme ihtayacı doğacaktır. Özel nitelikli kişisel veriler için açık rıza alınıp kimlik bilgilerinin işlenildiği senaryoda da ise kurum çalışanlarının bu bilgileri görmeye ihtiyaç duymayacakları için yine “veri minimizasyonu” ilkesinin sağlanması adına söz konusu verilerin maskelenmesi gerekebilecektir.
Tüm bu hususlar dışında veri maskeleme tek başına yeterli bir tedbir olmayıp, optimal anlamda iş süreçlerine hakim olabilmek için maskelenen verilerin kişisel veri envanterlerinde ifade edilmesi, hassas ve kritik verilerin önceden belirlenmesi gibi farklı teknik ve idari tedbirlerin de alınması gereklidir.
Veri maskeleme hakkında daha farklı bilgiler için “Veri Maskeleme Nedir?” blog yazımızı okuyabilirsiniz.
Kaynak: KVKK, Kişisel Veri Güvenliği Rehberi
Veri Maskeleme Çözümümüzü İncelediniz Mi?
