outlined-globe-glyph

Teknik Tedbir: Veri Maskeleme

teknik tedbir veri maskeleme

Share This Post

Teknik tedbir: veri maskeleme, kişisel verilerin belli alanlarının silinerek, değiştirilerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Veri maskeleme; yazılım testi, eğitim ve gerçek verileri gerektirmeyen diğer amaçlar için kullanabileceğiniz kurumsal verilerinizin sentetik bir sürümünü oluşturmanıza olanak tanır. Amaç, gerektiğinde işlevsel bir alternatif sunarken aynı zamanda verileri korunmasını sağlamaktır.

Veri maskeleme, veri türünü korur ancak değerleri değiştirir. Veriler, şifreleme, karakter karıştırma ve karakter veya sözcük değiştirme dahil olmak üzere çeşitli şekillerde değiştirilebilir. Maskeleme yöntemi sırasında değerleri tersine mühendislik uygulanamayacak şekilde oluşturmanız önemlidir.

Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12.nci maddesi’nin birinci fıkrası uyarınca veri sorumlusu kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Veri Güvenliği Rehberi (“Rehber”) hazırlanmıştır. Veri maskeleme yöntemi veri sorumlusu tarafından alınması gereken bir tedbir olduğu Rehber’in Teknik Tedbirler Özet Tablosu’nda öngörülmüştür.

Bu kapsamda teknik tedbir kapsamında veri maskeleme yöntemi uygulama alanı olarak birçok iş akışında karşımıza çıkabilir. Bunlardan bazıları şu şekildedir:

Kanun’un genel ilkelerinden “veri minimizasyonu” ilkesinin ve kişisel veri güvenliğinin sağlanması adına kurum çalışanlarının sadece görmesi gerektiği ve bilmesi gerektiği kadar veriye erişmesi gerekmektedir. Bu bağlamda kurum sistemleri üzerinde bulunan ilgili kişilere ait her bilgi çalışanın iş süreci ile bağdaşmamaktaysa, amaç ile bağdaşmayan kişisel veri alanlarının maskelenmesi gerekmektedir.

Kurul’un 01.10.2019 Tarihli ve 2019/294 sayılı Karar’ında da değindiği gibi eski kimliklerin arka yüzünde bulunan din ve kan grubu gibi özel nitelikli kişisel verilerin işlenilmesi sırasında ilgili kişilerden açık rıza alınması gereklidir. Açık rızası olmaksızın veri sorumlusu tarafından işlenen özel nitelikli kişisel verilerin kimlik belgesinin kaydı dışında herhangi bir amaç ile kullanılmaması gerekmektedir. Bu bağlamda açık rızası temin edilemeyen kimlik belgesindeki özel nitelikli veri alanlarının maskelenme ihtayacı doğacaktır. Özel nitelikli kişisel veriler için açık rıza alınıp kimlik bilgilerinin işlenildiği senaryoda da ise kurum çalışanlarının bu bilgileri görmeye ihtiyaç duymayacakları için yine  “veri minimizasyonu” ilkesinin sağlanması adına söz konusu verilerin maskelenmesi gerekebilecektir.


Tüm bu hususlar dışında veri maskeleme tek başına yeterli bir tedbir olmayıp, optimal anlamda iş süreçlerine hakim olabilmek için maskelenen verilerin kişisel veri envanterlerinde ifade edilmesi, hassas ve kritik verilerin önceden belirlenmesi  gibi farklı teknik ve idari tedbirlerin de alınması gereklidir.

Veri maskeleme hakkında daha farklı bilgiler için “Veri Maskeleme Nedir?” blog yazımızı okuyabilirsiniz.

Kaynak: KVKK, Kişisel Veri Güvenliği Rehberi


Veri Maskeleme Çözümümüzü İncelediniz Mi?

iletişime geçin
teknik-tedbir-veri-maskeleme

More To Explore

Yapay Zeka (AI) Yasal Uyumluluk
Makaleler

Yapay Zeka (AI) Teknolojisi İle Yasal Uyumluluk

Yapay zeka, sürücüsüz arabalardan akıllı sohbet robotlarına kadar yaşama ve çalışma şeklimizde devrim yaratıyor! Dünya yaşama ve çalışma şeklimizde büyük bir değişimin eşiğindeyken, yapay zeka

Transfer of Personal Data
En Son Gelişmeler

EU ve UK GDPR Kapsamında Kişisel Veri Aktarımı

EU GDPR ve UK GDPR Kapsamında Sınır Ötesi Veri Aktarımı Etki Değerlendirmesi EU GDPR Kapsamında Kişisel Verilerin Aktarılması GDPR madde 44 ve 50, kişisel verilerin