Web’de Kişisel Veri Nasıl Paylaşılır?

Son zamanlarda sıkça duymaya başladığımız “Kişisel Veri”ler, spesifik olarak bir kişiyi adresleyen ad&soyad, TC Kimlik numarası gibi verilerdir. Bu bilgileri paylaşabilir miyiz; paylaşabilirsek nasıl? Kendi adımızı paylaştık diyelim, başkasının ad ve soyadını veya o kişi ile eşleştirdiğimiz farklı bilgileri paylaşabilir miyiz? Sağlık kayıtları, adres bilgisi, sınavda aldığı puan… Özetle webde Kişisel Veri Nasıl Paylaşılır? Kişisel verileri en doğru paylaşma yolu, kimlik doğrulama ile ancak ilgili kişinin görmesini sağlamaktır. Bunun dışında maskelemek ve anonim hale getirmek de çözümler arasındadır.

Kişisel Verileri Koruma Kurumunun, Kişisel verilerin Web ortamında, herkese açık şekilde paylaşılması ile ilgili eşleştirebildiğim 3 kararı var. Kararların detayına geçmeden, özetle Kurul der ki; Web’de gerçek kişiye (sana, bana) ait kişisel veri paylaşılacaksa:

1. Kişisel veri, kimlik doğrulama sonrasında, ancak ilgili kişi tarafından görüntülenebilmeli veya,
2. Kişisel veri maskelenmeli ki; sadece kişi kendi verisini okuyup anlamlandırabilsin,
3. Kişisel veri anonim hale getirmeli ki; başka verilerle eşleştirilerek dahi bir gerçek kişiyle ilişkilendirilemesin.

Şimdi, Kurumun, Kişisel verilerin web ortamında, herkese açık şekilde paylaşılması ile ilgili verdiği 3 karar özetini detaylıca inceleyelim ki; alacağımız önlemlerde,

• ne aşırıya gidelim ve maliyetli çözümler(çok adam*günlü projeler, pahalı programlar) oluşturalım,
• ne de boşluk bırakalım ve kişisel verileri koruyamayıp para ve itibar kaybı yaşayalım.

1. Mimar Sinan Güzel Sanatlar Üniversitesi’nde Sınav Sonuçları | 01/07/2019 | 2019/188

Mimar Sinan Güzel Sanatlar Üniversitesinde sınava girmiş kişilerin sınav sonuçları, Yükseköğretim Kurulunun sınav sonuçlarına ilişkin düzenlemeleri çerçevesinde, internette yayınlanıyor. Üniversite bitirilmiş, aradan yıllar geçmiş olsa dahi sonuçlara internette herkes ulaşabiliyor.

Kişisel Verileri Koruma Kurulu’na bu konuda bir şikayet gidiyor. Kurul da Üniversite’den bu konuda bilgi talep ediyor. Üniversite zamanında dönüş yapmasa da, yaptığı dönüşte:

“Üniversiteler sınav sonuçlarını ne şekilde duyurması ve bu sonuçları ne kadar süre ile erişime açık tutması gerektiğine ilişkin düzenlenmelerin Üniversitelerin kendi mevzuatlarında yer aldığı ve konuya ilişkin karar verme yetkisinin de Üniversitelerdedir.”

Mimar Sinan Güzel Sanatlar Üniversitesi

diyor. Ve Kurul cevabı da şu şekilde oluyor:

Sınav sonuç duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde Üniversitenin talimatlandırılmasına karar verilmiştir.

Kişisel Verileri Koruma Kurumu

Bu örnekte Üniversite yalnızca geç cevap döndüğü için ceza alıyor; ancak benzer bir durumda sizin firmanız kişisel veriyi yayımlıyor olsaydı bu kadar şanslı olmazdınız. Bu kurul karar özetinden öğrendiğimiz 2 önemli madde:

• Sınav sonuçları kişisel veri niteliğindedir,
• Sınav sonuçları, vb. kişisel veriler, web’de sadece sınava giren bireyle (Doğrulama yapılarak) paylaşılmalıdır.

2. Öğretim/Araştırma Görevlisi Aday Puanı | 26/12/2019 | 2019/389

Öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda, adaylardan talep edilen kişisel veri niteliğindeki bilgiler(değerlendirme puanları) internet ortamında yayımlanmakta. Rıza alınmadan yapılan bu uygulama hakkında Kurul’un görüşü soruluyor.

Kurul, ilk karar özetindeki doğrulama sonrası görülebilmesi yanında, ikinci bir öneri olarak maskelemeyi işaret ediyor. “A**** B**** , 11*******11” şeklinde yıldızlanarak ad & soyad, T.C. kimlik numarası gibi verilerin, kişiyi belirlenebilir kılması yerine, kişinin sadece kendisinin anlayabileceği şekilde gösterilmesini öneriyor. 

3. Market Zinciri Sadakat Kartı | 25/03/2019 | 2019/82

Alışveriş sırasında indirim veya puan biriktirme avantajı sağlayan sadakat kart ile ilgili gelen bir şikayette, şirketin savunmasında geçen anonimleştirmeye göz atalım bu örnekle. Aslında bu örnekteki ana konu olan “Verilen hizmetin “Açık Rıza” şartına bağlanmaması gerektiği”ni daha sonra inceleyeceğiz.

Şirket savunmasında, kişisel verileri anonim hale getirerek sosyal paylaşım sitesine aktardığını söylüyor. Kurul da nazikçe; “iyi tamam da, kişisel bilgileri (Alışveriş bilgisi, isim, soyisim, rumuz, cep telefon numaraları, e-mail,vb.) ve lokasyon bilgisini; mal ve hizmet tanıtmak, müşteri memnuniyeti ve bilgilendirmesi gerçekleştirmek, pazarlama ve reklam hizmetleri yapmak için kullanıyorsan, bilgileri başka verilerle eşleştirip gerçek kişi ile ilişkilendiriyorsun demektir. Bu da anonim hale getirmek anlamına gelmez” diyor.

1. Web sitesinde (Buna sosyal paylaşım platformlarını da ekleyebiliriz) paylaşım yapmaya yetkili kişi ve departmanlar kişisel bilgileri nasıl ve ne şekilde paylaşabileceği ile ilgili bilgilendirilmeli ve eğitim almalılar,
2. Web sitesinde (Buna sosyal paylaşım platformlarını da ekleyebiliriz) yapılacak paylaşımların içeriği kişisel bilgi paylaşımı yapılıp yapılmadığına göre detaylı olarak incelenmeli,
3. Kişisel Verilerin Web ortamında paylaşılması söz konusu olduğunda maskelemek daha az maliyetli çözüm olabilir. Liste kişinin kendisini bulabileceği şekilde listelenir ve bu liste amacını karşıladıktan sonra kaldırılırsa, maliyetli yollara gidilmeden konu çözümlenecektir. Liste hazırlanırken, aynı kayıttan 2 adet olmamasına dikkat edilmelidir(Örn: A*** Y*** 1**, Ahmet Yılmaz da olabilir, Anıl Yavaş da. Ve TC No’ları da 1 ile başlayabilir. Bu durumda isimden bir karakter daha veya TC’den bir rakam daha açılmalıdır).
4. Kişisel Verilerin Web ortamında paylaşılmasının diğer bir yolu ise doğrulama ile kişinin yalnızca kendisinin veriye ulaştığından emin olmaktır. Bunu sağlamak biraz daha maliyetli olabilir. İlgili kişilere geçici veya kalıcı kullanıcı açmak, şifre vermek ve bu şifreleri saklamak, telefon veya maille doğrulama yapılacaksa bu verileri de sistemde tutmak ve güvenliğinden emin olmak, SMS maliyeti ve bu çözümlerin yazılması/satın alınması gibi konuları çözmek gerekecektir.
5. Üçüncü ve son seçenekse Anonim hale getirme. Anonim hale getirme aslında “silme”nin farklı bir boyutu. Bir kaç yazıda daha çıkacak karşımıza ve çıktığı yerlerde hep göreceğiz ki; silme’nin hemen yanında kullanılıyor. Anonim hale getirilen veri kullanılacak veya webde yayımlanacaksa, bu veri başka verilerle eşleştirilerek, gerçek kişiye ulaşılamamalıdır. Doğal olarak kişiye özel bir pazarlama, reklam, mal/hizmet tanıtımı da yapılamıyor olmalıdır.