Avrupa genel veri koruma tüzüğü kapsamında “kimlik kodlama” kavramı ve türk hukukuna uygulanması

Abstract

Dijitalleşme ile değişen hayatlarımızda, her türlü veriye ulaşımın kolaylaşması ile mahremiyet ve kişisel verilerin korunması en önemli odak noktalarımızdan biri haline gelmiştir. Veriye kolayca ulaşabilmek ilk başlarda olumlu görünse de bu kadar hızlı bir şekilde kendisine ait olmayan verilere de ulaşılabilmesi bireylerin özel hayatına ve kişisel güvenliğine tehdit oluşturmuş, devletleri bireyleri korumak amacıyla özel düzenlemeler yapmaya yönlendirmiştir. AB, 96/ 45/ EC sayılı AB direktifi ile kişiseleri korumaya çalışmışsa da üye ülkelerin iç mevzuatlarında kendilerince düzenlenen yasalar yeterli gelmemiş, 2018 tarihinde mevcut durumda en gelişmiş kişisel koruma düzenlemelerini içeren Avrupa Genel Veri Koruma Tüzüğü (GVKT)’nü kabul etmiştir. Türkiye ise 96/ 45/ EC sayılı AB direktifini temel alarak hazırladığı ve 2016 tarihinde yürürlüğe soktuğu Kişisel Verilerin Korunması Kanunu ile AB’den bir adım geri kalmıştır. Nitekim kişisel verilerin saklanması için kritik bir yere sahip olan “pseudonymization-kimlik kodlama” yöntemi KVKK’da kendine yer bulamamıştır. Tanımlayıcı bilgilerle verilerin bağının koparılması, tanımlayıcı bilgiler yerine kodlar tanımlanması ve tanımlayıcı verilerin farklı ve güvenilir bir yerde tutulmasını sağlayarak verinin kullanılabilirliği sağlayan kimlik kodlama yöntemi, GVKT kapsamında belirli alanlarda tercih edilen güvenilir bir saklama yöntemidir. Kişisel verilere tehdit oluşturan siber saldırılar, yetkisiz erişim, dijital dolandırıcılık gibi verilere yönelik tehditlere karşı verilerin güvenle kullanabilmesine imkân tanıyan kimlik kodlama Türk hukukunda kendine yer bulamamıştır. Bu çalışma ile kimlik kodlamanın uygulanması ile Türk Hukukuna girmeye çalıştığı sağlık verileri ve finansal verilere nasıl uygulanabileceği, bunlar dışında bulut bilişim, e-ticaret ve yurt dışına veri aktarımı başta olmak üzere başka alanlarda kimlik kodlama uygulamasının gerekliliği irdelenecektir.Privacy and protection of personal data have become one of the most important focus for us as a result of simplified access to all kinds of personal data in our daily lives, which has been continuously changed by the process of digitalization. Although simplified access to data seems positive at first, being able to access the data that does not belong to the data-holder so quickly has posed a threat to individuals’ private lives and personal security, and has required states to make special regulations to protect individuals. Although the EU tried to protect individuals with the EU Directive No. 96/ 45/ EC, the laws regulated by the member states in their domestic legislation were not sufficient, and the EU adopted the European General Data Protection Regulation (GDPR) in 2018, which contains the most advanced personal protection regulations under the current status. Turkey, on the other hand, is one step behind the EU with the Personal Data Protection Law, which was prepared based on the EU Directive No. 96/ 45/ EC and entered into force in 2016. As a matter of fact, the“pseudonymization”, which has a critical place for storing personal data, could not find a place in the PDPL.Pseudonymization which ensures the usability of data by breaking the link between identifying information and data, defining codes instead of identifying information, and keeping identifying data in a different and reliable place, is a reliable storage method preferred in certain areas within the scope of GDPR. Pseudonymization, which allows the safe use of data without posing a threat to personal data, has not found a place in Turkish law other than health data and banking data. In this study, the application of identity pseudonymization and how it can be applied to health data and financial data that are trying to be included in Turkish Law, as well as the necessity of applying pseudonymizatiın in other areas, especially cloud computing, ecommerce and international data transfer, will be examined.