Yeni - Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi

SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ -- 1 of 63 -- -- 2 of 63 -- 1 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ 71 -- 3 of 63 -- 2 2 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ KVKK Yayınları No: 71 Nisan 2025, Ankara KİŞİSEL VERİLERİ KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr -- 4 of 63 -- 3 “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu -- 5 of 63 -- -- 6 of 63 --

çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu -- 5 of 63 -- -- 6 of 63 -- 5 İÇİNDEKİLER ÖZET ................................................................................................................9 ABSTRACT ........................................................................................................9 I. GİRİŞ ............................................................................................................ 11 1.1. Amaç ve Dayanak ...............................................................................11 1.2. Kapsam ................................................................................................ 12 1.3. Tanımlar .............................................................................................. 12 II. KİŞİSEL VERİLERİN SİLİNMESİ VE YOK EDİLMESİ..............................14 2.1. Kişisel Verilerin Silinmesi ............................................................... 14 2.1.1. Kişisel Verilerin Silinmesi Süreci .............................................. 14 2.1.2. Kişisel Verilerin Silinmesi Yöntemleri ..................................... 15 a) Hizmet Olarak Uygulama Türü Bulut Çözümleri (Ofice 365, Salesforce, Dropbox gibi) ................................. 15 b) Kağıt Ortamında Bulunan Kişisel Veriler ............................ 15 c) Merkezi Sunucuda Yer Alan Ofis Dosyaları ..........................17 ç) Taşınabilir Medyada Bulunan Kişisel Veriler ......................17 d) Veri Tabanları ..............................................................................17 2.2. Kişisel Verilerin Yok Edilmesi ........................................................17 2.2.1. Kişisel Verilerin Yok Edilmesi Yöntemleri .......................17 a) Yerel Sistemler ............................................................... 18 b) Çevresel Sistemler ..........................................................20 c) Kağıt ve Mikrofiş Ortamları ......................................... 22 ç) Bulut Ortamı ..................................................................... 22 III. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ .............................25 3.1. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri ........... 25 -- 7 of 63 --

b) Çevresel Sistemler ..........................................................20 c) Kağıt ve Mikrofiş Ortamları ......................................... 22 ç) Bulut Ortamı ..................................................................... 22 III. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ .............................25 3.1. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri ........... 25 -- 7 of 63 -- 6 6 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ 3.1.1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri ...................................................................................... 27 a) Değişkenleri Çıkartma .......................................................... 27 b) Kayıtları Çıkartma ..................................................................28 c) Bölgesel Gizleme ....................................................................28 ç) Genelleştirme ..........................................................................30 d) Alt ve Üst Sınır Kodlama ......................................................30 e) Global Kodlama ..................................................................... 32 f) Örnekleme ................................................................................34 3.1.2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri ......................................................................................34 a) Mikro Birleştirme ..................................................................... 35 b) Veri Değiş Tokuşu .....................................................................36 c) Gürültü Ekleme..........................................................................38 3.1.3. Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler .......................................................................................39 a) K-Anonimlik ................................................................................39 b) L-Çeşitlilik ................................................................................... 41 c) T-Yakınlık .....................................................................................45 3.2. Anonim Hale Getirme Yönteminin Seçilmesi ..........................46 3.3. Anonimlik Güvencesi ...................................................................... 47 3.4. Anonim Hale Getirilmiş Verilerin Tersine İşlem İle Anonimleştirmenin Bozulmasına Dair Riskler .........................48 IV. REHBER HAZIRLANIRKEN FAYDALANILAN KAYNAKLAR VE İNCELENMESİNİN UYGUN OLACAĞI DEĞERLENDİRİLEN DOKÜMANLAR .........................................................................................53 -- 8 of 63 --

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 7 ŞEKİL, RESİM ve TABLOLAR Şekiller Listesi Şekil 2.1. Kişisel Verilerin Silinmesi Süreci ....................................... 15 Resimler Listesi Resim 2.1. Kişisel Verilerin Karartılması Örneği .............................. 16 Resim 2.2. Degausser Cihazı ................................................................. 18 Resim 2.3. Fiziksel Yok Etme ................................................................. 19 Resim 2.4. Üzerine Yazma ......................................................................20 Tablolar Listesi Tablo 3.1. Anonim Hale Getirme Yöntemleri ........................................ 26 Tablo 3.2. Değişkenleri Çıkartma Örneği.................................................27 Tablo 3.3. Kayıtları Çıkartma Örneği ........................................................ 28 Tablo 3.4. Bölgesel Gizleme Orijinal Veri Kümesi ................................ 29 Tablo 3.5. Bölgesel Gizleme Sonrası Dağılım ........................................ 30 Tablo 3.6. Alt ve Üst Sınır Kodlama Orijinal Veri Kümesi....................31 Tablo 3.7. Alt ve Üst Sınır Kodlama Sonrası Anonim Hale Getirilmiş Veri Kümesi .............................................................. 32 Tablo 3.8. Global Kodlama Orijinal Veri Kümesi .................................. 33 Tablo 3.9. Global Kodlama Sonrası Anonim Hale Getirilmiş Veri Kümesi ................................................................................. 33 Tablo 3.10. Mikro Birleştirme Orijinal Veri Kümesi ............................... 35 Tablo 3.11. Mikro Birleştirme Sonucu Elde Edilen Yeni Veri Kümesİ . 36 Tablo 3.12. Veri Değiş Tokuşu Orijinal Veri Kümesi ................................37 Tablo 3.13. Veri Değiş Tokuşu Sonucu Elde Edilen Yeni Veri Kümesi .37 Tablo 3.14. Gürültü Ekleme Orijinal Veri Kümesi ................................... 38 Tablo 3.15. Gürültü Ekleme Sonucu Elde Edilen Veri Kümesi ............ 38 Tablo 3.16. K-Anonimlik Orijinal Veri Kümesi .........................................40 Tablo 3.17. K-Anonimlik Uygulanmış Veri Kümesi..................................41 Tablo 3.18. L-Çeşitlilik Orijinal Veri Kümesi ............................................. 42 Tablo 3.19. K=4 Anonimleştirme Uygulanmış Veri Kümesi ................. 43 Tablo 3.20. K=4 Anonimlik ve L=3 Çeşitlilik Uygulanması Sonucu Elde Edilen Yeni Veri Kümesi .................................................44 Tablo 3.21.

Tablo 3.22. T-Yakınlık Sonucu Elde Edilen Veri Kümesi........................46

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERI -- 10 of 63 -- 9 ÖZET Bu Rehber; 6698 sayılı Kişisel Verilerin Korunması Kanununa (“Kanun”) ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin or- tadan kalkması halinde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başlıca yöntemleri açıklamaktadır. Rehberde silme ve yok etme yöntemleri kişisel verilerin işlen- diği ve bulunduğu ortam dikkate alınarak ayrı ayrı açıklanmış, anonim hale getirme yöntemleri ve anonimliğin bozulması ise uygulama örnekleri ile birlikte detaylı olarak açıklanmıştır. Anahtar Kelimeler: Kişisel veriler, silme, yok etme, anonim hale getirme, anonimliğin bozulması. ABSTRACT This Guide explains the major methods for the erasure, dest- ruction or anonymization of personal data processed in ac- cordance with the provisions of the Law on the Protection of Personal Data (Law No. 6698) and other relevant legislation, providing that no reason for processing that data is lef. In the Guide, the erasure and destruction methods, conside- ring the environment in which the personal data is processed and stored are explained separately. Besides, anonymization methods and de-anonymization are covered in detail along with the examples of implementation. Key Words: Personal data, erasure, destruction, anonymizati- on, de-anonymization. -- 11 of 63 -- 10 -- 12 of 63 --

providing that no reason for processing that data is lef. In the Guide, the erasure and destruction methods, conside- ring the environment in which the personal data is processed and stored are explained separately. Besides, anonymization methods and de-anonymization are covered in detail along with the examples of implementation. Key Words: Personal data, erasure, destruction, anonymizati- on, de-anonymization. -- 11 of 63 -- 10 -- 12 of 63 -- 11 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ I. GİRİŞ 1.1. Amaç ve Dayanak Kanunun 7 nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer al- maktadır. Bu hüküm ve Kanunun 22 nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) ta- rafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlan- mış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır. Bu Yönetmeliğe dayanarak söz konusu işlemlerin nasıl yapıla- cağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Si- linmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) hazırlanmış ve kamuoyuna sunulmuştur. -- 13 of 63 --

örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Si- linmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi (“Rehber”) hazırlanmış ve kamuoyuna sunulmuştur. -- 13 of 63 -- 12 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ 12 1.2. Kapsam Rehberin; Birinci bölümü giriş bölümü olup; bu bölümde rehberin ha- zırlanmasının amacına, dayanağına, rehberin kapsamına ve tanımlara yer verilmiştir. İkinci bölümünde kişisel verilerin silinmesi, silme işlemi yön- temleri ve süreci ile kişisel verilerin yok edilmesi ve buna iliş- kin yöntemler açıklanmıştır. Üçüncü bölümünde, kişisel verilerin anonim hale getirilmesi ile buna ilişkin yöntemler ve söz konusu yöntemlerin nasıl seçileceği, anonimliğin güvencesi ve anonimliğin bozulmasına dair riskler açıklanmıştır. Dördüncü bölümünde, rehber hazırlanırken faydalanılan kay- naklara ve incelenmesinin uygun olacağı değerlendirilen do- kümanlara yer verilmiştir. 1.3. Tanımlar Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıl- dığı gerçek veya tüzel kişi kategorisini, Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, -- 14 of 63 --

kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, -- 14 of 63 -- 13 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 13 İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç ol- mak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri, İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korun- ması Kanununu, Karartma: Kişisel verilerin bütününün, kimliği belirli veya be- lirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri, Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhan- gi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olma- yan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şe- kilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri, -- 15 of 63 --

işlemi için dayanak yaptıkları politikayı, Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şe- kilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri, -- 15 of 63 -- 14 14 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapı- landırılarak işlendiği kayıt sistemini, ifade eder. Bu Rehberde yer almayan tanımlar için Kanun ve Yönetmelik- teki tanımlara başvurulabilir. II. KİŞİSEL VERİLERİN SİLİNMESİ VE YOK EDİLMESİ Kişisel verilerin silinmesi ve yok edilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıda açıklanacak yöntemlerle gerçekleştirilebilir. 2.1. Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getiril- mesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. 2.1.1. Kişisel Verilerin Silinmesi Süreci Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir: • Silme işlemine konu teşkil edecek kişisel verilerin belirlen- mesi. • Erişim yetki ve kontrol matrisi ya da benzer bir sistem kul- lanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi. -- 16 of 63 --

Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir: • Silme işlemine konu teşkil edecek kişisel verilerin belirlen- mesi. • Erişim yetki ve kontrol matrisi ya da benzer bir sistem kul- lanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi. -- 16 of 63 -- 15 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 15 • İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi. • İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması. 01 02 03 04 Silinecek Verilerin Tesbiti İlgili Kullanıcıların Tesbiti Verilerin Silinmesi Erişimin Kaldırılması Kullanıcıların Erişim Yöntemlerinin Tesbiti Şekil 2.1. Kişisel Verilerin Silinmesi Süreci 2.1.2. Kişisel Verilerin Silinmesi Yöntemleri Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmeleri gerekir. Buna ilişkin örnekler aşağıda yer almaktadır: a) Hizmet Olarak Uygulama Türü Bulut Çözümleri (Ofice 365, Salesforce, Dropbox gibi) Bulut sisteminde veriler silme komutu verilerek silinmeli- dir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin ol- madığına dikkat edilmelidir. b) Kağıt Ortamında Bulunan Kişisel Veriler Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerin- deki kişisel verilerin, mümkün olan durumlarda kesilmesi, -- 17 of 63 --

madığına dikkat edilmelidir. b) Kağıt Ortamında Bulunan Kişisel Veriler Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerin- deki kişisel verilerin, mümkün olan durumlarda kesilmesi, -- 17 of 63 -- 16 16 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mü- rekkep kullanılarak ilgili kullanıcılara görünemez hale geti- rilmesi şeklinde yapılır. Örneğin aşağıda Resim 2.1’de yer alan dilekçeden görüleceği üzere, kişisel verilerinin silinmesi talebiyle veri sorumlusuna başvurduğu halde sonuç alamayan bir kişinin Kurumumuza vermiş olduğu dilekçenin bir örneği paylaşılmak istendiğinde; anılan dilekçedeki kişisel verilerin korunması için bu kişisel verilerin üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek bir tür karartma işlemi uygulanmıştır. Resim 2.1. Kişisel Verilerin Karartılması Örneği -- 18 of 63 --

vermiş olduğu dilekçenin bir örneği paylaşılmak istendiğinde; anılan dilekçedeki kişisel verilerin korunması için bu kişisel verilerin üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek bir tür karartma işlemi uygulanmıştır. Resim 2.1. Kişisel Verilerin Karartılması Örneği -- 18 of 63 -- 17 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 17 c) Merkezi Sunucuda Yer Alan Ofis Dosyaları Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcı- nın erişim haklarının kaldırılması gerekir. Anılan işlem gerçek- leştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmelidir. ç) Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli ola- rak saklanmalı ve bu ortamlara uygun yazılımlar kullanılarak silinmelidir. d) Veri Tabanları Kişisel verilerin bulunduğu ilgili satırların veri tabanı komut- ları ile (DELETE vb.) silinmesi gerekir. Anılan işlem gerçekleş- tirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir. 2.2. Kişisel Verilerin Yok Edilmesi Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse ta- rafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. 2.2.1. Kişisel Verilerin Yok Edilmesi Yöntemleri Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin -- 19 of 63 --

verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. 2.2.1. Kişisel Verilerin Yok Edilmesi Yöntemleri Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin -- 19 of 63 -- 18 18 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ türüne göre aşağıda yer verilen yöntemlerden bir ya da birka- çının kullanılmasıyla tek tek yok edilmesi gereklidir: a) Yerel Sistemler Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılabilir. i- De-manyetize Etme: Manyetik medyanın özel bir cihaz- dan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz bi- çimde bozulması işlemidir. Resim 2.2. Degausser Cihazı ii- Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fi- ziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişil- mez kılınması sağlanır. Katı hal diskler bakımından üzerine -- 20 of 63 -- 19 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 19 yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir. Resim 2.3. Fiziksel Yok Etme -- 21 of 63 --

19 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 19 yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir. Resim 2.3. Fiziksel Yok Etme -- 21 of 63 -- 20 20 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ iii- Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önü- ne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanı- larak yapılmaktadır. Resim 2.4. Üzerine Yazma b) Çevresel Sistemler Ortam türüne bağlı olarak kullanılabilecek yok etme yöntem- leri aşağıda yer almaktadır: i- Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunma- maktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. -- 22 of 63 --

içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunma- maktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. -- 22 of 63 -- 21 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 21 ii- Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sa- hip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. iii- Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yön- temleriyle yok edilmesi gerekir. iv- Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardı- mı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir. v- Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşı- nabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. vi- Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yak- ma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir. -- 23 of 63 --

bulunmamaktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. vi- Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yak- ma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir. -- 23 of 63 -- 22 22 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ vii) Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt or- tamlarının söküldüğü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanıl- mak suretiyle yok edilmesi gerekir. viii) Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı ge- çiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme ko- mutu bulunmamaktadır. (a)’da belirtilen uygun yöntem- lerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir. c) Kağıt ve Mikrofiş Ortamları Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parça- lara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama ak- tarılan kişisel verilerin ise bulundukları elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanıl- mak suretiyle yok edilmesi gerekir. ç) Bulut Ortamı Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi -- 24 of 63 --

(a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanıl- mak suretiyle yok edilmesi gerekir. ç) Bulut Ortamı Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi -- 24 of 63 -- 23 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 23 ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi ge- rekir. Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gön- derilen cihazlarda yer alan kişisel verilerin yok edilmesi işlem- leri ise aşağıdaki şekilde gerçekleştirilir: i) İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntem- lerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi, ii) Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı di- ğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi, iii) Dışarıdan bakım, onarım gibi amaçlarla gelen persone- lin, kişisel verileri kopyalayarak kurum dışına çıkartma- sının engellenmesi için gerekli önlemlerin alınması, gerekir. -- 25 of 63 -- 24 -- 26 of 63 --

ğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi, iii) Dışarıdan bakım, onarım gibi amaçlarla gelen persone- lin, kişisel verileri kopyalayarak kurum dışına çıkartma- sının engellenmesi için gerekli önlemlerin alınması, gerekir. -- 25 of 63 -- 24 -- 26 of 63 -- 25 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 25 III. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ Kişisel verilerin anonim hale getirilmesi, kişisel verilerin baş- ka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale ge- tirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel ve- rilerin, veri sorumlusu veya alıcı grupları tarafından geri dön- dürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Veri sorumlusu, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki yöntemlerle gerçekleştirilir. 3.1. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/ veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, il- gili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş -- 27 of 63 --

grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş -- 27 of 63 -- 26 26 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gel- miştir ve kişiyle bağlantısı kopartılmıştır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutuldu- ğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ kopar- ma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir. Örnek alınabilecek anonim hale getirme yöntemleri aşağıdaki tabloda gösterilmektedir: Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri • Değişkenleri Çıkartma • Kayıtları Çıkartma • Bölgesel Gizleme • Genelleştirme • Alt ve Üst Sınır Kodlama • Global Kodlama • Örnekleme Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri • Mikro Birleştirme • Veri Değiş Tokuşu • Gürültü Ekleme Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler • K-Anonimlik • L-Çeşitlilik • T-Yakınlık Tablo 3.1. Anonim Hale Getirme Yöntemleri -- 28 of 63 --

• Mikro Birleştirme • Veri Değiş Tokuşu • Gürültü Ekleme Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler • K-Anonimlik • L-Çeşitlilik • T-Yakınlık Tablo 3.1. Anonim Hale Getirme Yöntemleri -- 28 of 63 -- 27 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 27 3.1.1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri Değer düzensizliği sağlamayan yöntemlerde kümedeki ve- rilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır. Böylelikle verinin genelinde değişiklik yaşanırken, alanlardaki değerler orijinal hallerini korurlar. Değer düzensizliği sağlamayan ano- nim hale getirme yöntemlerinden bazıları aşağıda örneklerle açıklanmıştır: a) Değişkenleri Çıkartma Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tama- mıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi se- beplerle kullanılabilir. Yaş Cinsiyet Posta Kodu Gelir Din 20 K SO17 20,000 Budist 38 E SO18 22,000 Müslüman 29 E SO16 32,000 Hristiyan 31 K SO17 31,000 Müslüman 44 K SO15 68,000 Yahudi 78 E SO14 28,000 Yahudi Tablo 3.2. Değişkenleri Çıkartma Örneği -- 29 of 63 --

Yaş Cinsiyet Posta Kodu Gelir Din 20 K SO17 20,000 Budist 38 E SO18 22,000 Müslüman 29 E SO16 32,000 Hristiyan 31 K SO17 31,000 Müslüman 44 K SO15 68,000 Yahudi 78 E SO14 28,000 Yahudi Tablo 3.2. Değişkenleri Çıkartma Örneği -- 29 of 63 -- 28 28 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ b) Kayıtları Çıkartma Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri küme- sine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürüte- bileceği kayıtlardır. Örneğin anket sonuçlarının yer aldığı bir veri kümesinde, her- hangi bir sektörden yalnızca tek bir kişi ankete dahil edilmiş olsun. Böyle bir durumda tüm anket sonuçlarından “sektör” değişkenini çıkartmaktansa sadece bu kişiye ait kaydı çıkart- mak tercih edilebilir. Yaş Cinsiyet Doğum Yeri Sektör Derece 31 K İstanbul Mimarlık 3.22 31 E İstanbul Mimarlık 3.04 31 E Ankara Sanayi 3.22 43 K Ankara Sanayi 2.86 51 E Eskişehir Sanat 2,93 27 K İstanbul Ticaret 2.97 27 K Ankara Ticaret 2.98 Tablo 3.3. Kayıtları Çıkartma Örneği c) Bölgesel Gizleme Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli -- 30 of 63 --

27 K İstanbul Ticaret 2.97 27 K Ankara Ticaret 2.98 Tablo 3.3. Kayıtları Çıkartma Örneği c) Bölgesel Gizleme Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli -- 30 of 63 -- 29 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 29 bir kayda ait değerlerin yarattığı kombinasyon çok az görüle- bilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplu- lukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir. Örneğin Tablo 3.4’te yaş, cinsiyet ve meslek ayrımına göre HIV durumu görülmektedir. Bu tabloda Yaş=3 olan kayıt bir çocuğa ait olduğundan istisnai bir durum yaratmakta ve tahmin edile- bilirlik ve çocuğun ailesine dair varsayımlar yapılması riskini arttırmaktadır. Yaş Cinsiyet Meslek HIV Durumu 17 K Öğretmen Pozitif 28 E Mimar Negatif 16 E Öğretmen Pozitif 3 K - Pozitif 64 K Mühendis Pozitif 52 K Mühendis Pozitif Tablo 3.4. Bölgesel Gizleme Orijinal Veri Kümesi Bu sebeple; bölgesel gizleme yöntemi ile bahsedilen kaydın yaş hanesi “bilinmiyor” olarak değiştirilirse ve Tablo 3.5‘teki yeni durum elde edilirse, veri kümesine dair tahmin edilebi- lirlik riskinde azalma sağlanacaktır. -- 31 of 63 --

Bu sebeple; bölgesel gizleme yöntemi ile bahsedilen kaydın yaş hanesi “bilinmiyor” olarak değiştirilirse ve Tablo 3.5‘teki yeni durum elde edilirse, veri kümesine dair tahmin edilebi- lirlik riskinde azalma sağlanacaktır. -- 31 of 63 -- 30 30 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Yaş Cinsiyet Meslek HIV Durumu 17 K Öğretmen Pozitif 28 E Mimar Negatif 16 E Öğretmen Pozitif Bilinmiyor K - Pozitif 64 K Mühendis Pozitif 52 K Mühendis Pozitif Tablo 3.5. Bölgesel Gizleme Sonrası Dağılım ç) Genelleştirme İlgili kişisel veriyi özel bir değerden daha genel bir değere çe- virme işlemidir. Kümülatif raporlar üretirken ve toplam ra- kamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam de- ğerler veya istatistikleri gösterir. Örneğin TC Kimlik No 12345678901 olan bir kişi e-ticaret plat- formundan çocuk bezi aldıktan sonra aynı zamanda ıslak men- dil de almış olsun. Yapılacak anonim hale getirme işleminde genelleştirme yöntemi kullanılarak e-ticaret platformundan çocuk bezi alan kişilerin %xx’i aynı zamanda ıslak mendil de satın alıyor şeklinde bir sonuca ulaşılabilir. d) Alt ve Üst Sınır Kodlama Alt ve üst sınır kodlama yöntemi belli bir değişken için bir ka- tegori tanımlayarak bu kategorinin yarattığı gruplama içinde -- 32 of 63 --

çocuk bezi alan kişilerin %xx’i aynı zamanda ıslak mendil de satın alıyor şeklinde bir sonuca ulaşılabilir. d) Alt ve Üst Sınır Kodlama Alt ve üst sınır kodlama yöntemi belli bir değişken için bir ka- tegori tanımlayarak bu kategorinin yarattığı gruplama içinde -- 32 of 63 -- 31 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 31 kalan değerleri birleştirerek elde edilir. Genellikle belli bir de- ğişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir. Aşağıdaki örnekte Tablo 3.6 orijinal veri kümesini, Tablo 3.7 ise seçilen değişkenlerin alt ve üst sınır kodlaması yapılarak yeniden tasarlanmış ve anonim hale getirilmiş şeklini göster- mektedir. Yaş Cinsiyet Meslek Gelir (Yıllık) Test Sonucu Harcamalar (Aylık) 3 K Mühendis 92.000 Negatif 8.000 4 E Mimar 110.000 Negatif 9.600 4 E Doktor 149.000 Negatif 10.000 5 K Doktor 123.000 Pozitif 10.800 5 E Doktor 125.000 Negatif 11.100 2 E Eczacı 85.000 Pozitif 16.300 Tablo 3.6. Alt ve Üst Sınır Kodlama Orijinal Veri Kümesi Tablodaki Gelir ve Harcamalar değişkenlerine ait değerler alt ve üst sınır kodlama yöntemi ile aşağıdaki şekilde değiştirilir; Gelir (Yıllık): Düşük = 100.000’den küçük ve eşit değerler; Orta = 100.000 ve 120.000 arası değerler; Yüksek = 120.000’den büyük ve eşit değerler, Harcamalar (Aylık): Düşük = 10.000’den küçük ve eşit değerler; Orta = 10.000 ve 11.000 arası değerler; Yüksek = 11.000’den yüksek ve eşit değerler, -- 33 of 63 --

Orta = 100.000 ve 120.000 arası değerler; Yüksek = 120.000’den büyük ve eşit değerler, Harcamalar (Aylık): Düşük = 10.000’den küçük ve eşit değerler; Orta = 10.000 ve 11.000 arası değerler; Yüksek = 11.000’den yüksek ve eşit değerler, -- 33 of 63 -- 32 32 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Bu kodlamaya göre anonim hale getirilmiş tablo aşağıdaki şekli alacaktır. Yaş Cinsiyet Meslek Gelir (Yıllık) Test Sonucu Harcamalar (Aylık) 3 K Mühendis 92.000 Negatif Düşük 4 E Mimar 110.000 Negatif Düşük 4 E Doktor 149.000 Negatif Orta 5 K Doktor 123.000 Pozitif Orta 5 E Doktor 125.000 Negatif Yüksek 2 E Eczacı 85.000 Pozitif Yüksek Tablo 3.7. Alt ve Üst Sınır Kodlama Sonrası Anonim Hale Getirilmiş Veri Kümesi e) Global Kodlama Global kodlama yöntemi alt ve üst sınır kodlamanın uygulan- ması mümkün olmayan, sayısal değerler içermeyen veya nu- merik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir. Aşağıdaki örnekte Tablo 3.8 orijinal veri kümesini, Tablo 3.9 ise global kodlama uygulamasından sonraki anonim hale getiril- miş veri kümesini göstermektedir. -- 34 of 63 --

oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir. Aşağıdaki örnekte Tablo 3.8 orijinal veri kümesini, Tablo 3.9 ise global kodlama uygulamasından sonraki anonim hale getiril- miş veri kümesini göstermektedir. -- 34 of 63 -- 33 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 33 Cinsiyet Meslek İlçe Medeni Durumu K Mimar Çankaya Evli K Mühendis Çankaya Bekar K Mimar Çankaya Boşanmış K Mimar Çankaya Bekar K Mühendis Çankaya Bekar K Mühendis Çankaya Boşanmış K Mühendis Çankaya Evli Tablo 3.8. Global Kodlama Orijinal Veri Kümesi Bu veri kümesinde tek bir ilçedeki kadınların nüfusuna ait veri- nin meslek değişkeninde iki kategoride yığılma görüldüğünden söz konusu iki kategorinin birleşiminden tek bir kategori elde edilebilir ve bu durumda veri daha güvenli hale getirilmiş olur. Cinsiyet Meslek İlçe Medeni Durumu K Mimar veya Mühendis Çankaya Evli K Mimar veya Mühendis Çankaya Bekar K Mimar veya Mühendis Çankaya Boşanmış K Mimar veya Mühendis Çankaya Bekar K Mimar veya Mühendis Çankaya Bekar K Mimar veya Mühendis Çankaya Boşanmış K Mimar veya Mühendis Çankaya Evli Tablo 3.9. Global Kodlama Sonrası Anonim Hale Getirilmiş Veri Kümesi -- 35 of 63 --

K Mimar veya Mühendis Çankaya Boşanmış K Mimar veya Mühendis Çankaya Bekar K Mimar veya Mühendis Çankaya Bekar K Mimar veya Mühendis Çankaya Boşanmış K Mimar veya Mühendis Çankaya Evli Tablo 3.9. Global Kodlama Sonrası Anonim Hale Getirilmiş Veri Kümesi -- 35 of 63 -- 34 34 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ f) Örnekleme Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinme- diği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır. Örneğin; İstanbul ilinde yaşayan kadınların demografik bilgi- leri, meslekleri ve sağlık durumlarına dair bir veri kümesinin anonim hale getirilerek açıklanması ya da paylaşılması halinde İstanbul’da yaşadığı bilinen bir kadına dair ilgili veri küme- sinde taramalar yapmak ve tahmin yürütmek anlamlı olabilir. Ancak ilgili veri kümesinde yalnızca nüfusa kayıtlı olduğu il İstanbul olan kadınların kayıtları bırakılır, nüfus kaydı diğer illerde olanlar veri kümesinden çıkartılarak anonimleştirme uygulanır ve veri açıklanır ya da paylaşılırsa, veriye erişen kişi, İstanbul’da yaşadığını bildiği bir kadının nüfus kaydının İstan- bul’da olup olmadığını tahmin edemeyeceğinden tanıdığı bu kişiye ait bilgilerin elindeki verinin içerisinde yer alıp almadı- ğına dair güvenilir bir tahmin yürütemeyecektir. 3.1.2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıt- -- 36 of 63 --

3.1.2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıt- -- 36 of 63 -- 35 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 35 ların taşıdığı değerler değişmekte olduğundan veri kümesin- den elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir. Değer düzensizliği sağlayan anonim hale getirme yöntemlerin- den bazıları aşağıda örneklerle açıklanmıştır: Yaş Cinsiyet Posta Kodu Gelir 23 K 1556 25.000 37 K 1559 28.000 41 E 1559 37.000 25 K 1557 49.000 34 E 1558 56.000 48 E 1556 60.000 Tablo 3.10. Mikro Birleştirme Orijinal Veri Kümesi a) Mikro Birleştirme Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle an- lamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirle- nen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir. Aşağıdaki Tablo 3.10’daki kayıtlar “Gelir” sütunundaki değiş- kenler, değerlerine göre birbirine yakın olan üçerli gruplara -- 37 of 63 --

o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir. Aşağıdaki Tablo 3.10’daki kayıtlar “Gelir” sütunundaki değiş- kenler, değerlerine göre birbirine yakın olan üçerli gruplara -- 37 of 63 -- 36 36 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ ayrılmış ve gruplar renk kodlarıyla işaretlenmiştir. Her grup içindeki değerlerin aritmetik ortalaması alınmış ve gruptaki tüm kayıtlara, bulunan yeni değerler atanarak orijinal değeri tespit edebilmek engellenmiştir. Grup 1 için mikro birleştirme sonucunda yeni değer: (25.000 + 28.000 + 37.000) / 3 = 30.000 Grup 2 için mikro birleştirme sonucunda yeni değer: (49.000 + 56.000 + 60.000) / 3 = 55.000 Yaş Cinsiyet Posta Kodu Gelir 23 K 1556 30.000 37 K 1559 30.000 41 E 1559 30.000 25 K 1557 55.000 34 E 1558 55.000 48 E 1556 55.000 Tablo 3.11. Mikro Birleştirme Sonucu Elde Edilen Yeni Veri Kümesi b) Veri Değiş Tokuşu Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar ara- sında değiştirerek veri tabanının dönüştürülmesidir. -- 38 of 63 --

edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar ara- sında değiştirerek veri tabanının dönüştürülmesidir. -- 38 of 63 -- 37 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 37 Yaş Cinsiyet İl Gelir 21 K İstanbul 20.000 24 K Ankara 30.000 35 E İzmir 30.000 36 K İstanbul 25.000 45 E İzmir 55.000 50 E İzmir 15.000 Tablo. 3.12. Veri Değiş Tokuşu Orijinal Veri Kümesi Tablo 3.12 orijinal değerleri içeren kayıtlara sahiptir. Tablo 3.13’te veri değiş tokuşu işlemi sonucunda elde edilen yeni veri kümesini içermektedir. Söz konusu tablodan görüleceği üzere Yaş = “24”, Cinsiyet = “K”, İl = “Ankara” olan kayda ait gelir bilgisi ile Yaş = “45”, Cinsiyet = “E”, İl = “İzmir” olan kaydın gelir bilgisi birbirleriyle değiştirilmiştir. Aynı şekilde Yaş = “35”, Cin- siyet = “E”, İl = “İzmir” olan kayda ait gelir bilgisi ile Yaş = “50”, Cinsiyet = “E”, İl = “İzmir” olan kayıtların gelir bilgisi birbirleriyle değiştirilmiş ve yeni veri kümesi oluşturulmuştur. Yaş Cinsiyet İl Gelir 21 K İstanbul 25.000 24 K Ankara 55.000 35 E İzmir 15.000 36 K İstanbul 20.000 45 E İzmir 30.000 50 E İzmir 30.000 Tablo 3.13. Veri Değiş Tokuşu Sonucu Elde Edilen Yeni Veri Kümesi c) Gürültü Ekleme -- 39 of 63 --

Yaş Cinsiyet İl Gelir 21 K İstanbul 25.000 24 K Ankara 55.000 35 E İzmir 15.000 36 K İstanbul 20.000 45 E İzmir 30.000 50 E İzmir 30.000 Tablo 3.13. Veri Değiş Tokuşu Sonucu Elde Edilen Yeni Veri Kümesi c) Gürültü Ekleme -- 39 of 63 -- 38 38 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ c) Gürültü Ekleme Bu yöntem ile, seçilen bir değişkende belirlenen ölçüde bozul- malar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır. Yaş Cinsiyet İl Gelir 21 K İzmir 45.000 24 K Ankara 20.000 35 E Ankara 123.000 36 K Ankara 18.000 45 E İstanbul 75.000 50 E İstanbul 7.000 Tablo 3.14. Gürültü Ekleme Orijinal Veri Kümesi Tablo 3.14’teki gelir değişkenleri için her bir kaydın değerlerine +80.000 işlemi uygulanmış ve Tablo 3.15’teki yeni değişkenler oluşmuştur. Yaş Cinsiyet İl Gelir 21 K İzmir 125.000 24 K Ankara 100.000 35 E Ankara 203.000 36 K Ankara 98.000 45 E İstanbul 155.000 50 E İstanbul 87.000 Tablo 3.15. Gürültü Ekleme Sonucu Elde Edilen Veri Kümesi -- 40 of 63 --

oluşmuştur. Yaş Cinsiyet İl Gelir 21 K İzmir 125.000 24 K Ankara 100.000 35 E Ankara 203.000 36 K Ankara 98.000 45 E İstanbul 155.000 50 E İstanbul 87.000 Tablo 3.15. Gürültü Ekleme Sonucu Elde Edilen Veri Kümesi -- 40 of 63 -- 39 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 39 3.1.3. Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler Anonim hale getirilmiş veri kümelerinde kayıtlardaki bazı de- ğerlerin tekil senaryolarla bir araya gelmesi sonucunda, ka- yıtlardaki kişilerin kimliklerinin tespit edilmesi veya kişisel verilerine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple anonim hale getirilmiş veri kümelerinde çeşitli ista- tistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmek- tedir. Bu yöntemlerdeki temel amaç, anonimliğin bozulması riskini en aza indirirken, veri kümesinden sağlanacak faydayı da belli bir seviyede tutabilmektir. a) K-Anonimlik Anonim hale getirilmiş veri kümelerinde, dolaylı tanımlayıcı- ların doğru kombinasyonlarla bir araya gelmesi halinde kayıt- lardaki kişilerin kimliklerinin saptanabilir olması veya belirli bir kişiye dair bilgilerin rahatlıkla tahmin edilebilir duruma gelmesi anonim hale getirme süreçlerine dair olan güveni sarsmıştır. Buna istinaden çeşitli istatistiksel yöntemlerle ano- nim hale getirilmiş veri kümelerinin daha güvenilir duruma getirilmesi gerekmiştir. K-anonimlik, bir veri kümesindeki belirli alanlarla, birden faz- la kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını -- 41 of 63 --

nim hale getirilmiş veri kümelerinin daha güvenilir duruma getirilmesi gerekmiştir. K-anonimlik, bir veri kümesindeki belirli alanlarla, birden faz- la kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını -- 41 of 63 -- 40 40 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ engellemek için geliştirilmiştir. Bir veri kümesindeki değişken- lerden bazılarının bir araya getirilmesiyle oluşturulan kombi- nasyonlara ait birden fazla kayıt bulunması halinde, bu kom- binasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azalmaktadır. Örneğin; Tablo 3.16’da ad soyad, doğum tarihi, cinsiyet, hastalık ve posta kodu gibi değişkenler vardır. Ad Soyad Doğum Tarihi Cinsiyet Posta Kodu Hastalık Adı * 1983 E 3440* Soğuk Algınlığı * 1980 K 3440* Hepatit-B * 1983 E 3440* Astım * 1982 E 3440* Baş Ağrısı * 1982 E 3440* Beyin Tümörü * 1983 E 3440* Yüksek Tansiyon * 1983 E 3440* Baş Ağrısı * 1980 K 3440* Grip * 1983 E 3440* Akciğer Kanseri Tablo 3.16. K-Anonimlik Orijinal Veri Kümesi Tabloda ad-soyad ve posta kodu değişkenlerine dair değer- lerde maskeleme uygulanarak veri anonim hale getirilmiş olmakla birlikte böyle bir anonimleştirme yapılırken aynı de- ğerleri içeren sadece bir kayıt varsa bu kayıtla doğru kişiyi tespit mümkün olacaktır. Ancak kayıtların çoklanması halinde, tekillik yaratabilecek değişkenlere dair belli bir çeşitlilik sağ- lanmış olacaktır. Örneğin; Tablo 3.16’da 1983 yılında doğmuş, cinsiyeti erkek ve posta kodu 3440 ile başlayan 5 adet kayıt için -- 42 of 63 --

tespit mümkün olacaktır. Ancak kayıtların çoklanması halinde, tekillik yaratabilecek değişkenlere dair belli bir çeşitlilik sağ- lanmış olacaktır. Örneğin; Tablo 3.16’da 1983 yılında doğmuş, cinsiyeti erkek ve posta kodu 3440 ile başlayan 5 adet kayıt için -- 42 of 63 -- 41 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 41 “Hastalık Adı” alanında beş ayrı hastalık çeşitliliği sağlanmış olduğundan 1983 yılında doğmuş cinsiyeti erkek olan ve posta kodu 3440 ile başlayan bir kişinin bu 5 hastalıktan hangisine sahip olduğuna dair tahmin yürütmek mümkün değildir. Bu nedenle, Tablo 3.17’de olduğu gibi çerçeve içerisinde yer alan doğum tarihi, cinsiyet ve posta kodu verileri aynı değerleri içeren kayıtların açıklanması ya da paylaşılması halinde 1983 yılında doğmuş cinsiyeti erkek olan ve posta kodu 3440 ile başlayan bir kişinin bu 5 hastalıktan hangisine sahip olduğuna dair tahmin yürütmek mümkün değildir. Ad Soyad Doğum Tarihi Cinsiyet Posta Kodu Hastalık Adı * 1980 K 3440* Grip * 1980 K 3440* Hepatit-B * 1982 E 3440* Baş Ağrısı * 1982 E 3440* Beyin Tümörü * 1983 E 3440* Soğuk Algınlığı * 1983 E 3440* Yüksek Tansiyon * 1983 E 3440* Baş Ağrısı * 1983 E 3440* Astım * 1983 E 3440* Akciğer Kanseri Tablo 3.17. K=4 Anonimlik Uygulanmış Veri Kümesi b) L-Çeşitlilik K=4 anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L-çeşitlilik yöntemi aynı değişken kombinasyonlarına -- 43 of 63 --

* 1983 E 3440* Akciğer Kanseri Tablo 3.17. K=4 Anonimlik Uygulanmış Veri Kümesi b) L-Çeşitlilik K=4 anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L-çeşitlilik yöntemi aynı değişken kombinasyonlarına -- 43 of 63 -- 42 42 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır. Tablo 3.18’de, bir hastanede yatmakta olan kişilere ait hastalık bilgisi verilirken bu kişilerin ad soyad veya kimlik numarası verilmeyerek K-anonimlik uygulanmış olmakla bir- likte posta kodu, yaş ve etnik köken bilgisi paylaşılmış oldu- ğundan tespit edilebilme ihtimali bulunmaktadır. Posta Kodu Yaş Uyruk Hastalık 13053 28 Rus Kalp 13068 29 Amerikalı Kalp 13068 21 Çinli Viral Enfeksiyon 13053 23 Amerikalı Viral Enfeksiyon 14853 50 İngiliz Kanser 14853 55 Rus Kalp 14850 47 Amerikalı Viral Enfeksiyon 14850 49 Amerikalı Viral Enfeksiyon 13053 31 Amerikalı Kanser 13053 37 İngiliz Kanser 13068 36 Japon Kanser 13068 35 Amerikalı Kanser Tablo 3.18. L-Çeşitlilik Orijinal Veri Kümesi -- 44 of 63 --

14853 55 Rus Kalp 14850 47 Amerikalı Viral Enfeksiyon 14850 49 Amerikalı Viral Enfeksiyon 13053 31 Amerikalı Kanser 13053 37 İngiliz Kanser 13068 36 Japon Kanser 13068 35 Amerikalı Kanser Tablo 3.18. L-Çeşitlilik Orijinal Veri Kümesi -- 44 of 63 -- 43 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 43 Posta Kodu Yaş Uyruk Hastalık 130** < 30 * Kalp 130** < 30 * Kalp 130** < 30 * Viral Enfeksiyon 130** < 30 * Viral Enfeksiyon 1485* ≥ 40 * Kanser 1485* ≥ 40 * Kalp 1485* ≥ 40 * Viral Enfeksiyon 1485* ≥ 40 * Viral Enfeksiyon 130** 3* * Kanser 130** 3* * Kanser 130** 3* * Kanser 130** 3* * Kanser Tablo 3.19. K=4 Anonimleştirme Uygulanmış Veri Kümesi Tablo 3.19’dan görüleceği üzere, Tablo 3.18’de yer alan bilgiler maskeleme mantığı (posta kodu ve yaş bilgisinden maskele- meyle 4’erli gruplar yaratılmıştır) içerisinde gruplanarak önce- likle K=4 anonimlik yöntemiyle anonimliği kuvvetlendirilmiştir. Ancak ilk işlem sonucunda tablo 3.19’da görüleceği gibi son 4 kayıttaki grupta tüm “Hastalık” değerleri “Kanser” olarak grup- lanmıştır. Bu durum posta kodu 130 ile başlayan 30’lu yaşlar- daki herkesin uyruğundan bağımsız olarak “Kanser” hastası olduğu bilgisini paylaşmaktadır. Bu iki bilgiye sahip olan bir kullanıcı, tanıdığı bu özellikte bir kişinin kanser hastası olduğu sonucuna kolaylıkla varabilecek- -- 45 of 63 --

lanmıştır. Bu durum posta kodu 130 ile başlayan 30’lu yaşlar- daki herkesin uyruğundan bağımsız olarak “Kanser” hastası olduğu bilgisini paylaşmaktadır. Bu iki bilgiye sahip olan bir kullanıcı, tanıdığı bu özellikte bir kişinin kanser hastası olduğu sonucuna kolaylıkla varabilecek- -- 45 of 63 -- 44 44 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ tir. Bu nedenle her bir grubun içinde belli bir çeşitlilik yaratıl- masına dikkat edilerek maskeleme yöntemi kullanılmalıdır. Tablo 3.20’de, aşağıdaki şekilde gruplanarak anonimleştirilmiş bir veri kümesinde K=4 olacak şekilde gruplar oluşturulmuştur ve aynı zamanda her bir grubun içinde de L=3 olacak şekilde (yani en az 3 çeşit hastalık tutturularak) çeşitlilik elde edilmiştir. Her grubun içinde 4 kayıt ve 3 farklı çeşit hastalık yer alması sağlanarak anonimleştirme yapılmıştır. Bu işlem anonimleş- tirme işlemini kuvvetlendirmiş, dış bilgiye sahip kullanıcının tahmin gücünü azaltmıştır. Posta Kodu Yaş Uyruk Hastalık 1305* ≤ 40 * Kalp 1305* ≤ 40 * Viral Enfeksiyon 1305* ≤ 40 * Kanser 1305* ≤ 40 * Kanser 1485* > 40 * Kanser 1485* > 40 * Kalp 1485* > 40 * Viral Enfeksiyon 1485* > 40 * Viral Enfeksiyon 1306* ≤ 40 * Kalp 1306* ≤ 40 * Viral Enfeksiyon 1306* ≤ 40 * Kanser 1306* ≤ 40 * Kanser Tablo 3.20. K=4 Anonimlik ve L=3 Çeşitlilik Uygulanması Sonucu Elde Edilen Yeni Veri Kümesi -- 46 of 63 --

1485* > 40 * Viral Enfeksiyon 1306* ≤ 40 * Kalp 1306* ≤ 40 * Viral Enfeksiyon 1306* ≤ 40 * Kanser 1306* ≤ 40 * Kanser Tablo 3.20. K=4 Anonimlik ve L=3 Çeşitlilik Uygulanması Sonucu Elde Edilen Yeni Veri Kümesi -- 46 of 63 -- 45 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 45 c) T-Yakınlık L-çeşitlilik yöntemi kişisel verilerde çeşitlilik sağlıyor olması- na rağmen, söz konusu yöntem kişisel verilerin içeriğiyle ve hassasiyet derecesiyle ilgilenmediği için yeterli korumayı sağ- layamadığı durumlar oluşmaktadır. Bu haliyle kişisel verilerin, değerlerin kendi içlerinde birbir- lerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıfara ayrılarak anonim hale getirilmesi sürecine T-yakınlık yöntemi denilmektedir. Tablo 3.21’de; doğum tarihi, cinsiyet ve posta kodu alanları- na göre K=3 olacak şekilde K-anonimlik ve L=3 olacak şekilde L-çeşitlilik sağlanmasına rağmen 197O yılında doğmuş, 3440* adresinde oturan ve cinsiyeti erkek olan bir kişinin hastalıkları kanser, beyin tümörü ve hepatit b gibi ciddi hastalıklar olduğu için, bu grupta söz konusu kişinin hastalığının ciddi olduğu tespit edilebilir. Doğum Tarihi Cinsiyet Posta Kodu Hastalık Adı Hasta Sayısı 198 E 3440* Grip 80 198* E 3440* Tansiyon 20 198* E 3440* Baş Ağrısı 70 197* E 3440* Kanser 10 197* E 3440* Beyin Tümörü 10 197* E 3440* Hepatit-B 10 Tablo 3.21. K=3 Anonimlik ve L=3 Çeşitlilik Uygulanmış Veri Kümesi -- 47 of 63 --

198* E 3440* Tansiyon 20 198* E 3440* Baş Ağrısı 70 197* E 3440* Kanser 10 197* E 3440* Beyin Tümörü 10 197* E 3440* Hepatit-B 10 Tablo 3.21. K=3 Anonimlik ve L=3 Çeşitlilik Uygulanmış Veri Kümesi -- 47 of 63 -- 46 46 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Bu tahmin gücünü azaltabilmek için de anonimleştirme için- deki gruplamalarda Tablo 3.22’de görülebileceği üzere öyle bir düzenleme yapılmıştır ki üçerli kayıtlardan oluşan gruplarda (K=3) en az 3 farklı (L=3) hastalık tipi olacak şekilde ayarlan- mış ancak bir araya gelen bu 3 farklı hastalığın da hepsinin ciddi olmaması sağlanarak (beyin tümörü ve Hepatit-B ciddi hastalıklar iken baş ağrısı ciddi sayılmayacak bir hastalıktır) o gruptaki hastalara dair tahminler azaltılmıştır. Doğum Tarihi Cinsiyet Posta Kodu Hastalık Adı Hasta Sayısı ≥ 1970 E 3440* Grip 80 ≥ 1970 E 3440* Kanser 10 ≥ 1970 E 3440* Tansiyon 70 1975 ≤ x ≤1985 E 3440* Baş Ağrısı 20 1975 ≤ x ≤1985 E 3440* Beyin Tümörü 10 1975 ≤ x ≤1985 E 3440* Hepatit-B 10 Tablo 3.22. T-Yakınlık Sonucu Elde Edilen Veri Kümesi 3.2. Anonim Hale Getirme Yönteminin Seçilmesi • Veri sorumluları yukarıdaki yöntemlerden hangilerinin uy- gulanacağına ellerindeki verilere bakarak karar verirler. Anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine dair aşağıdaki özelliklerin de veri sorumluları tarafından dikkate alınması tavsiye edilir: • Verinin niteliği, • Verinin büyüklüğü, -- 48 of 63 --

gulanacağına ellerindeki verilere bakarak karar verirler. Anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine dair aşağıdaki özelliklerin de veri sorumluları tarafından dikkate alınması tavsiye edilir: • Verinin niteliği, • Verinin büyüklüğü, -- 48 of 63 -- 47 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 47 • Verinin fiziki ortamlarda bulunma yapısı, • Verinin çeşitliliği, • Veriden sağlanmak istenen fayda / işleme amacı, • Verinin işlenme sıklığı, • Verinin aktarılacağı tarafın güvenilirliği, • Verinin anonim hale getirilmesi için harcanacak çabanın an- lamlı olması, • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, • Verinin dağıtıklık/merkezilik oranı, • Kullanıcıların ilgili veriye erişim yetki kontrolü, • Anonimliği bozacak bir saldırı kurgulanması ve hayata ge- çirilmesi için harcayacağı çabanın anlamlı olması ihtimali. Bir veriyi anonim hale getirdiğini düşünen veri sorumlusu, ki- şisel veriyi aktardığı diğer kurum ve kuruluşların bünyesinde olduğu bilinen ya da kamuya açık bilgilerin kullanılması ile söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol etmek sorumluluğundadır. 3.3. Anonimlik Güvencesi Bir kişisel verinin silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar verilebilmesi için aşağıdaki şartların yerine getirilmesi gereklidir. Bu şartların yerine getirilmiş ol- masını veri sorumluları sağlamalıdır: -- 49 of 63 --

etmek sorumluluğundadır. 3.3. Anonimlik Güvencesi Bir kişisel verinin silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar verilebilmesi için aşağıdaki şartların yerine getirilmesi gereklidir. Bu şartların yerine getirilmiş ol- masını veri sorumluları sağlamalıdır: -- 49 of 63 -- 48 48 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ • Anonim hale getirilmiş veri kümesinin bir başka veri küme- siyle birleştirilerek anonimliğin bozulamaması, • Bir ya da birden fazla değerin bir kaydı tekil hale getirebile- cek şekilde anlamlı bir bütün oluşturamaması, • Anonim hale getirilmiş veri kümesindeki değerlerin birleşip bir varsayım veya sonuç üretebilir hale gelmemesi. Bu riskler sebebiyle veri sorumlularının, anonim hale getirdik- leri veri kümeleri üzerinde bu maddede sıralanan özellikler değiştikçe kontroller yapmaları ve anonimliğin korunduğun- dan emin olmaları gerekmektedir. 3.4. Anonim Hale Getirilmiş Verilerin Tersine İşlem İle Anonimleştirmenin Bozulmasına Dair Riskler Anonim hale getirme işlemi, kişisel verilere uygulanan ve veri kümesinin ayırt edici ve kimliği belirleyici özelliklerini yok etme işlemi olduğundan bu işlemlerin çeşitli müdahalelerle tersine döndürülmesi ve anonim hale getirilmiş verinin yeni- den kimliği tespit edici ve gerçek kişileri ayırt edici hale dö- nüşmesi riski bulunmaktadır. Bu durum anonimliğin bozulması olarak ifade edilir. Anonim hale getirme işlemleri yalnızca manuel işlemlerle veya otomatik geliştirilmiş işlemlerle ya da her iki işlem tipi- nin birleşiminden oluşan melez işlemlerle sağlanabilir. Ancak önemli olan anonim hale getirilmiş verilerin paylaşıldıktan veya açıklandıktan sonra veriye erişebilen veya sahip olan yeni kullanıcılar tarafından anonimliğin bozulmasını engelleyecek önlemlerin alınmış olmasıdır. -- 50 of 63 --

nin birleşiminden oluşan melez işlemlerle sağlanabilir. Ancak önemli olan anonim hale getirilmiş verilerin paylaşıldıktan veya açıklandıktan sonra veriye erişebilen veya sahip olan yeni kullanıcılar tarafından anonimliğin bozulmasını engelleyecek önlemlerin alınmış olmasıdır. -- 50 of 63 -- 49 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 49 Anonimliğin bozulmasına dair bilinçli olarak yürütülen işlem- lere “anonimliğin bozulmasına yönelik saldırılar” denilmek- tedir. Bu saldırılar farklı profildeki kullanıcılar tarafından farklı motivasyonlarla gerçekleşebilmektedir. Saldırıların motivasyonlarını aşağıdaki başlıklarda toplayabi- liriz: • Anonimliğin derecesini ve güvenilirliğini test etmek amacıy- la yapılan saldırılar, • Kurumları, şirketleri, organizasyonları, belirli bir kişiyi veya topluluğu zor durumda bırakmaya ve itibar riski yaratmaya yönelik saldırılar, • Anonimliğin bozulması sonucu ortaya çıkacak kişisel veriler- den ve elde edilebilecek değerlerden maddi veya manevi fayda sağlama amacıyla yapılan saldırılar. Yukarıda sıralanan senaryoların farklılığına bağlı olarak sal- dırıları yürüten kullanıcıların profilleri ve erişim yetkileri de değişkenlik göstermektedir. Bu kişiler aşağıda listelenen ör- neklerdeki profillere sahip olabilirler: • Kamuya açılmış veriye erişimi olan genel bir kullanıcı, • Yazılım, istatistik, veri madenciliği konularında uzmanlaşmış bir profesyonel, akademisyen veya araştırmacı, • Kuruluş, şirket, organizasyon içinde çalışan veya sistemlere erişim hakkı olan bir kullanıcı, • Anonim hale getirilmiş veriyi kullanarak çalışan ancak diğer bazı verilere veya sistemlere erişimi olan kullanıcı, -- 51 of 63 --

bir profesyonel, akademisyen veya araştırmacı, • Kuruluş, şirket, organizasyon içinde çalışan veya sistemlere erişim hakkı olan bir kullanıcı, • Anonim hale getirilmiş veriyi kullanarak çalışan ancak diğer bazı verilere veya sistemlere erişimi olan kullanıcı, -- 51 of 63 -- 50 50 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ • Açıklanmış /paylaşılmış veri kümesinde yer aldığını bildiği bir kişinin yakını, aile üyesi veya arkadaşı. Saldırıların sonucunda başarılı olunmuş ve anonimlik bozul- muşsa ortaya çıkan kişisel veriye dair üç farklı senaryo oluş- maktadır. Bu senaryolar; • Gerçek kişinin kimliğinin tamamen ortaya çıkmış olması, • Gerçek kişiye ait belli bir bilginin ortaya çıkmış olması, • Bir kişiye dair varsayımsal bir bilginin ortaya çıkmış olması, olarak sayılabilir. Kişinin kimliğinin tamamen ortaya çıkmış olması durumu, ço- ğunlukla saldırganın elindeki anonim hale getirilmiş veriyi elde ettiği veya erişiminin olduğu bir başka veri kümesiyle birleştir- mesinden veya doğrudan tanımlayıcılar yerine kullanılan kod veya takma isimlerin kodlamalarının bozulmasından kaynak- lanabilir. Böyle bir durumda gerçek kişinin doğrudan tanım- layıcılarına ulaşılır ve kimlik tamamen saptanabilir hale gelir. Bazı hallerde kimlik tamamen tespit edilebilir hale gelmese de bir kişinin ilgili anonim hale getirilmiş veri kümesi içinde yer aldığını bilen bir kullanıcı anonim hale getirilmiş veri kü- mesinin dar bir tanımlama yapıyor olmasından ötürü o kişiye ait bir özelliğini ortaya çıkartabilir. Örneğin, bir hastanenin 20 yaşındaki tüm kadın hastalarına dair tek bir teşhis ve te- davi bilgisi paylaşıyor olması halinde, tanıdığı 20 yaşındaki kadının o hastanede tedavi edildiğini bilen bir kişi, tanıdığı kişinin hastalığını öğrenmiş olmaktadır. Bu halleri engelleye- -- 52 of 63 --

20 yaşındaki tüm kadın hastalarına dair tek bir teşhis ve te- davi bilgisi paylaşıyor olması halinde, tanıdığı 20 yaşındaki kadının o hastanede tedavi edildiğini bilen bir kişi, tanıdığı kişinin hastalığını öğrenmiş olmaktadır. Bu halleri engelleye- -- 52 of 63 -- 51 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 51 bilmek için hastanenin sadece 20 yaşındaki kadın hastalar yerine yaş aralığını ve cinsiyeti genişleterek ve teşhis ve tedavi bilgilerinin çeşitlenmesini sağlayacak önlemler alması ve tekil olarak belli bir kişinin ayırt edilebilme ihtimalini düşürmesi gerekmektedir. Buna benzer şekilde, özellikle belli bir sınıf, grup veya toplu- luğa dair çok kesin ve çeşitliliği az olan tekil bilgilerin açık- lanıyor veya paylaşılıyor olması halinde o gruba, sınıfa veya topluluğa mensup olduğu bilinen kişilerle ilgili varsayımsal sonuçlar çıkartılmasına mahal verilecektir. Örneğin; belli bir coğrafi bölgede yaşayan bireyler için bir kamu organının tek bir hastalığa dair yüksek oranlar paylaşmış olması o coğrafyada seyahat etmiş tüm insanlara dair varsayımlar yürütülmesini sağlayacaktır. Bu kapsamda, anonim hale getirilmiş kişisel verilerin çeşitli müdahalelerle tersine döndürülmesi ve anonim hale getiril- miş verinin yeniden kimliği tespit edici ve gerçek kişileri ayırt edici hale dönüşmesi riski olup olmadığı araştırılarak ona göre işlem tesis edilmelidir. -- 53 of 63 -- 52 52 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ -- 54 of 63 --

edici hale dönüşmesi riski olup olmadığı araştırılarak ona göre işlem tesis edilmelidir. -- 53 of 63 -- 52 52 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ -- 54 of 63 -- 53 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 53 IV. REHBER HAZIRLANIRKEN FAYDALANILAN KAYNAKLAR VE İNCELENMESİNİN UYGUN OLACAĞI DEĞERLENDİRİLEN DOKÜMANLAR Article 29 29.Madde Veri Koruma Grubu, Opinion 4/2007 on the concept of personal data, 2007, bkz. http:// ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2007/wp136_en.pdf Article 29 29.Madde Veri Koruma Grubu, Opinion 5/2014 on Anonymisation Techniques, bkz. http:// ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/ files/2014/wp216_ en.pdf Bacak A.Bacak, Gizliliği Koruyarak Veri Yayınlamak İçin K-Anonimity ve L-Diversity Metodları, 2013, bkz. https://www.bilgiguvenligi.gov.tr/siniflandiril mamis/gizliligi-koruyarak-veri-yayinlamak-icin- k-anonimity-ve-l-diversity-metodlari.htm Barbaro/ Zeller M.Barbaro, T.Zeller, A Face is Exposed for AOL Searcher No. 4417749, New York Times, bkz. http://www.nytimes.com /2006/08/09/ technology/09aol. html?pagewanted=all&_r=0 Barth-Jones D.C.Barth-Jones, The Re-Identification of Governor William Weld’s Medical Information: A Critical Re-Examination of Health Data Identification Risks and Privacy Protections, Then and Now (2012). Available at SSRN: http:// ssrn.com/abstract=2076397 or http://dx.doi. org/10.2139/ssrn.2076397 Brown/Marsden I.Brown, C.T. Marsden, Regulating Code: Good Governance and Better Regulation in the Information Age, The MIT Press, 2013 Castells M.Castells, Ağ Toplumunun Yükselişi, Birinci Cilt, çev. E.Kılıç, İstanbul Bilgi Yayınları, 2005 -- 55 of 63 --

org/10.2139/ssrn.2076397 Brown/Marsden I.Brown, C.T. Marsden, Regulating Code: Good Governance and Better Regulation in the Information Age, The MIT Press, 2013 Castells M.Castells, Ağ Toplumunun Yükselişi, Birinci Cilt, çev. E.Kılıç, İstanbul Bilgi Yayınları, 2005 -- 55 of 63 -- 54 54 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Cavoukian/ El Emam A.Cavoukian, K.El Emam, De-identification Protocols:Essential for Protecting Privacy, Privacy by Design, June 25, 2014. https://www. ipc.on.ca/wp-content/uploads/Resources/pbd- de-identifcation_essential.pdf Cavoukian A.Cavoukian, Privacy By Design, Take the Challenge, Canada, 2009 Christen/ Alfano/ Bangerter/ Lapsley M.Christen, M.Alfano, E.Bangerter, D.Lapsley, Ethical Issues of Morality Mining: Moral Identity as a Focus of Data Mining, Ethical Data Mining Applications for Socio- Economic Development, IGI Global, 2013 Chunara/ Andrews/ Brownstein R.Chunara, J.R.Andrews, J.S. Brownstein, Social and News Media Enable Estimation of Epidemiological Patterns Early in the 2010 Haitian Cholera Outbreak, The American Society of Tropical Medicine and Hygiene,2010,bkz. http://healthmap.org/documents /Chunara_ AJTMH_2012.pdf Clifton/ Tassa C.Clifton, T.Tassa, On Syntactic Anonymity and Differential Privacy, 2013 Trans. Data Privacy 6, 2 (2013), 161-183. Demirci İ.Demirci, T-Closeness Metodu Gizliliği Koruyarak Veri Yayınlamak İçin, 2014 bkz. http://www. phphocam.com/t-closeness- metodu-gizliligi- koruyarak-veri-yayinlamak- icin/#sthash. z70qZ2sb.dpuf Digital Rights Ireland and Seitlinger Judgment in Joined Cases C-293/12 and C- 594/12,Digital Rights Ireland and Seitlinger and Others, Court of Justice of the European Union , Press Release No 54/14, Luxembourg, 8.4.2014 Directive 95/46/EC Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Oficial Journal of the European Communities of 23 November 1995, No L. 281, s. 31. -- 56 of 63 --

Press Release No 54/14, Luxembourg, 8.4.2014 Directive 95/46/EC Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Oficial Journal of the European Communities of 23 November 1995, No L. 281, s. 31. -- 56 of 63 -- 55 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 55 Directive 2002/58/ EC Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and protection of privacy in the electronic communications sector OJ L201/37 Divanis / Loukides A.G.Divanis, D.G.Loukides, Medical Data Privacy Handbook, Springer 2015 Doyle/ Lane P. Doyle, J. Lane, Confidentiality, Disclosure and Data Access: Theory and Practical Applications for Statistical Agencies, North-Holland Publishing, Dec 31, 2001 El Emam K.El Emam, Guide to the de-identification of Personal Health Information, CRC Press, 2013 El Emam/ Arbuckle K.El Emam, L.Arbuckle, Anonymizing Health Data, O’Reilly, Cambridge, MA. 2013 European Statistical System Project (ESSNet) A.Hundepool, J.Domingo-Ferrer, L.Franconi, S.Giessing, E.S. Nordholt, K.Spicer, P.P. Wolf, Handbook on Statistical Disclosure Control Version 1.2, ESSNet, 2010 European Statistical System Project (ESSNet) A.Hundepool, A. De Wetering, R.Ramaswamy, L.Franconi, S.Polettini, A.Capobianchi, P.P.de Wolf, J.Domingo, V.Torra, R.Brand, S.Giessing, μ-ARGUS version 4.2 User’s Manuel, ESSNet- Project, 2008 Fayyoumi/ Oommen E.Fayyoumi, B.J.Oommen, A survey on statistical disclosure control and micro-aggregation techniques for secure statistical databases. 2010, Software Practice and Experience. 40, (2010), 1161-1188. DOI=10.1002/spe. v40:12 http:// dx.doi.org/10.1002/spe.v40:12 Fung/ Wang/ Chen/ Yu B.C.M.Fung, K.Wang, R.Chen, P.S.Yu, Privacy- Preserving Data Publishing: A Survey on Recent Developments, Computing Surveys, June 2010 Garfinkel S.L.Garfinkel NISTIR 8053 De-Identification of Personal Information, 2015 bkz. https://www. huntonprivacyblog.com/wp-content/uploads/ sites/18/2015/10/NIST.IR_.8053.pdf -- 57 of 63 --

Yu B.C.M.Fung, K.Wang, R.Chen, P.S.Yu, Privacy- Preserving Data Publishing: A Survey on Recent Developments, Computing Surveys, June 2010 Garfinkel S.L.Garfinkel NISTIR 8053 De-Identification of Personal Information, 2015 bkz. https://www. huntonprivacyblog.com/wp-content/uploads/ sites/18/2015/10/NIST.IR_.8053.pdf -- 57 of 63 -- 56 56 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Gözüküçük M.Gözüküçük, Veri İşleme Süreçlerinde Tartışmalı Bir Çözüm: Veri Anonimleştirmesi İstanbul Bilgi Üniversitesi Sosyal Bilimler Enstitüsü Hukuk Yüksek Lisans Programı (Bilişim Hukuku), 2014 Gür İ.Gür, Kişisel Verilerin Korunması Hususunda AB ile ABD Arasında Çıkan Uyuşmazlıklar, Turhan Kitabevi, 2010 Gürses/ Danezis S.Gürses, G.Danezis, A Critical Review of Ten Years of Privacy Technology, UK, 2012 Gürses/ Troncoso/ Diaz S.Gürses, C.Troncoso, C.Diaz, Engineering Privacy by Design, International Conference on Privacy and Data Protection (CPDP) Book, Hilbert M.Hilbert, Big Data for Development: From Information- to Knowledge Societies, United Nations ECLAC, 2013 Honer J.Honer, U.S. government commits big R&D money to ‘Big Data’, bkz.http://www.zdnet.com/ blog/btl/u-s- government-commits-big-r-andd- money-to-big- data/72760 Hunter/Letterie J.Hunter, J.Letterie, IBM harnesses power of Big Data to improve Dutch flood control and water management systems, bkz. http://www- 03.ibm. com/press/us/en/pressrelease/41385.wss ICO Enformasyon Komiserliği Ofisi, Privacy by Design, 2008, bkz. http://ico.org. uk/for_ organisations/data_protection/ topic_guides/~/ media/documents/pdb_report_html/ PRIVACY_ BY_DESIGN_REPORT_V2.ashx ICO Enformasyon Komiserliği Ofisi, Anonymization: Managing Data Protection Risk Code of Practice, 2012.bkz. http://ico.org.uk/for_ organisations/ data_ protection/topic_guides/anonymisation ICO Enformasyon Komiserliği Ofisi, Anonymisation: Managing data protection risk, Code of Practice 2012, Information Commissioner’s Office. https://ico. org.uk/media/for- organisations/ documents/1061/ anonymisation-code. pdf. -- 58 of 63 --

ICO Enformasyon Komiserliği Ofisi, Anonymization: Managing Data Protection Risk Code of Practice, 2012.bkz. http://ico.org.uk/for_ organisations/ data_ protection/topic_guides/anonymisation ICO Enformasyon Komiserliği Ofisi, Anonymisation: Managing data protection risk, Code of Practice 2012, Information Commissioner’s Office. https://ico. org.uk/media/for- organisations/ documents/1061/ anonymisation-code. pdf. -- 58 of 63 -- 57 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 57 Irzık G.Irzık, “Bilgi Toplumu mu, Enformasyon Toplumu mu? Analitik-Eleştirel Bir Yaklaşım”, Bilgi Toplumuna Geçiş Sorunlar Görüşler Yorumlar Yorumlar Koot M.R.Koot, Measuring and Predicting Anonymity, Gildeprint Drukkerijen, 2012 Korff D.Korff, Comperative Study on Different Approaches to New Privacy Challanges, In Particular in the Light of Technological Developments, Working Paper No. 2: Data Protection Laws in the EU: The Difficulties in meeting the challanges posed by global social and technical developments, London Metropolitan University, 2010,bkz. http://ec.europa.eu/ justice/ policies/privacy/ docs/studies/new_privacy_ challenges/ final_report_working_ paper _2_en.pdf Krishnan K.Krishnan, Data Warehousing in the Age of Big Data, Newnes, 2013 Küzeci E.Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, 2010 Lagos / Polonetsky Y.Lagos, J.Polonetsky, Public vs. Nonpublic Data: The Benefits of Administrative Controls, Stanford Law Review Online, 66:103, Sept. 3, 2013 Laney D.Laney, 3D Data Management: Controlling Data Volume, Velocity and Variety, META Group, 2001. Bkz. http://blogs.gartner.com/doug- laney/ files/2012/01/ad949-3D-Data-Management- Controlling-Data-Volume-Velocity-and- Variety.pdf Lessig L.Lessig, Code Version 2.0, Basic Books, 1996 Levine/Roos J.H. Levine, H.B. Roos, Introduction to Data Analysis:The Rules of Evidence, bkz. http://www. dartmouth.edu/~mss/docs/Volume s_1-2.pdf Li/Li/ Venkatasubramanian N.Li, T.Li, S.Venkatasubramanian, t-Closeness: Privacy beyond k-Anonymity and l-Diversity, Data Enginering (ICDE) IEEE 23rd International Conference, -- 59 of 63 --

Levine/Roos J.H. Levine, H.B. Roos, Introduction to Data Analysis:The Rules of Evidence, bkz. http://www. dartmouth.edu/~mss/docs/Volume s_1-2.pdf Li/Li/ Venkatasubramanian N.Li, T.Li, S.Venkatasubramanian, t-Closeness: Privacy beyond k-Anonymity and l-Diversity, Data Enginering (ICDE) IEEE 23rd International Conference, -- 59 of 63 -- 58 58 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ Machanavajjhala/ Gehrke/ Kifer A.Machanavajjhala, J.Gehrke, D.Kifer, l-Diversity: Privacy Beyond k-Anonymity, Cornell University, 2007 McCallister/ Grance/ Scarfone E.McCallister, T.Grance, K.Scarfone, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), Special Publication 800-122, National Institute of Standards and Technology, U.S. Department of Commerce, 2010 Moore R.A. Moore Jr, Controlled Data-Swapping Techniques for Masking Public Use Microdata Sets, US Bureau of the Census Washington, 1996 Morozov E.Morozov, The Net Delusion: How not to Liberate World, Penguin Books, 2011 Narayanan/ Shmatikov A.Narayanan, V.Shmatikov, How to Break Anonymity of the Netflix Prize Dataset, The Universtiy of Texas, 2008 Ohm P.Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol 57, 2010 Oram A.Oram, The Information Technology Fix For Health, OReilly, 2014 Özdemir H.Özdemir, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Seçkin Yayıncılık, 2009 Özmen Ş.I.Özmen, Ağ Ekonomisinde Yeni Ticaret Yolu: E-Ticaret, İstanbul Bilgi Üniversitesi Yayınları, 2012 Pfitzmann/ Hansen A. Pfitzmann, M.Hansen, Anonymity, Unobservability, Pseudonymity, and Identity Management:A Proposal for Terminology, bkz. http://dud.inf.tu- dresden.de/literatur/Anon_ Terminology_v0.18.pdf Schmarzo B. Schmarzo, Big Data:Understanding How Data Powers Big Business, Wiley, 2013 Simon P.Simon, Too Big To Ignore:The Business Case for Big Data, Wiley, 2013 -- 60 of 63 --

Unobservability, Pseudonymity, and Identity Management:A Proposal for Terminology, bkz. http://dud.inf.tu- dresden.de/literatur/Anon_ Terminology_v0.18.pdf Schmarzo B. Schmarzo, Big Data:Understanding How Data Powers Big Business, Wiley, 2013 Simon P.Simon, Too Big To Ignore:The Business Case for Big Data, Wiley, 2013 -- 60 of 63 -- 59 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ | 59 Spiekerman/ Cranor S.Spiekerman, L.F.Cranor, Engineering Privacy, IEEE Transactions on Software Engineering, Vol. 35, Nr. 1, 2009 Stream Computing Bulletin of IEEE A.Biem, E.Bouillet, H.Feng, A.Ranganathan, A.Riabov, O. Verscheure, H.Koutsopoulos, M.Rahmani, B.Güç, Real-Time Traffic Information Management using Stream Computing, bkz. http://sites.computer.org/debull/A10june/Anan d.pDf Sweeney L.Sweeney, k-Anonymity: A Model for Protecting Privacy, Carnegie Mellon University, 2002 Swire/ Ahmad P.P.Swire, K.Ahmad, Foundations of Information Privacy and Data Protection,IAPP , 2012 Şimşek O.Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Basım, 2008 Vural Y.Vural, ρ-Kazanım: Mahremiyet Korumalı Fayda Temelli Veri Yayınlama Modeli Doktora Tezi, Hacettepe Üniversitesi Bilgisayar Mühendisliği. 2017 Yakowitz J.Yakowitz, Tragedy of Data Commons, Harvard Journal of Law and Technology, Vol.25, 2011 Warren/Brandeis S.D.Warren, L.D.Brandeis, The Right to Privacy, Harvard Law Review, 1890 Wolfe/ Gunasekara/ Bogue N.Wolfe, L.Gunasekara, Z.Bogue, Crunching Digital Data can help the World, 2011,http:// edition.cnn.com/2011/OPINION/02/02/wolfe. gunasekara.bogue.data/index.html?_s=PM:O PINION Wu F.T.Wu, Defining Privacy and Utility in Data Sets, University of Colorado Law Review 1117 (2013) -- 61 of 63 -- 60 60 | KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ REHBERİ -- 62 of 63 -- Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu -- 63 of 63 --