6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 12 nci maddesinin birinci fıkrasında Veri Sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiştir.

“Veri güvenliğine ilişkin yükümlülükler

MADDE 12- (1) Veri sorumlusu;

  1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler) ile Veri sorumluları tarafından alınması gereken idari ve teknik tedbirler detaylandırılmıştır. Veri maskeleme bu rehberde sayılan teknik tedbirlerden yalnızca biridir.

Veri maskeleme, “kurumsal network de bulunan gizli ve hassas olarak sınıflandırılmış verilere yetkisiz kişiler tarafından erişilmesini önlemek amacıyla anlaşılmaz hale getirilmesi”dir. Veri maskelemenin temel amacı, veri setindeki öznel veya kişisel bilgileri, gerçek değerlerini değiştirmeden veya bozmadan, rastgele veya özel bir şekilde değiştirmektir. 

Bu yazımızda veri maskeleme neden önemli olduğuna ve maskelenmesi gereken veri kategorileriyle birlikte maskeleme tekniklerine değineceğiz.

1. Veri Maskeleme Neden Önemlidir?

Bilgi güvenliğinin 3 ana unsuru vardır. Bunlar;

  1. Gizlilik
  2. Bütünlük 
  3. Erişilebilirlik 

Sıralanan 3 öğeden birinin zarar görmesi bilgi güvenliğine aykırılık teşkil etmektedir. Veri maskeleme doğası gereği bu üç gereksinimi karşılayan bir terimdir.

Veri maskeleme yolu ile gerçek verilerin içeriği korunarak, yetkisiz erişime veya kötü niyetli kullanıma karşı verilerin gizliliğini sağlanmaktadır.

Bütünlük ve erişilebilirlik unsurlarını ise bir bütün olarak değerlendirdiğimizde veri maskeleme ile birlikte yetkisiz kişiler tarafından verilere ulaşılmasının, dolayısıyla da değiştirmesini engellenmektedir.

Veri Maskeleme Kurul tarafından belirlenen teknik tedbirlerden biri olması sebebiyle de önemli bir yere sahiptir. Herhangi bir ihlalle karşılaşılması durumunda yasal yaptırımların önüne geçilmesine katkı sağlamaktadır.

Veri maskeleme hassas ve gizli verileri koruması dolayısıyla Şirket müşterilerine güven sağlayarak marka itibarını da güvence altına almanın yollarından biridir. Veri maskeleme, müşteri gizliliğini korurken ve şirket ile müşterileri arasında daha yüksek bir güven düzeyinin oluşmasına zemin hazırlar.

2. Hangi Veriler Maskenmelidir?

  • Bankacılık verileri

Kredi kartı seri numaralarının tamamının yer alması yerine ilk 4 son 4 hanesi dışındaki sayıların görünmez hale getirilmesi

  • İnsan kaynakları verileri 

Özlük dosyasında bulunan özellikle eski tip Nüfus Cüzdanında yer alan özel nitelikli kişisel veriler olan din hanesi, kan grubu hanesi

  • Finans – muhasebe verileri 

Faturalarda açıkça yer alan TC kimlik numaraları

  • Müşteri Bilgisi

SMS doğrulama kodu gönderirken ekranda çıkan telefon numarasının belirli haneleri

  • Sağlık verileri

Sağlık personelinin sadece atandıkları hastaların kayıtlarını görmesi için gerekli maskeleme ve yetkilendirme yapılması

3. Veri Maskeleme Teknikleri nelerdir ?

  • Simge kullanma 

Bir simge/sembol kullanarak veriyi tamamen silmeden ya da değiştirmeden üçüncü kişilerin bu verilerine erişmesini engellemeyi hedeflemektedir. Ayrıca, tek bir simge yerine rastgele değerler, kodlamalar veya kriptografik teknikler de kullanılarak veri maskelemesi sağlanabilir.

  • Şifreleme (Encryption)

Verilere erişimi kısıtlamak için şifreleme ve anahtar yönetimi kullanılmaktadır.Maskeli verileri, kullanıcı yetkilerine göre görüntülenmesi için bir anahtar uygulanmasını gerektirir.

  • Karıştırma (Shuffling)

Bir veri setindeki örneklerin sırasını rastgele değiştirme işlemi olarak tanımlanabilir.

  • Geçersizleştirme (nulling out)

Belirli bir veri kaydına boş değer uygulayarak gizlemeye yarayan yöntemdir.

4. Veri Maskeleme Çeşitleri nelerdir ?

  • Statik veri maskeleme (SDM) 

Statik veri maskeleme aktif olarak kullanılan veri setinin kopyasını oluşturarak oluşturulan kopya üzerinden bilgileri gizlemekte veya yok etmektedir. Bu maskeleme yöntemi, verilerin zaman içinde değişmediği ve yazılım ve uygulama geliştirme veya eğitim gibi amaçlar kullanıma uygundur.

  • Dinamik veri maskeleme (DDM) 

Dinamik veri maskeleme ise verilere gerçek zamanlı maskeleme teknikleri uygular. Veriler orijinal kaynağından taşınmadan, kopyalanmadan veya ayılmadan maskelenmektedir. Verilerin güncel tutulması için etkili bir yoldur.

  • Anında veri maskeleme (on the fly) 

Bu yöntemle Veriler kaynak veritabanından okunur, maskelenerek hedef veritabanında kaydedilir. Kaynak veriler aynı kalırken yalnızca istenen veriler maskelenir. 

https://solutionsreview.com/data-management/static-data-masking-vs-dynamic-data-masking-whats-the-difference/

https://learn.microsoft.com/en-us/sql/relational-databases/security/dynamic-data-masking?view=sql-server-ver16

5. Maskelemeye İlişkin Kurul Kararları

  1. Aday Puanlarının Rıza Alınmaksızın, İnternet Sitesinde Paylaşılması Hakkındaki Görüş Talebi ile ilgili Kişisel Verileri Koruma Kurulunun 26/12/2019 Tarihli ve 2019/389 Sayılı Karar Özeti

Karar Tarihi

: 26/12/2019

Karar No

: 2019/389

Konu Özeti

: Öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanması uygulaması hakkında

Kurumumuza iletilen; öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda uygulanacak “Öğretim Üyesi Dışındaki Öğretim Elemanı Kadrolarına Yapılacak Atamalarda Uygulanacak Merkezi Sınav ile Giriş Sınavlarına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (Yönetmelik) hükümleri doğrultusunda değerlendirme puanlarının, veri sorumlusunun internet sitesi aracılığıyla kamuoyuyla paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) uygun olup olmadığı konusundaki görüş talebinin incelenmesi neticesinde;

  • İnternet ortamında yayımlanan kişisel verilerin tamamen kaybolmadığı göz önüne alındığında değerlendirme puanlarının, Kanunun 4 üncü maddesinde yer alan genel ilkelere uyumlu şekilde, yalnızca akademik kadrolara müracaat eden ilgili kişilerce görüntülenebildiği bir yöntemle ve kimlik doğrulaması yapılmak suretiyle sorgulamasına imkân verecek şekilde ilan edilmesi gerektiğine,
  • İlgili kişiler ile sınav puanları arasındaki bağlantının, maskeleme (kişisel verilerin belli alanlarının kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler) yöntemleriyle kaldırılmasının uygun olacağına, bu kapsamda adaylara ait ad- soy ad, T.C. kimlik numarası gibi verilerin, kişiyi belirli ya da belirlenebilir kılabilme özelliğinin ortadan kaldırılabilmesi adına, anılan bilgilerin açık şekilde yazılması yerine, kişinin kendisinin anlayabileceği şekilde harflerin ya da rakamların “A**** B**** , 11*******11” şeklinde yıldızlanarak yukarıda sözü edilen yöntemlerle yayımlanabileceğine,
  • Kanunun 10 uncu maddesinde hükme bağlanan aydınlatma yükümlülüğü kapsamında, üniversiteler tarafından söz konusu kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerin aydınlatılması gerektiğine

karar verilmiştir.

..”

2. Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti

 

Karar Tarihi

:

02/12/2021

Karar No

:

2021/1214

Konu Özeti

:

Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu Bakanlık ve Üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

..

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1214 sayılı Kararı ile;

  • Diğer taraftan, ilgili kişinin şikâyetinin temel olarak ad, soyad ve T.C. kimlik numarasının bulunduğu devam çizelgesinin ve fatura teslim ve sertifika teslim listelerinin sınıf ortamında elden ele dolaştırılması suretiyle imza alınması nedeniyle T.C. kimlik numarası bilgisinin hukuka aykırı olarak üçüncü kişilerle paylaşıldığı, dolayısıyla kişisel verilerinin güvenliğinin sağlanmadığına ilişkin olduğu, 

  • Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
  • Konuya ilişkin olarak Üniversiteden alınan yazıda; Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve Tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı

değerlendirmelerinden hareketle;

    • Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına,
  • Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,

karar verilmiştir.

3. “Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 22/06/2022 tarihli ve 2022/594 sayılı Karar Özeti

Karar Tarihi

:

22/06/2022

Karar No

:

2022/594

Konu Özeti

:

Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu bir özel sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi

 

    • ..
    • İlgili kişilerden alınan bilgiler çerçevesinde kayıt oluşturularak işlemin başlatıldığı, tüm bilgilerin ilgili kişilerin açık beyanı üzerine kayıt altına alındığı, işlem ödemesinin anılan üçüncü kişi tarafından yapılacağının beyan edildiği, ilgili kişiler tarafından söz konusu testlerin rıza dışında yaptırıldığına ilişkin bir geri bildirimde bulunulmadığı, ödeme alınarak ve faturası ilgili adına düzenlenerek test sürecinin başlatıldığı,
    • Laboratuvar işleyişinde ilgili kişilerin beyan ettiği adres, telefon ve e-posta adresi gibi bilgiler iletişim adresi kabul edilerek tüm bildirimlerin anılan adrese yapıldığı, ilgili kişilerin kayıt esnasında kendi rızasıyla üçüncü kişiye ait e-posta adresini verdiği, 
    • İlgili kişilerin veri sorumlusu hakkında somut olayla ilgili açtığı manevi tazminat davasının devam ettiği,
  • Sağlık hizmeti sunucusunun banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verilerini duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirleri almakla; tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygulamakla ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak tedbirleri almakla yükümlü olduğu,

karar verilmiştir.

4. “Bir kozmetik şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Karar Özeti

Karar Tarihi

:

25/03/2021

Karar No

:

2021/311

Konu Özeti

:

Bir kozmetik şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,
  • Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,
  • Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı,
  • Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu, 
  • Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı, 
  • Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı…

 

karar verilmiştir.

6. Sonuç

Sonuç olarak, veri maskeleme, yalnızca yasal yükümlülüklerden biri  değil aynı zamanda veri güvenliğini sağlamak ve veri ihlallerini önlemek için alınacak etkili önlemlerden biridir. Ancak unutulmamalıdır ki veri maskeleme yapmak tek başına yasal yükümlülüğü ortadan kaldırmaz. Bu bağlamda veri minimizasyonu ilkesini de göz önünde bulundurarak işleme amacının gerektirdiğinden fazla veri toplamamak veya bulundurmamak gereklidir. 

7. Kaynakça

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf

https://www.kvkk.gov.tr/Icerik/6668/2019-389

https://www.kvkk.gov.tr/Icerik/7001/2021-311

https://solutionsreview.com/data-management/static-data-masking-vs-dynamic-data-masking-whats-the-difference/

https://learn.microsoft.com/en-us/sql/relational-databases/security/dynamic-data-masking?view=sql-server-ver16

https://ico.org.uk/media/1061/anonymisation-code.pdf

https://www.techtarget.com/searchsecurity/definition/data-masking