İMHA VE MASKELEME TETRA BİLİŞİM-KİŞİSEL VERİLERİM SİLİNMESİ- KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ VERİ MASKELEME TETRA BİLİŞİM

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel Verilerin Silinmesi Nedir?

Kişisel verilerin silinmesi, 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8. maddesinde “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi” olarak tanımlanmıştır. Tanımda geçen “ilgili kişi”den kasıt; veri saklamasından, depolamasından ve yedeklemesinden sorumlu kişiler haricindeki diğer tüm çalışanlardır. İlgili kullanıcının, kişisel verilere hiçbir şekilde erişememesi, üzerinde herhangi bir işlem yapmaması, düzeltememesi, değiştirememesi, silememesi, aktaramaması, okuyamaması, paylaşamaması gibi kişisel veri işleme faaliyetlerinden hiçbirini gerçekleştiremeyecek hale getirme işlemidir.

Her ne kadar silme tabiri doğrudan silme olarak anlaşılsa da esasında işlenmiş olan kişisel verinin saklanması, depolanması, korunması amacıyla yedeklenmesi ya da arşivlenmesi şeklinde anlaşılmalıdır. Burada belirtmek gerekir ki, yedekleme, depolama veya koruma gibi saklama sorumlularının da bu kişisel veriler üzerinde saklama amacı dışında başkaca bir işlem gerçekleştirilemez. Silinmiş olan kişisel veriler artık sadece depolanacak, muhafaza edilecek ve başkaca işleme tabi tutulmayacaktır.

Kişisel Verilerin Silinme Yöntemleri Nelerdir?

Kişisel verilerin silinme yöntemleri verilerin fiziksel veya elektronik ortamda bulunmasına göre farklılık göstermektedir.

Fiziki olarak kağıt, dosya, klasör ortamında bulunan kişisel veriler; ilgili kullanıcıların erişemeyeceği, ulaşamayacağı ve inceleme yapamayacağı arşiv/saklama/depolama alanlarına ya da bu alanların ilgili bölümlerinde depolanmalıdır. İlgili kullanıcılar muhafaza alanlarına girmemeli ve içeride bulunan kişisel veriler üzerinde herhangi bir işlem yapmamalıdır.

VERİ MASKELEME VE KOPYALAMA TETRA BİLİŞİM

Veri işleme şartları ortadan kalkan kişisel veriler, işletim sistemlerinin sağladığı silme komutları kullanılarak ya da komutları uygulayan yazılımlar kullanılarak silinmelidir. Silme işleminin tanımı gereği kullanıcı erişimini ortadan kaldırmak olduğu göz önüne alınırsa, söz konusu dosyaların bulunduğu dizinde ilgili kullanıcıların erişim yetkisini kaldırmak ya da silme işlemi için yeterlidir.

Taşınabilir medya ortamında (flash disk, taşınabilir sabit disk vb.) saklanan kişisel verilerin şifrelenerek saklanması halihazırda bilgi güvenliği ve kişisel veri güvenliği için mutlaka kullanılması gereken bir yöntemdir. Bu nedenle, taşınabilir ortamda yer alan kişisel verilerin silinmesi ya şifre anahtarı ilgili kullanıcılar tarafından erişilemeyecek şekilde değiştirilmeli ya da ortam içinde veriler uygun yazılımlar kullanılarak silinmelidir.

Veri sorumluları tarafından kullanılan ERP, SAP ya da benzeri uygulamaların kullanıldığı veri tabanlarında bulunan kişisel veriler silinirken, ilgili alanlarda bulunan verilerin silinmesi için gerekli veri tabanı komutları kullanılmalı ya da kullanılan yazılımların bu komutlarla silme işlemi yaptığından emin olunmalıdır. Silme işleminin gerçekleştirilmesinden sonra ilgili kullanıcıların silinen bilgiye yeniden ulaşmaması için gerekli teknik ve idari tedbirler alınmalıdır.

Bulut ortamındaki kişisel verilerin silinmesi için seçilecek yöntem, bulut ortamının hangi amaçla kullanıldığına bağlı olarak değişkenlik göstermektedir. Bulut işletim sisteminde saklanan kişisel veriler elektronik ortamlarda kişisel verilerin silinmesine benzer bir biçimde bulut işletim sisteminin sağladığı silme komutları kullanılarak ya da bu komutları uygulayan yazılımlar kullanılarak söz konusu kişisel veriler silinebilir. Buna karşılık, bulut işletim sisteminin sağladığı program ve uygulamalara erişim kaldırılarak silme işlemi de gerçekleştirilebilir.

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel Verilerin Yok Edilmesi Nedir?

Kişisel verilerin yok edilmesi, 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 9. maddesinde “kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Kişisel verilerin silinmesinden farklı olarak yok edilen veriye artık veri sorumlusunun arşiv ve saklama görevlilerinin de tekrar erişemeyeceği, elde edemeyeceği anlamına gelmektedir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Verilerin Yok Edilmesi Yöntemleri Nelerdir?

Kişisel verilerin kalıcı olarak yok edilmesi saklandığı ortama göre farklılık göstermektedir.

Yüzeyi manyetik olarak kaplanmış depolama birimidir. Aşağıda açıklanan yöntemleri tek başına yeterli görmeyen kuruluşlar bunları birlikte de kullanabilmektedir.

De-manyetize Etme

Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Fiziksel Yok Etme

Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir.

Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.

Kurum ve kuruluşların sadece kendi süreçleri için kullandıkları bilgi işlem ve yalnızca belirli kullanıcılar için sanallaşma yazılımları ile oluşturdukları kurumsal bulut yapıları günümüzde yaygın olarak kullanılmaktadır. Veri yok etme işlemi sırasındaki disklerdeki veri ve sanal bilgisayarların varsa anlık durum yedeği görüntüleri geri getirilemez şekilde uygun yazılımlar ile yok edilmelidir.

Yerel sanallaşma ortamlarında verilerin yok edilmesi

Bulut ortamında şifresiz olarak tutulan verilerin güvenliği ve güvenli şekilde yok edilmesi konusunda bulut kullanıcıları servis sağlayıcıları ile gizlilik hükümleri içeren hizmet sözleşmeleri yapmalıdır. Her halükârda bulutta şifresiz veri tutulmaması gerekmektedir. Günümüzde bulut hizmet sağlayıcıları anılan verilerinin güvenliği ile gizliliğine önem verildiğini garanti etmek adına şifreleme uygulamalarını kullanmaktadır.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel Verilerin Anonim Hale Getirilmesi Nedir?

Kişisel verilerin anonim hale getirilmesi, 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 10. Maddesinde “kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi” olarak tanımlanmaktadır. Burada dikkat edilmesi gereken husus, anonim hale getirilen verinin hiçbir şekilde ilgili kişi ile ilişkilendirilemeyecek şekle dönüştürülmesidir. Ancak bu işlemi gerçekleştirirken tek verideki maskeleme, karartma ya da toplulaştırmaya değil hem ilgili kişiye ait veriler hem de veri sorumlusunun tüm verileri dikkate alınarak kişisel verilerde yapılan anonimleştirme bir bütün olarak değerlendirilmelidir.

Anonimleştirme Yöntemleri Nelerdir?

İşlenmiş bir verinin anonim hale getirilmesine ilişkin çeşitli yöntemler bulunmaktadır.

Maskeleme

Kişisel verilerin bazı alanlarına silme veya yıldızlama işlemi gerçekleştirilerek kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin T.C. kimlik numarasının 12********* şeklinde yıldızlanması ve ifşa edilmesi durumunda maskeleme söz konusudur.

Toplulaştırma/Kümülatif Data Yaratma: Verilerin kümülatif hale getirilmesi ve akabinde toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette erkek çalışan sayısının A kadar olması ve sayının %20’sinin üniversite mezunu, %80’inin yüksek lisans mezunu olmasına veya çalışanların %40’ının belirli bir bölgede ikamet etmesi durumunda veriler anonim hale getirilmiştir.

Veri Türetme

Mevcutta bulunan detaylı verilerin değiştirilerek daha genel verilerin elde edilmesidir. Örneğin, doğum tarihi bilgisinin gün/ay/yıl detaylarının yerine kişinin yaş aralığının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.

Veri Karması

Veri kümesi içinde değerlerin karıştırılması ve akabinde toplam faydaya hasar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Örneğin, yaş ortalaması alınmak istemem bir sınıfta kişilerin yaşlarını gösteren değerlerin birbiriyle değiştirilmesi durumunda veri karması yapılmıştır.

KİŞİSEL VERİLERİN MASKELENMESİ

Kişisel Verilerin Maskelenmesi Nedir?

Kişisel verilerin maskelenmesi, kişisel verilerin belli alanlarının yok edilerek kişinin belirlenemez hale getirilmesidir. Veri maskeleme; şifreleme, sayısal değişiklik, ikame, simge kullanma, bulanıklaştırma, karıştırma, geçersizleştirme teknikleri kullanılarak gerçekleştirilebilir. Önemli olan kullanılan bu yöntemler ile değiştirilen kişisel verinin herhangi bir şekilde tespit edilememesidir.

Veri maskeleme; statik veri maskeleme (SDM), deterministik veri maskeleme, dinamik veri maskeleme (DDM), istatiksel veri maskeleme ve anında veri maskeleme (on a fly) yöntemleriyle gerçekleştirilebilir.

Statik Veri Maskeleme

Orijinal veri tabanının bir kopyasının değiştirilerek kullanıma açılması ile oluşturulur. Bu yöntem yetkili erişimlere karşı güvenlik sağlamakta ancak yetkisiz erişimlere karşı güvenlik sağlamamaktadır.

Deterministik Veri Maskeleme

Bir sütundaki verinin, aynı satırda, aynı tabloda, aynı veri tabanında, veri tabanı türleri arasında aynı değerle değiştirilmesi yöntemidir. Örneğin; bir veri tabanında adı “Elif” olanların “Ayşe” değeri ile değiştirilmesi işlemidir.

Dinamik Veri Maskeleme

Verilerin veri tabanından çağrıldığı anda maskeleme işleminin yapılması demektir. Dinamik maskelemede kimlik yetkilendirme yöntemi kullanılarak kimlerin hangi verilere ulaşabileceği belirlenerek sadece yetkisi olan kişilerin görmesi gereken bilgileri görmesi ve diğer bilgilerin maskelenmesi sağlanır. Dinamik çalışmasından dolayı tehditler karşısında daha güvenlidir.

İstatistiksel Veri Maskeleme

Orijinal verilerin birtakım istatistiksel özelliklerini koruyan verilerin rastlantısal bozulmalarına dayanır. İstatistiksel veri gizleme yöntemlerine örnek olarak Diferansiyel Gizlilik ve DataSift yöntemidir. Bu yöntemlerle kişilerin sosyal verileri, etkileşimleri hakkında veri elde edilebilir.

Anında Maskeleme (On-A-Fly Masking)

Dinamik veri maskeleme gibi sonuçlar üretmekle birlikte çok fazla veri maskeleme gerektiren uygulamalar veya kurumlar için kullanılabilecek olan bir maskeleme türüdür. Kullandığı ETL (Extract Transform Load) yöntemiyle daha hızlı ve daha az işlem ile maskeleme yapılmasını sağlar. Örneğin; internet üzerinde ödeme yaparken kredi kartı numaranızın görüntüsünü engellemek için **** şeklinde görünmesi.

KURUMSAL

BİZİ DAHA YAKINDAN TANIYIN

Türkiye’nin lider bilişim danışmanlık firması olma yolunda ilerleyen Tetra Bilişim birçok alanda müşterilerine kaliteli hizmet vermektedir.

HİZMETLER

KVKK

GÜVENLİĞİNİZ ÖNCELİĞİMİZ

Türkiye'nin her yerinde Kamu ve Özel Sektörde tamamladığımız yüzlerce projeyle kurumunuzun yanındayız.

REFERANSLAR

BLOG

SİBER GÜVENLİK HAKKINDA GÜNCEL KALIN

İstanbul ve Ankara Merkez Ofislerimizle Türkiye'nin her yerinde hizmetlerimizi sizlere ulaştırıyoruz.

İLETİŞİM

Bize Ulaşın

KİŞİSEL VERİLERİN SİLİNMESİ

KİŞİSEL VERİLERİN YOK EDİLMESİ

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

KİŞİSEL VERİLERİN MASKELENMESİ