Avrupa Adalet Divanı’nın Veri Anonimleştirmesine Dair Kararı
Giriş
Eylül 2025’te Avrupa Birliği Adalet Divanı (“ABAD”), Single Resolution Board (SRB) v. European Data Protection Supervisor (EDPS) davasında[1] , AB veri koruma rejimi kapsamında yeni bir karar verdi.
Davada, maskelenen/takma adlı hale getirilen (pseudonymized) verilerin, veri sahibini tespite imkân veren anahtara (ek bilgilere) sahip olmayan veri işleyenler bakımından kişisel veri olarak kabul edilip edilemeyeceği değerlendirildi.
Karar, ABAD’ın verilerin anonimleştirilmesi alanındaki içtihadını geliştirmesi ve takma adlı hale getirilen (pseudonymized) veriler bakımından daha net ölçütler sunması açısından önem taşır.
Arka Plan
GDPR m. 4(5) uyarınca takma ad verme (pseudonymization), kişisel verilerin, anahtar (ek bilgi) kullanılmadıkça bir gerçek kişiyle ilişkilendirilemeyeceği şekilde işlenmesi anlamına gelir; bu ek bilgiler veriden ayrı tutulmalı ve kimlik ilişkilendirmesini engelleyecek önlemlere tabi olmalıdır. Verinin anonimleştirilmesi ise, veri üzerinde gerçekleştirilen kalıcı işlemler sonunda veri ile veri sahibi gerçek kişi arasındaki bağın ortadan kaldırılması, gerçek kişinin anonim veri üzerinden tespitinin imkânsız hale gelmesidir.
Takma ad verme ile anonimleştirme arasındaki fark önemlidir; zira yalnızca gerçekten anonim hale getirilmiş veriler GDPR kapsamı dışında kalır. Uygulamada kimi verilerin bu kapsamda sınıflandırılmasında belirsizlikler ile karşılaşılır.
Bu makalede incelenen SRB v. EDPS uyuşmazlığı, bir Avrupa Birliği otoritesinin (Single Resolution Board- SRB) hissedar ve alacaklılardan aldığı görüşleri, takma adlı (pseudonymized) biçimde değerleme faaliyeti yürüten Deloitte’a aktarmasından doğar. EDPS bu aktarımın veri sahiplerine önceden bildirilmemesinin hukuka aykırı olduğu sonucuna varır. EDPS’ye göre Deloitte’un takma adlı verilere ilişkin anahtara sahip olmaması, verilerin anonim olarak değerlendirilmesi ve GDPR kapsamından çıkarılması için yeterli değildi. EDPS, SRB’nin, 2018/1725 sayılı AB Tüzüğü’ne uymadığı sonucuna varır. AB Genel Mahkemesi’nin konuyla ilgili değerlendirmesinin ardından, konu ABAD önüne taşınır.
Kararın Temel Bulguları
ABAD kararında ele alınan temel değerlendirmeler şu şekilde özetlenebilir:
- Şeffaflık yükümlülüğüne uyum veri sorumlusunun verileri toplama anındaki faaliyetlerine göre değerlendirilmelidir: Veri sorumlusu, verilere ilk temas ettiği anda veri sahiplerine ilerleyen aşamalarda verilerin aktarılabileceği üçüncü kişileri bildirmekle yükümlüdür.
- Takma adlandırılan veri, her alıcı açısından kişisel veri sayılmaz: Aynı takma adlı veri seti, anahtarı elinde bulunduran kurum açısından kişisel veri sayılırken, bu anahtara sahip olmayan kurum açısından ise GDPR kapsamı dışında kabul edilebilir.
- Alıcı veri sahibini tespit edemese dahi veriler kişisel veri statüsünde olabilir: Mahkeme, alıcının anahtara sahip olmamasının her şartta veriyi anonimleştirmeyeceğini vurgular. Bu noktada önemli olan, veri işleme sürecinde verinin yeniden gerçek kişi ile ilişkilendirilmesinin “makul ölçüde olası” olup olmadığıdır[2] . İncelenen uyuşmazlıkta, SRB’nin veri anahtarına erişimi sürdürdüğü için, aktarılan veri seti SRB açısından kişisel veri niteliğini korur.
Sonuç
SRB v. EDPS kararı, ABAD’ın verilerin anonimleştirilmesi alanına ilişkin içtihadını pekiştirir. Mahkeme, takma ad verilen (pseudonymized) verilerin her durumda kişisel veri sayılamayacağını değerlendirir. Bu yönüyle takma ad verilen verilerin GDPR kapsamında kabul edildiği ve sıkı tedbirlere tabi olduğu anlayıştan bir adım daha uzaklaşıldığı görülür.
Bir verinin kişisel, takma adlı (pseudonymized) veya anonim olup olmadığı değerlendirilmesi yapılırken, veri aktarma faaliyetinin bağlamına göre inceleme yapılmalıdır[3] .
Etkin biçimde takma adlandırılan (pseudonymized) (yeniden tanımlama imkânı olmayan) veriler, GDPR kapsamı dışında kalabilir. Bu durumda tarafların veri aktarımında GDPR uyum yükümlülükleri azalacaktır. Böylece hukuka uygun yapay zekâ modelleri ve veri temelli araştırmalar için piyasanın beklediği yenilikçi alanın yavaş da olsa önünün açılmaya başlandığı söylenebilir. Verilerde takma ad kullanımının uygulamaya dönük örneklerle somutlaştırılması ihtiyacı ise halen devam etmektedir[4].
- European Data Protection Supervisor v Single Resolution Board (Judgment of the Court (First Chamber), Case C-413/23 P, ECLI:EU:C:2025:645, erişim için: https://curia.europa.eu/juris/document/document.jsf;jsessionid=A343CFC69FFD630DD37626CED2C6EA25?text=&docid=303863&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=30979519
- Philipp Roos, Dr. Davide Borelli, Dr. Christoph Werkmeister, Annabelle Hamelin, Lexology, “Personal Data or Not? The CJEU’s (updated) understanding of anonymisation” (Ekim 2025), erişim için:: https://www.lexology.com/library/detail.aspx?g=fe99719f-7aac-45a6-baec-499ad7d3f93e
- CJEU Confirms Personal Data as a Relative Concept, Latham & Watkins, erişim için: https://www.globalprivacyblog.com/2025/09/cjeu-confirms-personal-data-as-a-relative-concept/
- Patrice Navarro, Pseudonymized data after EDPS v SRB, erişim için: https://www.cliffordchance.com/insights/resources/blogs/talking-tech/en/articles/2025/09/pseudonymized-data-after-edps-v-srb.html
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Türkiye’de son dönemde özellikle perakende mağazalarda, ürün ve hizmet sunumları sırasında ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi ve bu yolla kişisel verilerin işlenmesi giderek yaygınlaşmıştır. Kişisel Verileri Koruma Kurulu’na (“Kurul”) intikal eden şikâyetlerde; ödeme yapma, kayıt açma...
Günümüzde iş sağlığı ve güvenliği, işyeri düzeninin sağlanması, iç denetim mekanizmalarının işletilmesi ve olası suistimallerin önlenmesi gibi gerekçelerle işverenler tarafından güvenlik kamerası sistemleri yaygın biçimde kullanılmaktadır...
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt dışına aktarımı konusunda belirli kurallar öngörse de, uygulamada yaşanan bazı zorluklar nedeniyle yurt dışına aktarım kurallarının etkin işleyişi zamanla sınırlanmıştı...
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi esas alınarak hazırlanmış ve 2016 yılında yürürlüğe girmiştir. Anılan direktif ise, Avrupa Birliği Veri...
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Günümüz dünyasında artık pek çok ürün ve hizmeti bulunduğumuz yerden tek bir tık ile e-ticaret platformları aracılığıyla satın alma imkanına sahibiz. Bu alışverişler sırasında, siparişin alınması, yönetimi ve teslimi, sipariş sonrası bilgilendirme, reklam ve pazarlama gibi çeşitli nedenlerle kişisel verilerimiz...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
