Hizmetler Ekibimiz Bilgi Bankası
lang-icon
English
search-icon
Bilgi Bankası
Ana Sayfa gray-arrow-icon Bilgi Bankası gray-arrow-icon
Avrupa Adalet Divanı’nın Veri Anonimleştirmesine Dair Kararı

Avrupa Adalet Divanı’nın Veri Anonimleştirmesine Dair Kararı

30.09.2025 Tilbe Birengel

Giriş

Eylül 2025’te Avrupa Birliği Adalet Divanı (“ABAD”), Single Resolution Board (SRB) v. European Data Protection Supervisor (EDPS) davasında[1] , AB veri koruma rejimi kapsamında yeni bir karar verdi. 

Davada, maskelenen/takma adlı hale getirilen (pseudonymized) verilerin, veri sahibini tespite imkân veren anahtara (ek bilgilere) sahip olmayan veri işleyenler bakımından kişisel veri olarak kabul edilip edilemeyeceği değerlendirildi.

Karar, ABAD’ın verilerin anonimleştirilmesi alanındaki içtihadını geliştirmesi ve takma adlı hale getirilen (pseudonymized) veriler bakımından daha net ölçütler sunması açısından önem taşır.

Avrupa Adalet Divanı’nın Veri Anonimleştirmesine Dair Kararı
% 0

Arka Plan

GDPR m. 4(5) uyarınca takma ad verme (pseudonymization), kişisel verilerin, anahtar (ek bilgi) kullanılmadıkça bir gerçek kişiyle ilişkilendirilemeyeceği şekilde işlenmesi anlamına gelir; bu ek bilgiler veriden ayrı tutulmalı ve kimlik ilişkilendirmesini engelleyecek önlemlere tabi olmalıdır. Verinin anonimleştirilmesi ise, veri üzerinde gerçekleştirilen kalıcı işlemler sonunda veri ile veri sahibi gerçek kişi arasındaki bağın ortadan kaldırılması, gerçek kişinin anonim veri üzerinden tespitinin imkânsız hale gelmesidir. 

Takma ad verme ile anonimleştirme arasındaki fark önemlidir; zira yalnızca gerçekten anonim hale getirilmiş veriler GDPR kapsamı dışında kalır. Uygulamada kimi verilerin bu kapsamda sınıflandırılmasında belirsizlikler ile karşılaşılır.

Bu makalede incelenen SRB v. EDPS uyuşmazlığı, bir Avrupa Birliği otoritesinin (Single Resolution Board- SRB) hissedar ve alacaklılardan aldığı görüşleri, takma adlı (pseudonymized) biçimde değerleme faaliyeti yürüten Deloitte’a aktarmasından doğar. EDPS bu aktarımın veri sahiplerine önceden bildirilmemesinin hukuka aykırı olduğu sonucuna varır. EDPS’ye göre Deloitte’un takma adlı verilere ilişkin anahtara sahip olmaması, verilerin anonim olarak değerlendirilmesi ve GDPR kapsamından çıkarılması için yeterli değildi. EDPS, SRB’nin, 2018/1725 sayılı AB Tüzüğü’ne uymadığı sonucuna varır. AB Genel Mahkemesi’nin konuyla ilgili değerlendirmesinin ardından, konu ABAD önüne taşınır.

Kararın Temel Bulguları

ABAD kararında ele alınan temel değerlendirmeler şu şekilde özetlenebilir:

  • Şeffaflık yükümlülüğüne uyum veri sorumlusunun verileri toplama anındaki faaliyetlerine göre değerlendirilmelidir: Veri sorumlusu, verilere ilk temas ettiği anda veri sahiplerine ilerleyen aşamalarda verilerin aktarılabileceği üçüncü kişileri bildirmekle yükümlüdür.
  • Takma adlandırılan veri, her alıcı açısından kişisel veri sayılmaz: Aynı takma adlı veri seti, anahtarı elinde bulunduran kurum açısından kişisel veri sayılırken, bu anahtara sahip olmayan kurum açısından ise GDPR kapsamı dışında kabul edilebilir.
  • Alıcı veri sahibini tespit edemese dahi veriler kişisel veri statüsünde olabilir: Mahkeme, alıcının anahtara sahip olmamasının her şartta veriyi anonimleştirmeyeceğini vurgular. Bu noktada önemli olan, veri işleme sürecinde verinin yeniden gerçek kişi ile ilişkilendirilmesinin “makul ölçüde olası” olup olmadığıdır[2] . İncelenen uyuşmazlıkta, SRB’nin veri anahtarına erişimi sürdürdüğü için, aktarılan veri seti SRB açısından kişisel veri niteliğini korur.

Sonuç

SRB v. EDPS kararı, ABAD’ın verilerin anonimleştirilmesi alanına ilişkin içtihadını pekiştirir. Mahkeme, takma ad verilen (pseudonymized) verilerin her durumda kişisel veri sayılamayacağını değerlendirir. Bu yönüyle takma ad verilen verilerin GDPR kapsamında kabul edildiği ve sıkı tedbirlere tabi olduğu anlayıştan bir adım daha uzaklaşıldığı görülür. 

Bir verinin kişisel, takma adlı (pseudonymized) veya anonim olup olmadığı değerlendirilmesi yapılırken, veri aktarma faaliyetinin bağlamına göre inceleme yapılmalıdır[3] .

Etkin biçimde takma adlandırılan (pseudonymized) (yeniden tanımlama imkânı olmayan) veriler, GDPR kapsamı dışında kalabilir. Bu durumda tarafların veri aktarımında GDPR uyum yükümlülükleri azalacaktır. Böylece hukuka uygun yapay zekâ modelleri ve veri temelli araştırmalar için piyasanın beklediği yenilikçi alanın yavaş da olsa önünün açılmaya başlandığı söylenebilir. Verilerde takma ad kullanımının uygulamaya dönük örneklerle somutlaştırılması ihtiyacı ise halen devam etmektedir[4].

Kaynakça
  • European Data Protection Supervisor v Single Resolution Board (Judgment of the Court (First Chamber), Case C-413/23 P, ECLI:EU:C:2025:645, erişim için: https://curia.europa.eu/juris/document/document.jsf;jsessionid=A343CFC69FFD630DD37626CED2C6EA25?text=&docid=303863&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=30979519 
  • Philipp Roos, Dr. Davide Borelli, Dr. Christoph Werkmeister, Annabelle Hamelin, Lexology, “Personal Data or Not? The CJEU’s (updated) understanding of anonymisation” (Ekim 2025), erişim için:: https://www.lexology.com/library/detail.aspx?g=fe99719f-7aac-45a6-baec-499ad7d3f93e
  • CJEU Confirms Personal Data as a Relative Concept, Latham & Watkins, erişim için: https://www.globalprivacyblog.com/2025/09/cjeu-confirms-personal-data-as-a-relative-concept/
  • Patrice Navarro, Pseudonymized data after EDPS v SRB, erişim için: https://www.cliffordchance.com/insights/resources/blogs/talking-tech/en/articles/2025/09/pseudonymized-data-after-edps-v-srb.html

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Tüm Yazıları Gör

Diğer İçerikler

Yaratıcı hukuk çözümleri için iletişime geçin.