Şifreleme ve Şifrenin Kişisel Veri Niteliği

İle Av. Alper Atmaca Ağustos 1, 2018

Bu makale kriptografi gibi teknik bir konuya ait açıklamalar içermektedir. Makalenin amacı kesinlikle kriptografi hakkında tam olarak doğru ve detaylı bir bilginin sunulması değildir. Yazar, şifreleme teknolojilerine ve uygulamalarına ilişkin bir tartışmayı kendi mesleki bakış açısından sunmaktadır. Bu bakımdan teknik açıklamaların sağduyu ile okunması tavsiye edilir.

Kişisel veriler ve bu verilerin korunması, çağdaş yaşamın ve hali ile hukuk sisteminin en önemli konularından birini teşkil etmektedir. Teknik imkanların hukuki sınırlamalara pek dahil olmadığı geçmiş 30 sene içinde yerleşen, insanların kişisel verileri ile profillenmesine dayanarak gelişen bir ekonomi içinde bulunduğumuz yüzyılda hukuk sisteminin ve insanların yüzleştiği en büyük hak tartışmalarından birine sebep oldu. 1981 Tarihli 108 sayılı sözleşme ile başlayan yolculuk ile General Data Protection Regulation ve 7 Nisan 2016’da kabulü ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ile hukuk geç de olsa kişilerin haklarını korumak adına harekete etkin şekilde geçti.

Şifreleme teknolojileri tarih boyunca önemli bilgilerin korunması için tercih edilen en etkili yöntemlerden biri olmakla veri koruma hukuku uygulamaların öngördüğü gereklilikler ile veri sahibi ilgili kişiye gerçekten verileri üzerinde hak tanıyor olması dolayısı ile çok önemli bir konumda. Geldiğimiz gün itibari ile şifrelemenin hukuki yansımaları hak ettiği tartışmayı yeterince bulamıyor ve teknolojinin uygulamasının getirebileceği koruma alanını sınırlı kalıyor.

Bu makale ile amaçlanan, hem yerel uygulamaya yön gösterebilmek olduğu kadar şifreleme teknolojilerinin hukuki ve ilgili kişilerin mahremiyetine pratik olarak getirebileceği faydaları ortaya koymaktır. Bu kapsamda GDPR ve KVKK birlikte ele alınacak, şifrelemeye ilişkin yaklaşımları ortaya koyulmaya çalışılacak ve amaçlanması gereken sonuçlara yönelik hukuki imkanlar irdelenecektir.

Bilgi ve Verinin Doğası

Kişisel verilerden ve kişisel veri korumasının imkanlarından önce kişisel olmasından bağımsız olarak bilgi ve veri kavramlarının temel niteliklerinin irdelenmesi gereklidir. Veri ve bilgi farklı kavramları ifade etmektedir. Veri, bağlam içermeyen ve insan algısına göre düzensiz olmakla anlam ifade etmeyen kayıtlardır. Bilgi ise verinin anlam ifade edecek şekilde düzenlenmiş ve ilişkilendirilmiş olması ile bütüncül olarak anlamı olan kayıtlara verilen isimdir. Bu bakımdan bir şey’in veri’den bilgi’ye geçişi bir “işlem” sonucu olmaktadır. Bu işlemin niteliği var olan verinin insan algısına anlamsızlığının ortadan kaldırılarak anlamlı hale getirilmesi ile tanımlanabilir.

Bu tanımlar çerçevesinde kriptografi veya şifrebilimin alanında bulunan teknoloji, tam olarak veri ile bilginin karşıtlığının konusunu kapsamakta ve kişisel veri hukukunun uygulamasında önemli bir yer tutmaktadır. Dünya literatüründe tartışılmakta olmakla birlikte Türkiye gündeminde yeterince yer edinememiş bir konu olan şifreleme teknolojileri ve kişisel veri korumasına uygulanması açısından yansımalarının tartışılması Türkiye hukuk düzeni için kanımızca elzemdir.

Kişisel Verinin Tanımlayıcı Niteliği

Kişisel veri, GDPR ve KVKK kapsamında aşağıdaki şekilde tanımlanmıştır;

GDPR KVKK
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

İki tanımdan konuya ilişkin çıkarılması ve tartışılması gereken en önemli kavram belirlenebilirlik kavramıdır. Şayet bir veri, gerçek bir kişi ile ilişkilendirilemiyor veya veri gerçek bir kişi ile ilişkilendirilecek şekilde algılanamıyor yani bilgi formuna dönüştürülemiyorsa, söz konusu tanımlar kapsamında kişisel veri sayılmasına imkan bulunmamaktadır.

Belirlenebilirliğin öznesi; hangi verinin kişisel veri sayılacağı ve kimin bu veriden sorumluluğu olacağının da konusudur. Şayet söz konu hükümler salt değerlendirilirse; bir veri sadece bilinen evrende herhangi bir kişi tarafından ne koşulda olursa olsun belirlenebiliyor veya belirlenebilirliğinin imkansızlığı kesin olarak kanıtlanamıyorsa, veri verili herhangi bir anda anlaşılabilir olmamasından bağımsız olarak kişisel veri ve elinde bulunduran kişi de veri sorumlusu olarak değerlenilecektir. Bu yaklaşımın, kişisel veri kavramına mutlak bir yaklaşım getirdiği ve bir mantık hatası olduğu kesindir.

Öte yandan şayet bir verinin öznel olarak bu veriden anlam çıkarabilmek imkanına sahip olan kişilerce kişisel veri olduğu yorumu, göreceli bir kişisel veri kavramı yaratacaktır. Keza kanunlara göre veri sorumlusu olmak kişisel veri işlemeyi ve doğal olarak kişisel verinin belirleyici özelliklerine haiz olmayı gerektirmekte.1 Bu koşulda kişisel veri olup olmadığından emin olunamayacak olan veri ile ilgili veriye sahip olan kişi için veri sorumlusu sıfatını kullanmak mümkün olmamalıdır. Sadece bir veriyi anlamlı hale getirmeye imkan veren yöntem ile veriyi aynı anda elinde bulunduranlar için o verinin kişisel veri olduğunu söylemek mantık açısından doğru önerme olur.

Mutlak ve görece yaklaşımın veya melez bir görüşün, her iki kanun açısından kesin bir kabul görüp görmediği tartışmalıdır. Bu tartışmayı tüm kapsamı ile burada değerlendirmek amacı aşacak olsa da özetle GDPR’ın lafzi yorumlarındaki2 çelişkiler, içtihatlar ile işlevsel bir sonuca doğru evrilmektedir3.

Türkiye’de bu konu üzerinde bir tartışma yaşanmamakla birlikte GDPR’ın veya genel olarak kişisel veri korumasının mutlak yorumuna gelen itirazların başında; teknik olarak bir verinin, gerçek bir kişi ile asla ilişkilendirilemeyeceğinin kesinlik teşkil etmediği ve kanunun bu yöndeki bir beklentisinin belirsizlik ile fazlasıyla geniş bir kapsam ve uygulama alanı yaratacağı gelmektedir.

Bu genişliğin yaratacağı hukuki sorunu örneklemek gerekirse; bir veri merkezinin binlerce kullanıcısının anlık olarak sistemlerde şifreli verilerin kişisel veri olabilmesi ihtimali ile hukuki sorumluluk doğması söz konusu olabilir. Benzer şekilde günümüz bilişim sistemlerinde veri akışı çok çeşitli şekillerde bir çok sistemden geçerek gerçekleşiyor. TLS ile şifrelenmiş bir veri akışı bir bilgisayardan başladığı yolculuğunu yönlendirici, İnternet servis sağlayıcısı ve hizmet servis sağlayıcısı gibi farklı sahiplikleri olan sistemlerden geçerek tamamlıyor. Şifreli verinin kişisel veri sayılması durumunda, anlaşılamaz olmasına rağmen bu veriyi işleyen her sistemin sahibi için çıkabilecek hukuki sorumluluk örneklenebilir.

Şifreleme ve Veri Koruması Temel Kaynaklarının Yaklaşımı

GDPR ve KVKK dahil Kişisel veri korumasının temel kaynakları açısından şifreleme teknolojilerine yaklaşımı, tanımları ve uygulamada nasıl yer verildiği tartışılan konuya ilişkin önemli bir girdi olarak kabul edilebilir.

GDPR bu kapsamında şifrelemenin bir güvenlik önlemi4 olarak tanımlamaktadır. İlgili kişilerin mahremiyetlerinin, dolayısı ile verilerinin güvenliğini korumak adına veri sorumlusuna verilen tedbir yükümlülüğü kapsamında yarı anonimleştirme5 ile birlikte anılmakta. Bu bakımdan GDPR açısından şifrelemeye salt bir güvenlik tedbiri olarak yaklaşıldığı yorumu yapılabileceği gibi ilgili maddede yarı anonimleştirme ile birlikte ve ikame edilebilir şekilde anıldığından benzer nitelikte görüldüğü de söylenebilir.

GDPR, ilgili kişilerin hak ve özgürlüklerine karşı yüksek tehlike içeren bir kişisel veri ifşası durumunda ilgili kişileri gecikmeksizin haberdar etme yükümlülüğü getirmekte6. Bu yükümlülüğün istisnaları arasında veri sorumlusunun uygun teknik tedbirler ile ifşa olan verinin anlaşılamaz kılmış olması durumu yer almakta. Verinin anlaşılmaz kılınması örnekleri arasında şifrelemeyi yöntem olarak anmakta. Bu bakımdan GDPR’ın şifreli veri ve ifşasına ilişkin daha az bir risk gördüğü ve kişisel verilere nazaran daha az bir koruma öngördüğü tespit edilebilir.

KVKK, metninde şifreleme kelimesini veya kavramını içermemektedir. Bu eksikliği kanunun yazımı usulü bakımından daha geniş ve kapsayıcı ifadelerin kullanılması ile yönetmeliklere bırakılan alana atfetmek mümkün olsa da teknik idari tedbirler7 kapsamında nelerin değerlendirilebileceği uygulama açısından hala gelişen bir süreç olarak olası tartışmalara açıktır.

Tarih itibari ile idari teknik tedbirler, bu tedbirlerin kabul edilen kabiliyetleri ve uygulama açısından niteliklerini kapsayan bir yönetmelik yayında bulunmamaktadır. Yaşanan ihlaller ve Kişisel Verileri Koruma Kurumunun verdiği kararlar çerçevesinde, tartışılan konuya ilişkin bir çıkarım yapma imkanı da bulunmamaktadır. Bu durumun tek istisnası Kurumun kendi web sayfasında yayında bulunan ve KVKK’nın uygulamasına ilişkin hazırlanan rehberleri olan “Kişisel verilerin silinmesi yok edilmesi veya anonim hale getirilmesi rehberi” kişisel verilerin yok edilmesi başlığı altında, bulut ortamı8 başlıklı bendinde şifreleme teknolojilerinin kullanımı konusunda şu ifadeyi kullanmıştır;

“Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.”

Rehberin bu konudaki yaklaşımından Kurumun şifreli veriyi, anahtar ve şifre olarak algıladığı ve anahtarın yok edilmesi ile birlikte şifreli verinin de yok edilmiş sayılacak olduğunu varsaymak mümkün. Bu tanıma bağlı olarak, anahtarın yokluğunda kişisel veri sayılmayan şifrenin anahtarın varlığında anahtara sahip olmayan kişiler açısından da kişisel veri sayılmayacağı yorumu yapılması mümkün olabilir.

Özetle; bir verinin kişisel veri sayılmaması veya anonim sayılması için GDPR kapsamında makul ve beklenebilir imkanlar dahilinde gerçek kişilerle ilişkilendirilememesi gerekli görülmektedir. KVKK ise daha kesin bir ifade ile hiç bir şekilde ilişkilendirilememesini koşul koymaktadır. Bu tanımlar kapsamında her iki kanunun da çelişki içinde olduğunu söylemek mümkün.

GDPR lafzı9 itibari ile kişisel verilere mutlak bir yaklaşımı benimserken aynı zamanda belirlenebilirlik kavramını; masraf, zaman ve teknolojik imkanlar çerçevesinde sınırlandırmaktadır10. GDPR’da; yarı anonimlik kavramını şifrelemeyle kıyaslaması ve şifrelemeyi aktarım veya depolamaya yönelik olmasından bağımsız olarak bir güvenlik önlemi olarak tanımlaması kanunun yorumu ve uygulaması bakımından şifreli verilere de bu mutlak yorumun uygulanması sonucunu ima etmektedir.

KVKK ise tanımı itibari ile mutlak bir kişisel veri yaklaşımını benimsemekte fakat yarı anonimlik gibi bir kavramı içermediği gibi Kişisel Verilerin Korunması Kurumu tarafından bugün itibari ile şifreli verilere ilişkin göreceli bir yorumun benimsenmesi sonucunda benzer bir çelişki ortaya çıkmaktadır.

Özetle; şifreli veriye anahtarından bağımsız olması koşulunda GDPR’ın yarı anonim, KVKK’ın ise anonim veri niteliği verdiği söylenebilir. Bu sebeple anonimlik kavramının tartışılması sonuca ulaşılması açısından faydalı görülmektedir.

Anonim, Yarı Anonim Veri Farkı

Özellikle GDPR’ın şifreleme ile yarı anonimleştirmeyi bir arada anmasından ve benzerlik kurulabilecek bir teknik olmakla yarı anonimleştirmenin şifreli verilere kişisel veri koruma hukukunun uygulanması açısından kıyasen incelenmesi faydalı görülmektedir.

Her iki kanun dahilinde anonimleştirme şu şekilde tanımlanmıştır;

GDPR KVKK
The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

GDPR anonimleştirilmiş veriyi kişisel veri olarak tanımlamamaktadır11. Bu fikrin arkasında yatan düşünce anonimleştirilmiş verinin herhangi bir yöntemle, bir kişiyi belirleyebilecek şekilde geri getirilemeyeceğidir. Kavramsal olarak anonimleştirilen kişisel verilerden “kişisel” olmasına neden olan bilginin çıkarılarak yok edilmesi ve kalan verinin de istatistiksel veya karşılaştırma ile anlam ifade edebilecek biçimden çıkarılması söz konusudur. Anonimleştirme sonucunda, veri sorumlusunun elinde kalan veri belirli bir kişiye ilişkin olmadığı gibi bilinen evrendeki her kişi için de bilinen teknikler ve ihtimaller çerçevesinde anonimliğin bozulması imkansız kabul edilmektedir.

Benzer şekilde KVKK mevzuatı için anonimleştirme; veri silme ve yok etme ile eşdeğer tutulmuş12 olmasından dolayı kişisel veri sayılmamaktadır. KVKK kapsamında anonimleştirilme yöntemleri için çıkarılmış yönetmeliğin13 ifadesi ile veri sorumlusu veya veriye erişimi olacak kimseler tarafından; başka verilerle eşleştirme, kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerle dahi kimliği belirli veya belirlenebilir gerçek bir kişi ile ilişkilendirilememesi gerekmektedir.

Yarı anonimleştirme ise KVKK’da yer bulmamış bir kavram olmakla GDPR’da şu şekilde tanımlanmaktadır;

GDPR KVKK
‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

GDPR açısından bir verinin anonim veya yarı anonim olması arasındaki fark, verinin bir başka veri seti ile anonimlik özelliğinin ortadan kaldırılıp kaldırılamamasına ilişkindir. Bu anlamda yarı anonimlik bir mahremiyet koruyucu tedbir olarak görülmektedir. Kişisel veri, verinin gerçek bir kişi ile ilişkilendirilmesine imkan veren bilgiden ayrıştırılmakta ve ayrıştırılan “kişisel” bilgi tüm veriden ayrı saklanmaktadır. Anonim veriden farklı olan ise ayrıştırılan “kişisel” bilgiyi elinde bulunduran kişi haricindeki kimselerce kalan verinin belirlenebilirliğinin olmamasıdır.

Yarı anonimleştirme çerçevesinde GDPR, yarı anonim verinin kişisel verilere ulaşılmasına imkan verecek tekniklerin kim tarafından uygulanabilir olmasından bağımsız olarak kişisel veri sayılacağını belirtmiştir14. Yarı anonim veri kapsamında GDPR’ın verinin öznel görüşten sapan mutlak bir kişisel veri yorumuna yatkın bulunduğu söylenebilir.

Şifre veya Şifreli Verinin Tanımlanması

Şifreleme, Vikipedi tarafından şu şekilde tanımlanmaktadır;

“…şifreleme bir mesaj veya bilginin sadece yetkili taraflarca erişip yetkisiz kişilerce erişilmesine engel olan bir düzenlemedir15

Bu tanım itibari ile şifreleme; bir bilginin belirli bir yöntem aracılığı ile anlaşılamaz hale getirilmesini ve sadece bu yöntemin sırrına sahip olan kişilerin işlemi geri döndürebilmesini ifade etmektedir. Kriptografinin tarihi eski olup, bugünün güvenlik algısı ile güvenli sayılmayacak olsalar bile antik Mısır’a kadar gitmektedir.

Temel olarak şifreleme, ulaşılması hedeflenen sonuç ile de sınıflandırılmaktadırlar. Verilerin iki cihaz arasında - e-posta veya anlık yazışma gibi - iletişim amacıyla aktarımı sırasında şifrelenmesi olan iletim katmanı şifreleme (“Transport Layet Encryption - TLS”) ile verinin depolandığı ortam üzerinde şifreli saklanması bu makalenin tartıştığı konu bakımından ayrı sonuçlar doğurmaktadır. TLS aktarım aşamasını koruyan bir teknik olup, cihaza ulaşan şifreli veri taraflarca açık olarak elde edilmekle kişisel veri niteliği verinin ulaştığı taraflar açısından tartışmasızdır. Bu makalenin kapsamı şifreli olan verinin hukuki durumunu tartışmaktır.

Basitçe şifreleme teknolojilerinin temel kavramlarını açıklamak ve günümüzde hakim olan tekniklere hakkında temel bilgileri vermek söz konusu tartışmanın amacına ulaşması için gereklidir.

Kriptografinin Temel Terimleri ve Tanımları

  • Açık Veri/Bilgi: İngilizce “Plaintext” veya “Cleartext” olarak adlandırılan ve çoğunlukla P harfi ile ifade bulan, şifreleme ile gizlenmesi amaçlanan veri veya bilgiyi temsil eden kavramdır. Cleartext, kullanım bakımından aktarım sırasında şifrelenmemiş olan veriler için kullanılır. (ör: açıktan göndermek, sending in the clear.) Açık verinin işlenmesi şifreleme ulaşmayı amaçladığı güvenlik açısından riskler doğurur. Çoğu zaman bir şifreleme algoritması, etrafından dolanılarak açık veriye ulaşılarak alt edilir. Bu sebepten şifreleme algoritmalarının, bu algoritmaları işleyen donanımların açık veriyi ne şekilde ele aldıkları güvenlik bakımından en önemli değerlerden biridir. Örneğin; şifrelenmiş bir verinin şifresini çözen donanımın, açık veriyi yazdığı sabit diskin uygun şekilde imha edilmemesi söz konusu sonucu doğurabilir.

  • Anahtar: Açık verinin gizlenmesine yarayacak, şifreleme ve şifre çözümünün yapılması için gerekli olan gizli veridir. Anahtarın tüm şifreleme algoritmaları arasındaki en temel özelliği gizli tutulması gerekliliğidir. Kullanılan şifreleme algoritmaları Kerckhoffs ilkesi gereği saldırganlar tarafından bilindiği varsayılır. Bu varsayım altında, algoritma aracılığı ile şifrenin çözülmesinin önündeki engel anahtarın gizliliğidir ve bu sebeple güvenlik amacı ile anahtara güvenilir. Anahtar büyüklüğü güvenliğin bir parçasıdır ve genel olarak ne kadar büyük anahtar kullanılırsa şifrelenen verinin işlem maliyeti nedeniyle o derece daha fazla güvenli olduğu kabul edilir. Aynı anahtarın hem şifreleme hem de şifre çözümü için kullanıldığı durumlarda şifreleme simetrik, farklı anahtarların şifreleme ve çözüm işlemlerinden sorumlu bulunduğu durumlarda asimetrik şifreleme söz konusudur.

  • Şifre: Türkçe’deki yaygın yanlış kullanımının aksine şifre; açık verinin algoritma tarafından şifrelenmesi sonucu elde edilen, anahtarın sahibinden başkasına anlam ifade etmeyen ve saklanması amaçlanan bilgi veya veriyi taşıyan karıştırılmış verinin isimdir. Türkçe’deki kullanımı itibari ile “cipher” kelimesine değil “ciphertext” kelimesinin anlamını taşımaktadır.

  • Parola: Parola; ezberlenen ve gizli tutulan, kişinin kimliğini veya yetkisini doğrulamak için kullanılan görece kısa, karakter veya kelimelerden oluşan sırrı ifade eder. Parola ile şifreleme sistemlerindeki anahtarlar şifrelenir veya anahtarlar doğrudan bir fonksiyon aracılığı ile paroladan elde edilebilir. Bu bakımdan parolanın güvenliği beşeri güvenliğin bir parçası olarak sistemin güvenliğine dahildir. Parolaların, görece kolay hatırlanabilir fakat tahmin edilmesinin zor olması arzulanır. Seçiminde rastgelelik ve olasılık havuzunun genişliği bir parolanın güvenliğini doğrudan etkiler.

  • Şifreleme Algoritması: Açık bilgi veya verinin şifrelenmesi için kullanılan matematiksel tekniktir. Çok çeşitli tekniklerin olması itibari ile temelde açık bilgi, anahtar ve şifre arasındaki geçişin matematiksel işlemini içeren tekniğe verilen isimdir. Her şifreleme algoritmasının birden fazla modu olması muhtemel olduğundan farklılıklara dikkat edilmelidir.

Temel Şifreleme Tekniklerinin Farkları

Her şifreleme tekniğinin, temelde aynı amaca yönelik olsalar da bu amaca ulaşmak için kullandıkları yöntem ve kullanılan yöntemin nitelikleri sebebi ile uygulama açısından farklı sonuçları olmaktadır. Pratik bir amacın elde edilmesi için gereken güvenlik seviyesi ve şifreleme tekniğinin tercihi tamamen uygulamanın ihtiyaçları çerçevesinde gerçekleşmektedir. Söz konusu tekniklerin anahtar yönetimi ve güvenlik seviyesi, kişisel veri korumasına uygulanabilirliğini de değiştirmektedir.

  • Simetrik Şifreleme: Simetrik şifreleme, tarafların şifreye ilişkin ortak sırrı (ör: parola) paylaştıkları ve bu sır ile şifrelemenin ve çözümünün yapıldığı yöntemleri ifade etmektedir. Simetrik şifrelenen verilere ilişkin anahtar, doğrudan ortak sırdan elde edilebileceği gibi anahtar bir parola ile şifrelenmiş olarak olarak veriye eklenerek de kullanılabilir. Advanced Encryption Standard (AES) dünyada en yaygın kullanılan ve neredeyse günlük kullanılan tüm cihazların donanımsal olarak da desteklediği bir simetrik şifreleme yöntemidir.

  • Asimetrik Şifreleme: Asimetrik şifreleme, şifreleme anahtarının iki parçadan oluştuğu ve bu parçalardan birinin şifrelemeden bir diğerinin ise şifrenin çözümünden sorumlu olduğu şifreleme yöntemidir. Bu yöntemde anahtarlardan şifreleme imkanına sahip olan açık anahtar olarak adlandırılıp serbestçe paylaşılabilmektedir. Açık anahtar ile istenilen kişiye herkes şifreleme yapabilmekte ve şifrelenen veri sadece elinde anahtarın ikinci parçası olan özel/gizli anahtarı sır olarak bulunduran kişice bu anahtar aracılığı ile çözülebilmektedir. Ayrıca açık/özel anahtar ikilisi ters yönde kullanılarak bir verinin anahtarın sahibinden kaynaklandığı “imza” imkanı ile açık anahtara sahip herkes tarafından doğrulanabilmektedir. RSA (Rivest–Shamir–Adleman) yaygın olarak kullanılan asimetrik şifreleme yöntemidir.

Şifrelemenin Teknik Yeterliliğinin Değerlendirilmesi

Şifreli verinin hem GDPR hem de KVKK dahilinde detaylı bir tanım bulmamış olmasından dolayı şifrelenen kişisel verilerin niteliklerinin hukuki değerlendirmesinin kıyasen yapılması gereklidir.

GDPR metninde şifreli verilerin yarı anonimlik ile birlikte anılması ve yarı anonimliğin yapılan tanımındaki teknik detayların şifreleme teknolojilerindeki şifre ve anahtar kavramlarının ilişkisine benzer olması kıyasi karşılaştırmanın yarı anonimlik ile yapılmasına teşvik etmektedir.

Avrupa veri koruma doktrininin önemli kaynaklarından olan Article 29 çalışma grubunun anonimlik tekniklerine ilişkin görüşlerini içeren belgesinde16 yarı anonimleştirme teknikleri olarak kriptografik araçlar ve kullanımlarının veri koruması bakımından sonuçları listelenmiştir. Bu bakımdan Article 29’un kendi ifadesi ile; “Pseudonymisation consists of replacing one attribute (typically a unique attribute) in a record by another.” tanımı tam olarak şifre ve anahtar ikilisinin ilişkisini ifade etmektedir.

Hem GDPR’ın lafzı hem de ilgili Article 29 belgesinin ifadesi ile şifreleme, daha genel olarak kriptografik araçlarla işlenen verilerin yarı anonim veri sayılacağı ve yarı anonim verilerin her zaman kişisel veri sayılacağı mutlak olarak kabul edildiği kabul edilir ise; bu yaklaşımın uygulamaya yük, veri işleyenler için önlenemez bir sorumluluk ve GDPR’ın mutlak bir uygulama alanına sahip olması anlamına geldiği belirtilmelidir.

Şifreleme teknolojileri, kabiliyetleri ve elde edilen sonuçların uygulamada ne derece etkili olduğu derin bir araştırmanın konusudur. Tartışmanın amacı, pratik olarak belirli bir şifreleme algoritmasının uygulamadaki dayanıklılığı değil, teorik olarak şifrelemenin bilgi üzerindeki değişikliğinin getirdiği sonuçların hukuki anlamının irdelenmesidir.

Şifrelemenin Bilgi Üzerindeki Etkisi

Şifreli verinin belirli durumlarda görece kişisel veri sayılamayacağını göstermek için öncelikle şifrelenmiş verinin içerdiği bilginin elde edilmesinin anahtar ile ilişkisinin açıklanması gereklidir. Olağan bir gözlemciye günümüzün şifreleme güvenliği standartlarında şifrelenmiş bir veri tamamen anlaşılmaz ve rastgele görünecektir.


RSA 4096 kullanılmış bir şifreden kesit +atCw/JW31j73Dhc1n4bpCMbngGvpg92fJ1sTB+Pb4m/f4mJy3Hf3OVt7jzf1Atb WC860fb1dlERQRTgcBBuoq4XbK9BxFunp/yoMnrpi4LZYqGmoODTDZ7UkkkRCKEQ RbdJXNSug/NGn150nsLXvjJgJBCqJKC6piWY69mp9O7wkGSBDqTGLyT7JzM6oNny w/3JFhrmtGm/hXlHYjYhCtaNMw9qecqSgtHAoHXveCNhBSz1qnPl7/H7vs2COrW2 l7JPxNHbl9YeJsreCAdCzTxAX1UNHhA5YhuzplRWn4G93vDlfYK7U8TAGMp4qQRu z3e6Eeiv55vA1jZMcK1fyOvrrd9IQWUhYlha+wXkngmcuoXVjWw+kyCKM1b+yQaA S1m74tXuLQbjaiy6v/CGe5fz70pRn3t3QfE4xhifqeIXjjvGPGrH50ChxUYV+22Q v77gxbJzfgSCwyRr9GeTfmiw1SIAlmeRByGvC2DisvpG2eZWe2Ii4Z+ip+Q2T5RA PKSbbLgJaakYDRV0rEqLNQ4q6QbXHZtlIBGVVEjvMcYOmSLNe+CmLSuADKi1Sc2n PHcjJOue+wDPXtr4X7nMhG+uEVqpDpEf9dKtTPMIr2sUx7FgM5bU4YkJ5uaUEiQ4 b/YFHwjh4CwJrrnjtX0Mw0zVIItjmPn9YQZsUWupwFknRIY7KeiUDimR4X/Ifiji vnGZUrBKR5a/J5QYaDQtAwNBJLU9DsWTUgfSa55p9oFK3SzNfLPB0hz/BFldalWk nsetZ0Cho5wjnnXQcXCAR0gjHKNzRVEnjfS6H/IiqHxYd8xcr9So9POYHT5GLzCW 32DNITmbr97UwsMG9V+GdOEWaryL2Je+SY3d+ASVD1meemldPBeP9ZVbRvc5K9br dbbjjvrjABxkrQxydAhnZ7zjMiu1+p/fTOZ0iSUsZXHvAmk0ma33GQ9h5MdH7FaU


Rastgele base64 kodlanmış veri f/L/IULzqEBGB5Nms4CDxGGw8Y7AhQBbu146qR3b8m8bay3S0m0rgYAuw7+sKRSXEJ2tZU8wNdaC 49G4t4rgxJnvuDzMbMLEmSIe0iWkYsw7hrug234uBfCUG2zpi49wYSzFDzxV/SSRJ7w8l/AbE8Gj D0S91RGp9UdRC+6OkrJCKM5KZBmb7GSCRHdw04QoHkjwEsFcnrPvzzU7MT8VwIK/a2OcF32uEMr1 smNRxfKNbABQL2x8TpCKt1KKFLXNPM5U0a9WgGprERuA/MGV7Oqm92GSXGFtdDAsv7D4JZzcfY6s yKJgYi9yCklIzD+7bgRnvfNRsjWK9pRle2Z6+760jfknyw0evtFp5HXa/LhbFV6Y2kh1qLMeErsG 6fIa2Qg6UFJBZ3nCQd8UMiqzCDrDcekbyOsLvKxcL+8CmHqSj4FbPLfFsuoR/1xECWNm4JWRAANc gpSmn5k1mYvmGHhZUPka8GwwXP9LQsjFK6ACs7o5ybo4eY2PZlVxnVpsJ0D6tZqSMJJd//MPPIVS 7pzwUHzwUJpcnOibxBmhLcHwrUJvySmoOxxDw5JtubrGQ5W3rSLmvKhLtEsK1zgoqfepr8Q9oMxd 5bVS1Il+GcuNHuasrGsWsNdCzJaEmXLwMpyCVbr99Dmgc5M+0rVf457ySvTO0j0vJ7Ab6eysXBhC wh3ESfhhRjEPbosPL5DkenzVvHV59UiVd7KdjMT1qFzJVUoiZY6oIew7U45QfvuVK4Kp2lfjgF0g Nf3KF1izzV4crKYtAiJqGukwH5TC0mzuOWWfJBx4q9s2AqBBhbWZafAucaUiX2P/+AR7mKM6l50x Xm5Lo59+h4QFp3+oXk9vx2RJuVfrFWYjPIDrylkwkVNPo4IrUqYhf2+1vs68TkLSmo7JtX6mmA6k P7Vp4aUo6ePrROleVDVIfO3rHnGXjZGRCzELAjs^C

Sıradan bir gözlemciye nazaran bu örnek bir kriptografa ise çokça şey ifade edecek olabilir ama şifrenin, kişisel veri mi yoksa başka çeşit bir bilgi mi yoksa herhangi bir bilgi içerip içermediği bile hala herkese anlaşılmaz durumdadır. Bunu ortaya koyan ise matematiğin kurallarıdır. En uç örneği ile ortaya koymak gerekirse;

11001101 10100100 01011100 01111100 11101100

Yukarıdaki veri rastgele, aynı uzunluktaki bir anahtar aracılığıyla XOR kullanlarak şifrelenmiş bir veridir. Sadece bu veriyi gözlemleyenler için söz konusu verinin, ne içeriği kesin olarak bilinebilir ne de bir bilgi içerip içermediği. Öyle ki; bu veri bir kişisel veri de olabilir, evrenin en büyük sorusuna cevap da. Bu durumu değiştiren hangi anahtarın kullanıldığıdır.

Şifre 11001101 10100100 01011100 01111100 11101100 – – 11001101 10100100 01011100 01111100 11101100
Anahtar 10001100 11101000 00001100 00111001 10111110 – – 10001000 11110010 00001110 00111001 10100010
Bilgi 01000001 01001100 01010000 01000101 01010010 – – 01000101 01010110 01010010 01000101 01001110
Alper Evren

Yukarıdaki tablo aynı şifrenin farklı iki anahtar ile çözümünü göstermektedir. İki farklı anahtardan tamamen farklı iki çözüme ulaşılmaktadır. Bu anlamda sadece şifreyi elinde bulunduran bir kişi için mesaj uzunluğuna bağlı olarak çok sayıda17 farklı çözüm mümkündür. Bu çözümlerden hangisinin şifrelemeyi yapanın kastettiği bilgi olduğunu bilmenin anahtar olmadan imkanı yoktur.

Elbette, yukarıdaki örnekte kullanılan teknik günümüzde genel amaçlara özgülenebilecek kadar kullanışlı olmadığı gibi kriptografik güvenlik gereklerinin tamamını da sağlamamaktadır. Şayet modern gereklilikleri sağlayan, dünyada yaygın olarak kabul görmüş bir şifreleme metodundan örnek verilmesi gerekirse; tüm şifreli web trafiğini18, şifreli yazışmaları ve 5070 sayılı Elektronik İmza Kanunu tarafından hukuken geçerli imza sayılan elektronik imzalarını mümkün kılan teknik olan RSA incelenebilir.

Asimetrik şifreleme yöntemi olarak RSA’nın açık anahtarları, iletişime geçmek isteyen karşı tarafın şifreleme yapabilmesi için çoğunlukla aleni olarak yayınlanır. Bugün itibari ile sayısız RSA açık anahtarı dolaşımda bulunmakta19 ve dileyen herhangi bir saldırgan bu anahtarlardan birine yönelik harekete geçebilir. Elbette bu aleniyete rağmen RSA’nın güvenli sayılmasının bir sebebi bulunmakta. E-imza sertifikalarında kullanılan ve kriptografik bir donanıma yüklenen anahtarlar RSA-2048’dir. Bu anahtar genişliğinin 2048 bit olduğunu ifade etmekle üretilebilecek en büyük RSA anahtarı da değildir. Verilen ödül ve onlarca bilim insanının çabasına rağmen çarpanına ayrılabilen RSA anahtar büyüklüğü gün itibari ile 768 bit’tir. Bu sebeple 2048 bit genişliğindeki RSA anahtarları 2030’a kadar güvenli kabul edilmektedir.

Bu kapsamda bir şifrenin teorik olarak “kırılması” ihtimalinden bahisle mutlak bir çıkarım yapma eğiliminin temelsiz olduğunu belirtmek gereklidir. Kişisel verilerin işlendiği bilişim sistemlerini korumak için alınan tedbirlerinin aşılma riski, AES gibi kendini kanıtlamış bir çok algoritmanın açığının bulunmasından astronomik derecede yüksektir ve her halde yanlış işletilen bir sistemin, kriptografik olsun veya olmasın güvenlik zafiyeti oluşturacağı kabul edilmelidir. Her gün yeni bir kişisel veri ifşası ile karşılaşılırken, güvenilen şifreleme algoritmalarına karşı doğrudan ve pratik bir saldırı bugün itibari ile bulunmamaktır.

Örnekler diğer şifreleme teknikleri için çoğaltılabilecek olsa da tespit edilmesi gereken; ihtiyaca uygun ve teknik olarak kendini kanıtlamış şifreleme tekniklerinin doğru uygulanması sonucu ortaya çıkan verinin anahtarından bağımsız elde edilebilmesi imkanının ya imkansız ya da gerçekten çok pahalı olduğudur.

Şifrenin Anonim Sayılması İmkanı

Şifrelenmiş bir verinin anonim sayılabilmesi için veri koruma mevzuatı tarafından koyulan şartlara uymasının mümkünlüğü tartışılmalıdır. Bir verinin kişisel veri sayılmaması veya anonim sayılması için; gerçek bir kişi ile ilişkilendirilememesi veya verinin kişisel bir niteliğinin olmaması gerekli. Şifreleme teknolojileri bakımından bu koşulu sağlamanın iki temel koşulu bulunmakta;

Anahtarı Şifreden Ayrı Yönetmek

Bu kapsamda şifrelenen kişisel verinin, şifrenin çözülmesi için gereken anahtarının herhangi bir şekilde veri ile birlikte tutulmaması veya üçüncü kişilere aktarılmaması gerekli. Başka bir deyiş ile anahtarı ve şifreyi elinde bulunduran kişi makul bir çaba ile çözümü yapamayacak olsa bile veri sorumlusu veya veri işleyen sayılacaktır. Öyle ki; anahtarın sahibi olan kişi, anahtar şifreli değilse doğrudan şifreli ise gerekli işlem gücü yatırımını yapmakla tek tek parolaları deneyerek şifrenin gizlediği veriye ulaşma imkanına sahiptir.

Bu nedenle simetrik şifreleme yöntemleri ile şifrelenilen bir kişisel veri, anahtar şifrelenen veri ile birlikte tutulduğundan her zaman kişisel veri olarak sayılmaya devam edecektir. Bu durumun tek istisnası olarak kullanılan şifreleme algoritmasının anahtar genişliği ile eş bir parolanın kullanılmış olması durumu gösterilebilir. Bu durumda algoritmanın anahtarının sağladığı güvenlik, parolanın aranması gereken genişlik ile aynı olacağından parolanın aranarak bulunması ile her olası anahtar kombinasyonunu denemek aynı işlem gücüne mal olacaktır.

Simetrik şifreleme yöntemlerinin aksine asimetrik şifreleme yöntemlerinde anahtar şifrelenen veriden bağımsız bulunduğundan bu anahtarın korunması ile şifreli verinin anahtarı elinde bulundurmayanlar için kişisel veri sayılmayacağı daha rahat bir şekilde söylenebilir.

Öngörülebilir Gelecekte Güvenli Kriptografik Araçlar Kullanmak

GDPR’ın ifadesi ile “ makul ve beklenebilir imkanlar” kavramı bu noktada önemli olmaktadır. İlgili kişinin bir veri setinde belirlenebilirliği, günün imkanları kapsamında değerlendirilmektedir. Sadece teorik bir belirlenebilme imkanı veriyi kişisel veri kılmamaktadır20. Bu sebeple kullanılan şifreleme tekniğinin günün yeterliliklerini sağlaması ve verinin işlenmesi öngörülen süreyi kapsayacak şekilde güvenli kabul edilmesini gerektirmektedir.

Tarihi olarak her kriptografik yöntem kullanıldıkları çağda güvenli kabul edilmiştir. Bu durumun aksinin kanıtlanması ile daha gelişmiş yöntemlere geçiş yapılmış ve bu sebeple şifrebilim ürettiği yöntemlerin güvenliğini sınamak için çeşitli yöntemler geliştirmiştir. Teorik olarak her şifreleme algoritmasına ilişkin güvenli kalacağı inanılan tarihler verilmektedir. Bir şifreleme yönteminin güvenliği; algoritmasının sınanmış ve güvenli kabul edilmiş olması ve anahtar genişliğinin artması ile doğru orantılı kabul edilir. Bugün RSA-2048 güvenli sayılırken RSA-4096’nın daha uzun bir süre güvenli kalacağına inanılmaktadır fakat RSA’yı temelinden etkileyen, örneğin kuantum bilgisayarların getireceği imkanlar gibi bir gelişmenin ortaya çıkması ile tüm RSA tekniğinin terk edilmesi gerekebilir.

Bu çerçevede şifrelenen kişisel veri, şifrelendiği algoritmanın güvenliğini zedeleyecek bir gelişmenin ortaya çıkması veya güvenli görülen sürenin geçmesi ile şifrenin anahtarının yönetiminden bağımsız olarak kişisel veri niteliği kazanacağı söylenmelidir çünkü artık ortada teorik değil pratik olarak pahalı da olsa bir belirlenebilirlik ihtimali vardır.

Sonuç

Şifrelenmiş verilerin, kişisel veri niteliğinin tartışma konusu olarak gündemde kalacağı ve bu tekniğin kişisel veri koruması araçları arasında öneminin giderek artması ile bir kesinlik kazanmasının gerekli olacağı aşikar. Bugün için veri sorumluları ve veri işleyenler açısından şifreli verilere ilişkin yaklaşımın tam bir kesinlik taşımasa bile belirli bir kapsamda genel veri koruma koşullarında bir yeri olması umut verici sayılabilir.

GDPR ve KVKK sahip oldukları çelişkilere ve kişisel veriyi mutlak tanımlanma eğilimine rağmen, her iki kanun için de şifreli verinin niteliğinin olumlu yönde tanımlanmasına imkan bulunmaktadır. Hukuki belirsizliğin bir an önce her iki hukuk düzeni için de sonlandırılması kanımızca şifreleme gibi kilit bir mahremiyet ve güvenlik aracının veri sorumluları ve veri işleyenleri için kullanımının yaygınlaşmasına yardımcı olacaktır.

Belirginleşme amacıyla kanımızca; her hukuk sisteminin hukuki metinlerinde ve uygulamada bulunan veri koruma kurullarınca kişisel veri tanımına görece bir nitelik getirmeleri, şifreli veriye ilişkin teknik detayları içeren yeknesak bir görüş oluşturması uygulama için önemli bir rahatlama sağlayacaktır. Özellikle bulut sistemlerin giderek bilgi işlem yöntemlerinin öncüsü konumuna geçtiği bir çağda kişisel verilerin sahipliğinin ve kontrolünün giderek zorlaşacağı ve şifrelemenin en etkin çözümlerden birini sunduğu göz önünde bulundurulursa.

Kişisel veri korumasının öneminin, Avrupa’dan başlayan uygulaması ve kişisel veriler üzerine kurulu yeni bir ekonominin kişilere olan tüm olumsuz etkilerinin rüzgarı ile önümüzdeki süreçte giderek artacağı kaçınılmaz. Bu süreçte hukukun, teknik imkanların yansımaları ile uzlaşması ile tüm dünya için daha güvenli bir geleceğe ilerlenecektir.


  1. 6698 Kişisel Verilerin Korunması Kanunu madde 3/ı ve General Data Protection Regulation Article 4/7 ↩︎

  2. General Data Protection Regulation; Recital 26 3. ve 4. cümle. ↩︎

  3. Article 29 Data Protection Working Party, WP136 15. sayfa ↩︎

  4. General Data Protection Regulation, Article 32 paragraf 1-a, Recital 83, ↩︎

  5. General Data Protection Regulation, Article 32 paragraf 1-a, Article 6 paragraf 4-e ↩︎

  6. General Data Protection Regulation, Article 34 paragraf 1 ↩︎

  7. 6698 Kişisel Verilerin Korunması Kanunu madde 12/1 ↩︎

  8. Kişisel verilerin silinmesi yok edilmesi veya anonim hale getirilmesi rehberi, 2.2.1. Kişisel Verilerin Yok Edilmesi Yöntemleri (ç) bendi. ↩︎

  9. General Data Protection Regulation, Recital 26 cümle 1 ↩︎

  10. General Data Protection Regulation, Recital 26 cümle 4 ↩︎

  11. General Data Protection Regulation, Recital 26 cümle 4 ve 5 ↩︎

  12. 6698 Kişisel Verilerin Korunması Kanunu madde 7 ↩︎

  13. Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ↩︎

  14. General Data Protection Regulation Recital 26 cümle 2 ↩︎

  15. Çeviri, yazara aittir. ↩︎

  16. Article 29 Working Party wp214 Opinion 05/2014 on Anonymisation Techniques sayfa 20 ↩︎

  17. 2^40 ↩︎

  18. https://en.wikipedia.org/wiki/HTTPS ↩︎

  19. Gnupg anahtar sunucu istatistikleri - (https://keyserver.ubuntu.com/pks/lookup?op=stats↩︎

  20. Aritcle 29 Working Party wp136 sayfa 15 ↩︎