Blog / Liderlik / KVKK Uyumlu Maç Verisi Nasıl Paylaşılır? Lig Yöneticileri İçin 6 Adımda Anonimleştirme ve Analitik Boru Hattı
KVKK Uyumlu Maç Verisi Nasıl Paylaşılır? Lig Yöneticileri İçin 6 Adımda Anonimleştirme ve Analitik Boru Hattı
Liderlik

KVKK Uyumlu Maç Verisi Nasıl Paylaşılır? Lig Yöneticileri İçin 6 Adımda Anonimleştirme ve Analitik Boru Hattı

Rekabet · 3 Mart 2026 · 5 dk okuma · 1 görüntülenme
analitik spor analitiği veri güvenliği anonimlestirme KVKK

Lig yönetimi süreçlerinde toplanan maç verileri, hem rekabetçi analiz hem de ticari iş birlikleri için büyük değer taşır. Ancak bu verilerin paylaşımı sırasında KVKK (Kişisel Verilerin Korunması Kanunu) uyumu sağlanmadığında hem hukuki hem de itibar riski doğar. Bu rehberde, lig yöneticilerine yönelik, pratik ve teknik açıdan uygulanabilir 6 adımlık anonimleştirme ve analitik boru hattı kurulumunu anlatıyorum.

Giriş: Neden anonimleştirme şart?

Maç verisi; oyuncu kimlikleri, yer, tarih, iletişim bilgileri ve performans verilerini içerebilir. KVKK, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsar. Bu nedenle maç verilerinin paylaştırılmadan önce kişisel veri niteliği taşıyıp taşımadığı netleştirilmeli ve uygun teknik, idari önlemler alınmalıdır.

KVKK ve temel kavramlar

Anonimleştirme: Kişiyi tanımlayan tüm bilgilerin geri döndürülemeyecek biçimde kaldırılması veya değiştirilmesi. Anonimleştirilmiş veri KVKK kapsamı dışında kalabilir.

Pseudonimleştirme: Kimliği doğrudan ortaya koyan alanların token veya id'lerle değiştirilmesi; ancak veri sahibine ulaşılabilir bağlı bilgiler ayrı tutulduğunda KVKK kapsamı devam eder.

Dikkat: Sadece isimleri gizlemek yeterli değildir. Birden fazla veri noktası birleştirildiğinde kimlik tespit edilebilir; bu nedenle uygun tekniklerin seçimi kritiktir.

6 Adımda KVKK uyumlu paylaşım rehberi

  1. 1. Veri sınıflandırması ve amaç belirleme

    Hangi veriyi paylaşıyorsunuz ve neden? Analiz mi, yayın mı, üçüncü taraf hizmet mi? Her amaç için paylaşılacak veri setini minimum veri ilkesine göre daraltın. Örneğin; performans metriği paylaşılacaksa isim, TC kimlik, iletişim gibi gereksiz alanlar çıkarılmalı.

  2. 2. Kişisel veriyi ayıklama ve anonimleştirme stratejisi belirleme

    Veri sütunlarını üç kategoriye ayırın: kişisel, potansiyel olarak kişisel, anonim. Her kategori için strateji belirleyin:

    • Kişisel: İsim, TCKN, e-posta, telefon → ya tamamen çıkarılır ya da kalıcı olarak anonimleştirilir.
    • Potansiyel olarak kişisel: konum, maç saati, kombinasyonlar → k-anonymity veya veri genelleştirme uygulanır.
    • Anonim: maç skorları, toplu performans istatistikleri → paylaşılabilir.

  3. 3. Teknik anonimleştirme uygulamaları

    Teknik seçenekleri karma olarak uygulayın:

    • Hashing + Salt: Kimliklere tek yönlü hashing uygulayarak doğrudan isimleri kaldırın; ancak aynı oyuncunun farklı veri kaynaklarında eşleşmesi gerekiyorsa sabit bir salt yerine kurum içi yönetilen salt kullanın.
    • Pseudonimleştirme: ID eşlemesini güvenli bir anahtar deposunda tutun; paylaşımda sadece token kullanın. Erişim denetimini sıkı tutun.
    • Genelleştirme (Generalization): Lokasyon verisini il düzeyine getirmek, saat bilgisini saat dilimine yuvarlamak gibi.
    • K-anonymity, l-diversity: Veri setinizde benzersiz kombinasyon olmadığından emin olun; örneğin aynı maçta eşsiz oyuncu-profil kombinasyonlarını azaltın.
    • Differential privacy: Analitik sonuçlarda rastgele gürültü ekleyerek bireysel katkının izini silin (özellikle istatistiksel raporlar için).

  4. 4. Analitik boru hattı (data pipeline) tasarımı

    Örnek akış:

    1. Veri toplama (maç kayıtları, GPS, sensörler)
    2. Önişleme & sınıflandırma (kural tabanlı filtreler)
    3. Anonimleştirme katmanı (hashing, genelleştirme, noise)
    4. Güvenli depolama (şifrelenmiş veri gölü)
    5. Analiz ve modelleme (erişim kontrollü analiz ortamı)
    6. Paylaşım katmanı (API, rapor, veri seti iletimi)

    Pratik not: Anonimleştirme iş akışı üretim ortamında otomatikleşmeli; manuel müdahale riskleri artırır.

  5. 5. Erişim kontrolü ve sözleşmeler

    Veri paylaşımı sadece anonimleştirilmiş setlerle yapılsa bile, alıcı tarafla kapsamlı bir veri işleme sözleşmesi (DPA) imzalanmalıdır. Sözleşmede aşağıdakiler net olmalı:

    • Verinin kullanım amacı
    • Tekrar kimliklendirme (re-identification) yasağı
    • Veri muhafaza süresi
    • İhlal durumunda bildirim süresi

  6. 6. Denetim, izleme ve kayıt tutma

    Her veri çıkışı için iz kaydı (audit log) tutun. Hangi veri, kimle, ne amaçla ve ne zaman paylaşıldığını gösteren kayıtlar KVKK denetimlerinde hayati öneme sahiptir.

    "Gizliliği yönetenler, veri akışını değil; veri amaçlarını kontrol etmelidir."

Teknik detaylar: Uygulamada dikkat edilmesi gerekenler

Hashing tek başına yeterli değildir: Sabit hashler çapraz veri kaynaklarında eşleştirmeye izin verir. Bu yüzden kurum içi yönetilen salt veya HMAC tercih edilmelidir.

Differential privacy uygulaması: Analizlerde kullanılan istatistiksel API'lere gürültü katmak, toplu raporlarda bireysel katkıyı maskeleyerek risk azaltır. Gürültü parametresi (epsilon) dikkatle seçilmelidir; çok yüksek değer gizliliği zayıflatır, çok düşük ise analitik değeri yok eder.

K-anonymity için pratik örnek: Eğer bir maç setinde sadece bir oyuncunun nadir bir pozisyonu varsa bu oyuncu hâlâ tanımlanabilir. Böyle durumlarda pozisyonu kategorize etmek veya veriyi birleştirerek küme boyutunu artırmak gerekir.

Örnek senaryo: Yerel lig ve medya ortaklığı

Bir lig, medya kuruluşuna maç analitiği satmak istiyor. Adımlar:

  • Paylaşılacak raporu sınırlayın: yalnızca toplu istatistikler ve oyuncu-token bazlı performans (isim yok)
  • Tokenizasyon: Her oyuncuya rastgele üretilen ID verin; ana eşleme anahtarı ayrı, offline kasada saklansın.
  • K-anonymity kontrolü: Rapor başına en az 5 oyuncunun benzer profille temsil edilmesi sağlansın.
  • Sözleşme: Medya ile yeniden kimliklendirme yasağı ve veri silme maddesi ekleyin.
  • Audit: Paylaşım sonrası erişim loglarını haftalık denetimlere dahil edin.

Uyum kontrol listesi (quick checklist)

  • Veri sınıflandırması yapıldı mı?
  • Anonimleştirme algoritmaları tanımlandı ve test edildi mi?
  • Sözleşmeler ve DPA hazır mı?
  • Audit log ve erişim kontrolleri aktif mi?
  • Veri sahibine bilgilendirme/gerekirse onay süreçleri tamamlandı mı?

Sonuç

KVKK uyumlu maç verisi paylaşımı, hem hukuki riskleri azaltmak hem de veri değerini korumak için planlı bir yaklaşım gerektirir. 6 adımlık bu rehber; sınıflandırma, teknik anonimleştirme, güvenli boru hattı tasarımı, sözleşmeler ve denetim pratiklerini bir araya getirir. Uygulamada en kritik nokta, anonimleştirmenin geri döndürülemez ve denetlenebilir şekilde otomatik uygulanmasıdır.

Lig yöneticileri için önerim: küçük bir pilot projeyle başlayın, anonimleştirme yöntemlerini gerçek veri üzerinde test edin ve her aşamada hem hukuk hem de veri mühendisliği ekiplerini dahil edin. Böylece hem KVKK uyumunu sağlarsınız hem de verinin analizle sunduğu değeri korursunuz.

Hazırlık notu: Bu yazı rehber niteliğindedir; spesifik hukuki sorular için KVKK danışmanına başvurun.

Paylaş

İlgili Yazılar