Türkiye’de Büyük Veri Çağında Kişisel Verilerin Korunması

Makaleler
Yazarlar Gizem Can Bilici

Veri çok genel bir ifade ile işlenmemiş bilginin temel halini ifade eder. Büyük veri terimi ise genellikle çok büyük, karmaşık ve yapılandırması zor verileri tanımlamak için kullanılır. Başlangıçta bu terim çoğunlukla verinin hacimsel büyüklüğünü ifade etmek amacıyla kullanılmaktayken günümüzde verinin depolanmasından bilgiye dönüşmesine kadar olan tüm süreçlerin büyüklüğünü anlatan bir kavram olarak evrim geçirmiştir.

Büyük veri; veri hacminin artması, veri hızının önemi ve veri çeşitliliğinin çeşitli kaynaklardan gelmesi gibi temel bileşenlerle karakterize edilmektedir. Veri analizi ve anlamlandırma becerilerini kullanarak, büyük veri işletmelerin daha sağlıklı kararlar almasını, maliyetleri düşürmesini ve ürün/hizmet kalitesini arttırmasını sağlar. Bu nedenle, büyük veri, toplumun bilgiyi yeni yollarla harekete geçirmesine olanak tanıyan bir kabiliyet olarak görülür. Büyük verinin teknolojinin gelişimi ile iş süreçlerinin vazgeçilmez bir parçası haline gelmesi ile yeni bir dönem başlamış, kişisel verilerin korunması ile ilgili riskleri yönetmek de zorunlu hale gelmiştir. Ancak, aşağıda ayrıntılarına yer vereceğimiz üzere, Türkiye’de kişisel verilerin korunması hukukunun temelini oluşturan 6698 sayılı Kişisel Verilerin Korunması Kanunu, büyük verinin getirdiği değişimi yeterince dikkate almamaktadır.

I. Özel ve Nitelikli Kişisel Verilerin Korunması

6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un 3’üncü maddesine göre, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilirken, 6’ncı maddeye göre “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu ifade edilmektedir. Bu tanıma giren tüm veriler kanunun getirdiği korumadan yararlanmaktadır. Ancak büyük veri setlerinin kullanılmasıyla alelade verilerden hassas kişisel verilere erişilebilmesi, hatta kişisel olmayan verilerden kişiyi belirlenebilir kılan verilerin kolayca elde edilmesi mümkün olmaktadır.

II. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi

Kişisel Verilerin Korunması Hakkında Kanun m. 4 f. 2’de kişisel verilerin işlenmesi çerçevesinde dikkate alınması gereken ilkeler, “a) hukuka ve dürüstlük kurallarına uygun olma; b) doğru ve gerektiğinde güncel olma; c) belirli, açık ve meşru amaçlar için işlenme; ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak tanımlanmıştır. Kanunun öngördüğü bu koşullara bakıldığında, büyük verinin kullanımının neredeyse imkansız hale gelebileceği görülmektedir. Büyük veri ile verilerin toplanması ve işlenmesini belirli amaçlara bağlı kılarak minimize etmeye çalışan kanuni düzenleme birbiriyle bağdaşmamaktadır. Bu çerçevede karşılaşılacak en temel sorun, verilerin toplandığı ve rızanın açıklandığı esnada verilerin işleneceği her amacın öngörülebilir olmamasıdır.

III. İlgili Kişinin Açık Rızası

Kanunun 3. Maddesinin ilk fıkrasında açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Gerek m. 5 f. 1, gerek ise m. 6 f. 2’ye göre kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi için kişinin açık rızası gerekmektedir. Nihayet kişisel verilerin aktarımı için de açık rıza şartı öngörülmüştür. Bu bağlamda önemle belirtelim ki kişisel verilerin işlenmesine dair açıklanacak alelade bir rıza, kanunda öngörülen şartları karşılayacak nitelikte değildir. Rızanın açıklandığı esnada ilgili kişinin hangi amaç için rızasını açıkladığı belirli olmalıdır. Kanunda öngörülen bir diğer koşul ise bilgilendirmeye dayanan rızadır. Ancak uygulamada şirketlerin uzun ve karmaşık şekilde sundukları bilgilendirme formlarıyla ilgili kişinin rızasını almaya çalışmakta ve kanunda belirtilen bu hükümle ters düşmektedirler. Son olarak ilgili rızanın özgür iradeyle açıklanması şartı da getirilmiştir. Bu çerçevede de özellikle bir hizmetin ya da ürünün satın alınmasını, kişinin onayına bağımlı kılan hükümler sorun teşkil etmektedir.

IV. Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi İlkesi

Kanun’un 11’inci maddesi gereğince herkes, ilgili veri sorumlusuna başvurarak kendisiyle alakalı kişisel verilerin işlenip işlenmediği konusunda bilgi alma hakkına sahiptir. Ancak, bu maddeyle getirilen otomatik sistemler vasıtasıyla analiz suretiyle ortaya çıkacak aleyhe sonuçtan bireyin nasıl haberdar olacağı ve buna itiraz edeceği hususu belirsiz bulunmaktadır. Ayrıca, ilgililerin veri sorumlusuna başvuru ve Kurul’a şikâyet haklarını düzenleyen 13 ve 14’üncü madde hükümlerine göre taleplerin yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle iletileceği düzenlenmektedir. Bu hükümler incelendiğinde ilgili düzenlemelerin veri sahiplerinin tam bir farkındalık içinde olduğu kabulü ile hareket ettiği görülmektedir. Fakat söz konusu büyük veri uygulamaları olduğunda veri sahiplerinin bu tarz bir farkındalığının olması mümkün görünmemektedir. Bu düzenlemenin büyük veri uygulamaları ile bağdaşmamasının en büyük sebebi kişisel veri sahibi ile kişisel veri işleyen kişi arasında interaktif bir iletişimin olmayışıdır. Aynı zamanda ilgili düzenlemede kişisel veri sahibi yalnızca bilgi talebinde bulunabilmekte, ancak bu bilgiyi teyit etme imkanından mahrum bırakılmaktadır.

V. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin korunmasına yönelik anayasal ve yasal düzenlemelerin yanında daha alt dallara ilişkin olarak kişisel verilerin işlendikleri amaç için gerekli olan azami süre sonunda yok etme, silme ve anonim hale getirme işlemlerinden birinin uygulanması gerekliliği mevcuttur. Anonim hale getirmenin asıl amacı büyük bir potansiyel taşıyan veri setlerini kişisel verilerden arındırarak bu veri setlerinden fayda sağlamaktır. Her ne kadar anonimleştirme konusu kişisel verilerin korunması hususunda ayrıca bir yönetmelik ile düzenlenecek kadar önemli olsa da büyük verilerin anonim hale getirilmesi verilerin korunması bakımından yeterli bir uygulama değildir. Zira büyük çapta veriler anonim hale getirilse dahi, verilerin çapı büyüdükçe kişilerin kimliğinin saptanması da kolaylaşmakta, büyük veriler bakımından anonim hale getirme uygulamada faydadan çok zarara sebep olabilmektedir.

İlginizi çekebilir
Makaleler

Sınırda Karbon Düzenleme Mekanizması

Makaleler

Startup’lar Neden Teknoparkları Tercih Etmeli?

Makaleler

Rekabet Hukuku Kapsamında Yeşil Aklama

Makaleler

Şirketler için Bilgi Yönetimi Stratejisi ve Entelektüel Sermaye

Yorum Yap

Email adresiniz gizli kalacaktır.