A. GİRİŞ
Veri çok genel bir ifade ile işlenmemiş bilginin temel halini ifade eder. Günümüzde yaşanan teknolojik ilerlemelerle birlikte, her geçen gün var olan veri miktarında da doğru orantılı bir artış yaşanmakta, dünya genelinde üretilen dijital veri her iki yılda bir ikiye katlanmaktadır. Bu durum, özellikle sosyal medya gibi platformlarda paylaşılan bilgilerin bile önemli bir veri hacmi oluşturduğu gerçeğiyle daha da belirgin hale gelmektedir. Büyük veri terimi; genellikle çok büyük, karmaşık ve yapılandırması zor verileri tanımlamak için kullanılır. Başlangıçta bu terim çoğunlukla verinin hacimsel büyüklüğünü ifade etmek amacıyla kullanılmaktayken günümüzde verinin depolanmasından bilgiye dönüşmesine kadar olan tüm süreçlerin büyüklüğünü anlatan bir kavram olarak evrim geçirmiştir.
Büyük veri; veri hacminin artması, veri hızının önemi ve veri çeşitliliğinin çeşitli kaynaklardan gelmesi gibi temel bileşenlerle karakterize edilmektedir. Veri analizi ve anlamlandırma becerilerini kullanarak, büyük veri işletmelerin daha sağlıklı kararlar almasını, maliyetleri düşürmesini ve ürün/hizmet kalitesini arttırmasını sağlar. Bu nedenle, büyük veri, toplumun bilgiyi yeni yollarla harekete geçirmesine olanak tanıyan bir kabiliyet olarak görülür.
Elektronik ortamın sağladığı kolaylıkla birlikte bilgiye erişimin hızlanması, büyük veri kullanımın artışı ve bilgi teknolojilerinin iş süreçlerinin temel bir parçası haline gelmesi ile hem kurumlar hem de bireyler açısından yeni bir dönem başlamıştır. Bu bağlamda kişisel verilerin korunması konusu ön plana çıkmış, kişisel verilerin korunması ile ilgili riskleri yönetmek amacıyla birçok ülkede yeni hukuki düzenlemeler yapılması ile ilgili çalışmalar hız kazanmıştır. Dünya genelinde yüzden fazla veri koruma yasası, endüstri standartları ve kurumsal politikaların varlığına rağmen, uyumun neden ve nasıl gerektiği konusunda hala belirsizlik bulunmaktadır. Kişisel Verilerin Korunması Kanunu, Türkiye’de bu alandaki düzenlemeleri benzer bir yapıya taşımış, belirsiz bazı hususlar bulunmasına rağmen kişisel verilerin korunması bakımından önemli adımlar atılmıştır. Ancak, Türkiye’de kişisel verilerin korunması hukukunun temelini oluşturan 6698 sayılı Kişisel Verilerin Korunması Kanunu, büyük verinin getirdiği değişimi yeterince dikkate almamaktadır.
B. BÜYÜK VERİNİN KİŞİSEL VERİLERİN KORUNMASI KANUNU ÇERÇEVESİNDE DEĞERLENDİRİLMESİ
I. Özel ve Nitelikli Kişisel Verilerin Korunması
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un 3’üncü maddesine göre, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilirken, 6’ncı maddeye göre “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu ifade edilmektedir. Bu tanıma giren tüm veriler kanunun getirdiği korumadan yararlanmaktadır. Ancak büyük veri setlerinin kullanılmasıyla alelade verilerden hassas kişisel verilere erişilebilmesi, hatta kişisel olmayan verilerden kişiyi belirlenebilir kılan verilerin kolayca elde edilmesi mümkün olmaktadır.
Büyük verinin temel özelliği çok geniş veri setlerini işleyebilmesi ve bu sayede yeni ve faydalı sonuçlar elde edilmesini mümkün kılmasıdır. Bu açıdan bakıldığında 6698 Sayılı Kanun ile getirilen temel düzenleme kişisel verilerin işlenmemesi iken büyük veri bakımından kanunda getirilen düzenlemenin tam tersi bir durum söz konusudur. Bu noktada kanunda getirilen istisnai hükümlere bakıldığında, Kanunun 5’inci maddesinin ikinci fıkrasının (b) ve (c) bentlerinde düzenlenen, rıza aranmaksızın kişisel verilerin işlenebileceği istisnai haller bu bağlamda ele alınabilir. Hükme göre “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hallerinde rıza aranmaksızın kişisel verilerin işlenebileceği düzenlenmektedir.
II. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
Kişisel Verilerin Korunması Hakkında Kanun m. 4 f. 2’de kişisel verilerin işlenmesi çerçevesinde dikkate alınması gereken ilkeler, “a) hukuka ve dürüstlük kurallarına uygun olma; b) doğru ve gerektiğinde güncel olma; c) belirli, açık ve meşru amaçlar için işlenme; ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak tanımlanmıştır Amaçla sınırlı olma ilkesine göre belirli bir amaç için elde edilen kişisel veri, bu amaç dışında kullanılmamalıdır. Nitekim m. 4 f. 2’ye göre “kişisel verilerin işlenmesi, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü” olmaları şartına bağlanmıştır. Bu husus doğrudan veri minimizasyonu ve amaçla sınırlı olma ilkelerinin bir göstergesidir. Kanunun bu çerçevede güttüğü amaç, verilerin depolanmasının önüne geçilmesidir. Ayrıca ölçülülük ilkesi sayesinde toplanan veri miktarının asgari miktara çekilmesi de amaçlanmaktadır. Ancak kanunun öngördüğü bu koşullara bakıldığında, büyük verinin kullanımının neredeyse imkansız hale gelebileceği görülmektedir. Büyük veri ile verilerin toplanması ve işlenmesini belirli amaçlara bağlı kılarak minimize etmeye çalışan kanuni düzenleme birbiriyle bağdaşmamaktadır. Bu çerçevede karşılaşılacak en temel sorun, verilerin toplandığı ve rızanın açıklandığı esnada verilerin işleneceği her amacın öngörülebilir olmamasıdır. Öte yandan geniş ve genel anlamda kaleme alınan rıza beyanları da TBK m. 20 ve davamı hükümleri çerçevesinde özellikle içerik denetimi çerçevesinde sorunlara sebebiyet verecek niteliktedir.
III. İlgili Kişinin Açık Rızası
Kanunun 3. maddesinin ilk fıkrasında açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Gerek m. 5 f. 1, gerek ise m. 6 f. 2’ye göre kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi için kişinin açık rızası gerekmektedir. Nihayet kişisel verilerin aktarımı için de açık rıza şartı öngörülmüştür. Bu bağlamda önemle belirtelim ki kişisel verilerin işlenmesine dair açıklanacak alelade bir rıza, kanunda öngörülen şartları karşılayacak nitelikte değildir. Bilakis kanun; açık, belirli bir konuyla bağlantılı ve bilgilendirmeye dayanan özgür bir rıza koşulu getirmektedir. Dolayısıyla uygulamada sıkça rastlanan kişisel verilerin işlenmesine dair genel ve geniş çaplı bir rıza yeterli olmayacaktır. Rızanın açıklandığı esnada ilgili kişinin hangi amaç için rızasını açıkladığı belirli olmalıdır.
Kanunda öngörülen bir diğer koşul ise bilgilendirmeye dayanan rızadır. Ancak yine uygulamada durumun çok farklı olduğunu tespit etmek mümkündür. Gerçekten de şirketler, çok uzun ve karmaşık şekilde sundukları bilgilendirme formlarıyla ilgili kişinin rızasını almaya çalışmakta ve kanunda belirlenen bu hükümle ters düşmektedirler. Son olarak ilgili rızanın özgür iradeyle açıklanması şartı da getirilmiştir. Bu çerçevede de özellikle bir hizmetin ya da ürünün satın alınmasını, kişinin onayına bağımlı kılan hükümler sorun teşkil etmektedir.
IV. Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi İlkesi
Kanun’un 11’inci maddesi gereğince herkes, ilgili veri sorumlusuna başvurarak kendisiyle alakalı kişisel verilerin işlenip işlenmediği konusunda bilgi alma hakkına sahiptir. Bireyler, işlenme amaçlarını, verilerin bu amaca uygun şekilde işlenip işlenmediğini, verilerin üçüncü kişilere aktarılıp aktarılmadığını sorma ve bunların düzeltilmesini talep edebilirler. Maddenin (g) bendinde işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bireye itiraz hakkı tanınmakta, (ğ) bendinde ise, kanuna aykırı olarak işlenen kişisel veriler sebebiyle zarar meydana geldiğinde zararın giderilmesi talep edilebilmektedir. Ancak, bu maddeyle getirilen otomatik sistemler vasıtasıyla analiz suretiyle ortaya çıkacak aleyhe sonuçtan bireyin nasıl haberdar olacağı ve buna itiraz edeceği hususu belirsiz bulunmaktadır. Ayrıca, ilgililerin veri sorumlusuna başvuru ve Kurul’a şikâyet haklarını düzenleyen 13 ve 14’üncü madde hükümlerine göre taleplerin yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle iletileceği düzenlenmektedir. Bu hükümler incelendiğinde ilgili düzenlemelerin veri sahiplerinin tam bir farkındalık içinde olduğu kabulü ile hareket ettiği görülmektedir. Fakat söz konusu büyük veri uygulamaları olduğunda veri sahiplerinin bu tarz bir farkındalığının olması mümkün görünmemektedir. Bu nedenle ilgili hükümlerin büyük veri bakımından yeterli olmadığı açıkça ortadadır.
Yukarıda da belirtildiği üzere herkes, Kanunun 11. maddesi doğrultusunda kendisiyle alakalı kişisel verilerin işlenip işlenmediği hususunda bilgi alma, işlenme amacını, bu amaca uygun şekilde işlenip işlenmediğini, üçüncü kişilere aktarılıp aktarılmadığını sorma ve bunların düzeltilmesini talep etme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde itiraz etme hakkına sahip olmakla birlikte kanuna aykırı olarak işlenen kişisel veriler sebebiyle zarar meydana geldiğinde zararın giderilmesini de talep etme hakkına sahiptir. Bu düzenlemenin büyük veri uygulamaları ile bağdaşmamasının en büyük sebebi kişisel veri sahibi ile kişisel veri işleyen kişi arasında interaktif bir iletişimin olmayışıdır. Aynı zamanda ilgili düzenlemede kişisel veri sahibi yalnızca bilgi talebinde bulunabilmekte, ancak bu bilgiyi teyit etme imkanından mahrum bırakılmaktadır.
V. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin korunmasına yönelik anayasal ve yasal düzenlemelerin yanında daha alt dallara ilişkin olarak kişisel verilerin işlendikleri amaç için gerekli olan azami süre sonunda yok etme, silme ve anonim hale getirme işlemlerinden birinin uygulanması gerekliliği mevcuttur. Anonim hale getirmeye dair kurallar ülkemizde yönetmelik seviyesinde bir hukuki metinle düzenlenmiştir. Kişisel veri içeren veri setlerinin anonim hale getirilmesi bahsi geçen yönetmelikle yok etme ve silmenin alternatifi olarak görülmektedir ancak bununla birlikte anonim hale getirmenin asıl amacı büyük bir potansiyel taşıyan veri setlerini kişisel verilerden arındırarak bu veri setlerinden fayda sağlamaktır. Anonim hale getirmeden elde edilecek faydanın miktarı riskle doğru orantılıdır dolayısıyla fayda arttıkça kişisel verilerin yeniden tanımlanma riski o düzeyde artacaktır ve bu süreçte bir ödünleşme gündeme gelecektir. Azami düzeyde fayda elde etmeye yönelik bir anonim hale getirme sonucunda yeniden tanımlama risk düzeyi de azami noktaya ulaşacağından etkili bir anonim hale getirmeden söz etmek mümkün olmayacaktır.
Her ne kadar anonimleştirme konusu kişisel verilerin korunması hususunda ayrıca bir yönetmelik ile düzenlenecek kadar önemli olsa da büyük verilerin anonim hale getirilmesi verilerin korunması bakımından yeterli bir uygulama değildir. Zira büyük çapta veriler anonim hale getirilse dahi, verilerin çapı büyüdükçe kişilerin kimliğinin saptanması da kolaylaşmaktadır. Bu durumun en bilinen kanıtı, AOL ve Netflix gibi iki büyük şirketin milyonlarca kullanıcı bilgisini anonim hale getirerek internete sunmasının ardından bazı kullanıcıların kimliğinin veri uzmanları tarafından tespit edilebilmesidir.
C. SONUÇ
Veri hacminin artması, veri hızının önemi ve veri çeşitliliğinin belirli kaynaklardan gelmesi gibi temel bileşenlerle karakterize edilen büyük veri olgusu, işletmelerin daha sağlıklı kararlar almasını, maliyetleri düşürmesini ve ürün/hizmet kalitesini artırmasını sağlar. Elektronik ortamın sağladığı kolaylıkla birlikte bilgiye erişimin hızlanması, büyük veri kullanımın artışı ve bilgi teknolojilerinin iş süreçlerinin temel bir parçası haline gelmesi ile hem kurumlar hem de bireyler açısından yeni bir dönem başlamıştır. Bu bağlamda kişisel verilerin korunması konusu ön plana çıkmış ve birçok ülkede konu ile ilgili yeni düzenlemeler yapılmıştır. Türkiye’de ise büyük veri ile ilgili özel bir düzenleme mevcut değildir. Mevcut kişisel verilerin korunması düzenlemelerinin büyük veri teknolojisine cevap verme kapasitesi değerlendirilecek olursa bu konudaki bazı düzenlemelerin yetersiz kaldığı görülmektedir.
Öncelikle büyük veri setlerinin kullanılmasıyla alelade verilerden hassas kişisel verilere erişilebilmesi, hatta kişisel olmayan verilerden kişiyi belirlenebilir kılan verilerin kolayca elde edilmesi mümkün olmaktadır.
Büyük veri ile verilerin toplanması ve işlenmesini belirli amaçlara bağlı kılarak minimize etmeye çalışan kanuni düzenleme birbiriyle bağdaşmamaktadır. Bu çerçevede karşılaşılacak en temel sorun, verilerin toplandığı ve rızanın açıklandığı esnada verilerin işleneceği her amacın öngörülebilir olmamasıdır. Kanun, açık, belirli bir konuyla bağlantılı ve bilgilendirmeye dayanan özgür bir rıza koşulu getirmiş olduğundan uygulamada sıkça rastlanan kişisel verilerin işlenmesine dair genel ve geniş çaplı bir rıza bu bağlamda yeterli olmayacaktır.
Kanun’un 11’inci maddesi ile getirilen düzenleme incelendiğinde ise ilgili düzenlemelerin veri sahiplerinin tam bir farkındalık içinde olduğu kabulü ile hareket ettiği görülmektedir. Fakat söz konusu büyük veri uygulamaları olduğunda veri sahiplerinin bu tarz bir farkındalığının olması mümkün görünmemektedir. Bu nedenle ilgili hükümlerin büyük veri bakımından yeterli olmadığı açıkça ortadadır.
Son olarak anonimleştirme konusu kişisel verilerin korunması hususunda ayrıca bir yönetmelik ile düzenlenecek kadar önemli olsa da büyük verilerin anonim hale getirilmesi verilerin korunması bakımından yeterli bir uygulama değildir. Zira büyük çapta veriler anonim hale getirilse dahi verilerin çapı büyüdükçe kişilerin kimliğinin saptanması da kolaylaşmaktadır.
Kıdemli Av. Gizem Can Bilici
