Kişisel Verilerin Korunmasına Uzman Bakış 2: Uzmanlık Tezleri Derleme Çalışması

uygulanmasına ilişkin 83’üncü madde kriterlerinin nasıl değerlendirilmesi gerektiğini 2017 yılında yayınladığı “İdari Para Cezalarının Uygulanmasına ve Belirlenmesi İlişkin Esaslar” (2016/679, WP253) başlıklı kılavuz ile incelemiştir.3 Denetim makamları yetkilerini kullanırken belli ilkeleri (eş değer-denk yaptırım, etkililik, orantılılık, caydırıcılık, münferit durumun koşullarının dikkate alınması, otoritenin aktif katılımı ve bilgi alışverişi) gözetmek durumundadır. Öte yandan,

alan idari para cezasının tayininde yararlanılacak kriterlere ilişkin olarak da birtakım değerlendirmelerde bulunmuştur: Kabahatin Niteliği, Ağırlığı ve Süresi: Kabahatin niteliği, ihlalin büyüklüğüne göre iki kademeye ayrılmaktadır: büyük ihlaller (örneğin kişisel verilerin işlenmesine ilişkin temel ilkelere aykırılıklar) ve küçük ihlaller (örneğin veri sorumlusunun sertifikasyon yükümlülüklerine uymaması). Büyük ihlaller, daha yüksek para cezalarına yol açarken, küçük ihlaller genellikle daha düşük cezalarla sonuçlanmaktadır. İşlemenin Kapsamı ve Etkilenen Kişi Sayısı: Bu kriter kapsamında ihlalin ne kadar büyük bir etki yarattığı, etkilenen bireylerin sayısı ve zararın büyüklüğü dikkate alınmaktadır. İşleme amacına uygunluk ve zarar tehlikesi de değerlendirilmektedir. Kabahatin Kasten veya Taksirli Fiil Sonucu Meydana Gelmesi: Kasıtlı davranışlar, veri sorumlusunun bilerek ihlali gerçekleştirmesi durumunu ifade etmektedir. Kasıtlı kabahat içeren fiiller, ihmali eylemlerden daha ağır kabul edilmektedir. Kasıt, örneğin üst yönetimin yasa dışı veri işlemesine onay vermesi ya da veri koruma görevlisinin tavsiyelerine aykırı hareket etmesiyle ortaya çıkabilmektedir. İhmaller ise genellikle daha hafif cezalarla sonuçlanmaktadır. Bunlar örneğin kişisel verilerin güncelliğinin ve doğruluğunun kontrol edilmemesi, teknik güncellemelerin zamanında yapılmaması gibi davranışlardır. 3 “Madde 29 Çalışma Grubunun ‘İdari Para Cezalarının Uygulanmasına ve Belirlenmesi İlişkin Esaslar’ başlıklı 2016/679 WP253 sayılı Kılavuzu” https://ec.europa.eu/newsroom/article29/items/611237. 170 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Veri Sorumlusunun veya Veri İşleyenin Önlemleri: Kabahatin etkilerini azaltmaya yönelik alınan önlemler de cezayı etkileyebilmektedir. İhlal sonrası zarar azaltma çabaları cezanın hafifletilmesinde rol oynamaktadır. Teknik ve İdari Tedbirler: Veri sorumluları ve veri işleyenler, uygun tedbirleri almakla yükümlüdürler. Bu tedbirleri alırken; teknolojik gelişmişlik düzeyi, işlemenin niteliği, kapsamı, bağlamı ve amaçları dikkate alınmalıdır. Ayrıca, kişisel veri işlemenin bireylerin hak ve özgürlüklerine yönelik oluşturduğu tehlikeler değerlendirilmeli ve uygun önlemlerle sonuçlandırılmalıdır. Denetim otoriteleri, bu kritere dayalı değerlendirme yaparken iyi uygulama örneklerinin yanı sıra endüstri standartlarını ve ilgili alan veya meslek kurallarını da dikkate almaktadır. Geçmiş İhlaller: Önceki ihlaller, veri sorumlusunun veya veri işleyenin sorumluluk derecesini etkilemektedir. Önceki ihlaller, eksik bilgi seviyesini veya kurallara dikkat edilmemesini ortaya koymaktadır. Denetleyici Makamla İş Birliği: İhlalin ardından denetleyici makamla yapılan iş birliği, cezanın belirlenmesinde rol oynamaktadır. Ancak, dikkat edilmelidir ki yalnızca bildirimin yapılması, cezayı hafifletmek için yeterli değildir. Etkilenen Veri Kategorileri: Özel nitelikli verilerin işlenmesi durumunda, daha ağır bir ceza ortaya çıkabilmektedir. İhlalin Denetim Makamı Tarafından Öğrenilmesi: İhlalin denetim makamına bildirilip bildirilmediği ve bildirimde eksiklik olup olmadığı da cezanın belirlenmesinde rol oynamaktadır. Eğer veri sorumlusu, ihlali eksik veya geç bildirirse, bu durum daha ağır bir cezaya yol açabilmektedir. Ancak yalnızca bildirimin yapılması, cezayı hafifletmek için yeterli bir neden değildir. Geçmişteki Tedbirlere Uygunluk: Denetim makamının daha önce almış olduğu tedbirlerin yerine getirilip getirilmediği de cezanın belirlenmesinde rol oynamaktadır. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 171 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Davranış Kuralları ve Sertifikasyon: Onaylanmış davranış kurallarına ve sertifikasyon mekanizmalarına uyulması, güven oluşturmakta ve cezayı azaltıcı bir etken olabilmektedir. Maddi Menfaatler ve Diğer Faktörler: Tüzük ihlalinden kâr elde edilmiş olması, para cezası uygulanması gerektiğine dair güçlü bir işaret olarak öngörülmektedir. Bunun gibi Tüzüğün 83’üncü maddesinde yer almamakla birlikte cezayı etkileyebileceği düşünülen diğer unsurlar da dikkate alınmalıdır. İdari Para Cezasının Tutarının Belirlenmesi Tüzük ve buna bağlı mevzuatın uygulanmasını sağlamak amacıyla kurulmuş, tüzel kişiliği haiz, bağımsız organ olan Avrupa Veri Koruma Kurulu (European Data Protection Board - EDPB); veri koruma otoritelerinin ceza tayinindeki metodolojilerini uyumlu hale getirmek için 04/2022 sayılı “Guidelines On The Calculation Of Administrative Fines” başlıklı yönergeyi (Para Cezalarının Hesaplanmasına İlişkin Rehber) hazırlamıştır.4 Ceza miktarının hesaplanması, her ne kadar Tüzükte öngörülen kurallara tabi olarak denetim makamının takdirinde olsa da adı geçen Rehber denetim makamlarının idari para cezalarını nasıl belirleyeceği konusunda rehberlik edecek bir yol haritası sunmaktadır. EDPB, idari para cezalarının hesaplanmasına yönelik beş adımdan oluşan bir metodoloji geliştirmiştir. Buna göre ilk olarak, vakadaki işleme faaliyetleri belirlenmelidir. İkinci olarak, ceza miktarının hesaplanması için başlangıç noktasının belirlenmesi gerekmektedir. Bu, ihlalin sınıflandırılması, ihlalin ciddiyetinin değerlendirilmesi ve işletmenin cirosunun hesaplanması yoluyla gerçekleştirilmektedir. Üçüncü adım, veri sorumlusunun veya veri işleyenin geçmiş veya mevcut davranışına ilişkin ağırlaştırıcı ve hafifletici nedenlerin tayin edilmesi ve buna göre cezanın artırılması veya azaltılmasıdır. Dördüncü adımda, azami tutar dikkate alınarak nihai tutar belirlenecektir. Son aşamada ise hesaplanan nihai tutarın etkililik, caydırıcılık ve orantılılık şartlarını karşılayıp karşılamadığının incelenmesi gerekmektedir. Tüm bu adımlarda, para cezasının hesaplanmasının yalnızca matematiksel bir işlem olmadığı, vakanın özel koşullarının da dikkate alınması gerektiği unutulmamalıdır. 4  “EDPB’nin Para Cezalarının Hesaplanmasına İlişkin Rehberi” https://www.edpb.europa.eu/our-work- tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en. 172 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Adım I: İşleme Faaliyetinin Tespit Edilmesi Ceza tayini süreci öncelikle ihlale neden olan işleme süreçlerinin belirlenmesi ve bu süreçlerin niteliğinin değerlendirilmesi ile başlamaktadır. Denetim makamı ihlale neden olan belirli işleme süreçlerini incelemeli ve ihlal ile ilgili suçun niteliği, fiil tekliği veya fiil çokluğu gibi unsurları değerlendirmelidir. Adım II: Başlangıç Noktası Belirlenmesi İdari para cezalarının hesaplanması, bir başlangıç noktasının belirlenmesi ile başlamaktadır. EDPB, başlangıç noktasının hesaplanmasında dikkate alınması gereken üç ana unsur olduğunu belirtmektedir: • Tüzüğün 83’üncü maddesinin 4 ila 6’ncı fıkraları uyarınca ihlalin türüne göre yapılan kategorilendirme, • İhlalin ciddiyetinin belirlenmesi • Cironun hesaplanması İhlalin ciddiyetinin tespitinde denetleyici makamlar belirli faktörlerden yararlanmaktadır. Denetleyici otoriteler işleme faaliyetinin niteliği, kapsamı, amacı, süresi, etkilenen kişilerin sayısı, zarar, etkilenen veri kategorileri gibi unsurları dikkate alarak ciddiyet derecesi konusunda bir kanaate varmaktadır. Her ne kadar Kılavuzda ilkeler ayrı ayrı ele alınsa da esasen bu faktörler genellikle iç içe geçmiş durumdadır. Bu nedenle bir bütün olarak değerlendirilmelidir. a. İhlalin Doğası: Bu kapsamda ihlalin hangi yasal menfaatleri koruduğu ve bu menfaatlerin veri koruma sistemindeki yeri incelenmektedir. Ayrıca, ihlalin söz konusu yasanın uygulanmasını engelleyip engellemediği ve koruma altına alınması gereken hedeflere ulaşılmasını sağlayıp sağlamadığı değerlendirilmektedir. b. İşlemenin Kapsamı ve Etkisi: Bu değerlendirme yapılırken, ilk olarak işlemenin yapıldığı bağlam (örn. ticari faaliyet veya kamusal hizmet) ve risk seviyesi dikkate alınmaktadır. Diğer taraftan işleme faaliyeti ile etkilenen kişi grubunun özellikleri de (örn. çalışanlar veya çocuklar gibi grupların varlığı) göz önünde bulundurulmaktadır. İşlemenin yerel, ulusal veya KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 173 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı sınır ötesi boyutu dikkate alındığında; işlemenin kapsamı genişse, hukuka aykırı davranışların engellenmesi daha zor olabilir. Ayrıca, kişisel verilerin işlenmesinin veri işleme faaliyetinde bulunanın temel faaliyetleri arasında olup olmadığı incelenmektedir. Denetleyici makam etkilenenlerin sayısını ve bu sayının bağlamdaki tüm kişilere oranını dikkate alarak ihlalin sistemik olup olmadığını değerlendirmektedir. Son olarak, ihlalin neden olduğu zarar da ciddiyetin belirlenmesinde önemli bir rol oynamaktadır. Zararın fiziksel, maddi veya manevi boyutları dikkate alınarak ihlalin ciddiyeti tespit edilmektedir. c. İhlalin Süresi: İhlalin süresi de değerlendirmede önemli bir rol oynamaktadır. Uzun süreli ihlaller genellikle daha ağır cezalara neden olabilmektedir. d. İhlalin Kasten ya da İhmal Yoluyla Gerçekleşmesi: Kılavuza göre kasıtlı ihlaller, yasa dışı işlemler için üst yönetimin açık yetkilendirmesi gibi durumları içermektedir ve genellikle daha ağır sonuçlanmaktadır. İhmalkarlık ise mevcut politikaların göz ardı edilmesi, personel hataları ve teknik eksiklikler gibi nedenlerle ortaya çıkmaktadır. Kasıtlı ihlaller, genellikle daha ağır yaptırımlara yol açmaktadır, ancak ihmalkarlık da ihlalin ciddiyetine göre değerlendirilmektedir. e. Etkilenen Kişisel Veri Kategorisi: Tüzük’e göre, kişisel verilerin kategorileri, özel koruma gerektiren veriler (örneğin, sağlık, konum, finansal veriler) için daha yüksek cezalara neden olabilmektedir. Kişisel verinin hassasiyeti ve miktarı arttıkça, denetim otoritesi cezanın miktarını artırabilmektedir. Bu kriterlere dayalı olarak; ihlal (i) düşük, (ii) orta veya (iii) yüksek ciddiyet seviyesinde sınıflandırılacaktır. Düşük ciddiyet seviyesindeki ihlaller için, idari para cezasının başlangıç tutarı yasal azami oranın %0 ile %10’u arasında belirlenir. Orta ciddiyet seviyesindeki ihlaller için, başlangıç tutarı yasal azami oranın %10 ile %20’si arasında belirlenir. Yüksek ciddiyet seviyesindeki ihlaller için, başlangıç tutarı yasal azami oranın %20 ile %100’ü arasında belirlenir. Rehberde, ihlallerin ciddiyet seviyesinin belirlenmesiyle ilgili üç örnek, yapılan değerlendirmeleri ve para cezası hesaplamalarını açıklamayı öngörmektedir: 174 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Yüksek Ciddiyet Derecesine İlişkin Örnek Bir telefon şirketi, müşterilerinin iletişim bilgilerini, yasal bir dayanak olmaksızın üçüncü şahıslara pazarlama amacıyla aktarmaktadır. Veri koruma görevlisinin uyarılarına rağmen bu uygulama sürdürülmektedir. Bu kapsamda 4 milyon müşterinin verisi etkilenmiştir. İhlalin süresi uzun, kapsamı geniş ve kasıtlı olarak değerlendirilmiştir. Sonuç olarak, denetleyici otorite, ihlalin yüksek ciddiyette olduğunu değerlendirmiş ve ceza başlangıç tutarını, yasal azami oranın %20 ile %100’ü arasında belirlemiştir. Orta Ciddiyet Derecesine İlişkin Örnek Bir hastane, personelinin hastaların sağlık dosyalarına yetkisiz erişim sağladığını denetim otoritesine bildirmiştir. Yapılan inceleme neticesinde; yönetimdeki eksiklikler nedeniyle, 150 personelin 20,000 hastanın dosyasına yetkisiz erişim sağladığı tespit edilmiştir. Alınan tüm önlemlere rağmen ihlalin gerçekleştiği anlaşıldığından, eylemin ihmal nedeniyle ortaya çıktığı değerlendirilmiştir. Sağlık verilerinin özel kategoride olması, ihlalin ciddiyetini artırmış ancak ihlal genel olarak orta ciddiyet seviyesinde değerlendirilmiştir. Başlangıç ceza tutarı, yasal azami oranın %10 ile %20’si arasında belirlenmiştir. Düşük Ciddiyet Derecesine İlişkin Örnek Denetim makamı, e-ticaret yapan bir işletmenin, ilgili kişilerin erişim taleplerinin uygun sürede yanıtlanmamasına ilişkin birçok şikâyet almaktadır. Taleplerin %5’inde maksimum üç ay gecikme yaşandığı, ancak şirketin genel olarak talepleri zamanında yanıtladığı anlaşılmıştır. Bu ihlal, minimal zarara yol açmış ve mağazanın ana işlevi dışındaki bir alanda gerçekleşmiştir. Yine de bu davranış Tüzük hükümlerine aykırılık teşkil ettiğinden, ihlal olarak değerlendirilmiş ancak düşük ciddiyette nitelendirilmesi sonucunu doğurmuştur. Denetleyici otorite, ceza başlangıç tutarını yasal azami oranın %0 ile %10’u arasında belirlemiştir. Yukarıda belirtilen adımlarda belirlenen başlangıç tutarı, mikro işletmelerden çok uluslu şirketlere kadar tüm işletmelere uygulanacaktır. Ciro, bir işletmenin büyüklüğünü ve ekonomik gücünü ölçen bir göstergedir. Ciro hesaplamada bir önceki adımda hesaplanan başlangıç tutarı dikkate alınacaktır. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 175 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı • Yıllık cirosu ≤ 2 milyon euro olan işletmeler için, cezanın başlangıç miktarının %0,2 ile %0,4’ü arasında • Yıllık cirosu 2 milyon euro ile 10 milyon euro arasında olan işletmeler için, cezanın başlangıç miktarının %0,3 ile %2’si arasında • Yıllık cirosu 10 milyon euro ile 50 milyon euro arasında olan işletmeler için, cezanın başlangıç miktarının %1,5 ile %10’u arasında • Yıllık cirosu 50 milyon euro ile 100 milyon euro arasında olan işletmeler için, cezanın başlangıç miktarının %8 ile %20’si arasında • 100 milyon euro ile 250 milyon euro arasında olan işletmeler için, cezanın başlangıç miktarının %15 ile %50’si arasında • 250 milyon euro ile 500 milyon euro arasında olan işletmeler için, cezanın başlangıç miktarının %40 ile %100’ü arasında • 500 milyon euro’nun üzerinde olan işletmeler için, başlangıç miktarında herhangi bir değişiklik yapmadan ceza belirlemesi yapılabileceği öngörülmektedir. Genel olarak, bir işletmenin cirosu ne kadar yüksekse, cezanın başlangıç miktarları daha geniş bir aralığa sahip olacaktır. Kılavuzda konuya ilişkin verilen örnekler ise şu şekildedir: 450 milyon euro ciroya sahip bir süpermarket zinciri, Tüzük’ün 12’nci maddesini ihlal etmiştir. Bu ihlal, Tüzük’ün 83’üncü maddesinin 5’inci fıkrasının (b) bendi kapsamında bulunduğundan, yasal azami oranın 20 milyon euro olduğu anlaşılmıştır. Denetim makamı, ihlalin düşük ciddiyet seviyesinde bulunduğunu değerlendirmiştir. Düşük ciddiyet seviyesi nedeniyle, başlangıç cezası yasal azami oranın %0 ile %10’u arasında hesaplanacağından, işletme için tayin edilecek ceza miktarının 0 ile 2 milyon euro arasında olması gerektiğine karar verilmiştir. Bir başka örnekte; bir start-up uygulamasının, 500,000 euro ciroya sahip olduğu ve müşterilerinin hassas kişisel verilerini aracılara sattığı tespit edilmiştir. Yetkili makam, ihlalin yüksek ciddiyette olduğunu belirlemiştir. Başlangıç noktasının ise yüksek ciddiyet nedeniyle, yasal azami oranın (20 milyon euro) %20 ile %100’ü arasında hesaplanması gerektiği dikkate alındığında 4 milyon euro ile 20 milyon euro arasında bir tutarda bulunabileceği tespit edilmiştir. 176 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Adım III: Ağırlaştırıcı ve Hafifletici Faktörlerin Dahil Edilmesi Tüzüğe göre, bir ihlalin niteliği, ciddiyeti, süresi, ihlalin kasıtlı mı yoksa ihmal sonucu mu gerçekleştiği ve hangi kişisel veri kategorilerini etkilediği gibi unsurlar değerlendirildikten sonra, denetleyici otorite, Tüzüğün 83’üncü maddesine göre diğer ağırlaştırıcı ve hafifletici faktörleri de göz önünde bulundurarak bir değerlendirme yapmalıdır. Veri sorumlusu veya veri işleyen, ilgili kişilerin uğradığı zararı hafifletmek için önlem almışsa, bu durum, cezayı hafifletici bir unsur olarak dikkate alınmaktadır. Alınan önlemler, özellikle bu önlemlerin ne zaman alındığı ve ne kadar etkili olduğu açısından değerlendirilmektedir. Bu nedenle, inceleme süreçleri başlamadan önce alınan önlemler, inceleme süreçleri başladıktan sonra alınan önlemlere nazaran daha olumlu bir izlenim uyandırmaktadır. Veri sorumlusunun ve veri işleyenin Tüzüğün 25’inci ve 32’inci maddeleri uyarınca almakla yükümlü bulunduğu tedbirler bulunmaktadır. Denetleyici otorite, bu maddeleri dikkate alarak bir değerlendirme yaptığında; alınan önlemlerin yetersiz olduğunu veya risklerin etkili bir şekilde ortadan kaldırılmadığını belirlerse, bu durum cezanın artırılmasına neden olabilmektedir. Denetleyici otoritenin bu kapsamda yapacağı incelemede veri sorumlusu ve veri işleyen tarafından sağlanan belgeler önem arz etmektedir. Nitekim bunlar, alınan önlemlerin ne zaman uygulandığını, nasıl yapıldığını, veri sorumlusu ile veri işleyen arasında herhangi bir etkileşim olup olmadığını ve Veri Koruma Görevlisi veya ilgili kişiler ile iletişim kurulup kurulmadığını ortaya çıkarabilmektedir. Diğer yandan, daha önce gerçekleşmiş ihlaller de ceza tayininde dikkate alınmaktadır. Önceki ihlallerin hangi dönemde gerçekleştiği, nasıl gerçekleştiği ve mevcut ihlale ne ölçüde benzediği gibi faktörler önem taşımaktadır. Ancak bazı ulusal yasalar, belirli bir süreden önceki ihlalleri dikkate almayı engelleyen zamanaşımı süreleri belirleyebilmektedir. Bu sürelerin de göz önünde bulundurulması gerekmektedir. Öte yandan önceki ihlalin inceleme konusuyla aynı konuyu ihtiva etmesi, özellikle de tekrar eden ihlallerin söz konusu olması cezanın artırılmasına yol açabilmektedir. Denetleyici otorite ile iş birliği yapmak, ihlali düzeltme ve zararı azaltma çabaları hafifletici bir unsur olarak değerlendirilebilmektedir. Ancak, iş birliği Tüzük kapsamında zorunluluk olduğundan, yalnızca iş birliği yapmak tek KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 177 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı başına cezayı hafifletici bir etki yaratmamaktadır. Ancak iş birliği sonucunda bireylerin hakları üzerindeki olumsuz etkilerin sınırlanması, hafifletici bir etken olarak kabul edilebilmektedir. İhlalin denetleyici otoriteye nasıl bildirildiği, cezanın artırılmasına veya hafifletilmesine etki edebilmektedir. Tüzüğe göre, ihlalin veri sorumlusunun kendi inisiyatifiyle mi bildirildiği yoksa şikâyet veya ihbar yoluyla mı öğrenildiği önemlidir. Ancak halihazırda mevcut olan yükümlülükler kapsamında yapılan bildirimler, hafifletici bir unsur olarak dikkate alınmamaktadır. Veri sorumlusunun ve veri işleyenin, daha önce aynı konu ile ilgili hükmedilen tedbirlere uyumu, onaylı davranış kurallarına ve sertifikasyon mekanizmalarına uyumu ise bazı durumlarda hafifletici bir unsur olarak kabul edilebilmektedir. Hafifletici ve ağırlaştırıcı unsurlar bunlarla sınırlı değildir. Tüzük, somut olay özelinde ihlalden elde edilen mali kazançlar veya kaçınılan zararlar gibi çeşitli unsuların da değerlendirilmesine olanak tanımaktadır. Bu tür değerlendirmeler cezanın adil ve orantılı bir şekilde belirlenmesine olanak sağlamaktadır. Ağırlaştırıcı ve hafifletici unsurların ceza miktarı üzerindeki etkisi, kılavuzda çeşitli örneklerle açıklanmaya çalışılmıştır. İlk örnekte; bir spor kulübü, girişte yüz tanıma teknolojisi kullanarak Tüzüğün 9’uncu maddesini ihlal etmektedir. Denetleyici otorite, ihlalin yüksek ciddiyet seviyesi taşıdığını tespit etmiş, kulübün yıllık cirosu olan 150 milyon euro’yu göz önünde bulundurarak, başlangıç miktarını 2 milyon euro olarak belirlemiştir. Bunun yanında kulüp daha önce parmak izi teknolojisi kullanımı nedeniyle ceza aldığından, tekrar eden bir ihlal nedeniyle cezanın 2,6 milyon euro’ya çıkarılması uygun bulunmuştur. Sonraki örnekte, araç kiralama platformunda yaşanan veri sızıntısı, otorite tarafından düşük ciddiyette bir ihlal olarak değerlendirilmiştir. Başlangıç cezası 260.000 euro olarak belirlenmiş, ancak platform ilgili kişilerin ücretlerini iade ettiğinden, bu hafifletici bir etken olarak dikkate alınmış ve ceza 225.000 euro’ya indirilmiştir. Son örnekte ise bir şirket, kişisel verileri ticari amaçlarla satmaktadır. Şirketin yıllık cirosu dikkate alınarak 150.000 euro başlangıç cezası belirlenmiş, 178 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI ancak ihlalden sağlanan ekonomik kazançlar nedeniyle ceza 200.000 euro’ya yükseltilmiştir. Bu örnek, ihlalin şirkete ekonomik fayda sağlamasının ceza miktarını artırabileceğini göstermektedir. Adım IV: Ceza Üst Sınırının Değerlendirilmesi Tüzükte ihlaller için maktu tutarlar belirlenmemiştir. Bunun yerine ceza miktarı statik veya dinamik olarak ifade edilen iki ana grup altında belirlenmektedir. Statik tutarlar, idari para cezası miktarının azami miktarını ifade etmektedir ve ihlalin niteliğine göre 10 milyon euro veya 20 milyon euro olarak öngörülmektedir. Büyük ölçekli işletmeler için ise dinamik tutar uygulaması benimsenmektedir. Bu durumda, ceza miktarı; ihlalin türüne bağlı olarak, işletmenin bir önceki mali yılındaki toplam cirosunun %2’sine veya %4’üne tekabül etmektedir. Dinamik tutarlar, yalnızca statik tutarları aştığında uygulanmaktadır. Denetim makamları, tayin ettiği nihai ceza miktarlarının bu sınırların üzerinde olmadığını kontrol etmelidir. Adım V: Cezanın Etkinliği, Orantılılığı ve Caydırıcılığı Etkinlik, ceza ile belirlenen amaçlara ulaşabiliyor olmayı ifade etmektedir. İdari cezalar ile kuralların uygulanmasının güçlendirilmesi hedeflenmektedir. Cezanın miktarı, bu hedeflere ulaşmak için yeterli olmalıdır. Bunun yanı sıra ceza, ihlalin ciddiyetine ve işletmenin büyüklüğüne uygun olmalıdır. Bu orantılılık ilkesinin bir gereğidir. Birden fazla uygun önlem arasında seçim yapılması gerektiği durumlarda, en az yük getireni tercih edilmelidir. Bu ilkenin bir gereği olarak, ödeme güçsüzlüğü durumunda ceza azaltılabilmektedir. Son olarak, caydırıcılık ilkesi gereğince ceza hem ihlalde bulunanın hem de diğer veri sorumluları ile veri işleyenlerin potansiyel yasa dışı davranışlardan kaçınmasını sağlamalıdır. Yukarıdaki adımlarda, ceza hesaplaması için genel bir çerçeve sunulmuş olsa da kılavuzda denetim makamlarının, ceza uygulamalarında tüm koşulları bireysel ve duruma özgü değerlendirme temelinde belirlemeleri gerektiği vurgulanmaktadır. Kılavuz, belirlediği kriterler ile ceza uygulamalarında şeffaflığı artırırken, Avrupa ülkelerinde Tüzük uyumunu destekleyerek düzenlemelerin uyumlu bir şekilde yürütülmesini sağlamaktadır. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 179 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı ALMANYA Federal Veri Koruma Yasası (Bundesdatenschutzgesetz – BDSG), Almanya’da kişisel verilerin işlenmesini düzenleyen temel yasa olup, Almanya’nın federal yapısı nedeniyle her eyaletin kısaca LDSG (Landesdatenschutzgesetz) olarak ifade edilen Eyalet Veri Koruma Yasaları bulunmaktadır. BDSG ve LDSG düzenlemeleri genel olarak Avrupa Birliği Genel Veri Koruma Tüzüğünün düzenlemesinin bulunmadığı alanlarda bir anlam ifade etmektedir. Tüzük hükümlerinin federal yasaya göre önceliği bulunmaktadır. Federal devletin ve eyalet devletlerinin veri koruma otoritelerinde; Avrupa ve ulusal veri koruma hukukunun uyumlaştırılması ve ortak irade oluşturulabilmesi amacıyla Datenschutzkonferenz (DSK) birliği oluşturulmuştur. Söz konusu Birlik; Federal Veri Koruma Komiseri, Eyalet Veri Koruma Komiserleri ve Bavyera Veri Koruma Eyalet Ofisi Başkanından oluşmakta olup, yılda iki kez toplanmakta ve veri koruma haklarını temin etmeye yönelik ortak tespitlerde bulunmaktadır. Almanya’da Tüzük ve BDSG ihlalleri için uygulanabilecek yaptırımlar hem idari para cezalarını hem de diğer hukuki yaptırımları içermektedir. Ayrıca BDSG’de veri koruma ihlalleri karşısında veri sorumluları ile veri işleyenlerin karşı karşıya kalabileceği cezai yaptırımlara yer verilmektedir. İdari Para Cezasının Belirlenmesi DSK tarafından “Federal ve Bağımsız Veri Koruma Otoriteleri Tarafından Şirketler Aleyhine Hükmedilen Para Cezalarının Belirlenmesinin Esasları” başlıklı düzenleme ile, Tüzük ve Federal Veri Koruma Yasası gibi düzenle- meler kapsamında veri koruma ihlallerinden dolayı şirketler aleyhinde hük- medilecek para cezalarının belirlenmesinde dikkate alınacak usul ve esasların düzenlenmesi amaçlanmıştır5. Düzenlemeye göre şirketlere karşı para cezaları beş adımda hesaplanmaktadır. Öncelikle, para cezası yaptırımı uygulanmasına karar verilen şirket büyüklüğüne göre bir kategoriye dâhil edilmektedir (1.), ardından dahil edildiği kategoride hangi alt grupta bulunduğu tespit edilerek bu alt sınıf için yıllık ortalama ciro 5  “DSK Para Cezası Konsepti” https://www.datenschutzkonferenz-online.de/media/ah/20191016_ bu%C3%9Fgeldkonzept.pdf. 180 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI tespiti yapılmaktadır (2.), müteakiben ekonomik değer belirlemesi yapılmakta (3.), ve bu ekonomik değer, kabahatin ciddiyetine bağlı bir faktörle çarpılmaktadır (4.) ve son olarak 4’üncü aşamada belirlenen değere, veri sorumlusu ile ilgili henüz dikkate alınmamış diğer durumlar da dahil edilerek para cezasına son şekli verilmektedir (5.). İşletmenin Büyüklüğüne Göre Bir Kategoriye Dâhil Edilmesi Şirket; büyüklüğüne göre mikro işletmeler, küçük ve orta ölçekli işletmeler ve büyük işletmeler olarak belirlenmiş dört kategoriden birine dahil edilmektedir (Tablo 1). Büyüklük sınıfları, şirketlerin bir önceki yılda elde ettikleri dünya çapındaki toplam satışlarına dayanmaktadır. Daha sonra daha spesifik bir sınıflandırma için, büyüklük sınıfları ayrıca alt gruplara ayrılmaktadır (A.I ila A.III, B.I ila B.III, C.I ila C.VII, D.I ila D.VII). KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 181 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Tablo 1. İşletmenin Büyüklüğü Kategorileri Küçük ve Orta Ölçekli İşletmeler Büyük İşletmeler A B C D Mikro İşletme: Küçük Ölçekli İşletme: Orta Ölçekli İşletme: 50 Milyon €’dan 2 Milyon €’ya 2 Milyon ile 10 Milyon ile daha fazla yıllık kazanç kadar 10 Milyon € arasında 50 Milyon € arasında yıllık kazanç yıllık kazanç yıllık kazanç 700.000 €’ya 2 Milyon € ile 10 Milyon € ile 50 Milyon € ile A.I Kadar B.I 5 Milyon € C.I 12 Milyon € D.I 75 Milyon € yıllık kazanç arasında arasında arasında 700.000 € ile 5 Milyon € ile 12 Milyon € ile 75 Milyon € ile A.II 1,4 Milyon € B.II 7,5 Milyon € C.II 15 Milyon € D.II 100 Milyon € arasında arasında arasında arasında 1,4 Milyon € ile 7,5 Milyon € ile 15 Milyon € ile 100 Milyon € ile A.III 2 Milyon € B.III 10 Milyon € C.III 20 Milyon € D.III 200 Milyon € arasında arasında arasında arasında 20 Milyon € ile 200 Milyon € ile C.IV 25 Milyon € D.IV 300 Milyon € arasında arasında 25 Milyon € ile 300 Milyon € ile C.V 30 Milyon € D.V 400 Milyon € arasında arasında 30 Milyon € ile 400 Milyon € ile C.VI 40 Milyon € D.VI 500 Milyon € arasında arasında C.VII 40 Milyon € ile D.VII 500 Milyon €’dan 50 Milyon € arasında daha fazla 182 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI 2. İlgili İşletmenin Yıllık Ortalama Cirosunun Belirlenmesi Bu aşamada şirketin dahil olduğu alt gruba ait yıllık cirosunun ortalaması belirlenmektedir (Tablo 2). Bu aşamadan sonra gelecek 3’üncü aşamada ise şirkete bir ekonomik değer atfedilecektir. Tablo 2: Şirket Kategorilerinin Yıllık Cirosu Ortalaması Küçük ve Orta Ölçekli İşletmeler Büyük İşletmeler D A B C Mikro İşletme: Küçük Ölçekli İşletme: Orta Ölçekli İşletme: 50 Milyon €’dan 2 Milyon €’ya 2 Milyon ile 10 Milyon ile daha fazla yıllık kazanç kadar 10 Milyon € arasında 50 Milyon € arasında yıllık kazanç yıllık kazanç yıllık kazanç A.I 350.000 € B.I 3,5 Milyon € C.I 11,25 Milyon € D.I 62,5 Milyon € A.II 1,050.000 € B.II 6,25 Milyon € C.II 13,75 Milyon € D.II 87,5 Milyon € A.III 1,7 Milyon € B.III 8,75 Milyon € C.III 17,5 Milyon € D.III 150 Milyon € C.IV 22,5 Milyon € D.IV 250 Milyon € C.V 27,5 Milyon € D.V 350 Milyon € C.VI 35 Milyon € D.VI 450 Milyon € Şirketin belirli C.VII 45 Milyon € D.VII bir yıl içerisindeki cirosu Yıllık cirosu 500 milyon euro’yu aşan şirketler için, ceza oranı olarak yıllık cirosunun %2’si veya %4’ü maksimum sınır olarak uygulanacaktır. Bu kapsamda, ceza her şirketin belirli cirosuna göre hesaplanacaktır. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 183 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı 3. Ekonomik Değerin Belirlenmesi İşletmenin ekonomik değerini belirlemek amacıyla, şirketin ait olduğu alt grubun ortalama yıllık cirosu 360 güne bölünerek günlük ortalama ciro hesaplanmakta ve bu değer ondalıklı basamağa yuvarlanmaktadır (Tablo 3). Tablo 3: Şirket Kategorilerinin Ekonomik Değerleri Küçük ve Orta Ölçekli İşletmeler Büyük İşletmeler D A B C A.I 972 € B.I 9.722 € C.I 31.250 € D.I 173.611 € A.II 2.917 € B.II 17.361 € C.II 38.194 € D.II 243.056 € A.III 4.722 € B.III 24.306 € C.III 48.611 € D.III 415.667 € C.IV 62.500 € D.IV 694.444 € C.V 76.389 € D.V 972.222 € C.VI 97.222 € D.VI 1,25 Milyon € Şirketin belirli C.VII 125.000 € D.VII bir yıl içerisindeki cirosu dikkate alınır Kabahatin Ağırlığının Belirlenmesi ve Ekonomik Değer ile Çarpılması Tüzüğün 83’üncü maddesinin 2’inci fıkrasına göre idari para cezalarının belirlenmesinde dikkate alınacak kıstaslardan biri de kabahatin niteliği ve ciddiyetidir. Kılavuza göre kabahatin ağırlığı hafif, orta, ağır veya çok ağır olarak sınıflandırılmaktadır. Tüzüğün 83’üncü maddesinin 4’üncü fıkrasında belirtilen yükümlülüklere aykırılık hali ile 5’inci ve 6’ıncı fıkralarından belirtilen 184 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI yükümlülüklerin ihlalleri için farklı ceza miktarları belirlenmiştir. Tablo 4’e göre kabahatin ağırlığı için bir katsayı belirlendikten sonra belirlenen bu katsayı 3’üncü aşama neticesinde elde edilen ekonomik değer miktarı ile çarpılacaktır. Tablo 4: Kabahatin Ağırlığı Sınıflandırılması Kabahatin Ağırlığı 83’üncü Maddenin 83’üncü Maddenin 4’üncü Fıkrasında Belirtilen 5 ve 6’nci Fıkrasında Belirtilen Hafif Orta Yükümlülüklere Aykırılık Yükümlülüklere Aykırılık Ağır Çok Ağır 1 ila 2 1 ila 4 2 ila 4 4 ila 8 4 ila 6 8 ila 12 6< 12 < İlgili Kişinin Lehine ve Aleyhine Olan Diğer Tüm Koşullara Dayalı Olarak Temel Değerin Düzenlenmesi Bu aşamada veri sorumlusunun lehine ve aleyhine olan ve bu aşamaya kadar henüz dikkate alınmamış tüm durumlar da dikkate alınarak ve gözden geçirilerek 4’üncü aşama sonucunda hesaplanan miktara son hali verilmektir. Bu, veri sorumlusunun durumu ile ilgili tüm koşulları, örneğin incelemenin uzun sürmesi veya şirketin iflas etmesi gibi durumları da kapsamaktadır. Bu aşamada denetim otoritelerinin geniş takdir yetkisi bulunduğu kabul edilmektedir. 1&1 Telecom Gmbh Olayı İncelemesi 2019 yılında Federal Veri Koruma Otoritesi (BFDI) tarafından Tüzük hükümlerini ihlal ettiği gerekçesiyle 1&1 isimli telekomünikasyon şirketine 9.550.000 euro tutarında para cezası hükmedilmiş ancak şirketin cezaya itiraz etmesi üzerine Bonn Bölge Mahkemesi, veri ihlalinin mevcut olduğunu kabul etmekle birlikte cezayı yaklaşık %90 oranında düşürerek 900.000 euro’ya indirmiştir. Bu karar, yalnızca spesifik bir vaka üzerinden para cezasının nasıl belirlendiğini değil, aynı zamanda Almanya’nın para cezası belirleme metodolojisine yönelik eleştirileri de içermesi açısından büyük önem taşımaktadır. Şikâyete konu olayda, 1&1 Telecom GmbH’nin çağrı merkezi, bir kişinin cep telefon numarasını eski eşiyle paylaşmıştır. Federal Veri Koruma Otoritesi (BFDI), telekomünikasyon şirketlerinin veri işlemlerini denetleme hususunda genel bir yetkiyle donatıldığından, konu hakkında inceleme başlatmıştır. İnceleme neticesinde, şirketin teknik ve KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 185 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı idari tedbirleri sağlama konusunda yetersiz kaldığı tespit edilmiş cezanın hesaplanmasında ise DSK ceza kılavuzundan faydalanılmıştır. Ceza, büyük ölçüde şirketin cirosuna dayanılarak belirlenmiştir. Yapılan itiraz üzerine Bonn Bölge Mahkemesi, veri koruma ihlalinin gerçekleştiğini kabul etmiş ancak, bazı hafifletici nedenlerin (örneğin hassas verilerin etkilenmemesi, olayın sadece bir kez yaşanmış olması, şirketin bu tür bir ihlalle ilk defa karşılaşmış olması, ihlalin kasten yapılmamış olması, hukuka aykırılıkların düzeltilmiş olması ve riskin sadece küçük bir müşteri grubunu etkilemiş olması) göz önünde bulundurulmadığını belirtmiştir. Mahkeme cezanın orantısız olduğunu kanaat getirmiştir. Öte yandan mahkeme, DSK’nın ceza metodolojisinin ciro odaklı olmasını ve ihlalin değerlendirilmesinde ciddiyet, tür, süre, tekrar ve alınan önlemler gibi önemli unsurları göz ardı etmesini eleştirmiştir. BİRLEŞİK KRALLIK Avrupa Birliği ülkelerinde uygulanan Tüzük, Birleşik Krallık’ın Avrupa Birliğinden ayrılış (Brexit) tarihi olan 31 Ocak 2020 tarihine kadar uygulama alanı bulmuştur. Brexit’in gerçekleşmesi ile birlikte Birleşik Krallık’ta veri koruma rejimi, 2018 Veri Koruma Yasası (Data Protection Act) (DPA 2018) ve Birleşik Krallık Genel Veri Koruma Tüzüğü (UK GDPR) çerçevesinde düzenlenmeye başlanmıştır. Denetim otoritesi, ICO olarak bilinen Bilgi Komiserliği Ofisi’dir. ICO, veri koruma yasalarının uygulanmasının denetiminden ve ihlal halinde para cezası uygulanmasından sorumlu kuruluştur. ICO, UK GDPR’ye aykırı davranışları nedeniyle şirketlere küresel yıllık cirosunun %4’üne veya 17,5 milyon Sterlin’e kadar para cezasına hükmedebilmektedir. İdari Para Cezasının Belirlenmesi Kriterleri ICO’nun ceza tayin etme süreci, belirli prosedürlere dayanmaktadır. 18 Mart 2024’te ICO tarafından ceza belirleme ölçütleri ve miktarının hesaplaması konusunda yeni bir kılavuz yayınlanmıştır.6 Kılavuzda özetle; birden fazla ihlalin olduğu durumlarda para cezalarına yaklaşım hususu, cezaların nasıl belirleneceğine ilişkin değerlendirme kriterleri ve uygulanmasına yönelik bilgiler yer almaktadır. 7 6 “ICO Yeni Para Cezası Kılavuzunun Yayınlanmasına İlişkin Kamu Duyurusu”, https://ico.org.uk/about- the-ico/media-centre/news-and-blogs/2024/03/ico-publishes-new-fining-guidance/. 7  “ICO Para Cezası Kılavuzu” https://ico.org.uk/about-the-ico/our-information/policies-and-procedures/ data-protection-fining-guidance/. 186 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI ICO’nun; UK GDPR veya DPA 2018’in ihlali nedeniyle uygulayabileceği para cezasının miktarı yasal bir üst sınıra tabidir. İhlal edilen hükme bağlı olarak Avrupa Birliği Tüzüğü’ne benzer şekilde iki kademeli para cezası öngörülmüştür. Bunlar standart azami tutar ve yüksek azami tutar olarak adlandırılmaktadır. Standart azami tutar 8,7 milyon sterlin’dir. Ancak bir işletme söz konusu olduğunda; hangi oranın daha yüksek olduğuna bağlı olarak standart azami tutar, işletmenin bir önceki mali yıldaki dünya çapındaki toplam yıllık cirosunun %2’si veya 8,7 milyon sterlin’dir. Yüksek olan azami tutar ise 17,5 milyon sterlin’dir. Ancak bir işletme söz konusu olduğunda, hangi oranın daha yüksek olduğuna bağlı olarak daha yüksek azami tutar işletmenin bir önceki mali yıldaki dünya çapındaki toplam yıllık cirosunun %4’ü veya 17,5 milyon sterlin tutarında olmaktadır. ICO, para cezası yaptırımı uygulamak üzere karar aldığında, cezanın miktarı aşağıdaki beş adımlı yöntem doğrultusunda belirlenmektedir: Adım 1: İhlalin ciddiyetinin değerlendirilmesi. ICO, para cezasının miktarını tayin etmeden önce bir başlangıç noktası belirlemektedir. Bu kapsamda ihlali ciddiyet derecesine göre sınıflandırmakta ve buna bağlı olarak yasal azami tutarın belli bir yüzdesine dayalı olarak bir başlangıç noktası hesaplamaktadır. Yüksek ciddiyet arz eden ihlaller için, ICO yasal azami değerin %20’si ila %100’ü arasında bir başlangıç noktası; Orta derecede ciddiyet arz eden ihlaller için, yasal azami değerin %10’u ila %20’si arasında bir başlangıç noktası ve Düşük ciddiyet arz eden ihlaller için, yasal azami değerin %0’ı ila %10’u arasında bir başlangıç noktası belirlenmektedir. Ciddiyet seviyesi belirlenirken ise her bir vakaya ilişkin olarak; ihlalin niteliği, veri işlemenin niteliği, kapsamı, amacı, işlemeden etkilenen kişi sayısı, etkilenenlerin uğradığı zarar, ihmalin kasten mi yoksa ihmal sebebiyle mi gerçekleştiği ve etkilenen kişisel veri kategorisi gibi unsurlar dikkate alınmaktadır. İşlemenin niteliğinde; veri işlemenin ticari faaliyet veya kamusal hizmet bağlamında KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 187 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı yürütülüp yürütülmediği gibi özellikler değerlendirilmektedir. Ayrıca biyometrik ya da genetik verilerin işlenmesi, yeni teknolojilerin uygulanması, otomatik karar verme gibi yüksek risklere yol açması muhtemel işleme türleri dikkate alınmaktadır. ICO, ilgili kişiler ile veri işleme faaliyetinde bulunanlar arasında açık bir güç dengesizliği varsa, işleme çocukların kişisel verilerini içeriyorsa veya işleme, kendilerini korumak için desteğe ihtiyaç duyan diğer kişilerin kişisel verilerini ihtiva ediyorsa, ciddiyet seviyesinin yükselebileceğini vurgulamaktadır. İşlemenin kapsamı çerçevesinde ICO, işlemenin hem bölgesel kapsamını (yerel, ulusal veya uluslararası veri aktarımını içeren) hem de işlemenin ölçeğini, örneğin sistematik yürütülen işleme faaliyetlerini ya da profilleme yapılması gibi durumları değerlendirmektedir. ICO, gerçekleştirilen işlemenin amacını da dikkate almaktadır. Eğer işleme, yürütülen faaliyetlerin merkezinde yer alıyorsa, bu durum daha fazla önem kazanmaktadır. Örneğin, bir işletmenin gelirinin doğrudan pazarlama veya hedefli reklamcılık amacıyla kişisel verilerin işlenmesine dayanması bu duruma örnek oluşturabilmektedir. Ancak, temel faaliyet alanıyla doğrudan ilgili olmayan durumlarda da kişilerin hak ve özgürlüklerini önemli ölçüde etkileyebilecek işlemenin amacı değerlendirilmelidir. Diğer yandan, ihlalden etkilenen kişi sayısı arttıkça, ciddiyetin ve dolayısıyla cezanın artması muhtemeldir. İhlale yol açan davranışla ilgili alınan şikayetlerin sayısı da bu kapsamda değerlendirilmektedir. Benzer şekilde, ihlalin insanların hak ve özgürlüklerini ne ölçüde etkilediği veya başka bir şekilde zarar görmelerine neden olup olmadığı da dikkate alınmaktadır. Uğranılan zarar, fiziksel, maddi veya manevi olabilmektedir. Ekonomik ve mali kayıplar gibi zararlar, itibar zedelenmesi, ayrımcılık veya insan onurunun zarar görmesi gibi zararlara kıyasla daha kolay tespit edilebilmektedir. Ayrıca, bir ihlal çok sayıda kişiyi etkileyebilmekte ve her bir kişi üzerindeki etkisi farklı olabilmektedir. Tüm bu unsurlar cezanın tayininde dikkate alınmaktadır. ICO, ihlalin ne kadar sürdüğünü de dikkate almaktadır. İhlal ne kadar uzun sürerse, zarar meydana gelme potansiyelinin o kadar yüksek olduğu kabul edilmektedir. ICO, bilgi ve belge taleplerinin yerine getirilmemesini de ciddiyetin bir unsuru olarak kabul etmektedir. Bu kapsamda yapacağı değerlendirmede talebin 188 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI karşılanmamasının incelemeyi ne ölçüde olumsuz etkilediğini göz önünde bulundurmaktadır. Öte yandan bir talimat veya emre uyulmamasının da ilgili kişilere ne ölçüde zarar verdiği, veri sorumlusunun veya veri işleyenin bundan bir avantaj elde edip etmediği değerlendirilmektedir. Bununla birlikte ICO, bilgi ve belge taleplerinin olağanüstü veya öngörülemeyen olaylar nedeniyle karşılanamaması durumunu makul mazeret olarak kabul etmektedir. Ancak makul mazeretin kabul edilmesi için, kurallara uyum sağlama hususunda makul bir çaba gösterildiği kanıtlanmalıdır. İhlalin ciddiyetinin tespitinde önemli bir unsur da ihlalin kasıtlı mı yoksa ihmal sonucu mu gerçekleştirildiğidir. Veri sorumlusunun veya veri işleyenin, davranışının kural ihlalini teşkil ettiğini bildiği halde bu davranışına devam etmesi, ihlalin bilinen riskini kasıtlı olarak göz ardı etmesi veya üst yönetimin hukuka aykırı işlemeye izin vermesi gibi davranış biçimleri kasta örnek oluşturmaktadır. Bir ihlalin ihmal sonucu gerçekleşmesi ise veri sorumlusunun veya veri işleyenin gerekli özeni göstermediği durumlarda gerçekleşmektedir. Veri koruma yasalarına uyum sağlamaya yönelik politikaların benimsenmemesi, mevcut veri koruma politikalarını okumama ve bunlara uymama, yeterli eğitimin alınmaması, yayınlanan bilgilerdeki kişisel verileri kontrol etmeme, teknik güncellemelerin zamanında yapılmaması gibi davranış biçimleri genellikle ihmalin varlığını göstermektedir. Ciddiyet değerlendirmesi açısından önemli bir diğer unsur da ihlalden etkilenen kişisel veri kategorileridir. Bazı kişisel veri kategorileri hassas nitelikleri gereği daha fazla korunmaya muhtaç olabilmektedir. ICO, bu tür verilerin işlendiği ihlalleri daha ciddi olarak değerlendirme eğiliminde olabilecektir. Yüksek ciddiyet derecesine sahip ihlaller için yüzde aralığının, orta ve düşük ciddiyet arz eden ihlallere oranla daha geniş olduğu görülmektedir. İhlalin ciddi olduğuna kanaat getirilmesi halinde ICO’nun ilgili kategori için daha yüksek bir başlangıç noktası tayin edebileceği açıktır. Bir işletmenin toplam yıllık cirosunun 435 milyon sterlinin üzerinde olması durumunda ise, başlangıç noktası yıllık ciro üzerinden hesaplanmaktadır. ICO’nun başlangıç noktalarını, standart azami tutara ve yüksek azami tutara nasıl uygulayacağı aşağıdaki Tablo 5’de gösterilmiştir. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 189 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Tablo 5: İdari Para Cezası Üst Sınır Düşük Ciddiyet Orta Ciddiyet Yüksek Ciddiyet Arz Eden İhlaller Arz Eden İhlaller Arz Eden İhlaller Sabit Tutar Ciro Esaslı Sabit Tutar Ciro Esaslı Sabit Tutar Ciro Esaslı Tutar Tutar Tutar Standart 870.000 Cironun 870.000 ila Cironun 1.74 milyon Cironun Azami Sterline %2’ne 1,74 milyon %2 ila İle 8,7 milyon %4 ila Tutar kadar kadar %4’ü %2’si sterlin sterlin Yüksek 1.75 milyon Cironun 1.75 milyon Cironun 3,5 milyon Cironun İla 3,5 milyon %8 ila Azami Sterline %4’üne %4 ila İle 17,5 milyon %4’ü sterlin Tutar kadar kadar %8’i sterlin Söz konusu azami tutarlar mikro işletmelerden çok uluslu şirketlere kadar tüm işletmeler için geçerlidir. Adım 2: Cironun hesaplanması. Başlangıç miktarının hesaplanabilmesi için ihlalin ciddiyeti yukarıda açıklandığı şekilde belirlendikten sonra ciro hesaplama aşamasına geçilmektedir. ICO’ya göre ciro, katma değer vergileri düşüldükten sonra mal ve hizmetlerin sağlanmasından elde edilen toplam tutarı ifade etmektedir. Ciro hesaplamasında, işletmenin bir önceki mali yıldaki toplam yıllık cirosu dikkate alınmaktadır. ICO Para Cezası Hesaplama Kılavuzunda, ciro hesaplamasının nasıl yapılacağı bir tablo üzerinden açıklanmaktadır. Tablo 6: Ciro Hesaplaması İşletmenin Yıllık Cirosu Dikkate Alınacak Aralık 2 milyon sterline kadar %0,2 ile %0,4 arasında 2 ila 10 milyon sterlin arasında %0,4 ile %2 arasında 10 ila 50 milyon sterlin arasında %2 ile %10 arasında İşletmenin Yıllık Cirosu Dikkate Alınacak Aralık 50 ila 100 milyon sterlin arasında %10 ile %20 arasında 100 ila 250 milyon sterlin arasında %20 ile %50 arasında 250 milyon sterlin ile 435 milyon sterlin (veya yüksek azami tutar için 437.5 sterlin) arasında %50 ile %100 arasında 190 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Adım 3: Başlangıç miktarının hesaplanması. İhlalin ciddiyeti ve ciro hesaplamalarından sonra para cezasının başlangıç noktası belirli formüller ile hesaplanmaktadır. Standart azami tutarın sabit bir miktar olduğu durumlarda, ceza miktarı şu şekilde hesaplanır: “Standart azami tutar x İhlalin ciddiyeti x Ciro” Cironun esas alındığı durumlarda ise ceza miktarı şu şekilde hesaplanır: “Ciro x Standart azami tutar yüzdesi x İhlalin ciddiyeti” Kılavuz formülleri örnekler üzerinden şu şekilde açıklamaktadır: Bir işletmenin orta derecede ciddiyet seviyesinde bir ihlal gerçekleştirdiği kabul edilmektedir. Orta derecede ciddiyet seviyesindeki ihlaller için başlangıç noktası, yasal azami oranın %10 ila %20’si arasında belirlenmektedir. ICO ise bu oranı %16’sı olarak belirlemiştir. Ayrıca ihlal ikinci kademede kabul edilen ihlal türlerinden birine dahildir. Bu nedenle yüksek azami tutar oranları olan 17,5 milyon sterlin veya cironun %4 oranı uygulanacaktır. Dolayısıyla, 17,5 milyon sterlin’in %16’sı olan 2,8 milyon sterlin ya da ciro bazlı tutar dikkate alınacaksa %0,64’ü oranında hesaplanan tutar ihlalin ciddiyetini ifade edecektir. İşletmenin cirosunun 30 milyon sterlin olduğu varsayılmaktadır. Bu nedenle ICO, Adım 2’de işletmenin büyüklüğünü dikkate alarak bir ciro hesabı yapacaktır. Adım 2’de yer alan tabloya göre (tablo 6) cirosu 10 milyon sterlin ile 50 milyon sterlin arasında olan orta ölçekli bir işletme için ciro hesabı, Adım 1’de belirlenen ciddiyet seviyesinin %2 ila %10’u arasında değişmektedir. ICO, olayın koşullarını dikkate alarak, %5’lik bir oranın uygun olduğuna karar vermektedir. Bu durumda yukarıda hesaplanan 2,8 milyon sterlin’in %5’lik tutarı dikkate alındığında, ciro hesaplaması sonucu ortaya çıkan meblağ 140.000 sterlin tutarında olacaktır. Ciddiyet derecesi olan %16’nın ve elde edilen %5’lik değerlerin çarpılması sonucu, 140.000 sterlin tutarında bir para cezasına ulaşılmaktadır. Adım 4: Ağırlaştırıcı ve hafifletici faktörlerin dikkate alınması. Üçüncü aşamada esasen, para cezası için bir miktar belirlenmiş olmaktadır. Ancak somut vakıada ortaya çıkan çeşitli faktörler, cezanın miktarında bir artışa veya azalmaya neden olabilmektedir. ICO, mevcut duruma bağlı olarak, ağırlaştırıcı veya hafifletici faktörleri göz önünde bulundurarak para cezasını artırabilmekte veya azaltabilmektedir. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 191 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Bunlardan ilki, ilgili kişilerin uğradıkları zararı azaltmak için veri sorumlusu veya veri işleyen tarafından alınan önlemlerdir. İhlalin zararlı etkilerini hafifletmek için etkili adımlar atılması önemlidir. ICO, bu tür önlemlerin alınmış olmasını bir indirim sebebi olarak değerlendirebilmektedir. ICO, veri sorumlusunun veya veri işleyenin veri koruma ilkelerine uymaktan ve gerekli teknik ve idari tedbirleri uygulamaktan sorumlu olduğunu göz önünde bulundurmaktadır. Veri işleyenlerin de veri güvenliği ile ilgili yükümlülükleri bulunmaktadır. Bu kapsamda riskleri değerlendirmek ve azaltmak için gerekli önlemlerin alınması beklenmektedir. Bu sorumluluğun tespitinde, işletmenin büyüklüğü ve kaynakları dikkate alınarak bir değerlendirme yapılmaktadır. Bu, genellikle cezayı ağırlaştıran bir faktör olarak karşımıza çıkmaktadır. Alınan teknik ve idari tedbirlerin indirime neden olabilmesi için, veri sorumlusunun veya veri işleyenin yasa kapsamındaki yükümlülüklerinin ötesine geçtiğini göstermesi gerekmektedir. Başka bir ağırlaştırıcı etken de veri sorumlusunun geçmişteki ihlalleridir. Özellikle bu ihlallerin benzer bir konuyu ihtiva etmesi veya yakın zamanda meydana gelmiş olması, cezanın artmasına neden olabilmektedir. ICO, veri ihlallerinin etkilerini gidermek ve bu etkileri azaltmak amacıyla yapılan iş birliğini değerlendirme unsurları arasında görmektedir. Ancak, yasal yükümlülüklerin yerine getirilmesi durumunda bu iş birliği hafifletici bir etken olarak kabul edilmemektedir. Ayrıca, ihlalin ICO tarafından nasıl öğrenildiği de önemli bir değerlendirme kriteridir. Veri sorumlusunun kendi inisiyatifiyle ihlali bildirmesi hafifletici bir faktör olabilmekte ise de yasal bildirim yükümlülüklerinin yerine getirilmesi kapsamında yapılan bildirimler dikkate alınmamaktadır. ICO, daha önce aynı konuda verilmiş talimat ve tedbir kararlarına uyulup uyulmadığını da değerlendirmektedir. Bu kararların yerine getirilmemesi, ağırlaştırıcı bir etken olarak kabul edilmektedir. Onaylanmış davranış kurallarına veya sertifikasyon mekanizmalarına uyum da bir diğer etken olarak karşımıza çıkmakta ve dikkate alınmaktadır. Bu kurallara ve mekanizmalara uyulmaması cezayı ağırlaştıracaktır. ICO, ihlalden elde edilen mali faydalar gibi diğer ağırlaştırıcı veya hafifletici etkenleri de değerlendirmektedir. Özellikle siber güvenlik konularıyla ilgili 192 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI olarak başka düzenleyici kurumlarla birlikte çalışan ICO, bir veri sorumlusunun veya veri işleyenin başka organlarla olan ilişkisini ve iş birliğini hafifletici bir etken olarak değerlendirebilmektedir. Adım 5: Para cezasının etkili, orantılı ve caydırıcı olup olmadığının değerlendirilmesi. Son olarak kılavuzda; para cezasının etkili, orantılı ve caydırıcı olması gerektiği vurgulanmaktadır. Bu aşamada ICO, cezanın etkili, caydırıcı ve orantılı olup olmadığını değerlendirmektedir. Ayrıca tüm adımlar tamamlandıktan sonra, nihai ceza miktarının azami tutarları aşmaması da sağlanmalıdır. Etkili bir para cezası, veri koruma mevzuatına uygunluğu sağlama ve ihlal için uygun bir yaptırım uygulama anlamına gelmektedir. Para cezasının orantılı olup olmadığını değerlendirirken ise ICO, benzer konularda yürütülmüş incelemelerde belirlenen ceza tutarlarını dikkate almaktadır. Ancak, ICO önceki kararlarla bağlı değildir. Her bir incelemenin kendine özgü koşullarını göz önünde bulundurarak, etkili bir caydırıcılık sağlamak amacıyla, gelecekteki kararlarında önceki cezalardan daha yüksek para cezaları uygulayabilmektedir. Para cezalarının caydırıcı olmasının amacı ise, veri koruma mevzuatına uyumu teşvik etmektir. Bu bağlamda caydırıcılığın iki yönü vardır. İlk olarak; para cezasının, ihlalde bulunan veri sorumlusunu veya veri işleyeni aynı hatayı tekrar yapmaktan alıkoyması temin edilmelidir. İkincisi; cezaların gelecekte diğer kişileri de aynı ihlali yapmaktan caydırması hedeflenmektedir. Caydırıcılık sağlamak amacıyla, ICO, veri sorumlusunun veya veri işleyenin işletmesinin büyüklüğünü ve mali durumunu göz önünde bulundurarak, Adım 4’ten sonra belirlenen para cezası tutarını artırabilmektedir. Para cezasının toplam tutarı, ilgili yasalarda öngörülen azami sınırları aşmamalıdır. Bu nedenle, ICO, yasal sınırların aşılmamasını temin etmek amacıyla ceza miktarını azaltabilmektedir. İstisnai durumlarda ICO, veri sorumlusunun veya veri işleyenin mali durumu nedeniyle ödeme kabiliyetinde olmadığına kanaat getirirse, ceza miktarını azaltabilmektedir. ICO, bu yetkisini yalnızca, para cezasının bir kuruluşu ekonomik açıdan geri dönüşü olmayan şekilde tehlikeye sokacağı durumlarda kullanmaktadır. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 193 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı ICO’nun henüz yeni sayılabilecek söz konusu kılavuzun, EDPB’nin yaklaşımına oldukça paralel şekilde düzenlendiği dikkat çekmekle birlikte, Birleşik Krallık nezdinde olumlu bir şekilde değerlendirilmiştir. KALİFORNİYA Amerika Birleşik Devletleri’nde (ABD), kişisel verilerin korunması konusunda merkezi tek bir düzenleme bulunmamakta, eyalet düzeyindeki yasalar ile kişisel verilerin korunması rejimi düzenlenmektedir. ABD’de veri koruma hukuku kapsamındaki düzenlemeleri ile dikkat çeken eyaletlerden biri de Kaliforniya’dır. Kaliforniya’da veri koruma alanında iki temel düzenleme bulunmaktadır. Bunlardan ilki 2018 yılında Kaliforniya Eyalet Meclisi tarafından kabul edilen ve 2020 yılında yürürlüğe giren, temel tüketici haklarını düzenleyen, kısaca CCPA olarak adlandırılan “California Consumer Privacy Act” ’dır. İkincisi ise ilk yasayı genişleten ve 2023 yılında yürürlüğe giren, kısa adıyla CPRA olarak bilinen “California Privacy Rights Act”’dır.8 Öte yandan Kaliforniya, 2004 yılında Kaliforniya Çevrimiçi Gizliliği Koruma Yasası’nı (CalOPPA) kabul etmiştir.9 Bu yasa ile Kaliforniya, veri koruma alanında özel bir düzenleme yapan ilk ABD eyaleti olmuştur. Kaliforniya Gizlilik Koruma Ajansı (California Privacy Protection Agency – CPPA) adı verilen bağımsız bir veri koruma otoritesi kurulması da ilk defa CPRA ile öngörülmüştür. Kaliforniya, dünyanın önde gelen ve büyük miktarlarda kişisel veri işleyen teknoloji şirketlerinin merkezi konumundadır. Bu durum, Kaliforniya’nın CCPA ve CPRA ile önemli adımlar atmasına neden olmuş ve diğer eyaletler için bir model teşkil etmiştir. CCPA ve CPRA düzenlemeleri, Kaliforniya’da faaliyet gösteren ve Kaliforniya’da bulunanların verilerini işleyen belli kriterleri haiz (örn. bir önceki takvim yılında 25 milyon doların üzerinde yıllık gelir elde eden) tüm şirketleri etkilemektedir. Bu nedenle veri koruma konusundaki düzenlemeler yalnızca eyalet sınırları içerisinde kalmamakta, küresel ölçekte de büyük bir etkiye sahip olmaktadır. 8  “CCPA ve CRPA Yasa Metinleri” https://cppa.ca.gov/regulations/pdf/cppa_act.pdf. 9  “CalOPPA Yasa Metni”, https://leginfo.legislature.ca.gov/faces/codes_displayText. xhtml?lawCode=BPC&division=8.&title=&part=&chapter=22.&article=. 194 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Ccpa ile Cpra Hükümlerinin İhlali Halinde Uygulanacak Yaptırımlar CCPA ile CPRA hükümlerinin ihlali halinde şirketler ağır yaptırımlarla karşı karşıya kalabilmelerinin yanı sıra şirketler hem otoritenin hem de hakları ihlal edilen tüketicilerin tazminat talepli davaları ile karşı karşıya kalabilmektedirler. Bu kapsamda tüketiciler, her fiili zarar için tüketici başına 100 ABD dolarından az ve 750 ABD dolarından fazla olmamak üzere yasal zararlarını tazmin edebileceklerdir. CCPA’nın “İdari Yaptırım” başlıklı 1798.155 bölümünde; CCPA’nın hükümlerini ihlal eden işletmelerin, hizmet sağlayıcılarının veya gerçek kişilerin her bir ihlal için iki bin beş yüz dolardan (2.500 $) veya her kasıtlı ihlal veya reşit olmayan tüketicilerin kişisel verilerini içeren ihlaller için yedi bin beş yüz dolardan (7.500 $) fazla olmamak şartıyla idari para cezasına tabi olacağı belirtilmiştir. Bu kapsamda bir işletmenin CCPA kapsamında sorumluluğu bulunduğu tespit edilirse, • Kasıtlı ihlaller için 7.500 ABD dolarına kadar, • Diğer ihlal için, her bir ihlal için 2.500 ABD dolarına kadar para cezasıyla karşı karşıya kalabileceği görülmektedir. Her ne kadar cezanın üst sınırı, Avrupa Birliği’ndeki cezalara kıyasla daha küçük meblağlar içeriyor gibi görünse de söz konusu üst sınır her bir ihlal için uygulanmaktadır. Dolayısıyla ihlal sayısı artıkça, toplam ceza miktarı da artış gösterecektir. 2012 yılında gerçekleşen bir olayda; incelemeyi yürüten Başsavcı, Delta Airlines’a Gizlilik Politikasını mobil uygulamaları aracılığıyla erişilebilir hale getirmemek suretiyle Kaliforniya Çevrimiçi Gizliliği Koruma Yasasını ihlal ettiği iddiasıyla bildirimde bulunmuştur. Bu kapsamda Başsavcı, tüketiciler tarafından Delta uygulaması her indirildiğinde bunu bir ihlal olarak değerlendirmiştir. Her ne kadar dava düşmüş olsa da; ihlal başına 2.500 dolar ceza uygulaması, ceza miktarının ne kadar yüksek meblağlara ulaşabileceğini gözler önüne sermiştir. Nitekim, 100 bin kişinin uygulamayı indirmiş olması durumunda, ihlal başına 2.500 dolarlık ceza hesaplaması ile, toplam cezanın 250 milyon dolara kadar çıkabileceği ortaya konulmuştur. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 195 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı CPRA kapsamında ihlalin sayısının ceza miktarında temel unsur teşkil ettiği dikkat çekmektedir. Kaliforniya veri koruma hukuku uygulamasında bir kişisel veri işleme faaliyetinde birden fazla tüketicinin bulunduğu olaylarda tüketici sayısı kadar ihlal sayısının bulunduğu kabul edilmektedir. Diğer yandan kasıtlı ihlallerde ise ihlal başına 7.500 dolara kadar para cezası uygulanacağı ifade edilmektedir. CPRA, küçüklerin kişisel verilerinin korunmasına da ayrı bir önem atfetmektedir. Bu kapsamda; 16 yaşın altındaki küçükleri içeren ihlaller için de para cezası miktarı, ihlal başına 7.500 dolardan hesaplanmaktadır. BREZİLYA Brezilya’da, kişisel verilerin elde edilmesini ve işlenmesini düzenleyen ve Avrupa Birliği Genel Veri Koruma Tüzüğü’ne büyük ölçüde benzerlik gösteren “Lei Geral de Proteção de Dados” (LGPD) Veri Koruma Yasası 16 Ağustos 2020 tarihinde yürürlüğe girmiştir. LGPD’nin Brezilya genelinde uygulanmasını denetleyen ve yaptırım uygulama yetkisine sahip ulusal veri koruma otoritesi ise Autoridade Nacional de Proteção de Dados (ANPD) olarak belirlenmiştir. “Ulusal Otorite’nin İdari Yaptırımları” başlıklı LGPD’nin 52’nci maddesinde; kanunda öngörülen kurallara aykırılık ve ihlalin tespiti halinde veri sorumluları ve veri işleyenler aleyhine ulusal otorite tarafından uygulanabilecek yaptırımlar, tedbirler ve idari para cezaları olarak ikiye ayrılmaktadır. İdari tedbirler; düzeltici önlemlerin alınması için uyarı, ihlalin ilanı, ihlalle ilişkili kişisel veriler eski hale getirilene kadar kişisel verilere erişimin engellenmesi, kişisel verilerin imha edilmesi, ihlalin ilgili olduğu veri tabanının çalışmasının kısmen askıya alınması, veri işleme faaliyetinin durdurulması, veri işleme faaliyetinin kısmen veya tamamen yasaklanması şeklinde düzenlenmiştir. Para cezaları bakımından ise iki farklı usul öngörülmüştür: Bunlardan birincisi işletmenin gelirlerinin %2’sine kadar para cezası olup diğeri ise günlük para cezasıdır. 24 Şubat 2023 tarihli ve CD/ANPD No. 4 Kararı ile İdari Yaptırımların Hesaplanmasına ve Uygulanmasına İlişkin Yönetmelik onaylanmış olup kamuoyunun görüşüne sunulması akabinde nihai versiyonu 27 Şubat 2023 tarihinde Federal Resmî Gazete’de yayınlanmıştır.10 10  “ANPD Kurulu’nun 24 Şubat 2023 tarihli ve CD/ANPD No. 4 Kararı”, https://www.gov.br/anpd/pt-br/ assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf/view. 196 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Yönetmelik, LGPD’nin 52’nci ve 53’üncü maddeleri uyarınca; ANPD tarafından idari yaptırımların uygulanmasına ilişkin parametre ve kriterleri belirlemektedir.11 Yaptırımlar, veri sorumlusu yahut veri işleyen aleyhine idari işlem süreçleri tamamlandıktan ve ANPD tarafından gerekçeli bir karar verildikten sonra uygulanabilmektedir. Öte taraftan yaptırımların somut olayın niteliğine göre kademeli, kümülatif yahut ayrı ayrı uygulanabileceği belirtilmektedir. İdari Para Cezasının Miktarını Belirleme Ölçütleri İdari Yaptırımların Hesaplanması ve Uygulanmasına İlişkin Yönetmeliğin 7’nci maddesinde yaptırımın belirlenmesinde hangi kriterlerin dikkate alınacağı belirtilmektedir. Buna göre; I – İhlalin ağırlığı, niteliği ile etkilenen kişisel haklar; II – Veri sorumlusunun kötü niyetinin varlığı; III – Veri sorumlusunun kazanımları veya sağlamayı amaçladığı avantajlar; IV – Veri sorumlusunun ekonomik durumu; V – Daha önce aynı fiilin gerçekleşmiş olması; VI – Devam eden bir tekerrürün varlığı; VII –Sebep olunan zararın derecesi; VIII –İş birliği; IX – Kişisel verilerin LGPD’ye uygun olarak güvenli bir şekilde işlenmesi için idari ve teknik tedbirlerin devamlı ve ispata elverişli biçimde alınmış olması; X – İyi uygulamaların ve idari politikaların benimsenmesi; XI – Düzeltici önlemlerin derhal alınması; XII - Kusurun ciddiyetinin yaptırımın ağırlığı ile orantılı olup olmadığı dikkate alınacaktır. 11  “LGPD’nin 52’inci ve 53’üncü maddeleri”, https://lgpd-brazil.info/chapter_08/article_52, https://lgpd- brazil.info/chapter_08/article_53. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 197 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Ceza miktarının tayininde öncelikle ANPD tarafından ihlalin ağırlığı, niteliği ve etkilenen kişisel veriler hafif, orta veya ciddi olarak sınıflandırılacaktır. Düzenlemeye göre ihlalin ciddi sayılacağı durumlar şunlardır: a. Veri hacmi ve gerçekleştirilen veri işlemenin süresi, sıklığı ve coğrafi kapsamı da dikkate alındığında, önemli sayıda kişinin kapsama dahil olduğu büyük ölçekli veri işleme faaliyetleri b. Veri işleme sonucunda ekonomik bir avantaj elde edilmesi veya elde etme saikiyle hareket etmesi c. İhlalin ilgili kişinin yaşamını riske atması d. İhlalin hassas verilerin veya çocukların, gençlerin veya yaşlıların kişisel verilerinin işlenmesini içermesi e. Kişisel verilerin LGPD’de öngörülen yasal dayanaklardan birine dayanmaksızın işlemesi f. Yasa dışı veri işlenmesi, istismara veya ayrımcılığa sebebiyet verecek şekilde veri işlenmesi g. Usulsüz uygulamaların sistematik olarak benimsemesi ile denetimlerin yapılmasına engel olunması halinde ihlal ciddi olarak nitelendirilecektir. Orta ölçekli veri ihlalleri ise ihlalin ilgili kişilerin temel haklarını ve çıkarlarını önemli ölçüde etkileyebildiği durumlardır. İlgili kişilerin haklarını kullanamaması veya ihlalin ilgili kişiye maddi veya manevi zarar vermesi, orta ölçekli ihlallere örnek oluşturabilmektedir. Ayrıca buna ayrımcılık, fiziksel tehdit, ilgili kişinin şeref ve itibarına yönelik risk, dolandırıcılık ve kimlik hırsızlığı da dahildir. Yukarıda belirlenen sınıflandırmaya girmeyen ihlaller ise hafif ihlal olarak nitelendirilecektir. İhlalin sınıflandırılması akabinde izlenecek adımlar yaptırımın türüne göre farklılık göstermektedir. Yönetmelik kapsamında ANPD tarafından uygulanabilecek idari yaptırımların her biri için kriterler ayrıca belirlenmiştir. Para cezasını hesaplama metodolojisi dört (4) adıma ayrılmıştır. 198 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Adım 1 – Temel oranın belirlenmesi; Adım 2 – Cezanın esas değerinin belirlenmesi; Adım 3 – Ceza miktarının belirlenmesi; Adım 4 – Minimum ve maksimum ceza limitlerinin dahil edilmesi. Adım 1: Birinci adım, temel oranının diğer bir adıyla taban olarak nitelendirilen oranın belirlenmesidir. Cezanın hesaplanmasına yönelik taban oran hafif, orta ve ciddi ihlallerde aşağıdaki tabloya (tablo 7) göre hesaplanmaktadır. Hesaplamada yaptırımın muhatabının yaptırımın uygulanmasından önceki mali yıldaki cirosu dikkate alınacaktır. Tablo 7: Temel ceza değerinin tanımlanmasına ilişkin minimum (A1) ve maksimum (A2) oranları Kategori A1 Gelirin Yüzdesi 0.08% A2 Hafif 0.13% Orta 0.45% 0.15% Ciddi 0.50% 1.50% Bunu müteakip zarar derecesi aşağıda Tablo 8’de gösterildiği gibi 0’dan 3’e kadar bir ölçek kullanılarak belirlenir. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 199 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Tablo 8: Zarar Derecesi Değerleri Değer Zarar Derecesi İhlalin, vakanın olağanüstü koşulları göz önüne alındığında, etkilenen kişiler üzerinde geri döndürülemez veya geri döndürülmesi zor maddi veya manevi bir etkiye sahip olması; ayrımcılığa sebep olması; fiziksel bütünlüğü ya da itibarı zedelemesi; 3 dolandırıcılığa veya kimliğin kötüye kullanılmasına neden olması; bireysel hak veya menfaatlere zarar vermesi veya suç oluşturması ya da maddi gerçeklerin değiştirilmesi, sürecin yasadışı bir amaca ulaşmak için kullanılması, sürecin ilerlemesine haksız direnç gösterilmesi veya ANPD’nin icraatının engellenmesi gibi kötü niyetli davalardan kaynaklanan zarara sebep olması. İhlal; 0, 1 veya 3 dereceli zarar kriterlerine uymayan, ilgili kişiler üzerinde maddi veya manevi etkiler oluşturan, hak ve 2 menfaatlere zarar veren ya da saldırıda bulunan veya bilgi ve belge sunulmamasından, denetim veya idari yaptırım süreçlerini veya üçüncü tarafları doğrudan engelleyen davranışlardan kaynaklanan zararlar. İhlalin az sayıda kişinin hak veya menfaatlerine zarar veren, maddi veya manevi etkisi sınırlı olan, nispeten kolay bir şekilde 1 telafi edilebilen zararlar veya bilgi ve belgelerin ANPD tarafından belirlenen süreler ve koşullar dışında gönderilmesinden kaynaklanan zararlar. İhlalin zarara yol açmaması veya öngörülebilir ya da olağan 0 durumlardan kaynaklanan ve tazmini gerekmeyen önemsiz zarara yol açması. Zarar derecesi de belirlendikten sonra, para cezaları için minimum ve maksimum oran aralığı dikkate alınarak temel oran hesaplanmaktadır. Adım 1’ı oluşturan formül kısaca şu şekilde ifade edilmiştir: ABase = ((A2-A1)/ 3) x GD + A1 Buradaki ifadelerin anlamları ise şu şekildedir: A2 = ihlalin kategorisine bağlı olarak maksimum oran; 200 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI A1 = ihlalin kategorisine bağlı olarak minimum oran; GD = ihlalin neden olduğu zararın derecesi Abase = baz oran. Adım 2: Bu aşama esas oranın (VBase) belirlendiği aşamadır. Cezanın esas oranı temel oranın vergiler hariç brüt gelirle çarpılmasıyla hesaplanır. Bu adımdaki formül ise “ VBase= ABase x (Gelir – Vergiler)” olarak belirlenmiştir. Formüldeki VBase, esas oranı; ABase, baz oranı belirtmektedir. Gelir olarak ifade edilen kalem ise yaptırımın muhatabının gelirini ifade etmektedir. Adım 3: Bu adımda ağırlaştırıcı ve hafifletici sebepler temel ceza miktarına uygulanmaktadır. Adım 3 olarak ifade edilen bu aşamada para cezasının formülü ortaya çıkmaktadır. Buna göre; “Ceza Miktarı = Cezanın esas değeri x (1 + ağırlaştırıcı nedenlerin ondalık biçimde yüzdelerinin toplamı - hafifletici nedenlerin ondalık biçimde yüzdelerinin toplamı)” olarak belirlenmiştir. ANPD’nin ilgili yönetmeliğinde ağırlaştırıcı ve hafifletici nedenlerin neler olduğu ve cezayı hangi oranda etkileyeceği de belirlenmiştir. Yönetmeliğin 12’nci maddesine göre para cezasının miktarı; aşağıdaki durumlarda aşağıdaki yüzdeler oranına kadar artırılır: I - Her bir tekerrür için yüzde %10 (yüzde %40’ını aşamaz) II - Devam eden her bir tekerrür için yüzde %5 (yüzde %20’sini aşamaz) III Denetim sürecinde veya idari yaptırım sürecinden önceki hazırlık prosedüründe uyulmayan her bir yönlendirici ve önleyici tedbir için yüzde %20 (yüzde %80’ini aşamaz) IV - Uyulmayan her bir düzeltici önlem için yüzde %30 (yüzde %90’ı aşamaz), Maddede yer alan unsurlardan birden fazlasının gerçekleşmesi halinde, her bir unsura ilişkin yüzdeler toplanacaktır. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 201 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Hafifletici nedenler ise bir sonraki madde olan 13’üncü maddede düzenlenmiştir. Söz konusu hafifletici koşulların geçerli olması halinde, para cezasının miktarı belirtilen yüzdeler oranında azaltılır. I - İhlalin sona ermesi halinde: a) ANPD hazırlık işlemlerini başlatmadan önce ihlal sona erdirilmişse, yüzde yetmiş beş (%75); b) Hazırlık işlemlerinin başlatılmasından sonra ancak idari yaptırım işleminin başlatılmasından önce ihlal sona erdirilmişse, yüzde elli (%50); c) İdari işlem süreci başlatıldıktan ancak karar verilmeden önce ihlal sona erdirilmişse, yüzde otuz (%30) oranında indirim uygulanmaktadır. II - Kararın verilmesinden önceki süreçlerde; iyi uygulamaların ve idari politikaların hayata geçirilmesi veya verilerin güvenli bir şekilde işlenmesine ve ilgili kişilerin zarar görmesinin en aza indirilmesine yönelik iç mekanizmaların ve prosedürlerin yürütüldüğünün temin edilmesi halinde, yüzde yirmi (%20) oranında indirim uygulanmaktadır. III – Yaptırımın muhatabının, ihlalden etkilenen kişiler üzerindeki zararın etkilerinin telafisine veya etkilerinin azaltılmasına yönelik önlemleri uyguladığını kanıtladığı durumlarda: a. ANPD’nin hazırlık işlemlerinin veya idari yaptırım prosedürünün başlatılmasından önce ise yüzde yirmi (%20) veya b. Hazırlık işlemlerinin başlatılmasından sonra ve idari yaptırım işleminin başlatılmasından önce ise yüzde on (%10) ve IV – Yaptırımın muhatabının iş birliği veya iyi niyet gösterdiği durumlarda yüzde beş (%5) oranlarında indirim uygulanmaktadır. Maddede yer alan unsurlardan birden fazlasının gerçekleşmesi halinde, her bir unsura ilişkin yüzdeler ağırlaştırıcı sebeplerde olduğu gibi toplanarak uygulanacaktır. Öte taraftan yaptırımın muhatabının, mezkûr maddede öngörülen gerekliliklere uyduğunu kanıtlamakla yükümlü olduğu da açıkça hükme bağlanmıştır. 202 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Adım 4: Yukarıdaki adımlar sonucunda ortaya çıkan meblağ, veri sorumluları yahut veri işleyenler aleyhine hükmedilecek para cezasını ortaya koymaktadır. Ancak bu para cezası rejimi yanında, Yönetmelik ayrıca alt ve üst sınırları da dahil etmektedir. Buna göre; I – İdari yaptırımların uygulanmasında, muhatabın elde ettiği veya elde etmeyi öngördüğü kazancın tahmin edilebildiği haller hariç olmak üzere, idari para cezasının miktarı Tablo 9’da yer alan değerlerden daha az olamaz. Ancak idari yaptırımın muhatabı tarafından bir ekonomik kazanç elde edildiyse bu durumda para cezasının miktarı elde edilen ekonomik kazancın iki katına eşit bir değerde uygulanacaktır. II – Brezilya’daki özel tüzel kişilikler veya şirketler için üst sınır; idari para cezaları, vergiler hariç son mali yıldaki cirosunun yüzde ikisi (%2) veya elli milyon Brezilya Reali (50.000.000,00 BRL) olarak dikkate alınacaktır. Tablo 9: Para Cezasının Asgari Değerleri SINIFLANDIRMA DEĞER (Brezilya Reali Cinsiden) Hafif 3,000.00 BRL (Gerçek kişiler ve kayıtlı geliri olmayan Orta tüzel kişiler için 1,000.00 BRL) Ciddi 6,000.00 BRL (Gerçek kişiler ve kayıtlı geliri olmayan tüzel kişiler için 2,000.00 BRL) 12,000.00 BRL (Gerçek kişiler ve kayıtlı geliri olmayan tüzel kişiler için 4,000.00 BRL) ÇİN HALK CUMHURİYETİ Çin Halk Cumhuriyeti’nde 20 Ağustos 2021 tarihinde yürürlüğe giren Kişisel Bilgilerin Korunması Yasası (PIPL) dikkat çekici bir şekilde, sadece Çin’de kişisel veri işleyen kuruluşlar için değil, Çin dışında vatandaşlarının verilerini işleyen kuruluşlar için de geçerlidir. Ancak, Çin’de veri koruma haklarının anayasal bir statüye sahip olmadığını vurgulamak gerekmektedir. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 203 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Kişisel Bilgileri Koruma Yasası’nın ihlali; idari, hukuki ve cezai sonuçlara yol açmaktadır. Kişisel verilerin PIPL kapsamındaki hükümlere aykırı olarak işlenmesi durumunda veri işleme faaliyetinde bulunanların karşılaşacağı yaptırım türleri PIPL’in 66’ncı maddesinde; uyarı, düzeltme talimatı, yasa dışı kazançlara el koyulması, hizmetin askıya alınması veya sona erdirilmesi ve para cezası olarak düzenlenmiştir. Ayrıca bir veri ihlali karşısında ilgili otoritenin düzeltme talimatı vermiş olması halinde, kararın gereğini yerine getirmeyenler hakkında para cezası uygulanacağı öngörülmektedir.12 PIPL kapsamında Devlet Siber Uzay İdaresi (CAC), denetim ve yönetim çalışmalarını koordine etmekten sorumlu olup, yaptırım hükümlerinin uygulanması da Devlet Siber Uzay İdaresi öncülüğünde, Sanayi ve Bilgi Teknolojileri Bakanlığı, Kamu Güvenliği Bakanlığı, Piyasa Düzenleme Devlet İdaresi gibi birden fazla devlet dairesine ve bunların yerel düzeydeki idarelerine bırakılmıştır. Yaptırımlar, esas itibarıyla veri işleme faaliyetinde bulunanlara uygulanmaktadır. Ancak, PIPL kapsamında, doğrudan sorumlu kişiler ve sorumluluk taşıyan personelin de sorumluluğu söz konusudur. Bu kişiler, 10.000 yuandan az veya 100.000 yuandan fazla olmamak üzere para cezasıyla karşılaşabilmektedir. İhlallerin para cezasının yanı sıra doğurabileceği diğer bazı sonuçlar ise; yönetim görevlilerinin belirli bir süre boyunca ilgili işletmede benzer pozisyonlarda bulunmasının yasaklanması, ihlalin sosyal kredi sistemine kaydedilmesi ile kamuya duyurulmasıdır. Para Cezasının Miktarının Belirlenmesi PIPL’de, iki kademeli yaptırım sistemi öngörülmektedir: Birincisi, ihlaller için uygulanan yaptırımlar; ikincisi ise ağır ihlaller için uygulanan yaptırımlardır. Her iki kategori için de para cezası miktarı üst sınır gösterilmek suretiyle belirlenmiştir. İhlaller için veri işleme faaliyetinde bulunanlara uygulanması öngörülen para cezası miktarı azami 1 milyon yuan ve yönetim görevlilerine 100.000 yuan olacak şekilde belirlenmiştir. Ağır ihlaller için ise para cezası miktarı hangi oranın daha yüksek olduğuna bağlı olarak 50 milyon yuan veya işletmenin bir 12  “PIPL 66’ncı maddesi”, https://personalinformationprotectionlaw.com/PIPL/article-66/. 204 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI önceki yıllık gelirinin %5’idir. Ağır ihlaller kapsamında yönetim görevlileri için tayin edilecek para cezası miktarı ise 100.000 yuandan 1 milyon yuana kadar ulaşabilmektedir. Para cezası miktarını tayin ederken dikkate alınan kriterlerin başında eylemin ciddiyeti gelmektedir. Ağır ihlal kavramı, PIPL ve tamamlayıcı mevzuatta tanımsız bırakılmıştır. Bu durum eleştirilere sebep olmaktadır. PIPL’in Kasım 2021’de yürürlüğe girmesi nedeniyle uygulamaya ilişkin belirsizlikler devam etmekle birlikte, yakın gelecekte daha ayrıntılı ve somut rehberlik sağlayan yönetmelik ve düzenlemelerinin uygulamaya konulacağı öngörülmektedir. PIPL kapsamında bugüne kadar verilmiş en yüksek para cezalarından biri, mobil ulaşım uygulaması Didi aleyhine hükmedilmiş cezadır. Didi’nin tüketicilerin iletişim bilgilerini, konum verilerini ve fotoğraflarını ölçüsüz bir şekilde temin ettiğinin belirlenmesi üzerine CAC tarafından Didi’ye bir uyarı cezası verilmiş, ancak Didi uygulamalarını düzenlemekte yetersiz kalınca CAC’nin başlattığı inceleme neticesinde yasa dışı olarak 64,7 milyar kişisel veri işlediği tespit edilmiş ve bu nedenle yaklaşık 1,18 milyar dolar para cezasına çarptırılmıştır. Bu ceza, Didi’nin 2021 yılında elde ettiği 24,87 milyar dolarlık gelirin yaklaşık %4,4’üne tekabül etmektedir. Ayrıca Yönetim Kurulu Başkanı ve Şirket Başkanına da 1 milyon yuan para cezası verilmiştir. TÜRK VERİ KORUMA HUKUKU Dijital dönüşüm ile kişisel verilerin korunmasına olan ilginin önemli ölçüde artmasıyla birlikte bu dönüşüme uyum sağlamak ve değişen ihtiyaçlara cevap vermek amacıyla Türk hukukunda da 2010 yılında Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20’nci maddesinde yapılan değişiklikle önemli bir adım atılmıştır. Kişisel verilerin korunması anayasal bir hak olarak güvence altına alınmış, bunu müteakiben 7 Nisan 2016’da 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) Resmî Gazete’de yayımlanarak yürürlüğe girmiş ve 2017 yılında Kişisel Verileri Koruma Kurumu faaliyetine başlamıştır. 6698 sayılı Kanun, kişisel verilerin işlenmesini düzenleyerek bireylerin temel hak ve özgürlüklerini ve mahremiyetlerini korumayı hedeflemektedir, aynı zamanda gerçek kişilere ait kişisel verilerin işlenmesi ile ilgili kuralları belirlemektedir. Kanun’un belirli hükümlerine aykırı hareket edenler için idari para cezaları öngörülmektedir. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 205 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı 6698 sayılı Kanun’un “Kabahatler” başlıklı 18’inci maddesinde hangi hallerde idari para cezasına hükmedileceği açıkça hükme bağlanmıştır. Buna göre Kanun’un 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünün yerine getirilmemesi, Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kanun’un 15’inci maddesi uyarınca Kurul tarafından verilen kararların yerine getirilmemesi halleri, Kanun’un 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler ve 6698 sayılı Kanun’da yapılan 02.03.2024 tarihli değişiklikle Kanun’un 9’uncu maddesinin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında yaptırım uygulanması söz konusu olabilmektedir. Kişisel verilerin korunması hukuku çerçevesinde uygulanacak yaptırımların muhatabı gerçek kişi olabileceği gibi tüzel kişi de olabilir. 6698 sayılı Kanun, esas itibarıyla kamu kurum ve kuruluşları da dahil olmak üzere tüm veri sorumluları hakkında uygulanan bir düzenlemedir. Ancak, kamu kurum ve kuruluşları ile kamu tüzel kişilerine karşı uygulanacak yaptırımlar ve düzenlemeler, özel hukuk tüzel kişilerine göre bazı farklılıklar göstermektedir. Buna göre; kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde yükümlülüklerin ihlali halinde, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılmakta ve sonucu Kurula bildirilmektedir. Bazı durumlarda da kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi mümkün olabilmektedir. Bu, veri işleyenin varlığının mevcut olduğu durumlarda ortaya çıkmaktadır. Bu durumda veri sorumluları Kanunda belirtilen tedbirlerin alınması hususunda bu kişilerle (veri işleyenle) birlikte müştereken sorumlu tutulmuştur. Bununla birlikte 12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 34’üncü maddesi 6698 sayılı Kanun’un 9’uncu maddesinde çeşitli değişiklikler öngörmektedir. Bu değişiklik kapsamında veri sorumluları ve veri işleyenlerin yurtdışına aktarım hususunda izleyebileceği yöntemlerden biri de standart sözleşme imzalanması olarak belirlenmiştir. Bu düzenlemeye göre standart sözleşmenin, imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi gerekmektedir. Söz konusu yükümlülüğün veri sorumluları yanında veri işleyenler için de getirilmiş. Bu anlamda, bildirim yükümlülüğünün yerine getirilmemesi halinde veri işleyenler de idari para cezasının muhatabı olabileceklerdir. 206 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Kurum’a intikal eden şikayetlerin birçoğu kişisel verilerin Kanun’un 4, 5, 6, 8 ve 9. maddelerinde belirtilen genel ilke ve veri işlemeye ilişkin şartlara uyulmadan işlenmesinden kaynaklanmaktadır. Bu çerçevede söz konusu ilke ve şartlara uymadığı tespit edilen veri sorumlularının ve veri işleyenlerin işleme faaliyetleri Kanun’un 12’nci maddesinin (a) bendine göre hukuka aykırı veri işleme olarak değerlendirilmektedir. Bu noktada, Kuruma intikal eden ihbar ve şikayetler kapsamında Kanun’un yukarıda belirtilen ilke ve şartlardan birden fazlasının ihlali söz konusu olsa da esasen Kanun’un 12’nci maddesinin 1’inci fıkrasının (a) bendinde tanımlanan tek bir kuralın ihlali söz konusudur. Kurulun uygulamaları da bu doğrultudadır. Bu bağlamda, ihbar ve şikayetler çerçevesinde Kanun’un 12’nci maddesinin ihlalinin farklı eylemler sonucu gerçekleştiği varsayımında genellikle tek bir idari ceza uygulanmakta ve ceza tutarı buna göre hesaplanmaktadır. Ancak, Kanun’un 12’nci maddesinin 5’inci fıkrasına aykırılık durumu bunun istisnasıdır; bu durumda ayrıca bir kanuni yükümlülüğün ihlali söz konusu olduğundan ayrı bir idari para cezasına hükmedilmektedir. 6698 sayılı Kanun’un “Kabahatler” başlıklı 18’inci maddesinin (1) numaralı fıkrasının (b) bendinde veri güvenliğine ilişkin hükümlerin yerine getirilmemesi durumunda 15.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanabileceği hüküm altına alınmıştır.13 Bunun yanında idari para cezalarının her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanunu’nun mükerrer 298’inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılması gerekmektedir.14 Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendinde belirtilen ceza 2025 yılı için en düşük 204.285 TL ve en yüksek 13.620.402 TL olarak güncellenmiştir. 6698 sayılı Kanun’da yer alan idari para cezalarının miktarları alt ve üst sınırları belirlenerek düzenlenmiştir. Türk hukukunda idari para cezaları ile ilgili temel düzenlemeler 01 Haziran 2005 tarihinde yürürlüğe giren 5326 sayılı Kabahatler Kanunu’nda yer almaktadır. İdari yaptırımın miktarı belirlenirken, Kabahatler Kanunu’nun 17’nci maddesinin 2’nci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağı öngörülmüştür.15 13  “6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18’inci maddesi”, https://mevzuat.gov.tr/ mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5. 14 15 “ 53 2 6 s ay ı l ı Ka b a h at l e r Ka n u n u ’ n u n 1 7 ’ i n c i m a d d e s i ” , htt p s : //m evz u at .g ov.t r/ mevzuat?MevzuatNo=5326&MevzuatTur=1&MevzuatTertip=5. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 207 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Kurumumuza intikal eden şikâyet ve ihbarlar kapsamında 6698 sayılı Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendinde düzenlenen Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde veri sorumlusu hakkında uygulanacak idari para cezasının miktarı belirlenirken dayandığı bazı usul ve esaslar bulunmaktadır. 6698 sayılı Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmediği tespit edilen veri sorumlusu hakkında idari para cezası belirlenmesi kabaca dört aşamadan oluşmaktadır. Öncelikle haksızlık içeriği unsurları dikkate alınarak taban idari para cezası belirlenmektedir. Taban idari para cezası belirlenirken ihlale temel teşkil eden yıl dikkate alınmaktadır. Taban idari para cezasının hesaplanmasını müteakip belirlenen ağırlaştırıcı ve hafifletici unsurlar hesaplamaya dahil edilmektedir. Bu hesaplama yapılırken haksızlık içeriği ile ilişkili alt kriterler karşılığında öngörülen katsayı değerleri toplanmaktadır. İkinci adımda, veri sorumlusunun kusuru tespit edilmektedir. Kusur tespitinde kusur unsurunu oluşturan alt kriterler karşılığında öngörülen ilgili katsayı değerleri toplanmakta; mevcut olması halinde indirim unsurları uygulanmaktadır. Üçüncü adımda, veri sorumlusunun ekonomik durumu belirlenmektedir. Veri sorumlusunun ekonomik durumu tespit edilirken “Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelik”in 5’inci maddesinde atıf yapılan mali bilanço ve net satış hasılatı rakamları referans alınmaktadır. Ekonomik duruma ilişkin olarak, Yönetmelik’te öngörülen sınıflandırma dikkate alınarak, veri sorumlusunun ekonomik durumu belli kategorilerde sınıflandırılmaktadır. İşletmelerin söz konusu Yönetmelik hükümlerine göre dâhil oldukları kategori belirlenirken, bir önceki yılın mali bilançosu ve net satış hasılatı dikkate alınmaktadır. Tüm bu tespitlerin yapılmasını müteakip elde edilen değerler toplanmakta, toplam katsayı değeri, incelemeye konu ihlale vücut veren fiilin gerçekleştiği tarihte yıllık yeniden değerleme oranına göre hesaplanmış minimum idari para cezası miktarı ile çarpılarak uygulanacak idari para cezası tutarı hesaplanmaktadır. Kişisel Verileri Koruma Kurulu tarafından hesaplanan idari para cezası tutarının, veri sorumlusunun ekonomik mahvına sebebiyet vereceği kanaatine varılması halinde idari para cezası miktarında indirim yapılabilmektedir. 208 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Haksızlık içeriğinin belirlenirken dikkate alınan unsurlar; • Kişisel Veri Kategorisi • İhlalin Etkilediği İlgili Kişi Grubu • İhlale Konu İşleme Faaliyetinin Etki Alanı • İhlalin Sebep Olduğu Zarar • İhlale Konu İşleme Faaliyetinin Belirli Bir Süre Boyunca Devam Etmesi veya Tekrarlaması • İhlalin yapay zekâ araçları gibi ileri seviye olarak nitelendirilebilecek teknikler vasıtasıyla gerçekleştirilmesi • Bir Hizmetten Yararlanmanın Ön Şartı Olarak Tanımlanması • Kurul Tarafından Alınmış İlke Kararlarına Aykırılık Teşkil Etmesi • İhlale Konu Kişisel Veri İşleme Faaliyeti ile Önemli Derecede Menfaat Sağlanması kriterleridir. Kusur unsurunda ise öncelikle veri sorumlusunun kasıtlı veya taksirli davranışının varlığı tespit edilmektedir. Bu belirlemeden sonra veri sorumlusunun geçmişte de kanuna aykırılığa sebep olması gibi geçmiş davranış biçimleri yahut inceleme sürecinde bilgi ve belge taleplerinin karşılanmaması, gerçeğe aykırı beyanda bulunulması ve/veya yerinde incelemenin engellenmesi gibi mevcut davranışlar dikkate alınmaktadır. Öte yandan veri sorumlusunun yasal yükümlülüklerini yerine getirmesi haricinde Kurumla iş birliğine yönelik davranışlarda bulunması genellikle olumlu bir intiba oluşturmaktadır. Bu kriter değerlendirilirken veri sorumlusunun mevzuattan kaynaklı yükümlülükleri dikkate alınmamaktadır. Bu kriter değerlendirilirken veri sorumlusunun mevzuattan kaynaklı yükümlülükleri dikkate alınmamaktadır. Diğer taraftan teknik ve idari tedbirlerin etkili bir şekilde uygulanması, kişisel verilerin korunmasında ve güvenliğinin sağlanmasında kritik bir rol oynamaktadır. Bu tedbirlerin alınmasına üst derecede özen gösterilmesi somu olayın koşullarına göre bir indirim sebebi oluşturabilmektedir. Ancak bu tedbirlerin sadece varlığı yeterli olmamakta, aynı zamanda etkinliği ve yeterliliği de ortaya konulmalıdır. Veri sorumlusunun kusuru belirlenirken ihlalin inceleme sürecinde sonlandırılmış olması ve veri sorumlusunun ilgili kişilerin zararını gidermeye yönelik faaliyette bulunması da idari para cezasının indirilmesinde önemli bir kriter olarak değerlendirilmektedir. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 209 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı Ekonomik Unsurun Belirlenmesi Veri sorumlusunun ekonomik durumu “Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelik”in 5’inci maddesinde öngörülen sınıflandırma referans alınarak belirlenmektedir. Söz konusu sınıflandırmada veri sorumlusunun net satış hasılatı ve mali bilanço bilgileri esas alınmaktadır. Bu kapsamda, ihlale neden olan veri sorumlusunun bahse konu sınıflandırmada hangi kategoriye dahil olduğu belirlenir. Buna göre, • Yıllık net satış hasılatı veya mali bilançosundan herhangi biri 100 milyon Türk lirasını aşmayan veri sorumluları Kategori I’e, • Yıllık net satış hasılatı veya mali bilançosundan herhangi biri 500 milyon Türk lirasını aşmayan veri sorumluları Kategori II’ye, • Yıllık net satış hasılatı ve mali bilançosu 500 milyon Türk lirasını aşan veri sorumluları Kategori III’e girmektedir. Yıllık net satış hasılatı veya mali bilançosundan herhangi biri 10 milyon Türk lirasını aşmayan veri sorumluları bakımından ekonomik durum, idari para cezası miktarını artırıcı bir unsur olarak dikkate alınmamaktadır. Ayrıca veri sorumlusunun gerçek kişi veya tüzel kişi olması önemli bir kriter olarak kabul edilmektedir. Bununla birlikte, failin ekonomik durumu kapsamında geliri, yıllık cirosu, piyasadaki gücü, malvarlığı ve ekonomik açıdan önem taşıyan diğer koşullar (işletmelerinin sayısı, yaygınlığı, personel sayısı, hitap ettiği kitle, ulusal ve/veya uluslararası çapta faaliyet gösterme vb.) dikkate alınmaktadır. Kişisel Verileri Koruma Kurumu’nun Kurulduğu Günden 2023 Yılına Kadarki Dönem İçerisinde Sonuçlandırılan İhbar ve Şikâyet Dilekçesi Sayısı, İdari Para Cezası Uygulanan Dilekçe Sayısı ile Tahsis Edilen Toplam Para Cezası Miktarı 16 16  “KVKK Faaliyet Raporları”, https://www.kvkk.gov.tr/Icerik/2094/Faaliyet-Raporu. 210 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Tablo 10: KVKK İdari Para Cezası İstatistiği YILLAR Sonuçlandırılan İdari Para Cezası Veri Sorumluları Nezdinde Şikâyet ve İhbarların Tahsis Edilen Uygulanan İdari Para Cezası 2018 Dilekçe Sayısı 2019 Sayısı 8 Miktarı 2020 122 870.000 TL 2021 24 2022 1.852 1.905.000 TL 2023 91 1.818 11.497.000 TL 149 9.849 16.351.000 TL 134 8.481 20.738.000 TL 279 9.711 50.917.000 TL SONUÇ Kişisel verilerin korunması günümüzde insan haklarının korunması açısından oldukça önemli bir hale gelmiştir. Bu alandaki hukuka aykırılıklar, bireylerin mahremiyetini ve özel hayatlarının gizliliğini tehlikeye atmakta, en nihayetinde insan onuruna zarar vermektedir. Bu nedenle kişisel verilerin korunmasına yasaları ve hukuka aykırılıklar durumunda uygulanacak idari para cezaları hem bireylerin haklarını korumak hem de toplumsal düzeni sağlamak amacıyla oldukça önemlidir. İdari para cezalarının hukuki çerçevesi belirli ulusal ve uluslararası düzenlemelere dayanmaktadır. İdari para cezalarının belirlenmesinde izlenen yöntemler ise her ülkenin hukuk sistematiğine bağlı olarak değişkenlik göstermektedir. İdari para cezasının belirlenmesi konusundaki tabloyu incelediğimiz çerçeve içinde oldukça kapsamlı uygulamaların Avrupa Birliği’nde olduğu görülmektedir. Bu kapsamda Avrupa Birliği uygulamaları dikkate alındığında, ekonomik güçle bağlantılı ceza belirleme yöntemlerinin etkinliği ön plana çıkmaktadır. Bu ülkelerde, büyük ve küçük işletmelere uygulanan cezaların farklılık gösterdiği ve bu farklılıkların caydırıcılık açısından kritik rol oynadığı gözlemlenmektedir. Avrupa Birliği uygulamalarında büyük firmalara yönelik tesis edilen yüksek oranlı cezalar, cezaların etkisini artırmakta ve caydırıcılık sağlamaktadır. Ayrıca uygulanan idari para cezaları, işletmelerin tedbirlerini artırmayı da teşvik etmektedir. Yine inceleme konusu yapılan Almanya, Birleşik Krallık ve Brezilya’da da KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 211 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı benzer bir yaklaşım sergilediği ve idari para cezalarının, ekonomik büyüklük ve ihlalin ciddiyetine göre tayin edildiği görülmektedir. Kaliforniya ve Çin incelemelerinde ise, veri koruma yasalarının son yıllarda gelişmekte olduğu ve bu alanda önemli adımlar atıldığı tespit edilmiştir. Ülkemiz açısından konu incelendiğinde ise idari para cezalarının genellikle alt ve üst sınıra dayalı olarak belirlendiği göze çarpmaktadır. Bununla birlikte bazı durumlarda, büyük şirketler için, belirlenen üst sınır, ekonomik güçleri nedeniyle etkisiz kalmakta ve bu durum, caydırıcılık açısından sorunlar yaratabilmektedir. Bu noktada ülkemizin Avrupa Birliği uygulamalarını benimsemesi, adil ve etkili bir ceza sisteminin oluşturulmasında yön gösterici olabilir. Bu çerçevede, ekonomik güce dayalı ceza belirleme yöntemlerinin geliştirilmesi, idari para cezalarının etkinliğini artırmak için önem arz edeceği düşünülmektedir. 212 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI KAYNAKÇA UYKUN, Burcu, “İdari Para Cezaları”, Kabahatler Hukuku Yazıları – II, Editör: Doç. Dr. Zeynel T. Kangal, On İki Levha Yayınları, İstanbul, 2018. DONAY, Süheyl “Para Cezalarını Artıran Yasanın Uygulama Alanı Hakkında Düşünceler”, https://dergipark.org.tr/tr/download/article-file/14639. DÜLGER, Murat Volkan, Kişisel Verilerin Korunması, Hukuk Akademisi, İstanbul, 2019. KÜZECİ, Elif, Kişisel Verilerin Korunması, On İki Levha Yayınları, İstanbul, 2020. KANGAL, Zeynel T., Kabahatler Hukuku, On İki Levha Yayınları, İstanbul, 2019. ALTINDAĞ, Halil, Kişisel Verileri Koruma Kurulu Tarafından Verilen İdari Para Cezaları, Adalet Yayınları, Ankara 2021. GÜÇLÜ, Yaşar, İdari Para Cezaları ve Diğer İdari Yaptırımlar, Seçkin Yayınları, Ankara, 2020. “Avrupa Birliği Genel Veri Koruma Tüzüğü”, https://gdpr-info.eu/. “Avrupa Birliği genel Veri Koruma Tüzüğü ‘Yetkiler’başlıklı 58’inci maddesi”, https://gdpr-info.eu/art-58-gdpr/. “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün ‘İdari Para Cezasının Verilmesinin Genel Şartları’ başlıklı 83’üncü maddesi”, https://gdpr-info.eu/art-83-gdpr/.

Belirlenmesi İlişkin Esaslar’başlıklı 2016/679 WP253 sayılı Kılavuzu” https:// ec.europa.eu/newsroom/article29/items/611237. “EDPB’nin Para Cezalarının Hesaplanmasına İlişkin Rehberi” https://www. edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022- calculation-administrative-fines-under_en. DSK Hakkında https://www.datenschutzkonferenz-online.de/media/dsk/ Geschaeftsordnung_DSK_Stand_Februar-2024.pdf. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 213 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı BDSG Hükümleri https://www.gesetze-im-internet.de/bdsg_2018/__42.html. Almanya Veri Koruma Otoritelerinin Denetim Yetkileri Hakkında, https://www. datenschutzkonferenz-online.de/media/kp/dsk_kpnr_2.pdf Bayern Eyalet Veri Koruma Otoritesinin Para Cezası Kriterleri Hakkında Bilgilendirmesi, https://www.lda.bayern.de/media/baylda_ds-gvo_7_sanctions.pdf 1&1 Telecom GMBH Aleyhine Hükmedilen Para Cezasına İlişkin Haber Linki, https://www.dsgvo-portal.de/news/lg_bonn_urteil_29_owi_1-20_lg_1und1_ dsgvo_bussgeld.php Federal Veri Koruma Otoritesinin Para Cezası Uygulamasına İlişkin Kamuoyu Duyurusu, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2019/30_ BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html Almanya’nın Para Cezası Uygulama Prosedürü Hakkında Bir Değerlendirme, https://www.dz-cp.de/medien/pdf/point-of-compliance/2021/poc_1_2021_17_ switalla.pdf “ICO Yeni Para Cezası Kılavuzunun Yayınlanmasına İlişkin Kamu Duyurusu”, https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/03/ico- publishes-new-fining-guidance/. “ICO Para Cezası Kılavuzu” https://ico.org.uk/about-the-ico/our-information/ policies-and-procedures/data-protection-fining-guidance/. “İCO’nun İşletmenin Cirosunun Hesaplanmasına Yönelik Tablosu” https://ico. org.uk/about-the-ico/our-information/policies-and-procedures/data-protection- fining-guidance/calculation-of-the-appropriate-amount-of-the-fine/step-2- accounting-for-turnover/. Çocukların Online Ortamlarda Mahremiyetlerinin Korunması Yasası, https:// www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-312. HIPPA Hakkında, https://www.hhs.gov/about/historical-highlights/index.html. FTC Hakkında, https://www.ftc.gov/about-ftc/history. Kaliforniya Veri Korumasının Çerçevesi, https://www.dataguidance.com/notes/ california-data-protection-overview 214 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI CPPA Hakkında Sıkça Sorulan Sorular, https://cppa.ca.gov/faq.html. Kaliforniya Veri Koruma İhlalleri Ceza Hesaplaması, https://www.centrl.ai/ resources/how-to-calculate-your-potential-financial-exposure-for-ccpa-vio/. CCPA ve CRPA Yasa Metinleri, https://cppa.ca.gov/regulations/pdf/cppa_act.pdf. CalOPPA Yasa Metni, https://leginfo.legislature.ca.gov/faces/codes_displayText. xhtml?lawCode=BPC&division=8.&title=&part=&chapter=22.&article=. CPPA Ajansı ve Kurul Hakkında, https://cppa.ca.gov/about_us/. Brezilya LGPD’nin Yaptırım Uygulamaları, https://www.mattosfilho.com. br/wp-content/uploads/2023/03/230320-one-pager-dosimetria-anpd-en.pdf, https://publicacoes.mattosfilho.com.br/books/tdhq/#p=6 Brezilya’da Veri Koruma İhlallerine Uygulanacak Para Cezasının Kriterlerinin Belirlenmesine İlişkin Karar Alındığına İlişkin Haber Linki, https://www. mattosfilho.com.br/en/unico/data-protection-administrative-sanctions-brazil/ Brezilya Veri Koruma Otoritesinin “CD/ANPD Resolution No. 4 Of February 24, 2023” kararının İngilizce metni. https://www.mattosfilho.com.br/wp-content/ uploads/2023/03/anpd-regulation-for-calculating-and-applying-administrative- sanctions-en.pdf ANPD tarafından uygulanan yaptırımların etkileri hakkında blogpost, https://www. conjur.com.br/2023-out-30/opiniao-impactos-dosimetria-sancoes-aplicaveis-anpd/. Brezilya Veri Koruma Kurumu ANPD’nin, LGPD Kapsamında İdari Yaptırımların Hesaplanması ve Uygulanmasına İlişkin Kuralları Yayınlamasına İlişkin Haber, https://lefosse.com/en/noticias/anpd-the-brazilian-data-protection-authority- publishes-rules-to-calculate-and-enforce-administrative-sanctions-under-lgpd/. ANPD’nin İdari Yaptırımlar Hakkındaki Genel Çerçevesi, https://securiti.ai/ blog/brazil-anpd-regulation-on-administrative-sanctions/. ANPD Kurulu’nun 24 Şubat 2023 tarihli ve CD/ANPD No. 4 Kararı, https://www. gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/ Resolucaon4CDANPD24.02.2023.pdf/view. KARŞILAŞTIRMALI HUKUKTA VERİ KORUMA OTORİTELERİNİN UYGULADIĞI 215 İDARİ PARA CEZALARI • Hazal Deniz ÖZKAN / Kişisel Verileri Koruma Uzmanı LGPD’nin 52’inci ve 53’üncü maddeleri, https://lgpd-brazil.info/chapter_08/ article_52, https://lgpd-brazil.info/chapter_08/article_53. Çin Veri Koruma Düzenlemeleri Genel Çerçevesi, https://www. dlapiperdataprotection.com/index.html?t=law&c=CN. PIPL Hakkında Genel Bilgiler, https://secureprivacy.ai/blog/china-pipl-personal- information-protection-law. PIPL Düzenlemesi Özeti, https://www.linklaters.com/insights/data-protected/ data-protected---prc. PIPL İngilizce Tercüme Metni, https://personalinformationprotectionlaw.com/. 6698 sayılı Kişisel Verileri Koruma Kanunu

Verilerin Korunmasına İlişkin Terimler Sözlüğü, https://www.kvkk.gov.tr/ SharedFolderServer/CMSFiles/062384e3-d18c-4c38-b108-3a7a2a28e849.pdf. 5237 sayılı Türk Ceza Kanunu 5326 sayılı Kabahatler Kanunu KVKK Faaliyet Raporları, https://www.kvkk.gov.tr/Icerik/2094/Faaliyet-Raporu. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ GÜNDAY, Metin, İdare Hukuku, İmaj Yayınevi, Ankara, 2013. GÖZLER, Kemal, KAPLAN, Gürsel, İdare Hukuku Dersleri, Ekin Yayınları, Bursa, 2015. 216 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 217 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI Kerim Onur SAVRAN Kişisel Verileri Koruma Uzmanı “Bu çalışma, 09.12.2024 tarihinde kabul edilen “Asya Pasifik Bölgesinde Kişisel Verilerin Korunması” başlıklı uzmanlık tezinden alınmıştır.” GİRİŞ Kişisel verilerin işlenmesi her zaman insan etkileşiminin değişmez bir parçası olmuştur. Ancak veri işleme; tarihi süreç içerisinde basit bir insan etkileşiminin ötesine geçerek, modern çağda karşımıza çıkan refah devletinin önemli bir faaliyeti haline gelmiştir. Vatandaşların en temel kişisel bilgilerinin kaydının tutulması, sadece genel güvenliğin sağlanması açısından değil, ayrıca vatandaşlara yönelik sosyal yükümlülüklerin yerine getirilebilmesi açısından da bir zorunluluk haline dönüşmüştür. Ayrıca teknolojideki hızlı ilerleme, insan haklarının evrensel anlamda korunmasının hızla gelişimi ve küresel ticaretin önlenemez yükselişi gibi hususlar ise özellikle 1960’lı yıllardan itibaren Avrupa kıtasında yer alan ülkeleri, kişisel verilerin korunması yönünde kendi ulusal düzenlemelerini yapmaya itmiştir. Ancak bu çalışmalar sadece ulusal düzeyde kalmamış ve ilerleyen yıllarda OECD, Avrupa Konseyi ve Avrupa Birliği gibi pek çok kuruluş, ülkelere yol gösteren kapsamlı çalışmalara imza atmıştır. 218 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Ancak bu çalışmalar sadece Avrupa’ya özgü bir durum olmayıp, Asya-Pasifik ülkeleri de verilerin korunması konusunda hem bölgesel hem de ulusal düzenlemeler yapma yolunu izlemiştir. Asya-Pasifik bölgesinde yer alan pek çok önemli ülke hem OECD gibi küresel hem de Avrupa Konseyi ve Avrupa Birliği gibi kıtasal örgütlerin bu konu hakkındaki ileri düzeyde çalışmalarını birer rehber olarak kabul etmiştir. Ancak bunun yanında ilgili ülkelerin kendi kültürleri, ticari yaşama bakışları ve tarihlerinde başka Batılı ülkelerden de etkilenmiş olmaları da Asya-Pasifik ülkelerinin kişisel verilerin korunması konusuna farklı farklı pencerelerden bakmasına neden olmuştur. ASYA-PASİFİK BÖLGESİNİN ÖNEMLİ ÜLKELERİNDE KİŞİSEL VERİLERİN KORUNMASININ GELİŞİMİ Belirtildiği üzere, Asya-Pasifik ülkeleri; kişisel verilerin korunmasına ilişkin düzenlemelerinde, OECD, Avrupa Konseyi ve Avrupa Birliği’nin çalışmalarını rehber edinmiştir. Ancak Asya-Pasifik bölgesinde Batı temelli hukuk sisteminin izleri çok daha eski dönemlere dayanmaktadır. Tarihin çok eski dönemlerinden itibaren pek çok önemli ulusa ve hükümdarlığa ev sahipliği yapmış olan Asya kıtası, özellikle 17. yüzyıldan itibaren Avrupa kaynaklı sömürge faaliyetlerinin geniş çapta hedefi olmuştur. Söz konusu süreçte Avrupalı ülkeler, sömürge faaliyetlerini yürüttükleri kendi egemenlik alanındaki bölgelerde çeşitli yönetim birimleri kurmuş olup doğal olarak bu yönetim birimlerinin idaresini, kendi ülkelerinde mevcut olan Avrupa hukuku kurallarına göre gerçekleştirmiştir. 2. Dünya Savaşı’nın ardından Japon işgalinden kurtulmuş olan Kore Yarımadası’nın Kuzey ve Güney olarak ikiye bölünmesinin ardından Güney Kore’nin 1948 tarihli Anayasası’nın hem Amerikan hem de Avrupa hukukunun etkisi altında yazılması1, uzun süre Alman ve Fransız etkisinde olan Japon hukuk sisteminin 2. Dünya Savaşı’nın ardından bu sefer Amerikan etkisine girmesi2 ve bölgede 1  Youngjoon Kwon, “Korea: Bridging the Gap between Korean Substance and Western Form”, Law and Legal Institutions of Asia: Traditions, Adaptations and Innovations, Derleyen: E. Ann Black ve Gary F. Bell, Cambridge University Press, 2011. 2  Kent Anderson ve Trevor Ryan, “Japan: The Importance and Evolution of Legal Institutions at the Turn of the Century”, Law and Legal Institutions of Asia: Traditions, Adaptations and Innovations, Derleyen: E. Ann Black ve Gary F. Bell, Cambridge University Press, 2011. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 219 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı kapsamlı şekilde sömürgecilik faaliyeti yürüten İngilizlerin bölge ülkelerinde “Westminster tarzı” bir yasama faaliyetini yürütmüş olmaları3, bölge ülkelerinin hukuk sistemlerinde yer alan Batı etkisinin kökenleri açısından önem arz etmektedir. 20. Yüzyıl’da bağımsızlığını kazanan pek çok Asya-Pasifik ülkesinin hukuk sisteminde kendini göstermeye devam eden bu durum, kişisel verilerin korunması konusunda da karşımıza çıkmaktadır. Özellikle OECD’nin veri güvenliği konusunda yapmış olduğu pek çok çalışmanın, bölge ülkelerinin düzenlemelerine rehberlik ettiği ancak aynı zamanda başta Avrupa Birliği olmak üzere Avrupa kıtası kaynaklı mevzuatın da ilgili ülkelerce dikkate alındığı dikkatlerden kaçmamaktadır. Bu kapsamda hem 1901 yılından beri istikrarlı bir demokratik sistemi bulanan hem de OECD gibi veri koruma konusunda önemli çalışmaları olan bir uluslararası kuruluşun üyesi olan Avustralya, federal düzeyde geçerli olan Mahremiyet Yasası’nı (The Privacy Act 1988) 1988 yılında yürürlüğe koymuştur4. Avustralya Anayasası’nda kişisel verilerin korunmasına ilişkin herhangi bir düzenlemenin yer almadığı göz önünde bulundurulduğunda, Mahremiyet Yasası’nın konu açısından önemi daha net bir biçimde ortaya çıkmaktadır. Avustralya açısından özellikle belirtilmesi gereken bir husus, veri koruma açısından “özel sektör-ticari işletme” dostu bir yaklaşıma sahip olunduğudur. Bu durum kendisini doğrudan Mahremiyet Yasası’nda göstermiş olup ilgili yasanın 2. maddesinin (a) fıkrasında, “bireylerin mahremiyetlerinin korunması ile işletmelerin menfaatleri arasında bir denge kurulması gerektiği” özellikle belirtilmiştir5. Avustralya’da federal düzeyde veri koruma konusunda yetkili olan kuruluş ise Avustralya Bilgi Komisyonerliği Ofisi (The Office of the Australian Information Commissioner) olup ilgili ofis Avusturya Adalet Bakanlığı’yla ilişkili ve aynı zamanda bağımsız bir kuruluştur. Uygulamada Komisyonerlik Ofisi’nin öncelikle şikayetçi ile şikâyet edilen veri sorumlusu arasında bir uzlaşmaya varılmasını sağlamaya çalıştığı görülmektedir. 3  Graham Greenleaf, Asian Data Privacy Laws: Trade & Human Rights Perspectives, Oxford Yayıncılık, New York, 2014, s.377. 4  “1988 tarihli Avustralya Mahremiyet Yasası”, https://www.legislation.gov.au/C2004A03712/latest/text, 26.02.2024. 5  1988 tarihli Mahremiyet Yasası’nın 2. maddesinin (a) fıkrası. 220 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Ancak uzlaşmanın sağlanamadığı ve yapılan inceleme sonucunda şikayetçinin haklı çıktığı durumlarda, Komisyonerlik Ofisi doğrudan şikayetçinin uğradığı zararın giderilmesi yönünde karar verememektedir. Komisyonerlik Ofisi ancak mahkemelerden veri sorumlularına yönelik para cezası uygulanabilmesini talep edebilmektedir6. Özellikle 1979 yılından itibaren aşamalı olarak pazar ekonomisine kapılarını açan Çin Halk Cumhuriyeti, bu süreç içerisinde küresel sistem ile daha entegre bir yapıya bürünmüş ve bu sürecin önemli sonuçlarından bir tanesi ise internete erişim olmuştur. Bu gelişmeler, verilerin korunması hususunu Çin açısından önemli bir konu haline getirmiş olup bu konuda Çin’de öncelikle sektör bazlı düzenlemelerin hazırlandığı görülmüştür7. Ancak 2006 yılında tüm ülke kapsamında geçerli olacak veri koruma kanunlarının taslak çalışmaları başlamış ve söz konusu çalışmaların neticesinde ulusal çapta geçerli üç önemli yasa ortaya çıkmıştır: 2017 tarihli Siber Güvenlik Kanunu (the Cybersecurity Law) ulusal ölçekte hem siber güvenliğe hem de kişisel verilerin korunmasına yönelik Çin’deki ilk yasayı oluşturmaktadır. 2021 tarihli Kişisel Verilerin Korunması Kanunu (the Personal Information Protection Law) verilerin korunması konusunda ulusal çapta Çin’deki en kapsamlı düzenlemedir ve konu hakkındaki daha önceki düzenlemeleri kaldırmak yerine bunları güçlendiren bir yapıya sahiptir. 2021 tarihli Veri Güvenliği Kanunu (the Data Security Law) ise özellikle verilerin güvenliği konusuna daha teknik bir yönden yaklaşmaktadır8. Bu konudaki denetleyici kuruluşla ilgili olarak, ülkede uzun süre internet alanında denetleyici bir kuruluş olarak kurulan Devlet İnternet Bilgi Ofisi’nin adı 2014 yılında Çin Siber Uzay İdaresi olarak değiştirilmiş, daha sonra ise 2021 tarihli Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunması konusundaki yegâne sorumlu devlet kurumu haline gelmiştir9. Çin’de uygulanan idari para cezaları açısından en göze çarpan farklılık ise özellikle veri sorumlusunun tüzel kişilik olması halinde karşımıza çıkmaktadır. Düzeltme ya da durdurma yönündeki 6  “Avustralya Bilgi Komisyonerliği Ofisi Görev ve Yetkileri”, https://www.oaic.gov.au/about-the-OAIC/ what-we-do, 01.03.2024. 7  Greenleaf, “Asian Data Privacy Laws: Trade & Human Rights Perspectives”, s. 269. 8  Jiangyu Wang, “China: Legal reform in an emerging socialist market economy”, Law and Legal Institutions of Asia: Traditions, Adaptations and Innovations, Derleyen: E. Ann Black ve Gary F. Bell, Cambridge University Press, 2011, s. 21. 9  Jamie P. Horsley, “Behind the Facade of China’s Cyber Super-Regulator”, https://digichina.stanford.edu/ work/behind-the-facade-of-chinas-cyber-super-regulator/, 11.03.2024. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 221 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı talimatın; tüzel kişi bir veri sorumlusu tarafından yerine getirilmemesi halinde hem tüzel kişiliğe hem de tüzel kişilik bünyesindeki yetkili gerçek kişiye ayrı ayrı para cezası uygulanabilmektedir10. Her ne kadar bağımsızlığının ardından hazırlanmış olan 1945 Anayasası’nın 28. maddesinin 1. fıkrasıyla, “vatandaşların itibarının korunması” bir anayasal hak olarak düzenlenmiş olsa da Endonezya’da insan haklarının ve dolayısıyla verilerin korunması konusunun gelişimi ancak 1990’lı yıllardan itibaren gelişme göstermiştir. Endonezya, 2022 tarihli ve kapsayıcı nitelikteki Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden önce de mahremiyete ilişkin çeşitli yasal düzenlemeleri hayata geçirmiştir. Örneğin 2010 yılında yürürlüğe girmiş olan Kamuoyu Bilgilendirme Kanunu, Endonezya vatandaşlarına kamu kurumları tarafından tutulmakta olan bilgilere, çeşitli şartlar dahilinde, ulaşma hakkı tanımıştır11. 2016 yılında yürürlüğe giren Elektronik Sistemler Alanında Kişisel Verilerin Korunması Kanunu ise Endonezya’nın verilerin korunması ve mahremiyet konularını düzenleyen ilk yasası olarak kabul edilebilir ancak adından da anlaşılacağı üzere sadece elektronik alana ait hükümleri içermektedir12. 2022 yılında yürürlüğe giren Endonezya Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması konusunda düzenleyici ve denetleyici otorite olarak bir üst kuruluş tahsis etmiş ancak hem Kanun’un tam olarak uygulanması hem de söz konusu kuruluşun oluşturulması açısından iki yıllık bir geçiş süreci öngörmüştür. Bu geçiş süreci boyunca verilerin korunması konusu açısından yetkili kuruluş ise Endonezya Haberleşme ve Bilişim Bakanlığı olarak belirlenmiştir13. ASEAN üyesi ülkeler arasında, kişisel verilerin korunması konusundaki en kapsamlı kanunu 2012 yılında yürürlüğe koyan Filipinler, söz konusu Kanun’dan önce de veri mahremiyetine ilişkin bazı düzenlemelere sahip olup örneğin 1987 tarihli Filipinler Anayasası’nda, “iletişim ve yazışma gizliliği ihlallerine” karşı korumayı içeren maddeler yer almaktadır14. 10  “2021 tarihli Çin Kişisel Verilerin Korunması Kanunu’nun 66. maddesi”, https:// personalinformationprotectionlaw.com/PIPL/article-66/, 11.03.2024 11  “Endonezya Kamuoyu Bilgilendirme Kanunu”, https://www.peraturan.go.id/files2/uu-no-14-tahun-2008_ terjemah.pdf, 21.03.2024 12  Robert Walters-Leon Trakman-Bruno Zeller, Data Protection Law: A Comparative Analysis Of Asia- Pacific And European Approaches, Springer, Singapur, 2019, s. 196. 13  “Endonezya Veri Koruma Otoritesi”, https://www.dlapiperdataprotection.com/index.html?t=authority&c=ID, 21.03.2024 14  “1987 tarihli Filipinler Anayasası”, https://www.officialgazette.gov.ph/constitutions/1987-constitution/, 25.03.2024 222 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Ayrıca özellikle Latin Amerika ülkelerinin anayasalarında kendisine yer bulan “habeas data” hakkı, Filipinler Anayasa Mahkemesi tarafından 2008 yılında bir anayasal hak olarak kabul edilmiştir15. Yukarıda bahsi geçtiği üzere 2012 yılında yürürlüğe giren ve tam adı Veri Mahremiyeti Kanunu (The Data Privacy Act) olan Filipinler’in ilk veri koruma kanunu, hem kamu alanında hem de özel sektörde işlenen kişisel verilere ilişkin geniş bir kurallar bütününü içermektedir. Veri Mahremiyeti Kanunu’nda, özellikle Filipinler için büyük bir önem arz eden ticari dış kaynak kullanımına (business process outsourcing) ilişkin önemli bir istisna getirildiği görülmektedir. Ticari dış kaynak kullanımı; işletmelerin bir görevi yürütmek için başka bir işletmeyi kiralamasına verilen isim olup özellikle üretim endüstrisinde ticari dış kaynak kullanımı öne çıkmaktadır. Yoğun ticari dış kaynak kullanımı beraberinde bu alanda kapsamlı bir veri akışına da neden olmaktadır. Söz konusu veri akışının sekteye uğramasının, dış kaynak kullanımına da zarar vereceğini öngören Filipin yasama organı, Kanun’un 4. maddesinde bu hususa ilişkin bir istisna düzenlemiştir. İlgili madde uyarınca, “Filipinler’de işlenmeye devam edilen ancak ilk olarak yabancı hukuka tabi olan kişilerden toplanmış olan kişisel veriler” Kanun hükümlerinden istisna tutulmuştur16. Söz konusu istisnayla birlikte Filipinli şirketlerin, başta ABD firmaları olmak üzere diğer ülke firmaları ile dış kaynak kullanımı konusunda sözleşme yapması kolaylaşmaktadır. Ancak uygulamada oldukça geniş bir şekilde kullanılabilecek bu istisna, Filipinler’de yeterli veri koruma seviyesinin sağlanmasında sorun yaratabilecek bir potansiyele sahiptir. 2016 yılında kurulan ve dünyadaki muadilleriyle benzer yetkilere sahip olan Ulusal Mahremiyet Komisyonu (The National Privacy Commission), Asya-Pasifik bölgesindeki pek çok otoritenin başvurabildiği “ihtilafların alternatif çözüm yollarıyla sonlandırılması” yetkisini de üstlenmiştir17. Siyasi tarihinde 20 yıllık bir diktatörlük geçmişi olan ancak otoriter yönetimin 1987 yılında kesin olarak sona ermesiyle hızlı bir şekilde demokrasiye geçen ve ardından Doğu Asya’nın en gelişmiş demokrasilerinden biri olarak kabul edilen Güney Kore’de kişisel verilerin korunması hususunun da önemli bir geçmişi bulunmaktadır. Kişisel verilerin yoğun bir şekilde işlendiği internetin 15  “Filipinler Anayasa Mahkemesi’nin 22 Ocak 2008 tarihli kararı”, https://chanrobles.com/writofhabeasdata. html#google_vignette, 25.03.2024 16  “Filipinler Veri Mahremiyeti Kanunu 4. Maddesi”, https://privacy.gov.ph/data-privacy-act/#w3, 25.03.2024. 17  “Filipinler Veri Mahremiyeti Kanunu 7. Maddesi”, https://privacy.gov.ph/data-privacy-act/#w3, 25.03.2024. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 223 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı Güney Kore’de yoğun kullanımının, bu ülkede kişisel verilerin korunmasının gelişiminde ciddi bir etkisi olduğu açıktır. O kadar ki Çin ve Japonya gibi diğer bazı Asya ülkeleriyle beraber Güney Kore, dünyada en çok internet kullanan ilk 20 ülke arasında yer almaktadır18. Bu gerçek kapsamında hem kamu hem de özel sektör olmak üzere kişisel verilerin korunmasını bütünüyle düzenleyen Güney Kore Kişisel Verilerin Korunması Kanunu (Personal Information Protection Act) 29 Mart 2011 tarihinde yürürlüğe girmiştir. Bazı akademisyenler tarafından kişisel verilerin korunması alanında “dünyadaki en katı” kanunlardan biri olarak kabul edilse de19 2011 tarihli Kanun, örneğin dini organizasyonların faaliyetleri ile siyasi partilerin seçimlerdeki aday faaliyetlerini, Kanun hükümlerinden istisna tutmuştur.20 Her ne kadar katı kanun hükümlerinden ve uygulamalardan bahsedilse de Güney Kore, ABD ile 2011 tarihinde imzaladığı serbest ticaret anlaşması ile sınır ötesi veri aktarımının önünü açmıştır. Veri aktarımına kolaylık sağlanmasının temel dayanağını ticari faaliyetlerin sürekliliği oluşturmaktadır. Her ne kadar ilgili anlaşmada öncelikle “kişisel bilgilerin korunmasının öneminden” bahsedilse de ardından “tarafların, sınır ötesi elektronik bilgi akışını engelleyecek uygulamalardan kaçınacağı” ifade edilmektedir21. Günümüzde küresel sistemin önemli bir aktörü olma ve Batı hukuk normlarıyla entegrasyon konusunda uzun bir geçmişe sahip olma özellikleri, Japonya’nın mahremiyet ve kişisel verilerin korunması alanındaki konumunu da önemli ölçüde etkilemiştir. Asya-Pasifik bölgesindeki pek çok ülke gibi Japonya’daki kişisel verilerin korunması hakkındaki mevzuatın hazırlanmasında da OECD Rehber İlkeleri önemli bir role sahip olmuştur. Bu kapsamda OECD Rehber İlkeleri ve AB’nin ilgili mevzuatı temel alınarak hazırlanan ve bir bütün olarak kişisel verilerin korunmasını düzenleyen Japonya Kişisel Bilginin Korunması Kanunu (Kanun), ilk olarak 2003 yılında yasalaşmıştır. Ancak öncelikle 2017 yılında, sonrasında ise 2020 yılında Kanun’da pek çok önemli değişiklik yapılmıştır.22 Kanun’daki pek çok düzenleme, içerdiği bazı farklılıklar nedeniyle dikkat çekmektedir. 18  “Internet World Stats, Usage and Population Statistics”, www.internetworldstats.com, 26.03.2024 19  Graham Greenleaf, “Korea’s New Act: Asia’s Toughest Data Privacy Law”, Privacy Laws & Business International Report, Yıl 2012, Sayı 117, ss. 1–6. 20 “2011 tarihli Güney Kore Kişisel Verilerin Korunması Kanunu”, https://www.pipc.go.kr/eng/user/lgp/ law/lawDetail.do, 10.04.2024. 21  Walter-Trakman-Zeller, “Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches”, s. 419. 22  “Japonya Kişisel Bilginin Korunması Kanunu”, https://www.ppc.go.jp/files/pdf/Act_on_the_Protection_ of_Personal_Information.pdf, 12.04.2024. 224 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Örneğin İngilizce olarak yazılmış pek çok kanunda “data controller” olarak geçen “veri sorumlusu” sıfatı, Japonya Kişisel Bilginin Korunması Kanunu’nda “business operator” olarak adlandırılmış, “ses tellerinin titreşimi”, “bedensel duruş ve her iki kolun hareketleri” ve “yürürken oluşan fiziksel görünüm” gibi pek çok öğe bireyleri tanımlanabilir hale getiren kişisel veri olarak kabul edilmiş ve ayrıca bölgedeki pek çok ülkede olduğu gibi bazı dini grupların ve siyasi partilerin faaliyetleri Kanun’dan istisna tutulmuştur23. Japonya’da kişisel verilerin korunması alanındaki denetleyici kuruluş olan Kişisel Bilgi Koruma Komisyonu; bir veri ihlali halinde veri sorumlularından bilgi talep edebilmekte, yerinde inceleme yapabilmekte ve veri sorumlularına çeşitli talimatlar verebilmektedir ancak Komisyon’un ne idari ne de cezai müeyyide uygulama yetkisi bulunmaktadır24. Çok kültürlü bir yapıya sahip olan Malezya, hem genel olarak Asya hem Orta Asya hem de bir ölçüde Batı’nın kültüründen, değerlerinden ve uygulamalarından tarihi süreç içerisinde etkilenmiş olup bu minvalde Malezya’nın hukuk sistemi de hem Birleşik Krallık hukuk sisteminden hem de aynı anda İslam hukukundan da güçlü bir şekilde etkilenmiştir25. Birleşik Krallık’ın içtihat hukukundan önemli ölçüde etkilenmiş olan Malezya’da kişisel verilerin korunması süreci, Avustralya ve Singapur gibi diğer Anglo-Sakson etkisi altındaki ülkelerdeki sürece oldukça benzemektedir. Bu çerçevede 2010 yılında hazırlanan Malezya Kişisel Verilerin Korunması Kanunu; 15 Kasım 2013 tarihinde yürürlüğe girmiş ve bu gelişmeyle birlikte Malezya, mahremiyet konusunda ilk kapsamlı düzenlemeyi yapan ASEAN üyesi ülke olmuştur26. Malezya’da kişisel verilerin korunması hususunda iki temel otorite karşımıza çıkmaktadır. Bunlardan ilki Kişisel Veri Koruma Komisyonerliği (Komisyonerlik), diğeri ise Kişisel Veri Koruma Departmanı’dır (Departman). Komisyonerlik genel olarak kişisel veri koruma yasalarını uygulama ve veri sorumlularının bu konudaki faaliyetlerini izleme ve denetleme yetkisine sahiptir. Ancak kuruluşun başında yer alan komisyonerin doğrudan ilgili bakana karşı sorumlu olması, ilgili bakanın 23  “Japonya Kişisel Bilginin Korunması Kanunu’nun Güçlendirilmesine Yönelik Kabine Kararı”, https://www. ppc.go.jp/files/pdf/Cabinet_Order.pdf, 12.04.2024 24  “Japonya Kişisel Bilgi Koruma Komisyonu”, https://www.ppc.go.jp/en/index.html, 12.04.2024 25  Walter-Trakman-Zeller, “Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches”, s. 396. 26  Greenleaf, “Asian Data Privacy Laws: Trade & Human Rights Perspectives”, s. 395. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 225 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı komisyonere talimat verebiliyor olması ve komisyonerin ilgili bakanlığın bünyesinde yer alıyor olması, Komisyonerlik’in bağımsız bir yapıya sahip olmadığının açık kanıtlarını oluşturmaktadır27. Son 50 yıl içerisinde ticaret, yatırım ve finans faaliyetlerinde dünya çapında güvenilir bir ülke standardına yükselen Singapur’un bu özelliği, ülkenin kişisel verilerin korunması ve mahremiyet konularına bakışını da ciddi şekilde etkilemiştir. Singapur mahremiyet konusunu “ticaret dostu” bir açıdan ele almayı tercih etmiştir ve bu bakımdan özellikle AB bakış açısı ile Singapur’un tercihi iki ayrı ucu temsil etmektedir. AB her zaman kişilerin mahremiyetlerinin korunmasını esas alırken, Singapur üretici (veri sorumlusu) ve tüketici (ilgili kişi) arasında bir denge kurulmasına odaklanmıştır. Bu bakış açısıyla hazırlanan Singapur Kişisel Veri Koruma Kanunu ise 15 Ekim 2012 tarihinde yürürlüğe girmiş ve en son 2020 yılında bazı değişikliklere konu olmuştur. İlgili Kanun’da yer alan bir düzenleme her ne kadar ilgili kişilere kişisel verilerine erişme hakkı tanıyor gibi görünse de aslında erişim hakkı büyük ölçüde veri sorumlusu özel sektör kuruluşlarının insafına bırakılmaktadır. Bu çerçevede Kanun’un 21. maddesi uyarınca ilgili kişiler, kişisel verilerine erişebilme konusunda veri sorumlusuna başvurabilme hakkına sahiptirler. Ancak yine aynı madde uyarınca veri sorumlusu bu talebi ancak “uygulanabilir” (feasible) olması halinde dikkate almaktadır28. İlgili düzenleme; Singapur’un, veri sorumlusu özel sektör aktörlerine yönelik anlayışlı tavrının çok açık bir göstergesini teşkil etmektedir. İlgili Kanun’un 5. maddesinin 2. fıkrası29 uyarınca Kanun’un uygulanması konusunda temel yetkili organ Kişisel Veri Koruma Komisyonu’dur30. Asya-Pasifik bölgesindeki pek çok ülkede karşımıza çıkan “arabuluculuk müessesine başvuru” durumu Singapur’da da ilgili Komisyon’un yetkileri arasında yer almaktadır. İlgili Kanun’un 48-G maddesi uyarınca, ilgili Komisyon; bir şikâyetin arabuluculuk yoluyla daha uygun bir şekilde çözülebileceğini düşünmesi halinde, ilgili kişinin ya da veri sorumlusunun rızalarını aramaksızın, şikâyeti arabuluculuk sürecine yönlendirebilmektedir31. 27  “Malezya Kişisel Verilerin Korunması Kanunu, 59. Maddesi”, https://www.pdp.gov.my/jpdpv2/ assets/2019/09/Personal-Data-Protection-Act-2010.pdf, 19.04.2024. 28  “Singapur Kişisel Veri Koruma Kanunu 21. Maddesi”, https://sso.agc.gov.sg/Act/PDPA2012, 25.04.2024. 29  “Singapur Kişisel Veri Koruma Kanunu 5. Maddesi”, https://sso.agc.gov.sg/Act/PDPA2012, 25.04.2024. 30  “Kişisel Veri Koruma Komisyonu”, https://www.pdpc.gov.sg/, 25.04.2024. 31  “Singapur Kişisel Veri Koruma Kanunu 48-G maddesi”, https://sso.agc.gov.sg/Act/PDPA2012, 25.04.2024. 226 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Eski bir İngiliz kolonisi olmanın sonucu olarak Anglosakson içtihat hukukunun etkisi altında olan Yeni Zelanda’da ise kişisel verilerin korunmasına ilişkin ilk yasal düzenlemeyi, 1993 tarihli Mahremiyet Yasası oluşturmaktadır. Ancak bu tarihten itibaren ortaya çıkan gelişmeler de göz önünde bulundurularak Yeni Zelanda 2020 tarihli yeni bir Mahremiyet Yasası’nı yürürlüğe koymuş ve yasayla; uygulanan ceza miktarlarını arttırmış, veri koruma otoritesinin yetkilerini genişletmiş ve veri ihlal bildirimini zorunlu hale getirmiştir32. Bahse konu Kanun’a ilişkin önemli hususlardan bir tanesi Yasa’da yer alan istisnalara ilişkindir. Bu çerçevede veri sorumlusunun tanımının yapıldığı 8. madde uyarınca; parlamento üyelerine, mahkeme üyelerine ve basın-yayın organlarına, faaliyet alanlarındaki çalışmalarıyla alakalı olması kaydıyla, ilgili Yasa hükümleri uygulanmayacaktır33. Kanun’un 13. Maddesiyle Yeni Zelanda’nın kişisel verilerin korunması konusundaki genel kurumu Mahremiyet Komisyoneri Ofisi kurulmuş34 olup ilgili Komisyoner yine diğer bölge otoriteleri gibi söz konusu ihtilafı öncelikle arabuluculuk yoluyla çözmeye çalışmaktadır. Ancak bu yolun bir sonuca ulaşmaması durumunda Komisyoner bizzat incelemeye devam etmektedir. Tam bu aşamada belirtmek gerekir ki Yeni Zelanda Mahremiyet Komisyoneri’nin, diğer pek çok ülkenin otoritesinden bazı ciddi farkları ortaya çıkmaktadır. İlk olarak Komisyoner’in inceleme sonucunda verdiği karar her ne kadar ciddi bir etkiye sahip olsa da kararın resmi olarak herhangi bir bağlayıcılığı bulunmamaktadır. İkinci olarak ise Kanun tarafından Komisyoner’e herhangi bir para cezası uygulama yetkisi tanınmamıştır. Mahremiyet ihlali hakkında para cezası uygulanması konusunda, 1977 yılında kurulan İnsan Hakları İnceleme Mahkemesi ve 1993 tarihli İnsan Hakları Kanunu uyarınca görevlendirilen İnsan Hakları Direktörü önemli rol oynamaktadır. Eğer Komisyoner incelediği konuda bir mahremiyet ihlali olduğu fikrindeyse bu konuyu İnsan Hakları Direktörü’ne, İnsan Hakları Direktörü de gerekli görmesi halinde İnsan Hakları İnceleme Mahkemesi’ne götürmektedir. Bu çerçevede mahremiyet ihlali konusunda para cezası ancak İnsan Hakları İnceleme Mahkemesi tarafından verilebilmektedir35. 32  “2020 tarihli Yeni Zelanda Mahremiyet Yasası”, https://www.legislation.govt.nz/act/public/2020/0031/ latest/LMS23223.html, 29.04.2024. 33  “2020 tarihli Yeni Zelanda Mahremiyet Yasası’nın 8. maddesi”, https://www.legislation.govt.nz/act/ public/2020/0031/latest/LMS23223.html, 29.04.2024. 34  “Yeni Zelanda Mahremiyet Komisyoneri Ofisi”, www.privacy.org.nz, 29.04.2024. 35  “2020 tarihli Yeni Zelanda Mahremiyet Yasası’nın 97. maddesi”, https://www.legislation.govt.nz/act/ public/2020/0031/latest/LMS23223.html, 29.04.2024. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 227 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı BÖLGE ÜLKELERİNİN KİŞİSEL VERİLERİN KORUNMASI KONUSUNDAKİ ULUSLARARASI İŞ BİRLİKLERİ Asya-Pasifik coğrafyasında yer alan ülkeler, kişisel verilerin korunması konusunda ulusal ölçekte düzenlemeler yapmakla yetinmemiş olup aynı zamanda Asya- Pasifik bölgesinde kurulmuş olan uluslararası kuruluşlar bünyesinde de bu konuda çeşitli çalışmalar yürütmüştür. ASEAN Bünyesinde Gerçekleştirilen Faaliyetler Bu çalışmaların ilk örneği bölgenin önemli uluslararası örgütlerden biri olan Güneydoğu Asya Ülkeleri Birliği’nde (The Association of Southeast Asian Nations-ASEAN) karşımıza çıkmaktadır. 8 Ağustos 1967 tarihinde Bangkok Deklarasyonu ile kurulan ASEAN’ın amaçları; Güneydoğu Asya bölgesinde “ekonomik, sosyal, kültürel ve teknik başta olmak üzere çeşitli alanlarda iş birliğini desteklemek” ile “hukukun üstünlüğünün sağlanması yoluyla bölgesel barış ve istikrarın sağlanması” olarak belirlenmiştir36. Her ne kadar kuruluşundan itibaren hukuki, sosyal ve kültürel alanları kendi faaliyet konularından saysa da şu hususu açıkça kabul etmek gerekir ki; ASEAN en başından itibaren çoğunlukla ticaret odaklı bir kuruluş olagelmiştir. ASEAN bünyesinde kişisel veriler ve mahremiyetin korunması konularında çalışmalara başlanması ise temel insan haklarının korunması konusunun, 1990’lı yılların başından itibaren ASEAN’ın gündemine girmesi ile söz konusu olmuştur. Ancak insan haklarının yanında; ticari faaliyetlerin geri dönülmez biçimde dijitalleşmesi, özellikle Güneydoğu Asya bölgesindeki dijital ticaret hacminin 100 milyar doları aşması, tüketicilerin e-ticarete daha fazla yönelmesi ve nihayetinde bu durumun doğal bir sonucu olarak yoğun bir veri akışının ortaya çıkması gibi hususlar da ASEAN’ın kişisel verilerin korunması konusuna yönelmesi gerekliliğini ortaya çıkarmıştır. Bu açıdan en önemli adım olarak karşımıza 2012 tarihli ASEAN İnsan Hakları Beyannamesi çıkmakta olup söz konusu beyannamenin 21. Maddesinde “Her birey; özel hayatına, ailesine, evine veya kişisel verileri de dahil olmak üzere yazışmalarına keyfi müdahaleye veya onur ve itibarına yönelik saldırılara maruz kalmama hakkına sahiptir. Her bireyin bu tür müdahale veya saldırılara karşı hukuk tarafından korunma hakkı vardır.” düzenlemesine yer verildiği görülmektedir37. 36  “Güneydoğu Asya Ülkeleri Birliği-ASEAN resmi internet sitesi”, https://asean.org/the-founding-of- asean/, 05.06.2024 37  “2012 tarihli ASEAN İnsan Hakları Beyannamesi, 21. Madde”, https://asean.org/asean-human-rights- declaration/, 07.06.2024 228 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Söz konusu beyanname, hem kişisel veriler olgusunu Güneydoğu Asya ülkelerinin gündemine getirmesi hem de ilgili ülkelerin kendi iç hukuk sistemlerinde AB mevzuatı benzeri yasaları çıkarmasını teşvik etmesi açısından ciddi bir role sahiptir. Doğrudan veri mahremiyeti ile ilgili olarak ASEAN tarafından hazırlanan ilk düzenleme ise 2016 yılında kabul edilmiş olan “Kişisel Verilerin Korunması Hakkında Genel Çerçeve” (the Framework on Personal Data Protection) adlı çalışmadır. 2016 yılında düzenlenen ASEAN Telekomünikasyon ve Enformasyon Teknolojisi Bakanlar Toplantısı’nda üye ülkelere sunulmuş olan ilgili çerçevenin temel amacı; konuya ilişkin olarak bir dizi ilkenin sunulması ve bu yolla bölge ülkelerinin kişisel verilerin korunması hususunda çeşitli tedbirler almasının teşvik edilmesi olmuştur38. Her ne kadar çerçevenin bazı eksiklikleri bulunsa da hem bölge ülkelerinin gerçekleştirdiği ulusal ve bölgesel çalışmalar hem de ASEAN’ın daha sonraki faaliyetleri açısından bir mihenk taşı görevini yerine getirmiştir. Söz konusu genel çerçevenin ışığında ASEAN’ın hazırladığı ilk çalışma 2018 tarihli “Dijital Veri Yönetimi” (the Framework on Digital Data Governance) adlı belge olmuştur. Söz konusu belge aracılığıyla ASEAN, özellikle özel işletmelerin dijital veri toplama ve yönetim yeteneklerini güçlendirmeyi hedeflemiştir. ASEAN bu tarz bir rehberliğin; bölge ülkeleri arasında veri güvenliği ortamının kuvvetlendirilmesine katkı sağlayacağını düşünmüştür39. ASEAN, bu konudaki çalışmalarına devam etmiş ve 2019 yılında “Dijital Uyum Eylem Planı”nı, 2021 yılında ise “Veri Yönetimi Çerçevesi”ni üyelerine sunmuştur. 2019 tarihli “Dijital Uyum Eylem Planı”, 2025 yılına kadar, daha önce yapılan tüm çalışmaları tek çatı altında entegre etmeyi hedeflerken40; 2021 tarihli “Veri Yönetimi Çerçevesi” ise özellikle ASEAN üye ülke şirketlerinin sınır ötesi veri akışı faaliyetlerinin hem etkili hem de güvenli bir şekilde gerçekleştirilmesine odaklanmıştır41. 38 “2016 tarihli ASEAN Kişisel Verilerin Korunması Hakkında Genel Çerçeve”, https://asean.org/wp-content/ uploads/2012/05/10-ASEAN-Framework-on-PDP.pdf, 12.06.2024. 39  “2018 tarihli ASEAN Dijital Veri Yönetimi Belgesi”, https://asean.org/wp-content/uploads/2012/05/6B- ASEAN-Framework-on-Digital-Data-Governance_Endorsedv1.pdf, 13.06.2024. 40  “2019 tarihli ASEAN Dijital Uyum Eylem Planı”, https://asean.org/wp-content/uploads/2020/12/ Adopted-ASEAN-Digital-Integration-Framework.pdf, 14.06.2024. 41  Tann Asia, “Data Management for Businesses: Launch of ASEAN Data Management Framework and Model Clauses on Data Transfer”, https://www.lexology.com/library/detail.aspx?g=8d070e4b-5817- 42de-bd54-c17159af8571, 14.06.2024. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 229 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı Fakat ASEAN’ın belki de doğrudan uygulamaya yönelik ve pratik açıdan en yararlı düzenlemeleri 2021 yılından itibaren hazırlanmıştır. Söz konusu düzenlemeler doğrudan sınır ötesi veri aktarım faaliyetleri için standart sözleşme kuralları belirlenmesine yöneliktir. Bunlardan ilkini sadece ASEAN tarafından hazırlanmış 2021 tarihli “Yurtdışı Veri Aktarımına İlişkin Standart Sözleşme Hükümleri”42, diğerini ise ASEAN ve AB Komisyonu tarafından ortak bir şekilde hazırlanan 2023 tarihli “Veri Aktarımı için Standart Hükümlerin Kullanımına İlişkin Ortak Kılavuz”43 oluşturmuştur. Söz konusu çalışmaların amaçlarının; bir yandan sınır ötesi veri aktarımının ilgili ASEAN rehberlerine uygun bir biçimde gerçekleştirilmesini sağlamak, bir yandan ise AB ve ASEAN bölgeleri arasında veri aktarımı yapacak şirketlerin bu faaliyetlerini kolaylaştırmak olduğu görülmektedir. APEC Bünyesinde Gerçekleştirilen Faaliyetler Bölge ülkelerinin, verilerin korunması alanında çeşitli girişimlerde bulunduğu bir diğer platform ise Asya Pasifik Ekonomik İş birliği (Asia-Pacific Economic Cooperation-APEC) olarak karşımıza çıkmaktadır. APEC, Asya-Pasifik bölgesindeki ekonomik gelişmeyi ve refah düzeyini daha ileriye taşımak ve Asya-Pasifik Topluluğu arasındaki bağları güçlendirmek amacıyla 1989 yılında kurulmuş44 olup günümüz itibariyle 21 üye ülkeden meydana gelmektedir. Temel olarak kapsamlı bir ekonomik entegrasyonun hedeflenmesi, üye ülkeler arasındaki ticari faaliyetlerin yoğunlaşmasına, bu durum da doğal olarak APEC üye ülkeleri arasında daha yoğun bir veri akışının ortaya çıkmasına neden olmuştur. Bundan ötürü APEC, verilerin işlenmesi konusunun düzenlenmesine önem atfetmiş ve bu konuda çok çeşitli çalışmalara imza atmıştır. Bu minvalde 2004 yılında hazırlanan APEC Mahremiyet Çerçevesi (the APEC Privacy Framework) adlı çalışma, APEC bünyesindeki veri koruma faaliyetlerinin temel yapıtaşını oluşturmaktadır. En son 2015 yılında güncellenmiş olan çerçeve 42  “2021 tarihli ASEAN Yurtdışı Veri Aktarımına İlişkin Standart Sözleşme Hükümleri”, https://asean.org/ wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf, 14.06.2024. 43  “2023 tarihli AB-ASEAN Veri Aktarımı için Standart Hükümlerin Kullanımına İlişkin Ortak Kılavuzu”, https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_ en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf, 14.06.2024. 44  “Asya Pasifik Ekonomik İş birliği”, https://www.mfa.gov.tr/asya-pasifik-ekonomik-isbirligi-apec-.tr.mfa, 13.05.2024. 230 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI aracılığıyla, yukarıda işaret edildiği gibi, özellikle Asya-Pasifik ülkeleri arasındaki e-ticaret faaliyetlerinin daha güvenli bir şekilde yapılması amaçlanmıştır. APEC Mahremiyet Çerçevesi; kısaca APEC üyesi ülkelere, kişisel verilerin korunması konusunda hangi standartlara uyulması gerektiğini tavsiye eden bir belge niteliğindedir. 1980 tarihli OECD Mahremiyet İlkeleri esas alınarak hazırlanan APEC Mahremiyet Çerçevesi’nde öngörülmüş olan ilkeler, APEC üyesi ülkeler açısından herhangi bir yükümlülük doğurmamakta ve sadece bir tavsiye niteliği taşımaktadır. Bunun bir sonucu olarak da APEC üyesi ülkelerin, çerçeve içerisinde öngörülen temel ilkeleri, kendi iç hukuk sistemlerine uygulama gibi bir sorumlulukları da bulunmamaktadır. Bu durumun sonuçlardan birisi ise, APEC üyesi ülkelerin veri koruma mevzuatları ve uygulamaları arasındaki tutarsızlık olarak karşımıza çıkmaktadır. Bu durum bazı yazarlar tarafından ilgili çerçevenin, “ilgili AB müktesebatından daha zayıf bir küresel standart”45 olduğu ya da “tutarsız ve parçalı bir yapıya sahip olduğu”46 iddiasına neden olmuştur. Bu çerçevede 2015 yılında güncellenmiş olan APEC Mahremiyet Çerçevesi’nin en önemli kısmını ise “APEC Bilgi Mahremiyeti İlkeleri” (APEC Information Privacy Principles) oluşturmakta olup47 söz konusu Bilgi Mahremiyeti İlkeleri ile AB merkezli gelişen uluslararası standartlar arasında bazı açık farklar göze çarpmaktadır. GDPR, verilerin korunması konusuna çok net bir biçimde temel hak ve özgürlükler penceresinden bakarken APEC Mahremiyet Çerçevesi konuya oldukça ekonomi temelli bir açıdan yaklaşmaktadır. APEC Mahremiyet Çerçevesi; sarih bir şekilde, ekonomik büyüme ve ticareti destekleme misyonu ile kişisel verilerin korunması arasında bir denge kurmaya çalışmaktadır. Kişisel verilerin korunması konusunda APEC bünyesinde gerçekleştirilen diğer önemli bir girişim ise “Sınır Ötesi Mahremiyet Kuralları Sistemi” olarak karşımıza çıkmaktadır. Söz konusu sistemin temel hedefi; APEC Mahremiyet Çerçevesi’nin uluslararası ve sınır ötesi kapsamda uygulanmasını sağlamak için uygun bir mekanizmanın kurulması olarak belirlenmiştir.48 45  Colin J. Bennett ve Charles Raab, The Governance of Privacy Policy Instruments in Global Perspective, Routledge, Londra, 2003. 46  Graham Greenleaf, “Sheherezade and the 101 Data Privacy Laws: Origins, Significance and Global Trajectories”, Journal of Law, Information & Science, Special Edition: Privacy in the Social Networking World, Yıl 2014, Sayı 23. 47  “2015 APEC Mahremiyet Çerçevesi-Bilgi Mahremiyeti İlkeleri kısmı”, https://mddb.apec.org// Documents/2016/SOM/CSOM/16_csom_012app17.pdf, 17.05.2024. 48  “2015 APEC Mahremiyet Çerçevesi-Uluslararası Uygulama Rehberi kısmı”, https://mddb.apec.org// Documents/2016/SOM/CSOM/16_csom_012app17.pdf, 20.05.2024. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 231 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı Bahse konu sistemin temel amaçları; bilgi akışının önündeki bariyerleri azaltmak, müşteri mahremiyetini korumak ve bölge ülkelerinin veri koruma kurumları arasında birlikte çalışabilirliği teşvik etmek olarak açıklanmıştır. Uygulamada ise sistem; Asya-Pasifik bölgesinde faaliyet gösteren şirketlerin gizlilik politikaları ve uygulamalarının, üçüncü taraf bir doğrulayıcı tarafından sertifikalandırılması şeklinde çalışmaktadır. Bu şekilde verilerin korunması konusunda APEC üyesi ülkeler arasındaki farklılıkların azami düzeye indirilmesi öngörülmektedir49. Kişisel Verilerin Korunması Konusunda Bölgesel Bir Girişim Olarak APPA Yukarıda bahsi geçtiği üzere ASEAN ve APEC bünyesinde gerçekleştirilen faaliyetler söz konusu kuruluşların şemsiyesi altında ilerlemekte olup kişisel verilerin korunmasına ilişkin faaliyetler, bu uluslararası örgütlerin ilgi alanlarından sadece birini oluşturmaktadır. İşte tam bu nedenle doğrudan doğruya ve sadece veri mahremiyeti konusuyla ilgilenmek üzere bölge bazında kurulmuş olan Asya Pasifik Mahremiyet Otoriteleri Forumu (Asia Pacific Privacy Authorities- APPA) ayrı bir önem arz etmektedir. Öncelikle Avustralya ve Yeni Zelanda’nın bir araya gelmesiyle 1992 yılında kurulmuş olan APPA50, günümüzde Asya-Pasifik ülkelerinin veri koruma otoritelerinin bir araya geldiği yegâne forum olarak karşımıza çıkmaktadır. Anlaşılacağı üzere APPA bir uluslararası kuruluş değil, ilgili veri koruma otoritelerinin belirli aralıklarla bir araya gelmelerini sağlayan bir forum niteliğindedir. Bu tarz bir iş birliği sayesinde üye ülkeler birbirlerini; veri koruma düzenlemeleri, bu konuda yapılan şikayetlerin etkili bir biçimde çözümü ve mahremiyet teknolojilerine adapte olabilme konularında destekleyebilecektir. Söz konusu forum yılda iki kere toplanmakta olup üye ülke temsilcileri; sınır ötesi veri aktarımından çocukların çevrim içi güvenliğine, işçilerin gözetiminden yapay zekaya kadar pek çok farklı konuyu bu forumlarda tartışmaktadır51. 49  “Sınır Ötesi Mahremiyet Kuralları Sistemi”, https://cbprs.org/about-cbprs/, 21.05.2024. 50  Charles D. Raab, “Information Privacy: Networks of Regulation at the Subglobal Level”, https:// onlinelibrary.wiley.com/doi/full/10.1111/j.1758-5899.2010.00030.x, 07.08.2024. 51  “Asya Pasifik Mahremiyet Otoriteleri Forumu Resmî Sitesi-APPA Hakkında”, https://www.appaforum. org/about/, 25.06.2024. 232 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI APPA’nın üye yapısı; daha önce bahsi geçen Asya-Pasifik merkezli bölgesel kuruluşlarla karşılaştırıldığında önemli bir farklılık içermektedir. APPA’ya sadece Asya-Pasifik ortak coğrafyasında yer alan ülkeler değil; aynı zamanda sadece Pasifik Okyanusu’na kıyısı olan Kanada, Kolombiya, Meksika, Peru ve ABD de üye olmuş durumdadır. Asya-Pasifik ortak bölgesinden gelen üye ülkeler ise Avustralya, Çin, Hong Kong, Japonya, Güney Kore, Yeni Zelanda, Filipinler ve Singapur’dur. Asya-Pasifik bölgesinde yer alan bir ülkenin APPA’ya katılım sağlayabilmesi için belirlenmiş olan üç şarttan sadece birini yerine getirmesinin yeterli olduğu görülmektedir. Küresel Mahremiyet Asamblesi’nin (Global Privacy Assembly)52 akredite üyelerinden biri olmak, APEC Sınır Ötesi Mahremiyet Uygulama Düzenlemesi’nin (APEC Cross-Border Privacy Enforcement Arrangement)53 bir katılımcısı olmak ve Küresel Mahremiyet Uygulama Ağı’nın (Global Privacy Enforcement Network)54 bir üyesi olmak, APPA’ya katılım sağlanabilmesi için belirlenmiş olan üç seçimlik şartı oluşturmaktadır. 2010 yılında düzenlenmiş olan APPA Hedefler Beyannamesi (APPA Statement of Objectives)55, 2014 tarihinde oluşturulan ve APPA üye ülke veri koruma otoriteleri arasında personel değişimini öngören APPA Geçici Görevlendirme Çerçevesi (APPA Secondment Framework)56 ile çeşitli alanlarda kurulan çalışma grupları57 APPA’nın en önemli faaliyetlerini oluşturmaktadır. 52  “44. Küresel Mahremiyet Asamblesi Resmi İnternet Sitesi-GPA Hakkında”, https://gpaturkiye2022.org/ page/3/GPA%2DHakk%C4%B1nda, 26.06.2024. 53  “Asya Pasifik Ekonomik İş birliği Resmi İnternet Sitesi”, https://www.apec.org/groups/committee-on- trade-and-investment/digital-economy-steering-group, 15.05.2024. 54  “Küresel Mahremiyet Uygulama Ağı Resmi İnternet Sitesi”, https://www.privacyenforcement.net/ node/1, 26.06.2024. 55  “Asya Pasifik Mahremiyet Otoriteleri Forumu Resmi İnternet Sitesi-Hedefler Beyannamesi”, https:// www.appaforum.org/statement-of-objectives/, 01.07.2024. 56  “Asya Pasifik Mahremiyet Otoriteleri Forumu Resmi İnternet Sitesi-APPA Geçici Görevlendirme Çerçevesi-PDF Versiyonu”, https://www.appaforum.org/wp-content/uploads/2019/10/appa- secondment-framework.pdf, 01.07.2024. 57  Haberleşme Çalışma Grubu (APPA Communications Working Group), Karşılaştırmalı Mahremiyet İstatistikleri Çalışma Grubu (APPA Comparative Privacy Statistics Working Group) ve Teknoloji Çalışma Grubu (APPA Technology Working Group). ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 233 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı SONUÇ Toplumların kişisel verilerin korunması yönündeki talepleri, çalışmada da belirtildiği üzere, 20. yüzyıl’ın ortalarından itibaren güçlü bir şekilde ortaya çıkmış ve bu minvalde Avrupa kıtası hem ulusal hem uluslararası düzlemde kişisel verilerin korunması hukukunun oluşturulmasında öncü rolü üstlenmiştir. Bu çerçevede özellikle AB’nin bu konudaki çalışmaları, sadece kıtaya değil, dünya üzerindeki çok sayıda ülkeye rehberlik etmeye devam etmektedir. Ancak verilerin korunması hususu elbette sadece Avrupa ve ABD ile sınırlı kalmamış, dünyanın pek çok farklı bölgesinde bulunan çok sayıda ülke de bu konuda ilerleme kaydetmeye çalışmıştır ki bu bölgelerden önemli bir tanesini de Asya- Pasifik alanı oluşturmaktadır. Ancak Asya-Pasifik bölgesinde kişisel verilerin korunması hukukunun gelişimi, başta Avrupa ülkeleri olmak üzere gelişmiş ülkelerle aynı hızda ve düzeyde ilerlememiştir. Elbette bu durumun çeşitli nedenleri bulunmakta olup bunlardan en önemlisi özellikle Soğuk Savaş döneminde bölgede insan hakları vizyonunun yeterince gelişmemiş olması olarak gösterilebilir. Her ne kadar ilgili dönemde Asya-Pasifik bölgesindeki pek çok ülkenin anayasasında genel olarak mahremiyetin korunmasına ilişkin hükümler bulunsa da bu hükümlerin pratiğe dökülmesi çok da kolay olmamıştır. Dolayısıyla daha en temel insan haklarının korunması konusunda yeterli gelişmeyi sağlayamayan pek çok Asya-Pasifik ülkesi, haliyle kişisel verilerin korunması gibi daha ileri düzeyde bir hakkın gelişimi hususunda geride kalmıştır. Bu çerçevede 1980’li ve 1990’lı yıllardan itibaren bölgede başlayan demokratikleşme trendi, pek çok bölge ülkesinin bir hukuk devleti olma yolunda önemli adımlar atmasını sağlamış ve böylece dolaylı da olsa kişisel verilerin korunması konusu Asya-Pasifik bölgesinin daha fazla gündemine girmiştir. Ancak kabul etmek gerekir ki kişisel verilerin korunması hukukunun bölgede gelişmesinde daha fazla etkili olan unsur, Asya-Pasifik bölge ülkelerinde meydana gelen ekonomik gelişmelerdir. Küresel ekonomik sistemle daha fazla etkileşime geçen Asya-Pasifik pazarı, bu durumun bir sonucu olarak daha fazla veri aktarımının gerçekleştirildiği bir bölge haline gelmiştir. Teknolojideki hızlı gelişim ise bu ticaret odaklı veri akışını daha da kuvvetlendirmiştir. Asya-Pasifik bölgesinde yer alan hem kamusal hem de ticari aktörler; artan bir oranda elektronik ticaretle, sınırsız veri aktarımıyla ve veri tabanlarına uzaktan erişimle karşı karşıya kalmıştır. 234 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Dolayısıyla bu durum Asya-Pasifik ülkelerinin, veri güvenliğinin sağlanması ve kişisel verilerin korunması hukukunun geliştirilmesi yönünde adımlar atmasını zorunlu hale getirmiştir. Bu zorunluluğun farkında olan Asya-Pasifik bölgesinin önemli uluslararası kuruluşlarından olan ASEAN ve APEC, kendi bünyeleri nezdinde verilerin korunmasına ilişkin çeşitli girişimlerde bulunarak, başta kendi üyeleri olmak üzere bölge ülkelerinin konu hakkındaki farkındalığını arttırmaya çalışmıştır. Hem ASEAN ve APEC kuruluşları hem de Asya-Pasifik bölge ülkeleri, kendi mevzuatlarına kişisel verilerin korunması konusunu entegre ederken öncelikle OECD tarafından yapılan çalışmaları esas almıştır. Bu durum özellikle OECD’nin, küresel yapısı sayesinde dünyanın pek çok bölgesine hitap ediyor oluşuyla yakından ilgilidir. Ancak daha sonra AB tarafından çok kapsamlı olarak hazırlanan ve güncellenmeye devam edilen düzenlemeler ve bu düzenlemeleri uygulamak için oluşturulan mekanizmalar da Asya-Pasifik ülkelerine rehberlik etmeye devam etmiştir. Bu rehberliğin sonucunda, veri mahremiyetine yönelik farkındalık Asya- Pasifik bölgesinde oldukça ilerlemiş ve bunun bir yansıması olarak doğrudan verilerin korunması amaçlı bir bölgesel kuruluş olan APPA hayata geçirilmiştir. Bunun yanında bölge ülkelerinin kültürel, idari ve hukuki alandaki kendilerine has özellikleri, Avrupa’dan farklı bazı uygulamaların bölgede karşımıza çıkmasını sağlamıştır. Anglo-Sakson kültürün bölgedeki etkisiyle Asya-Pasifik’te “veri mahremiyeti” veya “mahremiyet hukuku” gibi ifadelerin daha sık kullanılması, veri ihlali kapsamında ortaya çıkan uyuşmazlıkların çözümü için tarafların öncelikle “arabuluculuk” gibi alternatif çözüm yollarına yönlendirilmesi ve bazı bölge otoritelerinin Avrupa’dakilerin aksine doğrudan para cezası uygulayamaması bölgeye ait özelliklere örnek teşkil etmektedir. Sonuç itibariyle; 20. yüzyılda özellikle Avrupa’da mevzuatıyla ve kurumlarıyla filizlenen kişisel verilerin korunması hukuku, kademe kademe de olsa çeşitli evreler sonucunda yansımalarını Asya-Pasifik bölgesinde göstermiştir. Küreselleşme ve bunun ekonomik boyutu, ilgili süreci daha da hızlandırmış ve nihayetinde hem bölgesel örgütler hem de bölge ülkeleri nezdinde kişisel verilerin korunması yönünde önemli çalışmalar yapılmıştır. Bu çalışmalarda Avrupa kaynaklı düzenlemeler esas alınsa da, bölge ülkeleri kendi ihtiyaçlarını, önceliklerini ve bakış açılarını kendi mevzuatlarına ve uygulamalarına yansıtmıştır. Böylece kişisel verilerin korunması hukuku açısından Asya-Pasifik bölgesinde; Avrupa kaynaklı düzenlemelerin, Anglo-Sakson hukukunun ve yerel kültürlerin etkisinin bir arada olduğu bir melez alan ortaya çıkmıştır. ASYA PASİFİK BÖLGESİNDE KİŞİSEL VERİLERİN KORUNMASI 235 Kerim Onur SAVRAN / Kişisel Verileri Koruma Uzmanı KAYNAKÇA ANDERSON, Kent ve RYAN, Trevor, “Japan: The Importance and Evolution of Legal Institutions at the Turn of the Century”, Law and Legal Institutions of Asia: Traditions, Adaptations and Innovations, Derleyen: E. Ann Black ve Gary F. Bell, Cambridge University Press, 2011. APEC, https://www.apec.org/about-us/about-apec/mission-statement, 13.05.2024. APEC Sınır Ötesi Mahremiyet Kuralları Sistemi, https://cbprs.org/about-cbprs/, 21.05.2024. APPA, https://www.appaforum.org/, 02.02.2024. ASEAN, https://asean.org, 18.03.2024. ASIA, Tann, “Data Management for Businesses: Launch of ASEAN Data Management Framework and Model Clauses on Data Transfer”, https://www. lexology.com/library/detail.aspx?g=8d070e4b-5817-42de-bd54-c17159af8571, 14.06.2024. Avustralya Bilgi Komisyonerliği Ofisi, https://www.oaic.gov.au/, 01.03.2024. Avustralya Mahremiyet Yasası (1988), https://www.legislation.gov.au/ C2004A03712/latest/text, 26.02.2024. BENNETT, Colin J. ve RAAB, Charles, The Governance of Privacy Policy Instruments in Global Perspective, Routledge, Londra, 2003. Ç i n K i ş i s e l Ve r i l e r i n K o r u n m a s ı K a n u n u ( 2 0 2 1 ) , h t t p s : / / personalinformationprotectionlaw.com/PIPL/article-66/, 11.03.2024. Endonezya Kamuoyu Bilgilendirme Kanunu, https://www.peraturan.go.id/ files2/uu-no-14-tahun-2008_terjemah.pdf, 21.03.2024 Filipinler Anayasası (1987), https://www.officialgazette.gov.ph/constitutions/1987- constitution/, 25.03.2024. Filipinler Veri Mahremiyeti Kanunu, https://privacy.gov.ph/data-privacy- act/#w3, 25.03.2024. GREENLEAF, Graham, Asian Data Privacy Laws: Trade & Human Rights Perspectives, Oxford Yayıncılık, New York, 2014. 236 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI GREENLEAF, Graham, “Korea’s New Act: Asia’s Toughest Data Privacy Law”, Privacy Laws & Business International Report, Yıl 2012, Sayı 117. GREENLEAF, Graham, “Sheherezade and the 101 Data Privacy Laws: Origins, Significance and Global Trajectories”, Journal of Law, Information & Science, Special Edition: Privacy in the Social Networking World, Yıl 2014, Sayı 23. Güney Kore Kişisel Verilerin Korunması Kanunu (2011), https://www.pipc. go.kr/eng/user/lgp/law/lawDetail.do, 10.04.2024. HORSLEY, Jamie P., “Behind the Facade of China’s Cyber Super-Regulator”, https://digichina.stanford.edu/work/behind-the-facade-of-chinas-cyber-super- regulator/, 11.03.2024. Japonya Kişisel Bilginin Korunması Kanunu, https://www.ppc.go.jp/files/pdf/ Act_on_the_Protection_of_Personal_Information.pdf, 12.04.2024. Küresel Mahremiyet Uygulama Ağı, https://www.privacyenforcement.net/ content/home-public, 26.06.2024. KWON, Youngjoon, “Korea: Bridging the Gap between Korean Substance and Western Form”, Law and Legal Institutions of Asia: Traditions, Adaptations and Innovations, Derleyen: E. Ann Black ve Gary F. Bell, Cambridge University Press, 2011. Malezya Kişisel Verilerin Korunması Kanunu, https://www.pdp.gov.my/jpdpv2/ assets/2019/09/Personal-Data-Protection-Act-2010.pdf, 19.04.2024. RAAB, Charles D., “Information Privacy: Networks of Regulation at the Subglobal Level”, https://onlinelibrary.wiley.com/doi/full/10.1111/j.1758- 5899.2010.00030.x, 07.08.2024. Singapur Kişisel Veri Koruma Kanunu, https://sso.agc.gov.sg/Act/PDPA2012, 25.04.2024. WALTERS, Robert, TRAKMAN, Leon ve ZELLER, Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches, Springer, Singapur, 2019. WANG, Jiangyu, “China: Legal reform in an emerging socialist market economy”, Law and Legal Institutions of Asia: Traditions, Adaptations and Innovations, Derleyen: E. Ann Black ve Gary F. Bell, Cambridge University Press, 2011. Yeni Zelanda Mahremiyet Yasası (2020), https://www.legislation.govt.nz/act/ public/2020/0031/latest/LMS23223.html, 29.04.2024. DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI 237 Derya Vildan BAŞARAN / Kişisel Verileri Koruma Uzmanı DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI Derya Vildan BAŞARAN Kişisel Verileri Koruma Uzmanı “Bu çalışma, 09.12.2024 tarihinde kabul edilen “Dijital Kimlik Düzenlemelerinde Kişisel Verilerin Korunması ve Mahremiyet” başlıklı uzmanlık tezinden alınmıştır.” GİRİŞ Kimlik (ing. Identity) terimi, ayniliği ve sürekliliği içeren Latince “idem” kökünden türetilmiştir1. İnsan topluluklarının temel yapı taşlarından biri olan kimlikler, kişilerin kişisel özellikleri, inançları, kültürel bağlantıları ve yaşam deneyimleri tarafından şekillendirilmekte ve bir kişiyi diğerinden benzersiz şekilde ayırt etme görevini üstlenmektedir. Hukukta herkes kişi olarak tanınma2 ve hiçbir ayrımcılığa maruz kalmadan kanun önünde eşit muamele görme hakkına sahiptir3. Benzer şekilde, her çocuk doğduğu anda kayıt altına alınma hakkına sahiptir4. ‘Yasal kimlik’ kavramı, İnsan Hakları Evrensel Beyannamesi’nin “Herkes nerede olursa olsun, yasalar önünde kişi olarak tanınma hakkına sahiptir.” 1  Ramazan Sami Dalbay, “Kimlik ve Toplumsal Kimlik Kavramı”, Süleyman Demirel Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, Sayı 31, Yıl 2018, s. 162. 2  Madde 6, İHEB; Madde 16, MSHUS; Madde 24, AİHS; Madde 3, ACHPR. 3  Madde 1, 2 ve 7, İHEB; Madde 26, MSHUS; Madde 14, AİHS; Madde 1, ACHR; Madde 2, ACHPR 4  Madde 24, ICCPR; Madde 7, CRC 238 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI hükmünü içeren 6’ncı maddesinden geliştirilmiştir5. Bu kapsamda, birçok ülke tarafından esas olarak kişinin kanun önünde ve devletler karşısında ‘yasal kimliğinin’ doğruluğunu tasdik etmek amacıyla kişiler hakkında özel nitelikli kişisel veriler de dahil olmak üzere bir dizi kişisel veriyi işleyen ulusal kimlik programları benimsenmiştir. 2016 yılında G20’de, “Dijital Finansal Kapsayıcılık için Üst Düzey İlkeler” onaylanmış ve özellikle ‘dünya çapında hükümetlerin, kimliğin günlük yaşam için temel bir gereklilik olarak önemini kabul etmeleri’ istenmiştir6. Dünya Bankası Grubu’nun Kalkınma için Kimlik Belirleme Girişimi (Identification For Development-ID4D) küresel veri setinde, 2018 yılı itibarıyla dünya çapında temel kimlik belgesine sahip olmayan 1 milyar insanın bulunduğu ve 2026 yılına kadar 850 milyondan fazla vatandaşın bir tür mobil kimlikle donatılacağı tahmin edilmektedir7. Bu küresel kimlik açığı, birçok düşük gelirli ülkenin, insanların doğum, evlilik ve ölüm gibi hayati olaylarını kaydedebilen, iyi tanımlanmış bir sivil kayıt sisteminden yoksun olmasının bir sonucudur8. Dolayısıyla, güçlü kimlik belirleme sistemlerine olan ihtiyacın bugün en üst seviyelerde olduğunu söylemek yanlış olmayacaktır. Birleşmiş Milletler, 2030’a kadar herkese yasal kimlik sağlanması hedefini Sürdürülebilir Kalkınma Hedefleri arasına Hedef 16.9’a (SDG 16.9) dahil etmiştir9. SDG 16.9 ve Kimlik İlkeleri ile yaşları, uyrukları veya nerede doğdukları ne olursa olsun tüm kişilerin yasal kimlik kanıtlarına erişiminin olması gerektiği öngörülmüştür10 . 23 Ocak 2023 tarihli Avrupa Birliği Resmî Gazetesinde yayınlanan “Dijital On Yıl İçin Dijital Hak ve İlkeler Deklarasyonu” (Declaration on Digital Rights and Principles for the Digital Decade) ile 2030 yılına kadar tüm temel kamu 5  “İnsan Hakları Evrensel Beyannamesi”, Birleşmiş Milletler, https://www.un.org/en/about-us/universal- declaration-of-human-rights. 04.09.2023. 6  “G20 Digital Identity Onboarding”, The World Bank Group, https://www.gpfi.org/sites/gpfi/files/ documents/G20_Digital_Identity_Onboarding.pdf. 04.09.2023 7  “Identification For Development”, https://id4d.worldbank.org/guide/why-id-matters-development. 04.09.2023 8  “Identification For Development”, https://id4d.worldbank.org/guide/why-id-matters-development. 04.09.2023 9 Crishantha Nanayakkara, “Digital Identity [Part 1]-Concepts”, https://crishantha.medium.com/digital- identity-part-1-7baf0d76212f, 04.09.2023 10  “Identification For Development”, https://id4d.worldbank.org/guide/1-principles. 04.09.2023 DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI 239 Derya Vildan BAŞARAN / Kişisel Verileri Koruma Uzmanı hizmetlerinin çevrimiçi olarak sunulması ve herkesin çevrimiçi sağlık kayıtlarına erişebilmesi, dijital kamu hizmetlerine erişirken ve bunları kullanırken hiç kimseden gereğinden fazla kişisel veri talep edilmemesi, Avrupa Birliği’nde yaşayan insanlara, çeşitli çevrimiçi hizmetlere erişim sağlayan ihtiyari ve güvenilir bir dijital kimlik kullanma imkânının sunulmasının hedeflendiği görülmektedir. Avrupa Konseyi tarafından 2023 yılında yayınlanan “Ulusal Dijital Kimlik Rehberi” ile kurallar ve güvenceler için temel bir yasal zemin sağlamak üzere öncelikle 108+ sayılı Sözleşme ile uyumlu bir ulusal veri koruma kanununun oluşturulmasının şiddetle tavsiye edildiği anlaşılmaktadır11. Bu çerçevede, ulusal bir veri koruma kanununun varlığı dijital kimliğin uygulamaya konulması için bir ön koşul olarak görülmektedir. Avrupa Komisyonu Başkanı Ursula Von Der Leyen’in, “2020 Birliğin Durumu” konuşmasında şunları söylediğini görmekteyiz: “Bir uygulama veya web sitesi bizden yeni bir dijital kimlik oluşturmamızı veya büyük bir platform aracılığıyla kolayca oturum açmamızı istediğinde, gerçekte verilerimize ne olacağı hakkında hiçbir fikrimiz yok. Bu nedenle Komisyon güvenli bir Avrupa e-kimliği önerecektir. Güvendiğimiz ve her vatandaşın Avrupa’nın herhangi bir yerinde vergi ödemekten bisiklet kiralamaya kadar her şeyi yapmak için kullanabileceği bir şey. Hangi verinin nasıl kullanılacağını kendimiz kontrol edebildiğimiz bir teknoloji.12” Ülkemizde ise 2018 yılı, dijital kimlik sistemlerinin gelişiminde önemli bir dönüm noktası olmuş ve bu süreçte dijital ehliyetler, mobil kimlik uygulamaları ve dijital pasaportlar gibi örnekler dikkat çekmiştir13. Türkiye’de dijital kimlikle ilgili henüz özel bir düzenleme bulunmamakla birlikte, dijital kimliğin temellerinin 2004’te yürürlüğe giren 5070 sayılı Elektronik İmza Kanunu ile atıldığı söylenebilecektir. Bu kanun, güvenli elektronik imza, zaman damgası ve elektronik sertifika gibi kavramları kapsamlı bir şekilde düzenlemektedir. Ayrıca, mobil elektronik imza konusu da bu kanun çerçevesinde ele alınmaktadır. 11  “Guidelines on National Digital Identity”, Council of Europe, 2023, https://edoc.coe.int/en/data- protection/11578-guidelines-on-national-digital-identity.html. 04.09.2023 12  “Digital Identity For All Europeans”, https://commission.europa.eu/strategy-and-policy/ priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en 04.09.2023 13  Blockchain Türkiye, Dijital Kimlik Raporu, https://bctr.org/wp-content/uploads/2019/04/Dijital-Kimlik- Raporu.pdf, 2019. 240 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Öte yandan, teknoloji, bireylerin dijital dünyada etkin bir şekilde var olmalarını sağlarken, aynı zamanda kişisel verilerin elde edilmesi, işlenmesi ve saklanması konusunda yeni sorunlar ve riskler ortaya çıkarmıştır. Dolayısıyla, kişisel verilerin korunması konusu, teknolojik gelişmelerin ve dijital kimliklerin yaygınlaşmasının merkezinde yer almaktadır. Türkiye’de bu konu, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde düzenlenmektedir. Bu çerçevede, dijital kimliklerin güvence altına alınmasının, teknoloji ve bireysel haklar arasındaki dengeyi bulma çabasının bir yansıması olduğu söylenebilecektir. Blokzincir Teknolojisinin Dijital Kimlik Yönetiminde Kullanımı isimli çalışmada da dijital kimlik yönetimindeki sorunlu alanların çözümü için blokzincir teknolojisinin güvenlik, şeffaflık, anonimlik, merkezi otoriteye ihtiyaç duymama ve mahremiyet gibi özelliklerinin öneminin vurgulandığı belirtilmiştir14. Bu kapsamda, mevcut uygulama ve düzenlemelerde, dijital kimlik sistemlerinde blokzincir tabanlı sistemlerin kullanılmasının öngörüldüğü yönünde baskın bir görüş birliğinin bulunduğu dikkate alınarak bu çalışmada, dijital kimlik düzenlemelerinde kişisel verilerin korunması blokzincir tabanlı dijital kimlik sistemleri açısından ele alınacak ve dijital kimlik düzenlemelerinin uluslararası düzeyde kişisel verilerin korunmasına yönelik nasıl geliştirildiği ve uygulandığı konusunda bir perspektif sunularak blokzincir tabanlı dijital kimlik sistemlerine ilişkin düzenlemeler ile mevcut ulusal yasal düzenlemelerin nasıl uyumlu hale getirilebileceği veya nasıl geliştirilebileceği hususları değerlendirilecektir. DİJİTAL KİMLİK Dijital kimlik, kişinin kimliğine ilişkin bir iddiayı desteklemek için elektronik olarak sunulan bir kimlik bilgisi biçimidir. Dolayısıyla, dijital kimliğin, bir bireyin veya varlığın elektronik ortamdaki temsilini ifade ettiği söylenebilir. Fiziksel bir kimlik belgesinin dijitalleştirilmiş versiyonu gibi bir varlık veya iddianın kabul edilebilir kanıtını oluşturan bir dizi özellik biçimi şeklinde ifade edilebilmektedir. 14  Çetin Karahan-Aslıhan Tüfekçi, “Blokzincir Teknolojisinin Dijital Kimlik Yönetiminde Kullanımı: Bir Sistematik Haritalama Çalışması”, Politeknik Dergisi, Sayı 23, Yıl 202, s. 493. DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI 241 Derya Vildan BAŞARAN / Kişisel Verileri Koruma Uzmanı Dijital kimliğin, bir kişinin en iyi gerçek çevrimiçi kimliğini temsil ettiğini söylemek yanlış olmayacaktır. Kişiye ait görseller, satın alma kararları, web sitesi kullanım eğilimleri ve banka hesabı bilgileri gibi sınırsız olabilecek bilgileri dijital kimliğin bir parçasını oluşturmaktadır. Bu kapsamda dijital kimlik, belgenin amacı doğrultusunda, çevrimiçi bir işlemde yer alan bir öznenin benzersiz bir temsili olarak tanımlanmaktadır. Dijital kimlikler, kimlik motorları olarak adlandırılan ön yüklenmiş yazılım uygulamalarına sahip olan kullanıcıların kişisel cihazları içerisinde korunaklıdır ve sanallaştırılmıştır15 . Herhangi bir dijital hizmeti kullanmak için kullanıcıların, kimlik bilgileriyle sağlayıcının internet sitesinde kimlik doğrulaması yapması gerekmektedir. Kayıt olma ve daha sonra giriş yapma prosedürleri neredeyse internet sitelerinin sayısını bulmaktadır. Bu nedenle, kullanıcılar sayısız oturum açma bilgilerine ve hesaplara sahip olmaktadır. Bugün dijital kimlik, çevrimiçi olarak kullanılan Google, Microsoft veya Facebook kimliği gibi ortak bir kimliğe karşılık gelmektedir. Kullanıcı deneyimi açısından çok sayıda dijital hizmet sağlayıcı, Google, Facebook ve Apple gibi sosyal hesaplar aracılığıyla kimlik doğrulamaya izin vermektedir. Google’ın yardımıyla Galaxus’un sosyal hesap girişindeki örneğe16 bakacak olursak; “Kullanıcılar, Galaxus’a uğrayarak alışveriş yapmak isterlerse ister sıfırdan ister mevcut Google hesapları üzerinden Galaxus hesabı açabilirler. Bunun nedeni, Google’ın kimlik sağlayıcı (IdP) ve Galaxus’un da Google’a güvenen hizmet sağlayıcı olarak hareket etmesidir. Bunun avantajı açıktır: Kullanıcılar Google üzerinden giriş yaparak zamandan tasarruf eder ve yalnızca tek bir hesabı yönetmek zorunda kalırlar. Dijital evrende yaygın olarak kabul edilen bir şey. Hiç de şaşırtıcı değil, bir dezavantajı da var: Google, kullanıcıların Galaxus’a ne sıklıkta giriş yaptığını tam olarak biliyor.” Görüldüğü üzere Google, Galaxus kullanıcılarına kolay giriş imkânı sunarken aynı zamanda kullanıcıların siteyi ne sıklıkta kullandıkları gibi önemli bir veriyi de elde edebilmektedir. Dolayısıyla, dijital kimliklerin güvenilir bir şekilde 15 Sevgi Kavut, “Eleştirel Söylem Analizi Bağlamında Haber Sitelerinde Dijital Kimlik Başlıklı Haberlerin İncelenmesi”, International Journal of Cultural and Social Studies (IntJCSS), Sayı 7, Yıl 2021, s.128. 16  “Digital identity: The Complete Guide to Digital Identification”, https://www.adnovum.com/blog/ digital-identity. 23.11.2023 242 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI çalışabilmesi ve sağladıkları faydalardan yararlanılabilmesi için dengeli bir ekosistemin gerekli olduğu söylenebilecektir. Bu ekosistemin güven, güvenlik ve şeffaflıkla karakterize edilmesi gerekmektedir. Dijital kimlik, blokzincir teknolojisinin bir örneği olarak hizmet verirken, aynı zamanda blokzincirin diğer uygulamaları ve birçok dijital hizmet için kolaylaştırıcı bir rol oynamaktadır. Günümüzde, devletler de kimliği belirlenemeyenlere kimlik vermek ve vatandaşların kişisel verilerini korumak için dağıtılmış defter teknolojisine yönelmektedir. Estonya’da halihazırda blokzincir teknolojisine dayalı dijital kimlikler kullanılırken, Hollanda, Amerika Birleşik Devletleri, İsviçre, Lüksemburg ve Avustralya gibi birçok ülke de bu teknolojiyi dijital kimliklerde kullanmak için pilot çalışmalar yürütmektedir17. Ülkemizde, blokzincir ve yapay zekâ teknolojilerinin dijital kimliğe katkılarına yönelik örnek uygulama çalışmalarının arttığı görülmektedir. Örneğin, Turkcell’in dijital ödeme platformu olan Paycell, dijital kimlik özelliğini tanımlayarak kullanıcılarına nüfus cüzdanı veya ehliyet ile son 3 aya ait fatura ile dijital kimlik doğrulaması yapma imkânı sunmuştur18. Bu sayede, banka veya şubeye gitmeye gerek kalmadan, yapay zekâ sistemiyle bir dakika gibi kısa bir sürede dijital kimlik doğrulamasının gerçekleştirilebileceği açıklanmıştır19. DİJİTAL KİMLİK YÖNETİM MODELLERİ Dijital kimlik yönetimi, çeşitli kimliklere ait kayıtların yönetilmesi anlamına gelmektedir20. Kimlik yönetimi, dijital kimliklerin oluşturulması, gerekli durumlarda değiştirilmesi ve güncellenmesi ya da aktarılması, ayrıca silinmesi gibi faaliyetlerin tümünü içeren bir süreci ifade etmektedir. Dijital kimliklerin, sadece bireyleri değil aynı zamanda cihazları, kuruluşları ve uygulamaları da temsil edebilmesi mümkün görünmektedir. Bu nedenle, dijital kimlik yönetimi, bir sistem içindeki belirli görevleri yürütmek için izinleri ve yetkileri yöneten genel bir katman olarak görülmektedir. 17  Çetin Karahan-Aslıhan Tüfekçi, “Blokzincir Teknolojisinin Dijital Kimlik Yönetiminde Kullanımı: Bir Sistematik Haritalama Çalışması”, Politeknik Dergisi, Sayı 23, Yıl 202, s. 484. 18  Sevgi Kavut, “Kimliğin Dönüşümü: Dijital Kimlikler”, Selçuk İletişim Dergisi, Sayı 13, Yıl 2020, s.999. 19 “Paycell’den dijital kimlik doğrulama hizmeti”, https://www.aa.com.tr/tr/sirkethaberleri/bilisim/paycellden- dijital-kimlik-dogrulama-hizmeti/653964#. 13.12.2023 20  Lukas Stockburger-Georgios Kokosioulis-Alivelu Mukkamala-Raghava Rao Mukkamala-Michel Avital, “Blockchain-enabled Decentralized identity management: The case of self-sovereign identity in public transportation”, Blockchain: Research and Applications, Sayı 2, Yıl 2021, s.3. DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI 243 Derya Vildan BAŞARAN / Kişisel Verileri Koruma Uzmanı Çoğu çevrimiçi kimliğin, kullanıcıların her bir çevrimiçi hizmet için ayrı kimlik ve parola oluşturarak kayıt olunan merkezi kimlik sistemine dayandığı bilinmektedir. Böyle bir durum, her hizmet için farklı kimlik ve şifre kullanmanın zorluğunu beraberinde getirmekte ve güvenlik risklerini de artırabilmektedir. Tek oturum açma (Single Sign-On, SSO), söz konusu sorunu çözen bir yaklaşım olarak ortaya çıkmış olup üçüncü taraf kimlik doğrulama sağlayıcıları aracılığıyla tek bir hesapla birden çok hizmete giriş yapma imkânı sunmaktadır21. Dijital kimlik sistemleri giderek daha karmaşık bir teknoloji ortamına erişim sağlamak zorunda olduğu için dijital kimlik yönetim modelleri, merkezi sistemlerden daha federatif ve hatta merkezi olmayan çözümlere doğru evrim geçirmektedir. Genel görüşe göre, merkezi olmayan kimlik sistemleri, taşınabilirlik ve kullanıcı kontrolü avantajları sağlayarak farklı uygulamalarda daha esnek bir kullanım sunabilmektedir22. Dijital kimlik yönetiminin, merkezi, federe, merkezi olmayan (dağıtık) ve kendi kendine egemen (kullanıcı egemen) olmak üzere dört farklı yönetim modelinde gerçekleştirilebildiği görülmekte olup Blockchain Türkiye tarafından 2019’da yayınlanan Dijital Kimlik Raporu’nda aşağıdaki şematiğe yer verilmiştir: Merkezi Federe Dağıtık Kullanıcı Egemen Tablo 123 : Şemada, dijital kimlik yönetim modeli için 4 farklı yöntemin bulunduğu, bunlardan merkezi olanda; veri sahipliği ve kontrolünün tek bir merkezde olduğu, diğer tüm paydaşların veriyi merkezi bir veri tabanına gönderdiği ve buradan kullandığı, federe olan ise; veri sahipliği ve kontrolün belirli paydaşların yetki alanında olduğu, ancak nihai kontrolün merkezi bir otorite tarafından sağlandığı, dağıtık olanda; veri sahipliği ve kontrolün kullanıcıya ait olduğu, paydaşların, kullanıcı izni ve onayı ile verileri kullanıp 21  a.g.e. 22  a.g.e. s.1. 23  Blockchain Türkiye, “Dijital Kimlik Raporu”, https://bctr.org/wp-content/uploads/2019/04/Dijital- Kimlik-Raporu.pdf, 2019. 244 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI paylaşabileceği, kullanıcı egemen olanda ise; veri sahipliği ve kontrolün tamamen kullanıcıya ait olduğu, paydaşların herhangi bir veriyi elinde bulundurmadığı modeller olduğu anlatılmaktadır. Merkezi Kimlik Yönetim Modeli Merkezi kimlikler, bir merkezi otorite veya üçüncü taraf şirket tarafından genellikle belirli bir amacı sağlamak üzere düzenlenen ve kontrol edilen kimliklerdir24. Bu sistemler, genel olarak kimlikleri düzenleyen otoriteye daha fazla güç vermekte ve kullanıcıların kontrolünü sınırlayabilmektedir. Ayrıca, birçok internet sitesi ve çevrimiçi hizmet, kullanıcıları ayrı kimlikler oluşturmaya zorlayarak veri yığınlarına yol açabilmekte, bu da kullanıcılara daha az ve hizmet sağlayıcılara daha fazla kontrol sağlayabilmektedir. Merkezi sistemler, dijital kimlikleri siber saldırılara ve gizlilik ihlallerine karşı savunmasız hale getirebilmektedir. Bu sistemlerde, kullanıcı verileri genellikle tek bir merkezi yerde depolandığı için bilgisayar korsanları büyük miktarda veriye erişebilmektedir. Bu durum, kimlik hırsızlığı gibi siber saldırıları kolaylaştırabilecektir. Dijital kimliğin çevrimiçi dünyasının merkezi otoritelere devredilmesi, kullanıcıları tek bir otoriteye kilitleme riski taşımakta olup kullanıcıların kimliklerini inkâr etme veya sahte kimlik doğrulama potansiyelini de beraberinde getirmektedir. Merkezi otoritelerin kontrolü altındaki dijital kimliklerin çoğalması, kullanıcıların farklı sitelerde birden çok kimliği yönetmekle uğraşmasına da yol açmaktadır. Örneğin, Türkiye’de tüm vatandaşların kimlik verileri Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünde (NVİGM) saklanır ve NVİGM tarafından yönetilir. NVİGM, e-devlet sistemi üzerinden hizmet sağlayan başka kuruluşların hizmetlerine erişmek için kimlik doğrulama hizmeti sağlar. Bu gibi merkezi sistemler çok büyük bir kitlenin kimlik verilerini sakladığından, siber saldırılar için çekici hedefler hâline gelmektedir. Ayrıca kimlik verilerinin yönetiminde ve paylaşılmasında kimlik sahibi kullanıcının kontrolü az olduğundan mahremiyet ve veri kontrolü konusunda zayıftır25. 24  Lukas Stockburger-Georgios Kokosioulis-Alivelu Mukkamala-Raghava Rao Mukkamala-Michel Avital, “Blockchain-enabled Decentralized identity management: The case of self-sovereign identity in public transportation”, Blockchain: Research and Applications, Sayı 2, Yıl 2021, s.3. 25  Ömer Doğan-Hacer Karacan, “Türkiye’deki e-Ticarete Özgü Blokzincir Tabanlı Dijital Kimlik Güven Çerçevesi Önerisi”, Bilgi Yönetimi Dergisi, Sayı 2, Yıl 2022, s.261. DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI 245 Derya Vildan BAŞARAN / Kişisel Verileri Koruma Uzmanı Federe Kimlik Yönetim Modeli Merkezi dijital kimlik modelinin ortaya çıkardığı sorunlar nedeniyle federe kimlikler gündeme gelmiştir. Birden çok bilişim teknolojisi hizmetinde ve farklı kuruluşlarda kullanılabilen, kullanıcılara aynı kimlik bilgilerini kullanarak bir federasyon oluşturma olanağı tanıyan bir konsepttir. Tek oturum açma veya SSO olarak bilinen bu sistemde kullanıcılar, Google hesap bilgilerini kullanarak YouTube ve diğer uygulamalara giriş yapabilmektedir26. Bu yöntem, daha kullanışlı olarak görülse de parolanın çalınması durumunda tüm sitelere erişim riskini de beraberinde taşımaktadır.

olarak tanımlanmıştır56. Açık anahtarlar, takma adlandırmadan farklı olarak bu durumu geri döndürülemez şekilde yapmaktadır. Uygulamada hem açık ve izinsiz hem de özel ve izinli blokzincirlerde açık anahtarların tanımlanmış veya tanımlanabilir bir gerçek kişinin kimliğinin tespit edilmesini sağlayabileceği ortaya koyulmaktadır. Bu kapsamda, örneğin, ilgili kişilerin alenileştirmesiyle açık anahtarla ilişkilendirilen kayıtların açık anahtarla birleşimi, bir blokzincir adresinin arkasında yatan gerçek dünya kimliğini ortaya çıkarabileceğinden açık anahtarların kişisel verilerin korunmasına ilişkin mevzuat kapsamında kişisel veri olarak nitelendirilebileceği şeklindeki yorumların sebebi anlaşılmaktadır. Bu noktada, kimliği belirli veya belirlenebilir bir gerçek kişiyle doğrudan veya dolaylı olarak ilişkili açık anahtarların gerek Kanun gerekse GVKT kapsamında kişisel veri olarak nitelendirilebileceği söylenebilecek olup gerekli tespitin yapılması için somut olay bazında değerlendirme yapılması gerektiğinin de altının çizilmesinin uygun olacağı düşünülmektedir. Kişisel Veri Olarak İşlemsel Veriler ‘İşlemsel veri’, blokzincirlerde kullanılabilen ancak açık anahtar olmayan diğer veri kategorilerine atıfta bulunmak için kullanılan terminolojidir. Fransız Veri Koruma Otoritesine göre, bir işlemin ‘içinde’ yer alan verileri ifade etmektedir57. Örneğin, işlemsel kişisel veriler, belirli bir işlemin yükünde yer alan bir isim, adres veya doğum tarihi olabilmektedir. İşlemsel verilerin GVKT’nin kişisel veri tanımını karşılayıp karşılamadığını belirlemek için duruma göre bir analiz yapılması gerekmektedir. 54  a.g.e. s.27. 55  a.g.e. s.28. 56  a.g.e. s.27. 57  a.g.e. s.28. (örneğin: diploma, emlak tapusu) DİJİTAL KİMLİK DÜZENLEMELERİNDE KİŞİSEL VERİLERİN KORUNMASI 257 Derya Vildan BAŞARAN / Kişisel Verileri Koruma Uzmanı Önceki açıklamalarla paralel olacak şekilde işlemsel verilerin, kimlik tespitine yol

teknolojileri kullanımıyla kişisel verilerin izinsiz olarak ele geçirilmesi veya dağıtılması halinde, suçlular ciddi para ve hapis cezaları ile karşı karşıya kalabilir. Ayrıca Madde 323-1’de (“Bilgisayar Sistemlerine İzinsiz Giriş”), YZ sistemleri üzerinden gerçekleştirilen izinsiz erişimlere karşı cezalar öngörülmektedir54. Amerika Birleşik Devletleri: Bilgisayar Dolandırıcılığı ve Suiistimali Yasası (Computer Fraud and Abuse Act - CFAA) ABD’deki Bilgisayar Dolandırıcılığı ve Suiistimali Yasası (Computer Fraud and Abuse Act / CFAA) CFAA, bilgisayar sistemlerine izinsiz erişimi ve bu sistemlerdeki verilerin kötüye kullanımı düzenlemektedir. CFAA Madde 18 U.S.C. § 1030, YZ araçları kullanılarak gerçekleştirilen veri ihlallerini içermektedir55. Örneğin kişisel verilerin izinsiz olarak elde edilmesi veya YZ teknolojileri aracılığıyla yetkisiz erişim sağlanması durumları madde kapsamında kalacaktır. 53  Bundesministerium der Justiz, https://www.gesetze-im-internet.de/stgb/__202a. html#:~:text=Strafgesetzbuch%20(StGB),%C2%A7%20202a%20Aussp%C3%A4hen%20 von%20Daten&text=(2)%20Daten%20im%20Sinne%20des,gespeichert%20sind%20oder%- 20%C3%BCbermittelt%20werden. 54  République Française, Code Pénal, https://www.legifrance.gouv.fr/codes/article_lc/LEGIA RTI000030939438/2015-07-27. 55  U.S. Deparment of Justice, “9-48.000 - Computer Fraud and Abuse Act”, https://www.justice.gov/jm/ jm-9-48000-computer-fraud. YAPAY ZEKÂ MODELLERİNİN KİŞİSEL VERİLERE İLİŞKİN CEZAİ SONUÇ DOĞURABİLECEK 355 İŞLEM VE FAALİYETLERİ • Ezgi TURGUT BİLGİÇ / Kişisel Verileri Koruma Uzmanı KİŞİLİĞİN CEZA HUKUKU BAKIMINDAN ANLAMI VE SONUÇLARI Genel Olarak Hukuki Kişilik Kişiliğin hukuken tespit edilmesi, bu kişiye hangi yaptırımın uygulanacağının tespiti konusunda elzemdir. Örneğin bir eylemi cezai açıdan sonuç doğrudan kişinin/YZ’nin tüzel kişi kabul edilmesi durumunda, her ne kadar suçu doğrudan işlediği kabul edilmese de ceza hukukundaki güvenlik tedbirlerinin uygulanabilmesi söz konusu olabilecektir. Hukuki kişilik, bir varlığın (insan birey veya tüzel kişilik gibi) hukuk karşısında belirli hak ve yükümlülüklere sahip olmasını sağlamaktadır56. Ceza hukuku bağlamında hukuki kişilikten bahsedildiğinde, gerçek kişi tarafından bir suç işlendiğinde kişinin bu eylemlerinden hukuki olarak sorumlu olabileceği durumu söz konusu olur. Dolayısıyla hukuki kişiliğin tespiti, ceza hukukunda uygulanacak yaptırımların belirlenmesinde, YZ’nin eylemleri bakımından ona bazı yükümlülükler yüklenmesinde hayati öneme sahiptir57. Örneğin bir eylem tüzel kişiye atfedildiğinde, söz konusu kişiliğin hukuki kişilik olarak kabul edilip edilmemesi, ceza hukukunda güvenlik tedbirlerinin uygulanıp uygulanamayacağını belirleyecektir. Tüzel kişilerin cezai sorumluluğu bakımından faraziye ve gerçeklik ile karma teorilerinin söz konusu olduğunu ifade etmek gerekir. Faraziye teorisi tüzel kişilerin gerçek varlıktan yoksun olması sebebiyle kusur isnadına konu olamayacağını savunurken; gerçeklik teorisi cezalandırma bakımından tüzel kişilerin gerçek kişilerden ayrılmaksızın cezalandırılması gerektiğini ifade etmektedir58. Karma teoriyi savunanlar ise tüzel kişiler her ne kadar soyut varlıklar olsa da kanunlarca çizilen sınırlar dahilinde cezai açıdan sorumlu tutulabilmeleri gerektiğini belirtmektedir59. Türk hukukunda ise tüzel kişilerin cezalandırılamayacağı, ancak bunlara güvenlik tedbiri uygulanabileceği kabul edilmektedir. 56  Joanna J. Bryson, Mihailis E. Diamantis and Thomas D. Grant, “Of, for, and by the People: the Legal Lacuna of Synthetic Persons”, Artificial Intelligence and Law, 25 (2017): 273-291, s.277. 57  Erdem Doğan, Yapay Zekanın Hukuki Statüsü ve Sorumluluğu, Seçkin Yayıncılık, Ankara, 2022, s. 169. 58  Fatih Selami Mahmutoğlu ve Serra Karadeniz, Türk Ceza Kanunu Genel Hükümler Şerhi, 2. Baskı, Beta Yayım, İstanbul, 2021, s.271. 59  Mahmutoğlu-Karadeniz, a.g.e. 356 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Hukuki kişilik, bir varlığa, insan birey ya da tüzel kişi gibi, hukuk karşısında belirli hak ve yükümlülükler sahip olma kapasitesini verir60. Ceza hukuku bağlamında hukuki kişilikten bahsederken, gerçek bir kişinin bir suç işlemesi durumunda, bu kişinin eylemlerinden hukuki olarak sorumlu tutulabileceği durumlar söz konusudur. Böylelikle hukuki kişiliği olan bir varlık, ceza yasalarını ihlal ettiğinde, bu ihlallerin sonuçlarından sorumlu tutulabilir. Bu yaklaşım, hukuki kişilik sayesinde, varlıkların eylemlerinde dikkatli olmalarını ve adlarına hareket edecek kişilerin özenle seçilmelerini sağlar, zira bu kişilikler toplumsal ve ekonomik yaşama önemli ölçüde katılım sağlamaktadırlar61. Bu doğrultuda hukuki kişiliği olan bir varlık, cezai normlarını ihlal ettiğinde, bu ihlallerin sonuçlarından sorumlu olabilecektir. Gerçek kişiler hukuki kişiliğe de sahip olduklarından, eylemlerinden ötürü ceza hukuku yaptırımlarının doğrudan muhatabıdır. Bir bireyin işlediği suçlar/ yaptığı eylemler genellikle dolaylı veya doğrudan bir şekilde o kişinin “kendi/ öz iradesi” ile gerçekleştirilmiş eylemler olmaktadır. Dolayısıyla bireyler, kendi iradesi ile gerçekleştirdiği/kendisinin yaptığı eylemlerinden ve bu eylemlerinin sonuçlarından doğrudan sorumlu tutulur. Bu “doğrudan sorumluluk” bireylerin cezai sorumluluğunun genel bir prensibi olup bireyin eylemini bilerek ve isteyerek/kasten işlemesi veya ihmal sonucunda suça neden olması durumlarının ikisi açısından da geçerlidir. Tüzel kişiliklerin cezai sorumluluğu konusu ise gerek yaptırım gerek sorumluluk atfı bakımından bireylerin doğrudan kendilerine yöneltilen cezai sorumluluğundan daha farklıdır62. Pek çok modern hukuk sistemi, tüzel kişiliklerin suç işleyebileceğini ve bu eylemlerinden dolayı tüzel kişilere özgü bir cezai sorumluluk taşıyabileceğini kabul etmektedir. Ancak tüzel kişiliklerin gerçekleştirmiş oldukları eylemler genellikle yöneticileri, çalışanları veya temsilcileri tarafından işlendiği için “dolaylıdır”. Bu durumda, tüzel kişiliklerin cezai sorumluluğu genellikle tüzel kişiliğin yasalara uygun bir şekilde yönetilemediği durumlarda veya tüzel kişiliğin bir suçun işlenmesini sağlayan bir ortam oluşturduğu durumlarda ortaya çıkmaktadır. 60  Louisa McDonald, “AI Systems and Liability: An Assessment of the Applicability of Strict Liability & A Case for Limited Legal Personhood for AI,” St Andrews Law Journal No:1 (2023): 5-21, s.9-10. 61  Nur Centel, Ceza Hukukunda Tüzel Kişilerin Sorumluluğu -Şirketler Hakkında Yaptırım Uygulanması, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 65, no.4 (2016): 3313-3326, s.3314. 62  Centel, a.g.e., s.3315. YAPAY ZEKÂ MODELLERİNİN KİŞİSEL VERİLERE İLİŞKİN CEZAİ SONUÇ DOĞURABİLECEK 357 İŞLEM VE FAALİYETLERİ • Ezgi TURGUT BİLGİÇ / Kişisel Verileri Koruma Uzmanı YZ ve robotlar gibi varlıkların cezai sorumluluğunun tayin edilmesi için öncelikle ne tür bir hukuki kişiliğin bahis konusu olduğunun/kabul edildiğinin belirlenmesi gerekir. YZ kullanan araçların meydana getirebileceği suçlar genellikle bu araçların programlanması veya kontrol edilmesindeki hatalar veya ihmaller sonucu ortaya çıkacağından, ortaya çıkan suçların manevi unsurunun belirlenmesinde çeşitli sorunlar karşımıza çıkmaktadır. Yapay Zekâ ve Robotların Hukuki Kişiliğini Savunan Görüşler YZ günümüzde insanların sahip olduğu bilince veya niyete sahip olmasa da bazı görüşlere göre ahlaki eylem yeteneği kavramı özerklik düzeylerine göre otonom sistemleri içerecek şekilde genişletilmelidir63. Cezai sorumluluk ahlaki bir eylem yeteneği gerektirdiğinden, YZ’nin yasal statüsüyle ilgili belirlemeler, cezai sorumluluk rejimini de etkileyecektir. Bu sebeple YZ ve robotların hukuki kişilik kazanması konusundaki tartışmalar giderek cezai sorumluluğun belirlenmesi anlamında giderek daha fazla önem kazanmaktadır. Bu noktada karşımıza hukuki kişiliği ele alan üç temel görüş ortaya çıkmaktadır: Tam Kişilik Görüşü, Kısmi Kişilik Görüşü ve Elektronik Kişilik Görüşü. Tam Kişilik Görüşü Bu görüşe göre YZ ve robotların, insanların veya tüzel kişiliklerin sahip olduğu gibi tam bir hukuki kişilik kazanması gerekmektedir64. Böylece YZ kullanan araçlara kişilik verildiğinde, onlara belirli haklar ve yükümlülükler yüklenebilecek, cezai sorumluluk atfedilebilecektir. Tam kişilik görüşünü savunanların genellikle, YZ ve robotların otonomluk seviyesinin ve bağımsız karar verme yeteneklerinin sürekli artmakta olduğunun altını çizdiği belirtilebilir65. Bu araçlar daha özerk hale geldikçe ve bağımsız kararlar verme yeteneğine sahip oldukça, hukuk sistemi içindeki rollerini de yeniden tasarlamak bir gerekliliktir66. Zira YZ, yerine getirilmesi güç görevleri insan müdahalesi olmadan yapabiliyorsa, 63 Francesca Lagioia ve Giovanni Sartor, “AI Systems Under Criminal Law: a Legal Analysis and a Regulatory Perspective” Philosophy & Technology, 33 (2019): 433-465, s.462. 64  S.M. Solaiman, “Legal personality of robots, corporations, idols and chimpanzees: a quest for legitimacy”, Artificial Intelligence and Law, 25 (2016): 155-179, s.175. 65 Yasser Ellamey ve Amr Elwakad, “The criminal responsibility of artificial intelligence systems: A prospective analytical study,” Corporate Law and Governance Review, Volume 5, Issue 1 (2023): 92-100, s.96-97. 66  Ellamey-Elwakad, a.g.e. 358 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI bu eylemlerden ötürü bir miktar sorumluluk da alması gerekir. Bunun yanında YZ ve robotlara hukuki kişilik tanınması, cezai sorumluluk da doğuran eylemlerinde -gerektiği kadar izlenemediği veya insan denetiminin asgari düzeyde olduğu durumlarda- sorumluluk atfedilmesi için önemlidir. Ayrıca bu araçların hukuk tarafından bir “kişi” olarak tanınmalarının, cezai sorumluluğun yanında hukuki sorumluluk/tazminat sorumluluğu gibi sorunlarına çözüm olabileceği öne sürülür67.

Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü, https://www.kvkk.gov. tr/SharedFolderServer/CMSFiles/062384e3-d18c-4c38-b108-3a7a2a28e849.pdf. Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, İstanbul, 2019. Metin Turan, Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Seçkin Yayıncılık, Ankara, 2021. Mine Demirezen, Kişisel Verilerin Korunması Hukuku ve Uyum Projelerinin Yürütülmesi, Platon Hukuk Yayınevi, İstanbul, 2020. Nafiye Yücedağ, Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanununun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri, https://dergipark.org. tr/tr/download/article-file/470647. Nilgün Başalp, Avrupa Birliği Veri Koruması Genel Regülasyonunun Temel Yenilikleri, https://dergipark.org.tr/en/download/article-file/271091. Oğuz Şimşek, Anasaya Hukukunda Kişisel Verilerin Korunması, Beta Yayıncılık, İstanbul, 2008. Polish Personal Data Protection Office, https://uodo.gov.pl/decyzje/ ZSZZS.440.768.2018. Şehriban İpek Aşıkoğlu, Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri, On İki Levha Yayıncılık, İstanbul, 2018. Şive Sepici Güleşgen, Kişisel Verilerin Korunması Hukuku Açısından Meşru Menfaat Kavramının Değerlendirilmesi, Yayınlanmamış Yüksek Lisans Tezi, İstanbul Bilgi Üniversitesi Lisansüstü Programlar Enstitüsü, İstanbul, 2021. Türk Dil Kurumu Sözlüğü, https://sozluk.gov.tr. Working Party 29, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, https://ec.europa.eu/justice/ article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 457 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ İkra AYKOL UZUNALİ Kişisel Verileri Koruma Uzmanı “Bu çalışma, 09.12.2023 tarihinde kabul edilen “Kişisel Verilerin Korunmasında Veri Koruma Etki Değerlendirmesi” başlıklı uzmanlık tezinden alınmıştır” GİRİŞ 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi’ni mülga ederek 25 Mayıs 2018’te yürürlüğe giren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ile veri sorumlularına getirilen yükümlülüklerden birisi de veri koruma etki değerlendirmesi (VKED) yapma yükümlülüğüdür. Bu yükümlülüğün düzenlendiği GVKT’nin 35’inci maddesine göre veri sorumlusunun, gerçek kişilerin hak ve özgürlükleri bakımından yüksek riske yol açması muhtemel bir kişisel veri işleme faaliyetine başlamadan önce, veri koruma etki değerlendirmesi yapması ve bu değerlendirme neticesinde işlemenin doğuracağı yüksek riskin devam etmesi halinde GVKT’nin 36’ncı maddesi uyarınca veri koruma otoritesine danışması gerekmektedir. Dünyada çeşitli örnekleri bulunmakla birlikte bu çalışmada 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) Avrupa Birliği hukukundan mehaz alındığı gözetilerek Avrupa Birliği’ndeki veri koruma etki değerlendirmesi mekanizması ele alınmıştır. Çalışmada veri koruma etki değerlendirmesi kavramının 458 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI tarihsel gelişimi açıklandıktan sonra, ilk bölümde Avrupa Birliği (AB) hukukunda yürürlükte olan veri koruma etki değerlendirmesi mekanizmasının kapsamı ve gereklilikleri ile veri koruma etki değerlendirmesinin faydaları açıklanacaktır. İkinci bölümde ise, veri koruma etki değerlendirmesi mekanizmasının Türk veri koruma hukukundaki boyutu ele alınacaktır. Veri Koruma Etki Değerlendirmesi Kavramının Ortaya Çıkışı ve Tarihsel Gelişimi Veri koruma etki değerlendirmesi, esasında etki değerlendirmesinin bir çeşididir. Etki değerlendirmesi en genel anlamıyla, bir girişimin toplumun çıkarlarına yönelik olası sonuçlarını analiz etme, toplum için tehlike arz edip etmeyeceğini belirleme, girişimin uygulanıp uygulanmayacağı ve hangi koşullar altında uygulanacağına ilişkin karar alma sürecinde kullanılan bir değerlendirme tekniği olarak tanımlanabilir.1 Bu teknik tarihte teknoloji değerlendirmesi başta olmak üzere çevresel etki değerlendirmesi, sosyal etki değerlendirmesi olarak somutlaşmış, devamında sağlık hizmetleri, regülasyon (yönetişim), etik, gözetim, mahremiyet ve kişisel verilerin korunması gibi alanlarda uygulanmıştır.2 İlk olarak “mahremiyet etki değerlendirmesi” (Privacy Impact Assessment, PIA) olarak adlandırılan kavram 1995-2005 döneminde ortaya çıkarak olgunlaşmıştır.3 Bu kavramın gelişimi ve kullanımı ağırlıklı olarak Yeni Zelanda, Avustralya, Kanada ve Amerika Birleşik Devletleri’ne atfedilmekte4 olup kamu sektöründeki uygulamalarda veri koruma aracı olarak kullanılmıştır.5 Kişisel verilerin korunmasında mahremiyet etki değerlendirmesi mekanizmasının Avrupa Birliği’nde kurumsallaşması 1995 yılında yürürlüğe giren 95/46/EC sayılı 1  Dariusz KLOZA vd., “Towards a method for data protection impact assessment: Making sense of GDPR requirements”, Brussels Laboratory for Data Protection & Privacy Impact Assessments, Sayı: 1/2019, ss. 1-8, s.1. 2  Dariusz KLOZA vd.,,“The concept of impact assessment”, Border Control and New Technologies, Academic and Scientific,Yıl:2021, ss..31-48, s.33. 3  Roger CLARKE, “Privacy impact assessment: Its origins and development”, Computer Law & Security Review, Yıl:2009, Cil:25, Sayı: 2, ss. 123-135, s.124. 4  CLARKE, “Origins and development”, s. 129. 5  David H. FLAHERTY, Privacy impact assessments: an essential tool for data protection, In: A presentation to a plenary session on ‘‘New technologies, security and freedom,’’ at the 22nd annual meeting of privacy and data protection officials held in Venice, 27–30 Eylül 2000, https://www8.austlii.edu.au/cgi-bin/ viewdoc/au/journals/PLPR/2000/45.html (E.T.14.04.2024). KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 459 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı Direktif’in 20’nci maddesi ile olmuştur.6 Bu madde doktrinde mahremiyet etki değerlendirmesi olarak değerlendirilmiş ve bazı AB üye ülkelerinde uygulama aracı olarak ele alınmış7, bu dönemde Birleşik Krallık’ta Veri Koruma Otoritesi (ICO) tarafından 2007 yılında “Mahremiyet Etki Değerlendirmesi Rehberi”, Avrupa Komisyonu tarafından 2009 yılında “RFID Teknolojilerine İlişkin Tavsiye” ve Madde 29 Çalışma Grubu tarafından 2011 yılında “RFID Uygulamaları için Mahremiyet ve Veri Koruma Etki Değerlendirmesi Rehberi”, Fransa Veri Koruma Otoritesi (CNIL) tarafından 2015 yılında Mahremiyet Etki Değerlendirmesi Rehberi yayımlanmıştır. Uluslararası alandaki düzenlemelere bakıldığında ise, 2009 yılında 50 veri koruma otoritesi tarafından kabul edilen Madrid Kararı’nda veri sorumlularının alması gereken proaktif önlemler arasında mahremiyet etki değerlendirmesine yer verilmiştir.8 Diğer taraftan ülkemizin de tarafı olduğu 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nde yer almamakla birlikte, henüz ülkemizin taraf olmadığı 108+ Kişisel Verilerin İşlenmesi Karşısında Bireylerin Korunması İçin Sözleşme’nin 10’uncu maddesinin ikinci fıkrasında mahremiyet etki değerlendirmesine yer verilmiştir. Mahremiyet etki değerlendirmesi kavramı zamanla ve bölgeden bölgeye farklılaşmış9 olup AB hukukunda GVKT ile birlikte “veri koruma etki değerlendirmesi” olarak adlandırılmaktadır. Veri koruma etki değerlendirmesi büyük ölçüde mahremiyet etki değerlendirmesinin bir çeşididir.10 Mahremiyet Etki Değerlendirmesi (PIA) ile Veri Koruma Etki Değerlendirmesi (DPIA) kavramları, günümüzde aynı kavramı ifade etmek için kullanılmakta11 ise de bazı farklar barındırmaktadır. Tarihsel süreçte mahremiyet etki değerlendirmeleri sadece kişisel verilerin korunmasını değil, bireyin vücut bütünlüğü, bireyin özel hayatının gizliliği, bireyin haberleşmesinin gizliliği ve kişisel verilerin 6  CLARKE, “Origins and development”, s.125. 7  CLARKE, “Origins and development”, s. 129. 8  The Madrid Resolution, m.22-(f) 9  CLARKE, “Origins and development”, s.124. 10  KLOZA vd. ,“Towards a method for DPIA”, s.1. 11  Commission Nationale de l’Informatique et des Libertés (CNIL). Privacy Impact Assessment (PIA) Methodology (How To Carry Out a PIA). Accessed: Jun. 2015. [Online]. Available: https://www. cnil.fr/sites/ cnil/files/typo/document/CNIL-PIA-1-Methodology.pdf; Madde 29 Çalışma Grubu, WP 248 rev.01, s.4. 460 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI gizliliği olmak üzere mahremiyetin birçok boyutunu ele almaktadır.12 Öte yandan mahremiyet etki değerlendirmesi, kişisel verilerin işlenmesinden kaynaklanan riskleri hem bireyler hem organizasyon açısından ele alabilmektedir.13 Oysa GVKT’de düzenlenen veri koruma etki değerlendirmesi, planlanan proje bazında kişisel verilerin işlenmesinden etkilenecek ilgili kişileri odak noktasına alarak bu kişilerin haklarına yönelik riskleri yönetmeyi hedeflemektedir.14 GENEL VERİ KORUMA TÜZÜĞÜNDE VERİ KORUMA ETKİ DEĞERLENDİRMESİ AB hukukunda veri koruma etki değerlendirmesinin temeli sayılan15 95/46/EC sayılı Direktif’in “Önkontrol”başlıklı 20’nci maddesinde, açıkça veri koruma etki değerlendirmesi ifadesi kullanılmamakla beraber, ilgili kişilerin hak ve özgürlükleri bakımından belirli risk teşkil etmesi muhtemel işleme faaliyetine başlanmadan önce veri koruma otoritesine danışılması gerektiği düzenlenmiştir. Ancak bu düzenleme, AB üye devletlerindeki işletmeler tarafından çok fazla idarî yük ve masrafa neden olduğu için eleştirilmiştir.16 Bu hususa GVKT’nin gerekçesinde yer verilmiş olup 95/46/EC sayılı Direktif’teki önkontrol yükümlülüğünün idari ve mali yük getirmesine karşın, her durumda kişisel verilerin korunmasının iyileştirilmesine katkıda bulunmadığı belirtilerek ayrım gözetmeyen genel danışma yükümlülüğünün kaldırılması ve yerine niteliği, kapsamı, bağlamı ve amaçları itibariyle gerçek kişilerin hak ve özgürlükleri açısından yüksek risk teşkil etmesi muhtemel işleme faaliyeti türlerine odaklanan veri koruma etki değerlendirmesinin getirilmesinin daha etkili bir mekanizma olacağı ifade edilmiştir.17 Dolayısıyla GVKT’nin 35 ve 36’ncı maddeleri ile düzenlenen veri koruma etki değerlendirmesi, 95/46/EC sayılı Direktif’teki düzenlemeden bazı noktalarda farklılık arz etmektedir. Direktif’teki “belirli risk” kavramı, GVKT’de “yüksek 12  CLARKE, “Origins and development”, s.124; David WRIGHT, “The state of the art in privacy impact assessment”, Computer Law & Security Review, Yıl:2012, Cilt: 28, Sayı: 1, ss. 54-61, s.57.; CLARKE, “What is Privacy?” , http://www.rogerclarke.com/DV/Privacy.html, ( E.T.5.6.2024). 13  Reuben BINNS, “Data protection impact assessments: A meta-regulatory approach” International Data Privacy Law, Yıl:2017, Cilt: 7, Sayı: 1, ss. 22-35, s.24. 14  Madde 29 Çalışma Grubu, WP 248 rev.01, s.17. 15  CLARKE, “Origins and development”, s.125. 16  Francoise GILBERT, EU General Data Protection Regulation: What Impact for Businesses Established Outside the European Union, Journal of Internet Law, 2016, s. 4. 17  GVKT Resital 89 ve 90. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 461 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı risk” olarak değiştirilerek veri koruma etki değerlendirmesi yapılması yüksek risk teşkil etmesi muhtemel işleme faaliyetleriyle sınırlandırılmıştır. Direktif’te veri sorumlusunun doğrudan veri koruma otoritesine danışması öngörülmüşken, GVKT’de veri sorumlusunun yüksek riski azaltamadığı durumda veri koruma otoritesine danışması öngörülmüştür. Veri koruma etki değerlendirmesi yapılması, 95/46/EC sayılı Direktif döneminde veri sorumluları için ihtiyari iken GVKT ile zorunlu bir yükümlülük haline getirilmiştir.18 Çalışma Grubu, veri koruma etki değerlendirmesini “kişisel veri işleme faaliyetini tanımlamak, gerekliliğini ve orantılılığını değerlendirmek ve kişisel verilerin işlenmesi sebebiyle gerçek kişilerin hak ve özgürlüklerine yönelik riskleri değerlendirerek ve bunları ele alacak önlemleri belirleyerek yönetmeye yardımcı olmak için tasarlanmış bir süreç” olarak tanımlamaktadır.19 GVKT ile yürürlüğe giren veri koruma etki değerlendirmesi hem risk temelli yaklaşımın hem de hesap verilebilirlik ilkesinin bir aracı olarak nitelendirilmektedir. Gerek 95/46/EC sayılı Direktif’te gerekse GVKT’de benimsenen risk temelli yaklaşım, kişisel verilerin korunmasında riskin kontrol altına alınması için gerçek kişilerin hak ve özgürlükleri üzerinde doğurduğu riskin seviyesine göre risk yönetim araçları kullanılmasını hedeflemektedir.20 Bu yaklaşımın diğer yönü ise, tüm yükümlülüklerin her veri sorumlusu için öngörülmesinin kimisi için orantısız yük doğurabileceği gerekçesiyle veri sorumlularına yürüttükleri işleme faaliyetinin risk seviyesine göre yükümlülük getirilmesini esas almaktadır. Böylece yüksek riskli işleme faaliyeti yürüten veri sorumluları, düşük riskli işleme faaliyeti yürütenlere kıyasla ek yükümlülüklere tabi olacaktır.21 Risk temelli yaklaşımın bir yansıması olan GVKT’nin 24’üncü maddesinin birinci fıkrasında veri sorumluları, işlemenin niteliği, kapsamı, bağlamı ve amaçlarının yanında gerçek kişilerin hak ve özgürlüklerine yönelik değişen olasılık ve büyüklükteki riskleri gözeterek, kişisel veri işleme faaliyetinin GVKT’ye uygun gerçekleştirilmesi ve uygunluğunun ispatlanması için gerekli teknik ve idari tedbirleri almakla yükümlü kılınmıştır. Bununla bağlantılı olarak 18  KLOZA vd. ,“Towards a method for DPIA”, s.1. ; WRIGHT-WADHWA, a.g.m., s.13. 19  Madde 29 Çalışma Grubu, WP 248 rev.01, s.4 20  Raphael GELLERT, “Data protection: a risk regulation? Between the risk management of everything and the precautionary alternative”, International Data Privacy Law , Yıl: 2015, Cilt 5: Sayı:1,ss.3-19, s. 13. 21  Madde 29 Çalışma Grubu, Statement on the role of a risk-based approach in data protection legal frameworks, 30.05.2014, s.2. 462 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI veri koruma etki değerlendirmesi, gerçek kişilerin temel hak ve özgürlükleri için yüksek risk oluşturması muhtemel bir işleme faaliyetine başlamadan önce riskin tespit edilmesi, riskin azaltılması ve kişisel verilerin korunmasının sağlanması için uygun tedbir ve güvencelerin alınmasına hizmet eden güvenlik tedbirlerinden birisidir.22 Öte yandan veri koruma etki değerlendirmesi kişisel verilerin korunmasında hesap verilebilirlik ilkesinin teminini sağlayan araçlardan birisidir.23 GVKT’de hesap verilebilirliği sağlayacak veri koruma önlemleri arasında veri koruma etki değerlendirmesinin uygulanmasının yanı sıra işleme faaliyetleri kaydının tutulması, tasarımla veri koruma ilkesi, veri koruma görevlisinin atanması, sertifikasyon ve davranış kuralları gibi önlemler de yer almaktadır.24 Hesap verilebilirlik ilkesine 95/46/EC sayılı Direktif’te yer verilmemekle beraber Madde 29 Çalışma Grubunun tavsiyeleri üzerine25 GVKT’nin 5’inci maddesinin ikinci fıkrasında açıkça yer verilmiştir. Hesap verilebilirlik ilkesi, veri sorumlularının veri koruma ilkelerini uygulamak için uygun ve etkili tedbirleri alması ile bu tedbirlerin alındığını ispat etmesi olarak açıklanmaktadır.26 Söz konusu ilke kişisel verilerin korunmasına ilişkin kurallara uyma ve bunu ispat etme olmak üzere iki unsurdan oluşmakla birlikte, ilkenin kişisel verilerin korunması alanında 95/46/EC sayılı Direktif döneminden farklı olarak doğurduğu etki temelde, veri sorumlusu ve veri işleyenler için uygunluğu ispat etme yükümlülüğü getirmiş olmasıdır. Nitekim 95/46/EC sayılı Direktif’te hesap verilebilirlik ilkesi yer almasa da veri sorumlusu ve veri işleyenlerin kişisel verilerin korunmasına ilişkin kurallara uyma yükümlülüğü bulunmaktaydı.27 Hesap verilebilirlik aracı yönüyle veri koruma etki değerlendirmesi, veri sorumlusunun GVKT’ye uyumlu olmasını ve uyumluluğun ispatını sağlayan bir süreçtir. 22  GVKT Resital 89 ve 90. 23  Madde 29 Çalışma Grubu, WP 248 rev.01, s.4; Ömer EKMEKÇİ vd., Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, Ocak 2024, s.139. 24  Christos GIAKOUMOPOULOS, Giovanni BUTTARELLI, Michael O’FLAHERTY, Handbook on European data protection law, European Union Agency for Fundamental Rights and Council of Europe, 2018. https:// fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf, s.174 vd. ; Madde 29 Çalışma Grubu, WP218, s.2. 25  Madde 29 Çalışma Grubu, Opinion 3/2010 on the principle of accountability, s.3-4. 26  Madde 29 Çalışma Grubu, Opinion 3/2010 on the principle of accountability, s.9. 27  Douwe KORFF, Marie GEORGES, The DPO Handbook Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation (Regulation (EU) 2016/679), Elaborated for the EU‐funded “T4DATA” programme, 2019, s.114. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 463 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı YÜKÜMLÜLÜĞÜN SAHİBİ GVKT’nin 35’inci maddesinin birinci fıkrası uyarınca veri koruma etki değerlendirmesi yapma yükümlülüğü veri sorumlusuna ait olup yükümlülüğün yerine getirilmediğinin tespiti halinde hakkında idari para cezası uygulanabilecektir. 28 Yükümlülüğün sahibi veri sorumlusudur ancak süreçte ona yardımcı olması gereken aktörler bulunmaktadır. Veri sorumlusunun veri koruma etki değerlendirmesine ilişkin süreçleri yerine getirirken bilgi teknolojileri departmanına, varsa veri koruma görevlisine29, veri işleyene ve ilgili kişi temsilcisinin görüşüne danışarak girdileri sağlaması beklenmektedir.30 Etkin bir veri koruma etki değerlendirmesi yürütülebilmesi için, oluşturulacak ekibin bunu yapabilecek kapasite ve bilgiye sahip olması önem arz etmektedir.31 İşleme faaliyeti ortak veri sorumluluğunu içeriyorsa, veri koruma etki değerlendirmesinde risklerin ele alınması ve ilgili kişilerin hak ve özgürlüklerinin korunmasını teminen tedbirlerden hangi veri sorumlusunun sorumlu olduğunun açıkça tanımlanması gerekmektedir. 32 İşleme faaliyetinin tamamen veya kısmen bir veri işleyen tarafından gerçekleştirilmesi halinde ise, veri işleyenin veri koruma etki değerlendirmesinin gerçekleştirilmesinde veri sorumlusuna yardımcı olması ve gerekli her türlü bilgiyi sağlaması gerekmektedir.33 Veri işleyenlerin işleme faaliyetinin niteliği ve sahip olduğu bilgileri dikkate alarak sırları veya güvenlik açığına yol açabileceği için zayıf noktaları ifşa etmeden faydalı bilgileri veri sorumlusuyla paylaşması beklenmektedir.34 Veri işleyenlerin bu konudaki rol ve sorumluluklarının veri sorumlusu ile arasındaki sözleşmede açıkça tanımlanması tavsiye edilmektedir.35 28  GVKT Madde 83/4-(a). 29  Veri sorumlusunun veri koruma görevlisinin görüşüne katılmaması mümkündür ancak katılmadığı hallerde katılmama gerekçesini yazılı olarak belgelendirmesi gerekmektedir. bkz. Madde 29 Çalışma Grubu, WP 243 rev.01, s.17. 30  Avrupa Veri Koruma Otoritesi (EDPS), Accountability on the ground Part II:Data Protection Impact Assessments & Prior Consultation, v1.3, July 2019, s.4. 31 FLAHERTY, a.g.m., https://www8.austlii.edu.au/cgi-bin/viewdoc/au/journals/PLPR/2000/45.html (E.T.14.04.2024) 32  Madde 29 Çalışma Grubu, WP 248 rev.01, s.6. 33  Bkz. GVKT’nin 28(3)(f) maddesi, Madde 29 Çalışma Grubu, WP 248 rev.01, s.15. 34  Madde 29 Çalışma Grubu, WP 248 rev.01, s. 6. 35  Madde 29 Çalışma Grubu, WP 248 rev.01, s. 15. 464 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI YÜKÜMLÜLÜĞÜN ZAMANI Veri koruma etki değerlendirmesinin kişisel veri işleme faaliyetine başlamadan önce gerçekleştirilmesi gerekmektedir.36 Nitekim veri koruma etki değerlendirmesinin amacı kişisel verilerin korunmasına ilişkin zarara sebep olabilecek olayları önceden tespit ederek önlemektir.37 Veri işleme faaliyetlerinin bir kısmı henüz bilinmiyor dahi olsa, tasarım yoluyla veri koruma ve varsayılan olarak veri koruma ilkeleri gereğince veri koruma etki değerlendirmesinin işleme faaliyetinin tasarımında uygulanması gerekmektedir.38 Ancak yükümlülüğün bir kez yapılması yeterli olmamakta, işlemenin yaratabileceği risklerin sürekli olarak izlenmesi ve riskte bir değişiklik olması halinde veri koruma etki değerlendirmesinin yeniden yapılması gerekmektedir.39 YÜKÜMLÜLÜĞÜN KAPSAMI GVKT’nin 35/1’inci maddesi “Özellikle yeni teknolojilerin kullanıldığı bir işleme türünün, işlemenin niteliği, kapsamı, bağlamı ve amaçları dikkate alındığında, gerçek kişilerin hak ve özgürlüklerine yönelik yüksek bir riske yol açmasının muhtemel olduğu hallerde, veri sorumlusu işleme faaliyetinden önce, planlanan işleme faaliyetlerinin kişisel verilerin korunması üzerindeki etkisine ilişkin bir değerlendirme gerçekleştirir. Tek değerlendirme ile benzer yüksek riskler arz eden birden çok benzer işleme faaliyeti ele alınabilir.” hükmünü haizdir. Söz konusu hükümden veri koruma etki değerlendirmesinin her işleme faaliyeti için gerekli olmadığı, “gerçek kişilerin hak ve özgürlükleri açısından yüksek risk oluşturması muhtemel” olanlar için uygulanması gerektiği anlaşılmaktadır.40 İlgili maddedeki “hak ve özgürlükler” kavramı, kişisel verilerin korunması ve özel hayata saygı hakkının yanı sıra ifade özgürlüğü, seyahat özgürlüğü, din ve vicdan özgürlüğü, ayrımcılık yasağı gibi temel hakları içermektedir.41 36  GVKT’nin 35’nci maddesinin birinci fıkrası. 37  GVKT Resital 90, 93. 38 GVKT Resital 78, Madde 29 Çalışma Grubu, WP 248 rev.01, s.14. 39  Madde 29 Çalışma Grubu, WP 248 rev.01, s.6,14. 40  Madde 29 Çalışma Grubu, WP 248 rev.01, s.6. 41  Madde 29 Çalışma Grubu, WP 218, s.4; Madde 29 Çalışma Grubu, WP 248 rev.01, s.6. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 465 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı Risk kavramı ise, GVKT’de gerçek kişilerin hak ve özgürlüklerine yönelik fiziksel, maddi veya manevi zarara yol açabilecek durumlar olarak belirlenmiştir.42 GVKT’nin gerekçesinde gerçek kişilerin hak ve özgürlüklerine yönelik olası risk teşkil eden haller, özellikle işlemenin ayrımcılığa, kimlik hırsızlığına veya dolandırıcılığa, maddi zarara, itibarın zedelenmesine, mesleki sır kapsamında korunan kişisel verilerin gizliliğinin ihlaline, takma adlandırmanın yetkisiz olarak geri alınmasına veya diğer önemli ekonomik veya sosyal dezavantajlara yol açtığı haller olmak üzere örnekleme yöntemiyle açıklanmıştır.43 Yüksek Riskle Sonuçlanması Muhtemel İşleme Faaliyetinin Tespitinde Esas Alınacak Kriterler Hangi işlemelerin muhtemel yüksek riskli olduğu noktasında ilk belirleme GVKT’nin 35/3’üncü maddesinde yapılmıştır. Buna göre; “1.fıkrada belirtilen veri koruma etki değerlendirmesi özellikle aşağıdaki durumlarda gereklidir: (a) Profilleme dâhil olmak üzere otomatik işlemeye dayanan ve gerçek kişiler hakkında hukuki sonuçlar doğuran veya benzer şekilde gerçek kişileri önemli ölçüde etkileyen kararlara dayanak olan gerçek kişilerin kişisel özelliklerinin sistematik ve kapsamlı bir şekilde değerlendirilmesi; (b) Madde 9(1)’de yer alan özel nitelikli kişisel veri kategorilerine veya

büyük ölçekte işlenmesi; veya (c) Kamuya açık bir alanın büyük ölçekte sistematik olarak izlenmesi.” hükmü ile örnek yoluyla sayılan üç işleme faaliyetinin yüksek riskle sonuçlanmasının muhtemel olduğu belirtilmiştir. Söz konusu maddedeki “özellikle” ibaresinden sayılan işleme faaliyetlerinin sınırlı sayma yöntemiyle belirlenmediği anlaşıldığından, bunlar dışındaki “yüksek riskle sonuçlanması muhtemel” işleme faaliyetlerinin tespiti için Madde 29 Çalışma Grubu tarafından hazırlanan WP 248 Rehberinde, GVKT’nin 35/1 ve 35/3’üncü maddelerinde 42  GVKT Resital 75. 43  GVKT Resital 75; Öykü Beste BAYRAM, “Bir Uyum Aracı Olarak Veri Koruma Etki Analizinin Türk Hukuku Bakımından Değerlendirilmesi”, Kişisel Verileri Koruma Dergisi, Yıl:2022, Cilt:4 Sayı:1, ss.38-53. s.43. 466 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI sayılan işleme faaliyetlerinin belirli unsurları ile GVKT’nin 71, 75, 76, 91, 92 ve 116’ncı Resitalleri esas alınarak, 9 kriter ortaya konulmuştur.44 Hangi işlemelerin muhtemel yüksek riskli olduğu noktasında bir diğer belirleme ise, GVKT’nin 35’inci maddesinin dördüncü ve beşinci maddelerinde bahsedilen listeler ile yapılmaktadır. GVKT’nin 35’inci maddesinin dördüncü ve beşinci fıkralarında yer alan “4) Veri koruma otoritesi, 1. paragraf uyarınca veri koruma etki değerlendirmesi gerektiren işleme faaliyetlerinin türlerine ilişkin bir liste oluşturur ve kamuya açıklar. Veri koruma otoritesi bu listeleri 68. maddede atıfta bulunulan Avrupa Veri Koruma Kuruluna iletir. 5) Veri koruma otoritesi ayrıca veri koruma etki değerlendirmesinin gerekli olmadığı işleme faaliyetlerinin türlerine ilişkin bir liste oluşturabilir ve kamuya açıklayabilir. Veri koruma otoritesi bu listeleri Avrupa Veri Koruma Kuruluna iletir.” hükümleri ile AB üyesi devletlerdeki ulusal veri koruma otoritelerine veri koruma etki değerlendirmesi gerektiren ve gerektirmeyen işleme faaliyetlerini belirleme noktasında yetki verilmiştir. Bu yetki elbette ki sınırsız değildir, listeler oluşturulurken Madde 29 Çalışma Grubunun WP 248 Rehberinde belirlenen ölçütlerin esas alınması gerekmektedir.45 Ulusal veri koruma otoritelerinin ‘veri koruma etki değerlendirmesi gereken işleme faaliyetlerinin listesi’ni (uygulamada DPIA Blacklist olarak adlandırılmaktadır) belirlemesi zorunlu iken; ‘veri koruma etki değerlendirmesi gerekmeyen işleme faaliyetleri listesi’ni (uygulamada DPIA Whitelist olarak adlandırılmaktadır) belirlemesi ihtiyaridir.46 Ancak oluşturulan listeler, ulusal veri koruma otoritesi tarafından yayımlanmalı ve Avrupa Veri Koruma Kuruluna iletilmelidir. Dolayısıyla ‘veri koruma etki değerlendirmesi gerekmeyen işleme faaliyetleri listesi’ varsa, bu listeye dâhil olan işleme için veri koruma etki değerlendirmesi yapılması gerekmemekte iken, her otorite tarafından yayımlanması zorunlu olan ‘veri koruma etki değerlendirmesi gereken işleme faaliyetleri listesi’ nde yer alan bir işleme faaliyeti için veri koruma etki değerlendirilmesi yapılması gerekmektedir.47 Ancak önemle belirtmek gerekir ki, bu listede olmayan bir işleme faaliyeti için veri koruma etki değerlendirmesi yapılması gerekmediği sonucuna ulaşılamayacaktır. Zira otoritelerin söz konusu listelerine bakıldığında, belirlenen 44  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 45  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 46  Paul VOIGT- Axel von dem BUSSCHE, The EU General Data Protection Regulation: A Practical Guide, Springer, 2017, s.51. 47  KLOZA vd. ,“Towards a method for DPIA”, s.5. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 467 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı işleme faaliyetlerinin listede sayılanlarla sınırlı olmadığının vurgulandığı görülmektedir.48 Veri sorumlusunun her iki listede de var olmayan bir işleme faaliyetinin, muhtemel yüksek riskli olup olmadığını tespit etmek için WP 248 Rehberindeki ölçütleri esas alarak bir değerlendirme yapması gerekmektedir. 49 WP 248 Rehberindeki Ölçütlere Göre Muhtemel Yüksek Riskin Ölçümlenmesi Riskin yüksek olup olmadığının belirlenmesinde, riskin gerçekleşme olasılığı ile riskin ne kadar ciddi olduğunun birlikte değerlendirilmesi gerekmektedir.50 Bir işleme faaliyeti Çalışma Grubu tarafından belirlenen 9 kriterden ne kadar fazla içeriyorsa, ilgili kişilerin hak ve özgürlükleri açısından yüksek risk teşkil etme olasılığı o kadar fazla olacaktır. Örneğin, profil oluşturmak için kamuya açık sosyal medya verilerinin toplanması işleme faaliyeti için VKED’in gerekli olduğu değerlendirilmiştir, çünkü değerlendirme veya puanlama, büyük ölçekte veri işleme, veri kümelerinin eşleştirilmesi veya birleştirilmesi ve hassas veri kriterleri olmak üzere 4 kriter taşımaktadır.51 Çalışma Grubu, aşağıda belirtilen 9 kriterden en az ikisinin var olması halinde kural olarak VKED yapılmasının gerektiğini belirtmektedir. Ancak kimi durumlarda tek kriteri sağlayan işleme faaliyeti için VKED gerekebileceği gibi, en az iki kriteri taşıyan bir işlemenin veri sorumlusu tarafından “yüksek riske yol açması muhtemel” değerlendirilmemesi mümkündür.52 Veri sorumlusu en az iki kriteri taşıyan bir işleme faaliyetinde VKED yapılmasına gerek olmadığı kanaatine varırsa, VKED gerçekleştirmeme nedenlerini gerekçelendirmeli ve belgelendirmelidir.53 İşlemenin yüksek risk teşkil edip etmediğinden emin olunmadığı hallerde ise VKED yapılması tavsiye edilmektedir.54 48  Örneğin, İsveç DPIA Blaclist, s.2, İspanya Veri Koruma Otoritesi listesi s.2; İrlanda DPIA Blacklist s.3; Norveç DPIA Blacklist , s.3. 49  KLOZA vd.,“Towards a method for DPIA”, s.5 ; Norveç DPIA Blacklist , s.3. 50  Katerina DEMETZOU, “Data Protection Impact Assessment: A tool for accountability and the unclarified concept of ‘high risk’ in the General Data Protection Regulation”, Computer Law & Security Review: The International Journal of Technology Law and Practice, Yıl:2019, Cilt: 22 Sayı:41, ss. 1-14, s.5. 51  Madde 29 Çalışma Grubu, WP 248 rev.01, s.11. 52  Madde 29 Çalışma Grubu, WP 248 rev.01, s.11-12. 53  Madde 29 Çalışma Grubu, WP 248 rev.01, s.12. 54  Madde 29 Çalışma Grubu, WP 248 rev.01, s.8. 468 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI WP 248 Rehberinde Belirlenen Ölçütler • Değerlendirme veya puanlamalar: Özellikle ilgili kişinin sağlığı, ekonomik durumu, iş performansı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu esas alınarak yapılan profilleme ve tahminde bulunma, değerlendirme veya puanlamalar bu kriter kapsamındadır.55 Bu kriterdeki veri işleme faaliyetlerine örnek olarak, bir bankanın müşterilerini kredi referans veri tabanına yahut kara para aklamaya yönelik veri tabanına eklemesi, biyoteknoloji şirketinin hastalık risklerini analiz etmek için genetik test yapması, kişilerin internet sitesi kullanımlarına göre profillenmesi verilmiştir.56 Profilleme, bireylerin kişisel verilerinin sistematik olarak toplanarak analiz edilmesi ve bu analiz sonucunda belirli özelliklerine ilişkin tahminlerde bulunulmasını içermektedir.57 Bu noktada profilleme ile otomatik karar alma kavramlarının ayırt edilmesi önemlidir. GVKT’de profilleme herhangi bir otomatik işlemeyle yapılabilirken, otomatik karar alma yalnızca otomatik işlemelerle yapılabilmektedir.58 “Yalnızca otomatik işleme faaliyeti” ise, kararı değiştirebilecek bir kişinin karar alma sürecine katılmadığı işlemeler olarak tanımlanabilecektir.59 Dolayısıyla profilleme otomatik işlemeyi içermelidir, ancak otomatik işleme neticesinde çıkan sonuca insanın müdahale etmesi mümkündür.60 Profilleme bireyler üzerinde olumsuz birtakım sonuçlar doğurabileceğinden bu risklerin kontrol altına alınması önem arz etmektedir. Bu risklerden ilki, profilleme sürecinin şeffaf olmayabileceği durumlardan kaynaklanmaktadır. Bireyler profillerinin çıkarıldığını bilmeyebilir veya profilleme kapsamında hangi verilerin işlendiğini anlamayabilir, bu sebeple de bunlara itiraz etme hakkı başta olmak üzere kişisel verileri üzerindeki haklarını kullanamayacağı için verileri üzerindeki hâkimiyetini kaybedebilir. Diğer taraftan profilleme, toplumdaki mevcut yargı kalıplarını ve sosyal ayrımcılığı devam ettirebilir, yanlış tahminlerde bulunabilir, bireyleri belirli bir kategoride önerilen tercihleriyle sınırlayarak kişilerin ürün ya da hizmet seçme özgürlüğüne zarar verebilir. 61 55  GVKT 71 ve 91. Resitaller. 56  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 57  GVKT madde 4/4. 58  GVKT madde 22, Madde 29 Çalışma Grubu, WP251 rev.01, s.7. 59  Hüseyin Can AKSOY, “Kişisel Verilerin Korunması Yönüyle Algoritmik Karar Verme”, Kişisel Verileri Koruma Dergisi, Yıl:2022, Cilt:4 Sayı:2, ss. 69-87, s.77. 60  Madde 29 Çalışma Grubu, WP251 rev.01, s.7. 61  Madde 29 Çalışma Grubu, WP251 rev.01, s.5. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 469 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı • Gerçek kişiler hakkında önemli sonuçlar doğuran otomatik karar almalar: GVKT’nin 35/3-(a) maddesinden hareketle belirlenen bu ölçüt, gerçek kişiler hakkında hukuki veya benzer sonuçlar doğuran ve kişiyi önemli ölçüde etkileyen otomatik karar almayı kapsamaktadır. Ancak otomatik karar alma neticesinde birey üzerinde oluşacak etkinin ağırlığı önem arz etmektedir, zira bireyler üzerinde çok az etki doğuran veya hiç etki doğurmayan işleme faaliyetleri bu kriteri sağlamamaktadır. Söz konusu işleme neticesinde doğabilecek riskin, bireylerin dışlanmasına veya ayrımcılığına uğramasına yol açması örneğinde olduğu gibi “gerçek kişiyi önemli derecede etkileyecek nitelikte olması” gerekmektedir. 62 Otomatik karar alma, insan müdahalesi olmadan teknolojik yollarla karar verilmesi sürecidir.63 Otomatik kararlar, doğrudan ilgili bireylerden elde edilen bilgilere dayanabileceği gibi, bireyin izlenmesiyle (örneğin uygulamayla toplanan konum verileri) veya bireyin profillenmesiyle elde edilmiş olan verilere (örneğin banka kredi puanı) de dayanabilecektir. Dolayısıyla otomatik karar alma profilleme gerçekleştirilmeden de yapılabilmektedir. 64 Otomatik karar alma süreçlerinde algoritmalar kullanılmaktadır. Algoritma bir bilgisayarın belirli bir görevi nasıl yerine getirmesi gerektiğine ilişkin bir dizi kural ve talimat olarak tanımlanabilir.65 Bu tür sistemler, büyük miktarda veri analiz ederek sonuçlara ulaşır66 ve genellikle bireyin gelecekteki davranışları, ekonomik durumu veya sosyal statüsü gibi konularda tahminler yapmaktadır.67 Bu tür otomatik kararlar, verilerin analiz edilme sürecini hızlandırarak verimliliği artırmaktadır, ancak bireylerin temel hak ve özgürlüklerini tehlikeye atabilecek önemli riskleri barındırmaktadır.68 Bu kararların doğurduğu temel iki sorun, algoritmaların şeffaf olmamasından ve ayrımcılığa veya adaletsizliğe yol açabilecek sonuçlara ulaşmasından kaynaklanmaktadır.69 62  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 63  Madde 29 Çalışma Grubu, WP251 rev.01, s.8. 64  Örneğin, araç tanıma sistemlerinin aracı plakasına göre tanıyarak ceza uygulaması bkz. Madde 29 Çalışma Grubu, WP251 rev.01, s.8. 65  Janneke H.N. JANSSEN, The right to explanation: means for ‘white-boxing’ the black-box?, Tilburg Institute for Law, Technology, and Society (TILT), 2019, Yüksek Lisans Tezi, s.12. 66  JANSSEN, a.g.e. , s.12. 67  GVKT Resital 22. 68  Sandra WACHTER-Brent MITTELSTADT, “A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI”, Columbia Business Law Review, Yıl: 2019, Sayı: 2, ss. 494-512, s. 496. 69 JANSSEN, a.g.e. ,s.14. 470 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Otomatik kararlardaki şeffaflık sorunu, kendi kendine öğrenen algoritmaların otonom hareket etme kabiliyetine sahip olması dolayısıyla eylemleri ve sonuçlarının her zaman öngörülebilir olmamasından kaynaklanmaktadır. Algoritmaların sonuca ulaşırken hangi veriyi seçtiği ve bu verileri nasıl kullandığı açık değildir.70 Bu durum algoritmanın ulaştığı sonuçların doğruluğu ve belirli kişileri adaletsiz olarak hedef aldığı noktasında şüphe doğurmaktadır.71 Bireyler sistemin şeffaf olmaması sebebiyle kararın nasıl ve neye dayanılarak alındığını anlayamamakta,72 bu durum bilgi asimetrisine yol açmaktadır. Bu sistem bireylerin, kendi verileri kullanılarak yapılan çıkarımlara itiraz etme hakkını kullanmalarına izin vermemektedir.73 Otomatik karar alma sistemlerinin diğer sorunu, algoritmik önyargılar sebebiyle bireyler üzerinde ayrımcılık, adaletsizlik gibi olumsuz etki doğurmasının mümkün olmasıdır. Algoritmada veriye dayalı karar alma süreçlerinin kullanılması, bireylerin kendi eylemleri yerine, ortak özelliklere sahip oldukları diğer kişilerin eylemlerine dayanılarak değerlendirilmelerine yol açmaktadır.74 Algoritmik karar alma sürecinde genellikle cinsiyet ve ırk gibi özelliklerle ilgili kişisel verilerin kullanılması75 sebebiyle verilerdeki önyargılar, algoritma tarafından tekrarlanarak veya daha da pekiştirilerek ilgili kişilerin toplumsal cinsiyet, ırk, etnik köken veya ekonomik durum gibi kişisel niteliklerine dayalı ayrımcılığa uğrama riskini artırabilmektedir.76 Örneğin, iş başvuru süreçlerinde kullanılan bir algoritma, tarihsel verilerde kadınların daha az sıklıkla işe alındığını gözlemleyebilir ve bu eğilimi sürdürerek kadın başvuruları üzerinde olumsuz etkilerde bulunabilir.77 Diğer taraftan algoritmanın geliştiricileri hedef değişkenleri doğru tanımlamadığında ayrımcılığa yol açabileceği gibi, verilerin sınıflandırma niteliklerini öznel şekilde tanımladığında önyargıya sebebiyet verebilirler.78 70  Argyro KARANASIOU-Dimitris PINOTSIS, “A study into the layers of automated decision-making: emergent normative and legal aspects of deep learning”,International Review of Law, Computers & Technology, Yıl:2017, Cilt:31 sayı:2, ss.170-187, s.174. 71  JANSSEN, a.g.e. , s.14. 72  Lilian EDWARDS - Michael VEALE, “Slave to the algorithm? Why a right to an explanation is probably not the remedy you are looking for”, SSRN, Yıl: 2017, ss.1-67, s.41. 73  Sandra WACHTER - Brent MITTELSTADT - Chris RUSSELL, “Why Fairness Cannot Be Automated: Bridging the Gap Between EU Non-Discrimination Law and AI”, Computer Law & Security Review, Yıl:2018, Cilt: 34, Sayı: 3, ss.54-68, s.57. 74  Mikella HURLEY-Julius ADEBAYO, “Credit scoring in the era of big data”, Yale Journal of Law and Technology, Yıl:2016, Cilt: 18, Sayı:1, ss. 148-216, s.183. 75  EDWARDS- VEALE, a.g.m., s.28. 76  Mireille HILDEBRANDT, “Algorithmic Regulation and the Rule of Law” , Philosophy & Technology, Yıl:2021, Cilt:34, Sayı: 4 ss. 671-694, s. 675. 77  WACHTER- MITTELSTADT, a.g.m., s. 496. 78  HURLEY-ADEBAYO, a.g.m., s.173. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 471 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı • Sistematik izlemeler: Söz konusu ölçüt, GVKT’nin 35/3-(c) maddesinde yer alan kamuya açık bir alanın sistematik olarak izlenmesi yoluyla işlenen veriler ile ilgili kişileri göz- lemlemek, izlemek veya kontrol etmek için kullanılan her türlü işlemeleri içer- mektedir. Çalışma Grubu “sistematik” kavramını yorumlarken, “bir sisteme göre gerçekleşen; önceden düzenlenmiş, organize edilmiş veya metodolojik; veri toplama için genel bir planın parçası olarak gerçekleşen; bir stratejinin parçası olarak yürütülen” tanımlarını esas almaktadır. Sistematik izleme, bi- reylerin davranışlarının, konumlarının ve diğer kişisel verilerinin düzenli olarak takip edilmesi ve analiz edilmesi olarak açıklanabilir.79 Sistematik izlemeler dijital ve dijital olmayan ortamda gerçekleşebilmektedir. İnternet ortamında gerçekleşen sistematik izlemeler, bireylerin her türlü hareketinin izlenmesi ve profil oluşturulması sonucunu içermektedir.80 Bu izlemelere davranışsal reklamcılık uygulamaları, sosyal medya platformlarının yaptığı profillemeler, giyilebilir cihazlar aracılığıyla sağlık, fitness ve sağlık verilerinin izlenmesi, mobil uygulamalarda konumun izlenmesi örnek verilebilir. 81 Bunun yanı sıra sistematik izlemeler kamuya açık alanlarda da gerçekleştirile- bilmektedir. Çalışma Grubu “kamuya açık alan” kavramını, “meydan, alışveriş merkezi, cadde, pazar yeri, tren istasyonu, halk kütüphanesi gibi toplumun her- hangi bir üyesine açık olan herhangi bir yer” olarak tanımlamaktadır.82 Kamuya açık alanlarda sistematik izlemeler kameralar aracılığıyla gerçekleştirilmekte olup söz konusu alanların güvenliğini sağlamak, trafiğin düzenini sağlamak, suç işlenmesini önlemek gibi amaçlarla yapılabilmektedir.83 Kamuya açık alanlarda gerçekleşen izlemelerden bireylerin kaçınması genellikle mümkün olmadığından84, söz konusu işlemelerin veri koruma mevzuatına uygunluğu önem arz etmektedir. 79  Madde 29 Çalışma Grubu, wp243rev.01, s.8-9. 80  Madde 29 Çalışma Grubu, wp243rev.01, s.8. 81  Sandra WACHTER- Brent MITTELSTADT- Luciano FLORIDI, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, Yıl:2017, Cilt:7 ,Sayı: 2, ss.76-99, s. 85.; Madde 29 Çalışma Grubu, wp243rev.01, s.9. 82  Madde 29 Çalışma Grubu, WP 248 rev.01, s.8 Dipnot.13. 83  Oğuz ŞİMŞEK, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta İstanbul 2008, s.162-163. 84  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 472 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Sistematik izlemeler meşru amaçlarla yapılabilmekle beraber, yürütülen işleme faaliyetlerinde bireylerin kişisel verilerinin korunması önem arz etmektedir. Nitekim ilgili kişilerin kişisel verilerinin kim tarafından toplandığı ve nasıl kullanılacağı hakkında farkındalığı olmayabileceği için85 söz konusu işlemeler şeffaflık ilkesine aykırı olabileceği gibi bireylerin kişisel verileri üzerinde kontrol sahibi olmaları zorlaşacağından kişisel verileri üzerindeki haklarını kullanamamalarına yol açabilecektir. • Hassas verilerin işlenmesi: AB hukukunda işlenmeleri halinde doğası gereği bireylerin temel hak ve özgürlükleri açısından önemli riskler yaratabilecek nitelikte olan hassas veriler özel olarak korunmaktadır.86 Bu koruma, bu verilerin kötüye kullanılması halinde özel hayata saygı hakkı ve ayrımcılık yasağı gibi temel haklar üzerinde, genel nitelikteki kişisel verilerin kötüye kullanımından daha ciddi sonuçlar doğurabileceği varsayımına dayanmaktadır.87 Hassas veri kavramı, özel nitelikli kişisel verileri ifade etmek için kullanılsa da88 Çalışma Grubuna göre kapsamı, GVKT’nin 9’uncu maddesinde sayılan özel nitelikli kişisel verilerden daha geniştir.89 95/46/EC sayılı Direktif’in 8’inci maddesinde özel nitelikli kişisel veriler ırk ve etnik köken, siyasi görüş, dini ve felsefi inanç, sendika üyeliği, sağlığa ilişkin veriler ve cinsel hayata ilişkin kişisel veriler olarak belirlenmişti. GVKT’nin yürürlüğe girmesiyle beraber bu verilere gerçek kişinin kimliğini belirlemek amacıyla işlenen genetik veya biyometrik veriler ile cinsel yönelime ilişkin veriler de eklenmiştir. Söz konusu veriler sınırlı sayma yoluyla belirlenmiştir. 90 Sayılan özel nitelikli kişisel veriler dışında bireylerin hak ve özgürlüklerine yönelik olası riskin yüksek olduğu bazı veri kategorileri hassas veri olarak kabul edilmektedir.91 Bu kapsamda hem 95/46/EC sayılı Direktif’te hem GVKT’de 85  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 86  GVKT Resital 51. 87  Madde 29 Çalışma Grubu, Advice paper on special categories of data (“sensitive data”), Ref. Ares (2011)444105- 20/04/2011, s.4. 88  Bkz. GVKT’nin 10.Resitalinde özel nitelikli kişisel veriler (special categories of personal data), hassas veri (sensitive data) ile eş anlamlı olarak kullanılmıştır. 89  Madde 29 Çalışma Grubu, WP 248 rev.01, s.9. 90  Elif KÜZECİ, Kişisel Verilerin Korunması, Onikilevha Yayınları,2020, s.281. 91  Madde 29 Çalışma Grubu, WP 248 rev.01,s10. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 473 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı suç, ceza mahkumiyeti veya güvenlik tedbirlerine ilişkin kişisel verilerin işlenmesinin ulusal hukuktaki özel güvencelerle yapılması gerektiği belirtilmiş olup söz konusu veriler hassas veri olarak kabul edilmiştir.92 Çalışma Grubuna göre başka hassas veriler de bulunmaktadır. Örneğin “gerçek kişilerin elektronik yazışmaları, kişisel belgeleri, e-postaları, günlüklerinin işlenmesi” gibi gerçek kişilerin özel hayatın gizliliği hakkı kapsamında korunması gereken kişisel veriler ; seyahat özgürlüğüne müdahale teşkil etmesi sebebiyle “konum verisi” gibi bir temel hakkın kullanılmasını etkileyen kişisel veriler ; dolandırıcılık için kullanılabilecek “finansal veriler” gibi ihlal edilmesi halinde kişinin hayatında ciddi sonuçlar doğuracak olan kişisel veriler93 hassas veri olarak kabul etmektedir.94 Bu veri kategorileriyle ilişkili bir bilginin hassas veri olup olmayacağı belirlenirken somut olayın özelliklerine bakılması gerekmektedir.95 Örneğin kişinin dini görüşünü yansıtan ismi, bu niteliği dolayısıyla işlendiğinde hassas veri olabilecekken; bir veri tabanında sadece isim verisi olarak yer aldığında hassas veri olmayacaktır.96 • Büyük ölçekli veri işleme: GVKT’de “büyük ölçekli” kavramı tanımlanmamakla birlikte, GVKT’nin 91’inci Resitalinde söz konusu ölçütün “bölgesel, ulusal veya uluslarüstü düzeyde önemli miktarda kişisel verinin işlenmesini amaçlayan ve çok sayıda ilgili kişiyi etkileyebilecek olan ve örneğin hassasiyetleri nedeniyle yüksek bir riske yol açması muhtemel olan büyük ölçekli işleme faaliyetlerine, ulaşılan teknolojik bilgi durumuna uygun olarak büyük ölçekte yeni bir teknolojinin kullanıldığı durumlara ve ilgili kişilerin hakları ve özgürlükleri bakımından yüksek riske yol açan diğer işleme faaliyetlerine, özellikle de bu faaliyetlerin ilgili kişilerin haklarını kullanmalarını daha zor hale getirdiği durumlara..” uygulanması gerektiği belirtilmiştir. 92  Bkz. 95/46/EC sayılı Direktif madde 8/5; GVKT madde 10; GIAKOUMOPOULOS- BUTTARELLI- O’FLAHERTY, a.g.e., s.96-97. 93  Aynı yönde bkz. VOIGT/ BUSSCHE, a.g.e, s.97; Öte yandan konum verilerinin adam kaçırma, soygun gibi amaçlarla işlenmesi halinde güvenlik sorunu ve zarar doğmaktadır. bkz. Roger CLARKE, “Person Location and Person Tracking: Technologies, Risks and Policy Implications”, Information Technology and People, Yıl:2001, Cilt: 14, Sayı: 2, ss. 206-231, aynı yönde bkz. VOIGT/ BUSSCHE, a.g.e, s.97. 94  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 95  KÜZECİ, a.g.e., s.279. 96  Peter CAREY, Data Protection: A Practical Guide to UK Law and EU Law, Oxford University Press, s.87. 474 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Çalışma Grubunun örneğinde, bir hastane tarafından hastane bilgi sisteminde hastaların genetik ve sağlık verilerinin işlenmesi büyük ölçekli işleme unsuru barındıran ve veri koruma etki değerlendirmesi gerektiren bir işleme faaliyeti iken, serbest doktor tarafından hasta verilerinin işlenmesi büyük ölçekli olmadığı için VKED gerektirmeyen işleme faaliyeti olarak nitelendirilmiş olup97, büyük ölçekli işlemenin tespitinde işlemenin hacminin bir unsur olduğu anlaşılmaktadır. Çalışma Grubu işlemenin büyük ölçekte gerçekleştirilip gerçekleştirilmediğini belirlerken, belirli bir sayı veya nüfusun belirli bir oranı olarak verisi işlenen ilgili kişilerin sayısı, işlenen verinin hacmi ve/veya farklı veri öğelerinin çeşitliliği, veri işleme faaliyetinin süresi veya sürekliliği ile işleme faaliyetinin coğrafi kapsamının dikkate alınmasını tavsiye etmektedir.98 Büyük ölçekli işleme olarak nitelendirilen diğer örnekler ise, bir şehrin toplu taşıma sistemini kullanan bireylerin seyahat kartları aracılığıyla seyahat verilerinin işlenmesi; uluslararası bir fast-food zinciri müşterilerinin gerçek zamanlı konum verilerinin veri işleyeni tarafından istatistiksel amaçlarla işlenmesi; müşteri verilerinin bir sigorta şirketi veya banka tarafından düzenli olarak işlenmesi; kişisel verilerin bir arama motoru tarafından davranışsal reklamcılık için işlenmesi; trafik, konum, içerik verilerinin telefon veya internet hizmet sağlayıcıları tarafından işlenmesidir.99 • Veri setlerinin eşleştirilmesi veya birleştirilmesi suretiyle yapılan işlemeler: Farklı amaçlarla ve/veya farklı veri sorumluları tarafından gerçekleştirilen iki veya daha fazla veri işleme faaliyeti sonucunda oluşan veri setlerinin ilgili kişilerin makul beklentisini aşan şekilde eşleştirilmesi veya birleştirilmesi bu işleme kriterine örnek teşkil etmektedir.100 Burada veri setlerinin eşleştirilmesi veya birleştirilmesi ilk işleme faaliyetinden sonra gerçekleşen bir işleme faaliyeti (sonraki işleme) niteliğindedir. 101 İlk işleme sırasında ilgili kişiye belirtilen işleme amacıyla, veri setlerinin eşleştirilmesi veya birleştirilmesinin ilgili kişi tarafından makul olarak beklenemeyeceği haller bu kriter kapsamındadır. 97  Madde 29 Çalışma Grubu, WP 248 rev.01, s.11-12. 98  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 99  Madde 29 Çalışma Grubu, WP 243 rev.01, s.8. 100  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 101  Madde 29 Çalışma Grubu, Opinion on Purpose limitation 13/EN WP 203, 02.04.2013, s.23. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 475 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı Söz konusu kriteri barındıran işleme faaliyetine örnek olarak, ilgili kişinin profilini oluşturmak için kamuya açık sosyal medya verilerinin toplanması verilebilir.102 Sonraki işlemelerde makul beklenti, ilgili kişi durumundaki makul bir kişinin verilerin toplandığı bağlamda verilerinin ne için kullanılmasını bekleyeceğine ilişkindir. İlgili kişinin makul beklentisinin tespitinde, hem ilgili kişi ile veri sorumlusu arasındaki ilişkideki yasal beyanların gözden geçirilmesi hem de söz konusu ilişkide alışılmış ve genel olarak beklenen uygulamanın ne olacağının gözetilmesi gerekmektedir. Bu ilişkinin niteliğinin değerlendirilmesinde ilgili kişi ile veri sorumlusu arasındaki güç dengesi de dikkate alınmalıdır. Örneğin, ilk işleme faaliyeti sözleşmeye dayanıyorsa yahut sonraki işleme ilgili kişinin açık rızasına dayanıyorsa, taraflar arasındaki güç dengesine göre ilgili kişinin özgür iradesinin var olup olmadığının değerlendirilmesi gerekmektedir.103 Çalışan- işveren ilişkisinde güç dengesizliği olması sebebiyle işverenin, çalışanın kişisel verilerini çalışanın makul beklentisini aşar şekilde birleştirdiği durumlar da bu kritere örnek olabilecektir. • Savunmasız kişilerin kişisel verisinin işlenmesi: Savunmasız kişiler GVKT’de tanımlanmamıştır, ancak GVKT’nin 75’inci Resitalinde “özellikle çocuklar olmak üzere savunmasız gerçek kişilerin kişisel verilerinin işlendiği durumlar” riskli işleme faaliyetlerinden biri olarak sayılmıştır. Çalışma Grubu savunmasız ilgili kişileri, çocuklar, çalışanlar ve nüfusun özel korumaya ihtiyaç duyan hassas kesimleri (akıl sağlığı yerinde olmayanlar, sığınmacılar, hastalar, yaşlılar gibi) olarak örnek yoluyla belirtmiştir.104 Doktrinde ise veri koruma alanındaki haklarını kullanmasını etkileyen unsurların, yaş, zihinsel kapasite, okuryazarlık105 yahut ırk, etnik köken, sınıf, cinsel yönelim, göçmenlik durumu106 veya cinsiyet gibi sosyal farklılıklardan kaynaklanabileceği tespit edilmiştir.107 102  Madde 29 Çalışma Grubu, WP 248 rev.01, s.11. 103  Madde 29 Çalışma Grubu, WP 203, s.24. 104  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 105  Peter BLUME, “The Data Subject,” European Data Protection Law Review, Yıl:2015, Cilt:1 Sayı: 4, s.258. 106  Örneğin, uzun ve tehlikeli koşullarda seyahat etmeleri sebebiyle sığınmacılar, haklarında işlenen verilere karşı itiraz edebilmeleri ve haklarını kullanabilmeleri zor olduğu için savunmasız kişi olarak kabul edilmektedir. bkz. GIAKOUMOPOULOS- BUTTARELLI- O’FLAHERTY, a.g.e., s.318. 107  Gianclaudio MALGIERI/Jedrzej NIKLAS, “Vulnerable data subjects”, Computer Law & Security Review, Yıl:2020, Cilt:37, ss.1-16, s.5. 476 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Kişisel verilerin korunması alanındaki savunmasızlık, işleme faaliyeti sırasında ilgili kişinin özgürce rıza gösterme, veri işleme hakkındaki bilgileri anlama veya veri koruma haklarını yeterince kullanma kabiliyetinin sınırlı olmasından kaynaklanabileceği gibi, işleme faaliyeti neticesinde ilgili kişinin ayrımcılık, manipülasyon, fiziksel ve psikolojik zararlara maruz kalmasından da kaynaklanabilecektir.108 Çocuklar her iki ölçütü de taşımakta olup109 GVKT’de açıkça sayılan tek savunmasız kişi grubudur.110 Çocukların, kişisel verilerin işlenmesiyle ilgili riskler, güvenceler ve hakları hakkında daha az farkındalığa sahip oldukları varsayılmaktadır.111 Çalışma Grubu savunmasız ilgili kişileri, ilgili kişi ile veri sorumlusu arasında güç dengesizliğinin artması sebebiyle kişisel verisinin işlenmesine rıza gösteremeyebilecek veya karşı çıkamayacak yahut haklarını kullanamayacak kişiler olarak açıklamıştır.112 Söz konusu tanımdan ilgili kişi ile veri sorumlusu arasında, ilgili kişinin iradesini gerektiği gibi ortaya koymasını engelleyen bir güç dengesizliğinin varlığının bir ölçüt olduğu anlaşılmaktadır. Güç dengesizliği işleme şartları kapsamında açık rıza ve meşru menfaatle yapılan işlemelerde karşımıza çıkabilmektedir. Kişisel verilerin işlenmesinde kişilerin rızasına dayanılabilmesi için ilgili kişinin özgür iradesinin varlığı gerektiğinden,113 taraflar arasındaki güç dengesizliği ilgili kişinin özgür iradesini ortadan kaldırıyorsa, ilgili kişinin rızasına dayanılarak kişisel verileri işlenemeyecektir.114 Örneğin, çalışan ve işveren arasındaki istihdam ilişkisindeki güç dengesizliği sebebiyle, işverenin çoğu durumda çalışanın kişisel verilerini açık rızayla işlemesi Çalışma Grubu tarafından uygun görülmemekte,115 işverenin rızanın özgür iradeyle verildiğini ispatladığı hallerde çalışanın açık rızası geçerli kabul edilmektedir.116 Diğer taraftan ilgili kişi ile veri sorumlusu arasında güç dengesizliği bulunduğu 108  MALGIERI- NIKLAS, a.g.m., s.5. Örneğin, otomatik profilleme neticesinde ayrımcılığa tabi olabilecek çalışanlar, kadınlar veya yaşlılar; veri ihlali durumunda daha büyük fiziksel veya psikolojik zararlara maruz kalabilecek olan çocuklar, hastalar, engelli bireyler, mülteciler. 109  MALGIERI- NIKLAS, a.g.m., s.7. 110  GVKT Resital 75. 111  GVKT Resital 38. 112  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 113  Madde 29 Çalışma Grubu, WP259 rev.01, s.5. 114  Madde 29 Çalışma Grubu, WP259 rev.01, s.7. 115  Madde 29 Çalışma Grubu, WP 249, s.6-7. 116  Madde 29 Çalışma Grubu, WP259 rev.01, s.7. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 477 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı hallerde meşru menfaate dayanılarak işleme yapılabilmesi için, ilgili kişinin savunmasız kişi olup olmadığının denge testi yapılırken değerlendirilmesi gerekmektedir.117 Güç dengesizliği ilgili kişilerin şeffaflık ilkesi uyarınca bilgilendirilmesi gerektiği hallerde de ortaya çıkabilmektedir. İlgili kişilerin işleme faaliyeti sırasında veri sorumlusunun GVKT’nin 13 ve 14’üncü maddelerinde yer alan aydınlatma yükümlülüğü kapsamında belli hususlar hakkında bilgilendirilmesi ve 15 ila 22 ve 34’üncü maddelerdeki ilgili kişi hakları için de bilgilendirilmesi gerekmektedir.118 Bu bilgilendirmenin savunmasız kişilerin (çocuklar, engelliler gibi) durumu da gözetilerek onların anlayabileceği şekilde yerine getirilmesi gerekmektedir.119 VKED ile işleme faaliyetinin tasarımı sürecinde savunmasız kişilerin sürece dâhil edilmesi halinde, savunmasız grupların durumu ve tecrübelerinin anlaşılması sağlanarak örneğin büyük veri analitiğinde ayrımcılık ve ön yargıların önlenmesi mümkün olabilecektir.120 Bahse konu kriteri ihtiva eden işleme faaliyetlerine; işverenin çalışanların mesai saatleri dışında özel amaçları için kullanmalarına da izin verilen şirket araçlarının konumunu izlemesi121, bir şirketin çalışanlarını sistematik olarak izlemesi122 örnek verilebilecektir. • Yeni teknoloji ile yapılan işlemeler: GVKT’nin 35/1’inci maddesinde ve Resital 89’da özellikle yeni bir teknoloji kullanımında veri koruma etki değerlendirmesi yapılması gerektiği ifade edilmiş olup yeni teknolojik yöntemler veya organizasyonel yöntemlerin yenilikçi kullanımı suretiyle yapılan işlemeler bu kriter kapsamındadır. 117  Madde 29 Çalışma Grubu, WP 217, s.41,51. 118  GVKT madde 12/1. 119  Madde 29 Çalışma Grubu, WP 260 rev.01, 2018, s. 11. 120  Haiyi ZHU vd., “Value-Sensitive Algorithm Design: Method,Case Study, and Lessons”, Proceedings of the ACM on Human-Computer Interaction, Yıl:2018, Cilt: 2, Sayı: CSCW, makale: 194, ss. 1–23, s.14; Latifa JACKSON vd., “Including Vulnerable Populations in the Assessment of Data From Vulnerable Populations” , Front Big Data, Yıl: 2019, Cilt:28, Sayı: 2, Makale:19, ss.1-8, s. 7. 121 Birleşik Krallık DPIA listesi, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/ accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to- do-a-dpia/#when11 122  Madde 29 Çalışma Grubu, WP 248 rev.01, s.11. 478 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Yeni bir teknoloji kullanımının, kişisel ve sosyal sonuçları bilinemediği için bireylerin hak ve özgürlükleri açısından yüksek risk taşıyabilecek veri toplama ve kullanımını içermesi muhtemel olduğundan, bu yolla yapılacak kişisel veri işlemelerinden önce VKED ile risklerin farkında olunması gerekmektedir.123 Bu kriteri sağlayan veri işleme faaliyetlerine örnek olarak gelişmiş fiziksel erişim kontrolü için parmak izi ve yüz tanımanın birleştirilmesi, nesnelerin interneti uygulamalarıyla yapılan işlemeler,124 RFID teknolojileri, büyük veri, otonom araçlar verilebilir.125 • Bir hakkın kullanılmasını veya bir hizmet ya da sözleşmeden faydalanmayı engelleyen işlemeler: Söz konusu kriter ilgili kişilerin sözleşme yapmasına veya hizmete erişimine izin vermeyi, değiştirmeyi veya reddetmeyi amaçlayan işleme faaliyetlerini içermektedir. Kriteri sağlayan veri işleme faaliyetine örnek olarak, bankanın kredi verilip verilmeyeceğine karar verilmesi için müşterisini kredi referans veri tabanında taraması verilebilir,126 kredi skorlama sistemlerinde bireylerin finansal verileri işlenerek krediye uygunlukları değerlendirilmektedir ancak sistemlerde kullanılan algoritmaların şeffaf olmaması ve ilgili kişilerin yeterli bilgilendirilmemesi, bireylerin adil bir kredi değerlendirmesine tabi tutulmalarını engelleyebilir.127 Bir başka örnek, çevrimiçi reklamcılıkta profilleme yöntemleri kullanılarak belirli ürünlerin veya hizmetlerin sadece belirli demografik gruplara sunulması, diğer grupların bu hizmetlerden faydalanmasının engellenmesidir. 128 123  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 124  Madde 29 Çalışma Grubu, WP 248 rev.01, s.10. 125  Ekmekçi ve diğerleri, Kişisel Verilerin Korunması Hukuku, Onikilevha Yayınları, İstanbul 2024, s.306, 692.dipnot. 126  Madde 29 Çalışma Grubu, WP 248 rev.01, s.11. 127  WACHTER- MITTELSTADT- FLORİDİ, a.g.m., s. 85. 128  Mireille HILDEBRANDT, “Profiling and the Rule of Law”, Identity in the Information Society 1, Yıl:2008 Cilt:1 Sayı:1, ss.55-70, s. 63. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 479 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı YÜKÜMLÜLÜĞÜN İSTİSNALARI • ‘Veri koruma etki değerlendirmesi gerekmeyen işleme faaliyeti listesi’nde olan işlemeler: GVKT’nin 35/5’inci maddesi gereğince ulusal veri koruma otoritesi tarafından belirlenebilecek olan ‘veri koruma etki değerlendirmesi gerekmeyen işleme faaliyetleri listesi’nde yer alan işleme faaliyetleri için veri koruma etki değerlendirmesi yapılması gerekmemektedir.129 Çalışma Grubu tarafından veri koruma etki değerlendirmesi yapılması gerekmeyen işlemelere, hastalara ait kişisel verilerin serbest çalışan doktor veya diğer sağlık uzmanı tarafından işlenmesi veya müvekkil verilerinin serbest çalışan avukat tarafından işlenmesi; çevrimiçi bir derginin abonelerinin e-posta adresi listesini kullanarak günlük özet göndermesi; bir e-ticaret sitesinin sitesinde görüntülenen veya satın alınan ürünlerle sınırlı profilleme yaparak eski model araba parçaları için reklam göstermesi olarak üç örnek verilmiştir. • GVKT’nin 35/10’uncu maddesi: GVKT’nin 35’inci maddesinin 10’uncu fıkrasında sayılan koşulların kümülatif olarak sağlanması halinde veri sorumlularının veri koruma etki değerlendirmesi yapma yükümlülüğü bulunmamaktadır. 130 GVKT’nin 35’inci maddesinin 10’uncu fıkrasına göre; • İşleme faaliyetinin GVKT’nin 6/1-(c) maddesi uyarınca “veri sorumlusunun tabi olduğu bir yasal yükümlülüğe uyulması için gerekli olması” veya GVKT’nin 6/1-(e) maddesi uyarınca “kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya veri sorumlusuna verilen resmi yetkinin kullanılması için gerekli olması” kapsamında AB üyesi bir devlet veya AB mevzuatındaki yasal dayanakla gerçekleştirilmesi, • Söz konusu mevzuatın spesifik işleme faaliyetlerini düzenlemesi, • Söz konusu mevzuat yürürlüğe girmeden önce veri koruma etki değerlendirmesi yapılmış olması, • AB üyesi devlette bahse konu işleme faaliyetinden önce veri koruma etki değerlendirmesi yapılmasının zorunlu olmaması 129  Madde 29 Çalışma Grubu, WP 248 rev.01, s.13. 130  VOIGT/ BUSSCHE, a.g.e., s.50-51. 480 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI halinde, GVKT’nin 35’inci maddesinin 1 ila 7’nci fıkraları arasındaki hükümler uygulanmamaktadır.131 Bu sayılan koşullardan herhangi birinin sağlanmadığı halde, veri sorumlusunun veri koruma etki değerlendirmesi yapması gerekecektir. Söz konusu madde lafzından anlaşıldığı üzere AB üyesi devletler iç hukuklarında söz konusu istisnaya konu işleme faaliyetinden önce veri koruma etki değerlendirmesi yapılmasını öngörme yetkisine sahiptir. Çalışma Grubu da kabul edilen mevzuatla kanun taslağının farklı olduğu hallerde işleme faaliyetine başlanmadan önce VKED’in gözden geçirilebileceğini belirtmekte; yine mevzuat için yapılan VKED, fiili işleme faaliyetine ilişkin teknik detay içermiyorsa işleme faaliyetine başlamadan özel bir VKED yürütülmesi tavsiye edilmektedir. 132 • Birden Fazla İşleme İçin Tek VKED Yapılması GVKT’nin 35/1’inci maddesi uyarınca nitelik, kapsam, bağlam, amaç ve riskler açısından benzer olan birden fazla işleme faaliyetini değerlendirmek için tek veri koruma etki değerlendirmesi yapıldığı hallerde, VKED sonucu benzer işlemeler için kullanılacağından ayrıca VKED yapılması gerekmemektedir.133 Bu aynı tür verilerin aynı amaçlarla toplanması için benzer teknolojilerin kullanıldığı hallerde134 mümkün olabileceği gibi farklı veri sorumluları tarafından uygulanan benzer işleme faaliyetleri için de geçerli olabilecektir. Ancak bu durumlarda veri sorumlularının tek veri koruma etki değerlendirmesi uygulanmasının gerekçesini belgelendirmesi gerekmektedir. Ayrıca veri sorumlularının VKED raporunda yer alan tedbirleri uygulaması gerektiğinden, yapılan referans veri koruma etki değerlendirmesi raporunun veri sorumluları arasında paylaşılması veya kamunun erişimine açık hale getirilmesi gerekmektedir.135 • 95/46/EC Sayılı Direktif Döneminde Önkontrole Tabi Tutulan İşlemeler GVKT yürürlüğe girmeden önce 95/46/EC sayılı Direktif döneminde, Direktifin 20’nci maddesi uyarınca veri koruma otoritesi tarafından kontrol edilmesi üzerine yürütülen bir işleme faaliyetinin koşullarında bir değişiklik olmamışsa veri 131  GVKT madde 35/10. 132  Madde 29 Çalışma Grubu, WP 248 rev.01, s.13, 21. dipnot 133  Madde 29 Çalışma Grubu, WP 248 rev.01, s.12. 134  Örneğin, aynı CCTV sistemini kuran birden fazla belediye, söz konusu işlemeyi kapsayan tek bir VKED gerçekleştirebilecektir. 135  Madde 29 Çalışma Grubu, WP 248 rev.01, s..6 KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 481 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı koruma etki değerlendirmesi yapılması gerekmemektedir. Ancak kontrolden sonra uygulama koşullarındaki herhangi bir değişiklik (kapsam, amaç, toplanan kişisel veriler, veri sorumlularının veya alıcılarının kimliği, veri saklama süresi, teknik ve idari tedbirler vb.) yeniden VKED yapılmasını gerektirmektedir. 136 Tüm açıklamaları özetlemek gerekirse, veri sorumlusu planladığı bir işleme faaliyetine başlamadan önce, “Yükümlülüğün Kapsamı” başlığı altında açıklanan kriterleri göz önünde bulundurarak veri koruma etki değerlendirmesi yapılmasının gerekip gerekmediğini tayin etmelidir. Doktrinde bu aşama eşik analizi olarak adlandırılmaktadır. 137 Yukarıda bahsedilen istisnalar kapsamında olmayan ve yüksek riskle sonuçlanması muhtemel bir işleme faaliyeti yürütülecekse, işleme faaliyetine başlamadan önce veri koruma etki değerlendirmesi yapılması gerekmektedir. Veri Koruma Etki Değerlendirmesinin Yapılması VKED, veri koruma riskinin kaynağının, niteliğinin, özelliğinin ve büyüklüğünün değerlendirilmesi ve buna uygun tedbirlerin alınması sürecidir.138 GVKT’de etki değerlendirmesinin nasıl yapılması gerektiğine, yani metodolojisine ilişkin bir düzenleme yer almamakta olup sadece veri koruma etki değerlendirmesinde asgari olarak yer alması gereken hususlara yer verilmiştir.139 Veri Koruma Etki Değerlendirmesinin Şekli Çalışma Grubu bir VKED’in yürütülmesinde genel tekrarlayan süreci aşağıdaki gibi izah etmiştir. Uygulamada VKED tamamlanmadan önce şekildeki aşamaların her birinin birden çok kez gözden geçirileceği öngörülmektedir.140 GVKT’de VKED’in hangi metodolojiyle yapılacağına ilişkin şekli bir belirleme yapılmamasının gerekçesi, her veri sorumlusunun kendi işleme faaliyetlerine uygun VKED tasarlayıp uygulayabilmesi için esneklik sağlanması olarak açıklanmıştır.141 136  Madde 29 Çalışma Grubu, WP 248 rev.01,s.13. 137  DEMETZOU, a.g.m., s.5; KLOZA vd.,“Towards a method for DPIA”, s.5; BIEKER vd, “A Process for DPIA”, s.24-25. 138  GVKT Resital 84. 139  Felix BIEKER vd., “Data Protection Impact Assessment:A Hands-On Tour of the GDPR’s Most Practical Tool” , Privacy and Identity Management 2017 İçinde, IFIP AICT 526, ss. 207–220, s.208. 140  Madde 29 Çalışma Grubu, WP 248 rev.01, s.16. 141  Madde 29 Çalışma Grubu, WP 248 rev.01, s.17. 482 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Ancak doktrinde bir metodolojinin belirlenmemesinin veri sorumluları için belirsizlik yarattığı142, metodoloji belirlenmesinin VKED’in veri sorumluları tarafından kolay bir şekilde uygulanmasına, üçüncü kişilerce anlaşılabilmesine ve denetiminin sağlanmasına katkıda bulunacağı belirtilmektedir.143 Bu çalışmada veri koruma etki değerlendirmesi sürecinin daha iyi anlaşılabilmesini teminen doktrinde 4 aşamalı olarak belirlenen bir metodoloji örneğine aşağıda yer verilmiştir:144 1. Hazırlık aşamasında, VKED’in gerekli olduğuna karar verildikten sonra, VKED yapacak ekip oluşturularak değerlendirmenin hedefi ve işleme amaçları tanımlanır, ilgili aktörler ve ilgili kişiler ile ilgili yasal dayanak- lar belirlenir. 2. Yürütme aşamasında, koruma hedeflerine dayalı değerlendirme kriterlerinin tanımlanması, saldırganların amaçları ve hedefleri dâhil risk kaynaklarının tanımlanması, kişilerin haklarına müdahale seviyesi ve kişilerin haklarını koruma seviyesinin belirlenmesi, riskin değerlendirilmesi, uygun önlemlerin belirlenmesi, artık risk analizi dâhil değerlendirme sonuçlarının belgelen- mesi adımlarının tamamlanması neticesinde VKED raporu oluşmaktadır. Veri sorumlusu raporun sonuçlarına göre öngörülen işleme faaliyetinin gerçekleştirilip gerçekleştirilemeyeceğine karar verecektir. Belirlenen tedbirlere rağmen bireylerin haklarına yönelik yüksek risk devam ediyorsa, veri sorumlusu işleme faaliyetinden vazgeçmediği takdirde, işleme faaliyetine başlamadan önce GVKT’nin 36’ncı maddesi uyarınca veri koruma otoritesine başvurmak zorundadır. Veri sorumlusu tarafından veya veri koruma otoritesine yapılan danışma neticesinde riskleri ele almak ve bireylerin haklarının korunmasını sağlamak için yeterli önlemlerin belirlenmesi halinde bu önlemlerin uygulanacağı aşamaya geçilir. 3. Uygulama aşamasında, veri sorumlusu işleme faaliyetini onaylamadan önce bu önlemleri uygulamalı, önlemlerin etkinliğini test etmeli, belgelendirmeli, GVKT’ye uygunluğunu ispat etmelidir. İşleme faaliyetinin onaylanması neticesinde işleme faaliyetine başlanabilecektir. 142  Samuel WAIRIMU vd., “On the Evaluation of Privacy Impact Assessment and Privacy Risk Assessment Methodologies: A Systematic Literature Review,” IEEE Access, Cilt:12, ss.19625-19650,s. 19626. 143  FLAHERTY, a.g.m., https://www8.austlii.edu.au/cgi-bin/viewdoc/au/journals/PLPR/2000/45.html (E.T.14.04.2024) 144  BIEKER vd., “Data Protection Impact Assessment”, s.208-209. KİŞİSEL VERİLERİN KORUNMASINDA VERİ KORUMA ETKİ DEĞERLENDİRMESİ 483 İkra AYKOL UZUNALİ / Kişisel Verileri Koruma Uzmanı 4. Gözden geçirme aşamasında, veri sorumlusu gerçek kişilerin hak ve öz- gürlüklerine ilişkin riskleri sürekli gözden geçirir ve gerektiğinde değer- lendirmenin bazı aşamalarını tekrarlar. Veri Koruma Etki Değerlendirmesi Yapılırken Gözetilmesi Gereken Asgari Unsurlar GVKT’nin 35’inci maddesinin yedinci fıkrasına göre değerlendirmede asgari olarak bulunması gerekenler; (a) Veri sorumlusu tarafından gözetilen meşru menfaat de dâhil olmak üzere öngörülen işleme faaliyetleri ve işleme amaçlarına ilişkin sistematik açıklama; (b) İşleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına ilişkin değerlendirme; (c) İlgili kişilerin hak ve özgürlüklerine yönelik risklere ilişkin değerlendirme; (d) İlgili kişiler ve ilişkili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin korunmasının sağlanması noktasında risklere karşı alınması öngörülen tedbirler olarak sayılmıştır. Dolayısıyla veri sorumluları tarafından yapılacak etki değerlendirmesinde söz konusu hususların incelenmesi ve raporlanması gerekmektedir. WP 248 sayılı Rehberinde de bir metodoloji belirlemesi yapılmamakla birlikte

(DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev.01, https://ec.europa.eu/ newsroom/article29/items/611236

data protection legal frameworks, WP218, Düzenlenme tarihi: 30.05.2014

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ files/2010/wp173_en.pdf 508 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI

Düzenlenme tarihi: 02.04.2013

WP259 rev.01

Düzenlenme tarihi: 02.04.2013

data protection legal frameworks, WP218, Düzenlenme tarihi: 30.05.2014. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 509 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ VE TÜRKİYE UYGULAMALARI Yaver Kağan KUZYAKA Kişisel Verileri Koruma Uzmanı “Bu çalışma, 09.12.2024 tarihinde kabul edilen “Kişisel Veri İhlal Bildirimlerinin Esas ve Usulleri Yönünden Avrupa Birliği ve Türkiye Uygulamaları” başlıklı uzmanlık tezinden alınmıştır.” GİRİŞ Günümüzde Avrupa Birliği üyesi ülkelerde uygulanan temel veri koruma düzenlemesi, 2016 yılında kabul edilen ve 2018’de yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğüdür (GDPR)1. 24.03.2016 tarihinde TBMM’de kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) ise GDPR’nin öncülü konumundaki 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi (95/46/EC Direktifi) mehaz alınarak hazırlandığı bilinmektedir.2 Bu durum, iki hukuk sisteminde uygulanan veri ihlal bildirimi esas ve usullerinin kaçınılmaz olarak farklılaşmasına yol açmıştır. 1  İngilizcesi ‘General Data Protection Regulation’ olan Avrupa Birliği Genel Veri Koruma Tüzüğü hukuk terminolojimize GDPR olarak girmiştir. Çalışmanın devamında da bu kısaltma ile zikredilecektir. 2  Prof. Dr. Faruk BİLİR, Röportaj:Kişisel Verilerin Korunması Kişinin Kendisinin Korunmasıdır, Sezen Yüce, TRT Akademi Dergisi, Cilt 06, Sayı 11, Yıl 2021, ss 174. 510 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Her iki hukuk sisteminde de veri ihlal bildirimi, denetim makamına ve ihlalden etkilenen ilgili kişiye bildirim olmak üzere, eşgüdüm halinde fakat farklı dinamiklere sahip iki ayrı süreç üzerinden yürütülmektedir. Ancak, bildirimlerin hangi yöntem, içerik, sürede ve kim tarafından yapılacağı; hatta veri ihlalinin ne olduğu ve hangi ihlallerin bildirime konu olacağı hakkında farklı tanım, düzenleme ve uygulamalar mevcuttur. İşte bu çalışmada, veri ihlal bildirimlerinin esas ve usulleri yönünden Avrupa Birliği ve Türkiye uygulamaları ortaya konmaya çalışılacaktır. Bu seçim, Türkiye’nin Avrupa Birliği kişisel veri koruma mevzuatına uyum sağlama yönündeki açık iradesinden ileri gelmektedir. Çalışmanın tüm okur ve aktörlere faydalı olması umulur. 1. KİŞİSEL VERİ İHLALİ KAVRAMI Erken dönemde siber güvenliğin odak noktası, ihtiyaç duyulduğunda sürekli çalışabilir olmasını sağlamak üzere sistemin kendisinin güvenliğini sağlamak olmuştur. Çünkü, dönemin bilgisayarları yüksek maliyetli ve nadir bulunan cihazlardır. Ancak, bilgisayar teknolojisinin birim maliyeti düştükçe, verinin göreli değeri artmaya başlamış; bunun sonucu olarak siber güvenliğin odak noktası, bilgisayarın korunmasından verinin korunmasına doğru kayma eğilimi göstermiştir. Önceleri bilgisayar güvenliği baskınken; gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) kavramları önem kazanmaya başlamıştır. Verinin bu üç unsurunun korunması gereğine yaslanan ilkeye de CIA üçlüsü adı verilmektedir. İşte, CIA üçlüsü on yıllardır kamu, özel sektör ve sivil toplum kuruluşlarının kurumsal veri güvenliği standartlarının merkezinde yer almaktadır.3 Gizlilik, verinin bilmesi gerekmeyenlerden korunması esasına dayanan temel veri güvenliği ilkesidir. Kişisel veri gizliliği ihlalinin ne olduğu sorusunun cevabı, diğer unsurlara kıyasla gayet açıktır. Bir veri sorumlusunun veri kayıt sistemine sızan siber tehdit aktörünün kişisel verileri indirmesi (download etmesi anlamında) açıkça verinin gizliliğini ortadan kaldıran bir veri ihlalidir. Tehdit aktörünün bu verileri genele ifşa etmesi durumundaysa (bir forum sitesinde paylaşması vb.) daha yüksek risk teşkil eden bir gizlilik ihlali yaşanmış demektir. Ancak, bu verinin bilişim sistemi üzerinde salt görüntülenmesi/ona erişilmesi de veri gizliliği kaybı ve dolayısıyla veri ihlalidir. Öte yandan, veri gizliliğini etkileyen 3  Spyridon SAMONAS - David COSS, “The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security”, Journal of Information System Security, Cilt 10, Sayı 3, ss. 23-24. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 511 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı yegâne aksiyonun siber tehdit aktörlerinin iradi ve icrai davranışları olduğu söylenemez. Örneğin, çalışanların kişisel verilerinin işlendiği bir muhasebe yazılımında meydana gelen bir dizi kod hatası nedeniyle, bir çalışanın çalışma arkadaşlarının kişisel verilerini kazaen görüntülemesi durumunda da veri gizliliği etkilenmiş olacaktır. Kasıt içermeyen bu gibi ihlallerin ilgili kişiler üzerindeki potansiyel olumsuz etkisinin genellikle daha düşük olduğu zannedilir ancak böylesi peşin hükümlülük rasyonel olmayacaktır. Hatta, denebilir ki özel hayat en çok bireyin yakınlarına karşı korunmalıdır. Gizlilik ihlali fiziki veri kayıt sistemlerinde de pekâlâ yaşanabilmektedir. Burada, veriye ve tabii onun temsil ettiği bilgiye yetkisiz kişi tarafından vakıf olunması, veri gizliliğini ortadan kaldırmaktadır. Fiziki veri kayıt sistemlerinde en sık yaşanan vakalardan biri, kişisel veri içeren belgenin çalınması olarak gösterilebilir. Bu noktada, özel hayatın gizliliği hakkı ile kişisel verilerin korunması hukuku arasındaki tarihsel ilişkiden söz etmek gerekli görülmektedir. Özel hayatın hukuk tarafından korunması fikrinin, her bireyin kendine has bir karakteri olduğu kabulünden beri var olduğu bilinmektedir. Tarihi milattan önce 5. yüzyıla dayanan, ancak günümüzde dahi geçerliliğini koruyan, hekimin sır saklama yükümlülüğüne ilişkin Hipokrat yemini, özel hayatın hukuk tarafından korunması fikrinin klasik tarihsel örneklerindendir.4 Avrupa İnsan Hakları Mahkemesi (AİHM) de, kişisel verilerin toplanıp depolanmasının Avrupa İnsan Hakları Sözleşmesinin (AİHS) ‘Özel ve Aile Hayatına Saygı’ başlıklı 8 inci maddesi kapsamına gireceğini kabul etmiştir. Keza, anayasa yapan iktidarlar da kişisel verilerle ilgili normları özel hayatın gizliliği başlığı altında düzenlemektedir. Nitekim, 1982 Anayasası’nda kişisel verilerle ilgili hüküm özel hayatla ilgili 20 nci maddeye ek yapılarak düzenlenmiştir.5 6698 sayılı Kişisel Verilerin Korunması Kanununun ilk maddesinde de Kanunun amacının, ‘(…) kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak (…)’ olarak açıkça ortaya konması, kanun koyucunun iradesini göstermektedir. Gerçekten de kişisel veri ile özel hayat kavramları arasında sıkı bir ilişki vardır. Özel hayat, her şeyden evvel bu hayatın verilerle temsil edilen bilgisinin korunmasıyla gizli kalabilir. 4  Yeşim ÇELİK, “Özel Hayatın Gizliliğinin Yansıması Olarak Kişisel Verilerin Korunması ve Bu Bağlamda Unutulma Hakkı”, Tükiye Adalet Akademisi Dergisi, Sayı 32, Yıl 2017, ss. 396-397. 5  Ali KORKMAZ, “İnsan Hakları Bağlamında Özel Hayatın Gizliliği ve Korunması”, KMÜ Sosyal ve Ekonomik Araştırmalar Dergisi, Özel Sayı 1, Yıl 2014, s. 100. 512 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Ne var ki, yukarıda özetlenen tarihsel ilişki kişisel veri ihlalinin tanımlanması konusunda bireylerin hak ve özgürlükleri hilafına dar bir yoruma da neden olmaktadır. Bu dar yoruma göre kişisel veri bütünlüğü ve erişilebilirliği, kişisel verilerin korunması hukuku kapsamının dışında olsa gerektir. Zira bu görüşü benimseyenlere göre, bütünlük ve erişilebilirlik özel hayatın gizliliği ile doğrudan bir ilişkiye sahip değildir ve daha ziyade şirketlerin ticari faaliyetlerinin devamı ile ilgisi bulunmaktadır. Yorumun gerekçesinde haklılık payı bulunsa da ulaşılan sonucun hakkaniyete uygun düştüğünü söylemek güçtür. Çünkü, kişisel veri ihlalinin günümüzde özel alan sınırını aşan anlamları mevcuttur. Geçtiğimiz yüzyıldan kalma her kuralın, her ilkenin, hatta her işin biçim değiştirdiği, esnekleştiği ve sanallaştığı bir dönemin çoktandır içindeyiz. “Katı olan her şey buharlaşır.”6 sözünü haklı çıkaran tarihsel gelişmelerin bugün vardığı yerde; katı olan her şey dijitalleşmekte, veri haline dönüşmektedir.7 Hatta, 19. Yüzyıl Büyük Sanayi Devrimi üzerine bugün çalışan bir araştırmacı nasıl ki buharlı tren üzerine yoğunlaşıyorsa, denebilir ki gelecekte bugünü / 21. Yüzyıl İletişim Devrimini çalışacak olan da veriye odaklanmalıdır. Öyle ki, günümüzün insan prototipinin kimliği, biri fiziki diğer sanal olmak üzere iki cüzden oluşmaktadır. Bu sanal cüzün veriyle temsil edilmesi, bireylerin eskiye göre akıl almaz boyutlarda kişisel veri üretmesine neden olmuş; bu verilerin eksik veya hatalı şekilde işlenmesi, hatta kimi zaman işlenememesi, modern demokrasilerde vazgeçilmez olarak güvence altına alınan diğer tüm temel insan hak ve özgürlükleri de kısıtlayabilir hale gelmiştir. Dolayısıyla, ulusal kimlik kartının fiziki kaybolma ya da bozulmaya karşı korunmasına benzer şekilde, bir tür dijital kimlik kartı olan kişisel verilerin de kaybolma ve bozulmaya karşı korunması, yani erişilebilirlik ve bütünlüğünün korunması ihtiyaç haline gelmiştir. Üstelik, bu dijital kimlik kartları, temsil ettiği varlık hakkında fiziki kimlik kartlarından çok daha kapsamlı veri içerebilmektedir. Nihayet, kişisel veri erişilebilirliğinin, verinin yetkili kişiler tarafından erişilebilir ve işlenebilir durumda olmasını ifade ettiğini söyleyebiliriz. Bu unsurun sakatlanması, verinin geri döndürülemez biçimde, kalıcı olarak imha edilmesi 6  Marshall Berman, Katı Olan Her Şey Buharlaşıyor, Çeviren: Ü. Altuğ ve B. Peker, İletişim Yayınları, İstanbul, 2014, s.35. 7  Hasan TUTAR, “Katı Olan Her “İş” Sanallaşıyor veya İşgörenin Artan Yalnızlığı Üzerine: Kuramsal Bir Yaklaşım”, https://dergipark.org.tr/en/download/article-file/235578. 01.09.2024 KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 513 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı durumunda olabileceği gibi geçici kaybolması durumunda da yaşanabilir. Erişilebilirlik ihlali, tek başına özel hayatın gizliliğini çoğunlukla etkilemez. Ancak, bireylerin hak ve özgürlüklerine yönelik ciddi riskler barındırabilmektedir. Bu nedenle de veri erişilebilirliği, hukuk koruması altındadır. Bir hastanenin acil servisinin, hasta verilerine geçici olarak bile olsa erişememe durumu, veri işleyememenin temel hak ve özgürlüklere olumsuz etkisinin en bilinen ve bariz örneklerindendir. Nitekim, ulusal denetim makamlarının sağlık sektöründe yaşanan veri ihlallerine karşı bu doğrultuda daha ciddi yaptırımlar uyguladığı, kişisel verilerin korunması hukuku ile ilgilenen hemen herkesin malumudur. Yine, imalat sanayi ile iştigal eden bir veri sorumlusunun işlemekte olduğu kişisel verilere erişememesi, önceden kurulmuş sözleşmelerin yüklediği edimlerin (çalışan maaşları, müşterilere verilen sözler vb.) yerine getirilmesinde sorun yaratması anlamında, diğer temel hak ve özgürlükleri etkileyebilmektedir. Kişisel veri bütünlüğü, verinin yetkisiz şekilde ya da kazara bozulmasına karşı korumayı ifade eder. Verinin kısmen silinmesi, değiştirilmesi, veriye ek yapılması durumlarında orijinalliği bozularak bütünlük unsuru etkilenir. Üçüncü taraf tehdit aktörleri tarafından veri bütünlüğünün hedef alındığı ihlaller kadar, veri kayıt sisteminde yaşanan maddi ya da yazılımsal hatalardan kaynaklı bütünlük ihlalleri de uygulamada karşımıza çıkmaktadır. Bir bankanın sisteminde kayıtlı müşterilerin kredi kartı numaralarının, sehven yanlış kişilerle eşleştirilerek kaydedildiği durumda, verinin bütünlüğü bozulmaktadır. Veri bütünlüğü bozunumunun özel hayatın ifşasına yol açması mümkün olmakla birlikte, bu her durumda zorunlu değildir. Ancak, bireylerin hak ve özgürlüklerine yönelik risk teşkil etmektedir. Nitekim, GDPR’nin ‘Tanımlar’ başlıklı 4 üncü maddesinin (12) numaralı fıkrasında kişisel veri ihlali; iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali olarak tanımlanmaktadır.8 Tanımdaki imha (destruction), kaybolma (loss) ve değişim (alteration) ifadeleriyle; gizlilik unsurunun ötesine geçilerek bütünlük ve erişilebilirlik unsurlarını da kapsama kaygısı güdüldüğü anlaşılmaktadır. 8  GDPR’nin 4 üncü maddesinin (12) numaralı fıkrasında yer alan İngilizce orijinal tanım: ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed. 514 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Gizlilik, bütünlük ve erişilebilirlik unsurlarından en az birinin etkilenmesi durumunda, teknik anlamda kişisel veri ihlali meydana gelmiştir demektir. Bu etki, unsurların tamamen ortadan kalkmasıyla gerçekleşeceği gibi yalnızca sakatlanmasıyla de kendini gösterebilir. Daha iyi anlaşılması için somut bir örnek vermek gerekli görülmektedir: Veri sorumlusu bünyesindeki bir çalışanın, görevi gereği zaten vakıf olması beklenen kişisel verilerin bulunduğu excel tablosunu, olağan iş akışına aykırı olarak şahsi e-posta adresine gönderdiği bir senaryoda, çalışanın bu bilgileri zaten bildiği varsayıldığından gizlilik kaybından söz edilemez. Erişilebilirlik ve bütünlük unsurlarının etkilendiğini düşündürecek bir olgu da yoktur. Ancak, çalışanın niyetinin bilinmezliği ve şahsi e-posta adresine olası bir saldırının veri sorumlusunun kontrolü dışındalığı, gizlilik unsurunu tehdit eder hale gelmiştir. Dolayısıyla bu veri sorumlusu bünyesinde bir veri ihlali yaşanmıştır. Yalnızca bir unsurun etkilendiği ihlaller kadar, her üç unsurun birden etkilendiği ihlaller de yaşanabilmektedir. Güvenliğin hangi unsur ya da unsurlarının etkilendiği sorusunun cevabı kritiktir. Zira bu cevap, ihlalin ilgili kişilerin hangi temel hak ve özgürlüğünü tehdit ettiğini, bu tehdidin ağırlığını ve riskin gerçeğe dönüşme olasılığını tayin etmede belirleyici faktör olmaktadır. Yine de kişisel veri güvenliğinde gizlilik unsuru halen başat yerini korumaktadır. Ancak, kişisel verilere yönelen en güncel siber tehditler, CIA üçlüsünün de ötesine uzanmaktadır. Yine, bir örnekten bahsetmek yerinde olacaktır: İlgilenenlerce iyi bilindiği üzere; şirketler, bireylere toplu ileti göndermek için, genellikle bu ticari saikle kurulmuş toplu ileti gönderme9 firmaları ile çalışmaktadır. Toplu iletiler bu amaca özgülenmiş yazılımlar aracılığıyla otomatize olarak gönderilmektedir. Gönderme eylemi, yazılım üzerinde yer alan bir panelden yapılmaktadır. Panel üzerinde yer alan kişisel verilerin (örneğin telefon numarası, e-posta adresi) sıklıkla, teknik bir veri güvenliği tedbiri olarak maskelenmiş biçimde muhafaza edildiği bilinmektedir. Son yıllarda, bu yazılımlara bir şekilde sızıp panele erişim sağlayan siber tehdit aktörlerinin, kayıtlı kişilere yazılım üzerinden oltalama iletileri gönderdiğine şahit olduk. Bu tür bir ihlalde, ilave bir bulgu yoksa, CIA üçlüsü unsurları etkilenmemiştir. Zira, toplu iletiyi gönderen siber tehdit aktörü, veri maskelenmiş halde muhafaza edildiğinden verinin temsil ettiği bilgiye vakıf değildir; ihlalin gerçekleşme şekline göre erişilebilirlik ve 9  Sektörel adlandırmasıyla: Toplu SMS gönderimi. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 515 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı bütünlük unsurları da güvendedir. Ancak, teknik anlamda bir siber güvenlik olayı10 ve açığı olduğu ortadadır. Dahası, bu oltalamanın klasik oltalamadan11 farklı olarak doğrudan taklit edilen veri sorumlusu adına gönderilmiş olması, zekice hazırlanmış bir içeriğe sahip olması halinde, mağdur ilgili kişi sayısını ve mağduriyetin ciddiyetini artıracaktır.12 Dolayısıyla, bu güvenlik olayının hukuki olarak veri ihlalinden sayılmaması, hakkaniyetli bir sonuç doğurmayacaktır. Bu nedenle, hukuk metinlerinin bu türden senaryoları da içine alan bir veri ihlali tanımı geliştirmesinin gerekli olduğu değerlendirilmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda, GDPR’nin aksine, doğrudan bir veri ihlali tanımı yoktur. Ancak, ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlıklı 12 nci maddesinin veri ihlal bildirimi yükümlülüğüne kaynaklık eden (5) numaralı fıkrasına göre; veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Kanunun lafzından kişisel veri ihlalinin, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali olduğu çıkarsanabilir. Ancak, ‘elde edilme hali’ ifadesi bütünlük ve erişilebilirlik unsurlarını dahi bireylerin temel hak ve özgürlükleri hilafına dışarıda bırakır görünmektedir. Dolayısıyla, Kanun’un gizlilik unsurunun ötesinde, erişilebilirlik ve bütünlük unsurlarını da içeren ve hatta aşabilen, kapsayıcı bir veri ihlali tanımı yapar şekilde güncellenmesi gerektiği düşünülmektedir. Aslında, 2 Mart 2024 tarihinde TBMM Genel Kurulunda kabul edilen kanun teklifiyle 6698 sayılı Kanunda önemli değişiklikler yapılmıştır. Ancak veri güvenliğine ilişkin yükümlülüklerinin kapsama alınmaması nedeniyle değişiklik kısmi düzeyde kalmıştır. Bu yükümlülükleri içeren bir güncelleme; teknoloji, doktrin ve sahanın getirdiği ihtiyaçlara daha iyi karşılık vererek bireylerin temel hak ve özgürlüklerinin etkili korunmasına hizmet edecektir. Ayrıca, Türkiye’nin GDPR’ye uyum sağlanması yönündeki bariz hedefiyle de uyumludur. 10  İngilizcesi ‘security incident’ olan terim Türkçe’ye güvenlik olayı olarak çevrilse de, ‘incident’ ifadesi İngilizce’de kaza imasını içeren negatif bir anlamı çağrıştırmaktadır. 11  Klasik oltalamada tehdit aktörü; orijinal göndericiyi taklit eder, adresini onunkine benzetmeye çalışır, ancak birebir aynı hale getiremez. Harf, sayı, noktalama işaret, sembol ögeleri bakımından muhakkak küçük bir farklılık içerir. 12  Anlatılan senaryoda, ilgili kişilerin bunun bir oltalama olduğunu fark etmesi zordur. Ancak oltalama, bazı ipuçlarıyla kendini ele verebilir. Gerçekten orijinal adresten geliyor olsa dahi; alınan bir iletinin içeriğinde aciliyet hissi uyandıran bir dil, kişisel veri talebi, fazla iyi vaat, olağan uygulamaya aykırılık, yaygın olmayan uzantıya sahip ekler varsa oltalama olabilir. 516 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI 2. KİŞİSEL VERİ İHLAL BİLDİRİMİ ESASLARI 2.1. AVRUPA BİRLİĞİ HUKUKUNDA Avrupa Birliği Genel Veri Koruma Tüzüğünde denetim makamına veri ihlal bildirimi yükümlülüğü 33 üncü maddeyle, ilgili kişiye veri ihlal bildirimi yükümlülüğü ise peşi sıra 34 üncü maddeyle düzenlenmiştir. Peşinen belirtmek gerekir ki Avrupa Birliği’nde, iç hukukumuzun aksine, her veri ihlalinin bildirilmesine gerek yoktur; onun yerine risk temelli yaklaşım benimsenmiştir. Avrupa Birliği Başkanlığı’nın gayriresmi bir GDPR çevirisi bulunmaktadır.13 Bu çeviride denetim makamına bildirimi düzenleyen 33 üncü maddenin (1) numaralı fıkrası: “Bir kişisel veri ihlali olması durumunda, kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmadığı haller dışında, veri sorumlusu, (…) kişisel veri ihlalini (…) yetkili denetim makamına bildirir.”14 ifadeleriyle Türkçe’ye aktarılmıştır. İlgili kişiye bildirimi düzenleyen 34 üncü maddesinin (1) numaralı fıkrasıysa: “Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, veri sorumlusu kişisel veri ihlali hakkında (…) veri öznesini bilgilendirir.”15 ifadeleriyle Türkçe’ye aktarılmıştır.16 Ancak, kapsamlı ve ayrıntılı metinlere rağmen, yalnızca madde hükümlerinin lafzından uygulamada hangi veri ihlallerinin bildirileceğini çıkarsamak, pek azı müstesna olmak üzere, mümkün gözükmemektedir. Her şeyden önce ilgili kişilerin hak ve özgürlükleri için risk ve yüksek riskin ne anlama geldiği belirsizdir. Hak verileceği üzere; ilgili kişilerin iflası, sakatlanması, ölümü gibi tehditler belli ki yüksek risk teşkil etmektedir. Ancak, örneğin zaman harcama, itibar kaybı gibi görece daha hafif kabul edilebilecek potansiyel etkilerin risk ya da yüksek risk olarak değerlendirilip değerlendirilmeyeceği sorusunun cevabı son derece subjektiftir. 13  https://www.ab.gov.tr/ab-genel-veri-koruma-tuzugu-gdpr-turkceye-cevrildi_53650.html. 13.09.2024. 14  İngilizce orijinal metin: In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. 15  İngilizce orijinal metin: When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay. 16  Parantezli kısımlar usule ilişkin olduğundan bu alıntıya dahil edilmemiştir. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 517 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı Riskin tam isabetle tanımlanması da çoğu durumda pek mümkün değildir. Zira, günümüz toplumlarının karmaşık ve karşılıklı bağımlı17 ağ18 niteliğindeki yapısı, belirli ihlallere önceden belirlenmiş formülleri uygulayarak elde edilecek matematiksel bir risk skorunu anlamsız hale getirmekte; her durumun kendi öznel koşullarına göre değerlendirilmesi gereğini dayatmaktadır. Avrupa Birliği Veri Koruma Kurulunun (European Data Protection Board - EDPB) veri ihlal bildirimlerinin esas ve usullerine ilişkin 2 önemli dokümanı bulunmaktadır. Bu dokümanlar, son sürümleri sırasıyla 14.12.2021 ve 28.03.2023 tarihlerinde kabul edilen Veri İhlali Örnekleri ile Veri İhlal Bildirimi Rehberidir. Bunlar aracılığıyla, hukuki metinlerin yorum gerektiren muğlaklığının kısmen geriletildiği söylenebilir. ‘Risk’ ve ‘muhtemel olduğu/olmadığı’ (likely/unlikely) ifadeleri EDPB tarafından isabetli bir şekilde çok geniş yorumlanmaktadır. Zira, ilk bakışta gayet düşük riskli görünen ihlaller dahi uygulamada bildirilmektedir. Başka deyişle, ihlalin ilgili kişilerin hak ve özgürlükleri açısından sebep olduğu riskin seviyesi çok düşük değilse, en azından denetim makamına veri ihlal bildiriminde bulunulması gerektiği uygulamadan anlaşılmaktadır. Risk şartına bağlı veri ihlal bildirimi yükümlülüğün açık anlamı, veri ihlali tespit edilirse, veri ihlal bildirimi yapılıp yapılmayacağının tayin edilmesi için risk değerlendirmesi yapılması gerekliliğidir. Somutlaştırırsak, varsayımsal bir veri sorumlumuz bir önceki üst başlıkta açıklandığı haliyle GDPR’de tarif edilen bir veri ihlalinin bünyesinde gerçekleştiğine kanaat getirmiş olsun. Bu varsayımsal veri sorumlusunun sıradaki adımı, veri ihlal bildiriminde bulunup bulunmayacağını tespit etmek için bir risk değerlendirmesi yapmak olacaktır. Tam bu noktada iki parantez açmak gerekir. Birincisi, GDPR’nin 33 üncü maddesinin (5) numaralı fıkrasına göre veri sorumlusu, veri ihlallerini, bildirim gerekip gerekmeyeceğine bakılmaksızın belgelendirmekle ve kayıt altına almakla yükümlüdür. Bu; ihlale ilişkin bilgileri, ihlalin etkilerini ve alınan düzeltici aksiyonları da kapsayacak şekilde yapılır. Böylelikle, denetim makamının muhtemel bir incelemesinin sağlıklı şekilde yürütülmesi amaçlanmıştır. İkincisi, veri sorumlusunun, ihlal nedeniyle bir risk ortaya çıktığına derhal kanaat getirerek 17  Robert KEOHANE – Joseph NYE., Power and Interdepence, HarperCollins, ABD, 1990, s. 3. 18  Maneul CASTELLS, Enformasyon Çağı: Ekonomi, Toplum ve Kültür Ağ Toplumunun Yükselişi, Çeviren: Ebru Kılıç, İstanbul Bilgi Üniversitesi Yayınları, İstanbul, 2008, s. 623. 518 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI bildirimde bulunulması gerektiğini fark etmesi idealdir. Ancak, hayatın olağan akışı içerisinde risk değerlendirmesinin uzayacağı durumlar olabilmektedir. Yine de veri sorumlularının, veri ihlalinin bir riske yol açıp açmayacağını ve dolayısıyla bildirimde bulunulması gerekip gerekmediğini değerlendirmeden önce detaylı bir adli bilişim incelemesini beklemeleri yerinde olmayacaktır. Veri ihlal bildirimi yapılmalı ve ileride elde edilecek bilgiler aşamalı olarak sağlanmalıdır. Nitekim, 33 üncü maddenin (4) numaralı fıkrasına göre, ihlale ilişkin bilgilerin aynı anda sağlanmasının mümkün olmadığı durumlarda, bilgiler gereksiz herhangi bir ek gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir. Bunun açık anlamı, risk değerlendirmesinin GDPR’nin 33 üncü maddesinin (1) numaralı fıkrasıyla getirilen ihlalin tespitinden itibaren 72 saatlik süreyi aşacağı durumlarda, risk değerlendirmesi beklenmeden denetim otoritesine veri ihlal bildirimi yapılması gerektiğidir. Denetim makamına ve ilgili kişiye bildirim yükümlülükleri arasında risk ve yüksek risk olmak üzere iki farklı şart koşulduğu dikkate değerdir. Bu ayrımdan, ilgili kişiye veri ihlal bildiriminin, veri sorumlularının yükümlülüklerini hafifletici biçimde daha sıkı bir şarta bağlandığı anlaşılmaktadır. Nedeniyse, EDPB tarafından bireyleri gereksiz bildirim yorgunluğundan korumak olarak açıklanmıştır. GDPR’nin 34 üncü maddesinin (3) numaralı fıkrasında, ilgili kişi bildirimine ayrıca üç istisna getirilmiştir. İlgili fıkrada: • Veri sorumlusunun özellikle, etkilenen kişisel verileri yetkisiz kişiler için anlaşılmaz hale getiren şifreleme gibi uygun teknik ve idari tedbirleri uygulaması, • Veri sorumlusunun ilgili kişilerin hak ve özgürlüklerine ilişkin yüksek riskin gerçeğe dönüşmesinin artık muhtemel olmamasını sağlayan ek tedbirler alması, • Bildirimin orantısız bir çaba gerektirecek olması hallerinde ilgili kişiye bildirimin gerekmediği açıkça yer almaktadır. Ayrıca aynı fıkrada, orantısız çaba gerektirmesi nedeniyle bildirimin yapılmadığı durumda, aynı düzeyde bilgi veren kamuoyu duyurusu veya benzeri bir yöntemle ilgili kişi bildiriminin yapılacağı hüküm altına alınmıştır. Buradan, ilgili kişi bildirimlerinde kişiye özel bildirim yapılmasının esas, genel duyurunun istisna olduğunu da anlamaktayız. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 519 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı Maddenin 4 üncü fıkrasındaysa, denetim makamına bildirim yapıldığı ve fakat ilgili kişiye yapılmadığı hallere ilişkin ilave bir düzenleme yapıldığı görülmektedir. 33 ve 34 üncü maddelerin (1) numaralı fıkralarını birlikte yorumladığımız yukarıdaki açıklamalardan; veri sorumlusunun, ihlal nedeniyle ilgili kişilerin hak ve özgürlükleri için risk öngörse de bu riskin yüksek olmadığı kanaatine vardığı bir senaryoda bu durumun gerçekleşeceğini hatırlıyoruz. Böylesi bir senaryoda 34 üncü maddenin (4) numaralı fıkrasına göre denetim makamının, kendisine yapılan veri ihlal bildirimini inceleyerek ilgili kişi bildirimi konusunda üç farklı karar verebileceği görülmektedir. İlkin, riskin yüksek seviyede olduğuna kanaat getirerek ilgili kişi bildirimini şart koşabilir. İkincisi, veri sorumlusunun risk öngörüsünü onaylayıp gerçekten de ilgili kişi bildirimine gerek olmadığına karar verebilir. Üçüncüsü, yukarıdaki istisna hallerinden herhangi birinin karşılandığı gerekçesiyle, yine ilgili kişi bildirimine gerek olmadığına karar verebilir. Avrupa Birliği sınırları dışında gerçekleşen bir veri ihlali, bildirime konu olup olmaması anlamında esasa ilişkindir. Bu konuda, GDPR’nin bölgesel kapsam ile ilgili üçüncü maddesine başvurmak gerekmektedir. İlgili maddenin (1) numaralı fıkrasına göre GDPR, işlemenin Birlik içinde gerçekleşip gerçekleşmediğine bakılmaksızın, kişisel verilerin, Birlik içindeki bir veri sorumlusunun veya veri işleyenin kuruluşunun faaliyetleri bağlamında işlenmesine uygulanır. Örneğin, Birlik içindeki veri sorumlusunun bir kuruluşunun Birlik dışında işlediği kişisel verilerin ihlale konu olması durumunda 33 ve 34 üncü maddelerin işletileceği açıktır. Etkilenen kişilerin Birlik içinde olup olmaması bunu değiştirmeyecektir. Maddenin ikinci fıkrasında GDPR’nin, Avrupa Birliği içerisinde bulunan ilgili kişilerin verilerinin Birlik içinde yerleşik olmayan bir veri sorumlusu ya da veri işleyen tarafından işlenmesi halinde uygulanacağını öngören 2 şart sayılmıştır. İngilizce orijinal metninden19 anlaşılan, Birlik içinde bulunan ilgili kişi ifadesiyle kastedilenin, ilgili kişinin işleme anında Birliğe üye devletlerin coğrafi egemenlik alanında fiziken bulunmasıdır. Bu anlamda, örneğin Paris’te bulunan Somali vatandaşı bir turistin kişisel verileri de belirli durumlarda ihlal bildirimine konu olabilir. Buna göre: 19  This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union. 520 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI • Birlik içindeki ilgili kişilere, ödeme yapmalarına gerek olup olmadığına bakılmaksızın mal veya hizmetlerin sunulması • İlgili kişilerin Birlik içinde gerçekleşen davranışlarının izlenmesi hallerinde, Avrupa Birliği içerisinde bulunan ilgili kişilerin kişisel verilerinin Birlik içinde yerleşik olmayan bir veri sorumlusu ya da veri işleyen tarafından işlenmesine GDPR uygulanır. Davranışın Birlik içinde gerçekleşmesi şartı aranmakla birlikte, bu davranış izlemenin (behaviour monitoring) Birlik içinde yapılmasının zorunlu olmadığı dikkate değerdir. Maddenin üçüncü fıkrasında ise kişisel verilerin, Birlik içerisinde yerleşik olmayan ancak üye devlet hukukunun geçerli olduğu bir yerde bulunan bir veri sorumlusu tarafından işlenmesi halinde GDPR’nin uygulanacağı hükme bağlanmıştır. Devletlerin egemen eşitliği ilkesine yaslanan uluslararası hukuk ilkeleri uyarınca; bir devletin hava sahası, karasuları, bandıralı gemisi, elçiliği ve benzeri egemenlik alanlarında o devletin hukuku geçerlidir. İşte GDPR, üye devlet hukukunun uygulandığı tüm egemenlik alanlarında kendisinin yürürlükte olduğunu hükme bağlamaktadır. 2.2. TÜRK HUKUKUNDA Türk hukukunda veri ihlal bildirimi yükümlülüğünün yasal çerçevesi oldukça dardır. Yükümlülüğe 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlıklı 12 nci maddesinin (5) numaralı fıkrası kaynaklık etmektedir. Buna göre veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu etkilenen ilgili kişilere ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. GDPR’nin aksine, ilgili kişilerin hak ve özgürlüklerine yönelen riske göre bildirim gerekip gerekmediği üzerine bir ayrıma gidilmemiştir. Denetim makamına ve etkilenen ilgili kişilere bildirim gerekleri üzerinden bir ayrıştırma da yoktur. Bu kapsamda, örneğin yalnızca bir kişinin kişisel verisinin, risk doğurmaksızın başkalarınca elde edildiği tespit edildiği anda hem denetim makamına hem ilgili kişiye veri ihlal bildirimi yükümlülüğü tahakkuk etmiş demektir. Kanunun 12 nci maddesinin (1) numaralı fıkrasına göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 521 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Esasen, kişisel verilerin erişilebilirlik ve bütünlüğünün etkilendiği bir ihlal, veri sorumlusunun bu fıkrada açıkça zikrolunan kişisel verilerin muhafazasını sağlamak için alması gereken teknik ve idari tedbirlerde eksikliğe işaret etmesi anlamında, veri güvenliği yükümlülüğünü ihlal ettiği anlamına gelebilir. Ancak bu ihlalin, ‘işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali’ kapsamına girmeyeceği; bu durumun da Türk kişisel verilerin korunması mevzuatının en önemli eksiklerinden biri olduğu değerlendirilmektedir. Uygulamada ise erişilebilirlik ve bütünlük ihlallerinin bildirildiği bilinmektedir. Kanuni olmayan yollarla elde edilmekten ne anlaşılması gerektiğinin de irdelenmesi gerekmektedir. Bunun, salt Kişisel Verilerin Korunması Kanununa aykırılık olarak yorumlanması hukuka ve hakkaniyete uygun olmayacaktır. 1982 Anayasasına, uluslararası anlaşmalara, kişisel verilere ilişkin kurallar getiren diğer Kanunlara, hukukun genel ilkelerine, ezcümle kişisel verilerle ilgili geniş normatif düzene aykırı elde edilme hali olarak yorumlamak gerekiyor. Yorum gereğince, örneğin; Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, Sosyal Yardım Verilerinin Kaydedilmesi ve Paylaşılmasına İlişkin Yönetmelik gibi düzenlemelere aykırı olarak elde edilme halleri de veri ihlalinden sayılacaktır ve veri ihlal bildirimine konu olacaktır.20 Bu, Kanunun kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere bireylerin temel hak ve özgürlüklerini korumak amacıyla uyumludur.21 Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında da veri ihlal bildirimlerinin amacının, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu belirtilmiştir. 20  Nur Sena SEVİNDİ- Muhammet Emin ORDU, “AB ve Türk Hukukunda Veri İhlalinin Tespiti ve Bildirim Süresinin Karşılaştırmalı Değerlendirmesi”, https://dergipark.org.tr/tr/pub/kvkd/issue/78292/1291178. 01.01.2024. 21  Mehmet Bedii Kaya, “Self-Disclosure or Burying the Evidence Dilemma: A Legal Review of the Data Breach Rules under the Turkish Personal Data Protection Law”, https://iupress.istanbul.edu.tr/en/journal/ annales/article/self-disclosure-or-burying-the-evidence-dilemma-a-legal-review-of-the-data-breach- rules-under-the-turkish-personal-data-protection-law. 11.09.2024. 522 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Son olarak, veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde yaşanması durumunda, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları söz konusuysa, veri ihlal bildiriminde bulunulması gerekmektedir. 3. KİŞİSEL VERİ İHLAL BİLDİRİMİ USULLERİ 3.1. AVRUPA BİRLİĞİ HUKUKUNDA 3.1.1. Denetim Makamına İçerik Üye devletlerde denetim makamına bildirim, ülke çapında standart bir veri ihlal bildirimi formu doldurularak yapılmaktadır. Standart form, GDPR’nin şart koştuğu bir yöntem değildir; onun yerine ulusal denetim makamlarının kolektif tecrübelerinden süzülen bir uygulama haline gelmiştir. EDPB’nin internet sitesi incelendiğinde22, bildirimin dili konusunda standardizasyon bulunmadığı görülmektedir. Denetim makamına veri ihlal bildirimin içermesi gereken asgari unsurlar GDPR’nin 33 üncü maddesinin (3) numaralı fıkrasında sayılmıştır. Fıkrada 4 adet unsur yer almaktadır. Birincisi, ihlalin mahiyeti açıklanır. Bu mahiyet, uygun olduğu hallerde, en azından ihlalden etkilenen ilgili kişi grubu ve yaklaşık sayısı, kişisel veri kaydı kategorileri ve yaklaşık sayısını içermektedir. İkincisi, veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgilerine yer verilir. Üçüncüsü, kişisel veri ihlalinin olası sonuçları açıklanır. Dördüncü ve son olarak, uygun olduğu hâllerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere, veri sorumlusu tarafından alınan veya ilgili kişilerce alınması önerilen tedbirler açıklanır. Görüldüğü üzere GDPR, etkilenen kişi ve kayıt sayısında yaklaşık tahminler yapılmasına cevaz vermektedir. Zira veri ihlal bildiriminin odak noktası, kesin tespitler yapmak yerine ihlalin olumsuz etkilerini bertaraf etmektir. 22  https://www.edpb.europa.eu/notify-data-breach_en. 12.09.2024. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 523 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı Öte yandan, denetim makamına bildirimi takip eden bir iç soruşturmanın, aslında ihlalin gerçekleşmediğine dair bulguları ortaya çıkarması mümkündür. Yine güvenlik olayı, denetim makamına bildirimi müteakip, riski büyük ölçüde düşürecek şekilde kontrol altına alınabilir. Bu bilgiler ve bunları gösterir belgeler, daha sonra denetim makamına takip bildirimiyle iletilmelidir. Örneğin; müşterilerin kişisel verilerinin kopyasını içeren bir taşınabilir belleği kaybettiği tespitini müteakip denetim makamına bildirimde bulunan bir veri sorumlusu, daha sonra kendi fiziksel mekânı içinde başka bir yerde bu belleği bulmuş olsun. Veri sorumlusu bildirimini güncelleyerek durumdan denetim makamını bilgilendirmelidir. Nihayetinde, kişisel verilerin tehlikeye girmediği bir güvenlik olayının GDPR kapsamında yaptırımı yoktur. Bildirilmesi gerekip gerekmediğine bakılmaksızın, tüm ihlaller veri sorumlusu tarafından belgelendirilmelidir. Bu yükümlülük GDPR’nin 33 ncü maddesinin (5) numaralı fıkrasında açıkça yer almaktadır. İlgili hükme göre; veri sorumlusu kişisel veri ihlallerini, kişisel veri ihlaline ilişkin bilgiler, etkiler ve alınan düzeltici aksiyonları da kapsayacak şekilde belgelendirir. Ancak, belgelendirmenin 33 üncü maddenin (5) numaralı fıkrasındaki unsurlarla sınırlı olduğu söylenemez. Zira belgelendirme zorunluluğu, 5 inci maddenin (2) numaralı fıkrasında yer alan hesap verebilirlik ilkesinin de doğal sonucudur. Örneğin, bir ihlalin denetim makamına veya ilgili kişilere bildirilmemesi halinde, bu kararın gerekçesi belgelenmelidir. Bunun, ihlalin bireylerin hak ve özgürlüklerine yönelttiği risk düzeyinin çok düşük olduğu kanaatinin somut nedenlerini tabii olarak içermesi gerekir. İlaveten veri sorumlusu, 34 üncü maddenin (3) numaralı fıkrasında yer alan istisna koşullarından birine dayanarak ilgili kişi bildirimi yapmamışsa, istisna koşullarının gerçekten var olduğuna dair uygun kanıtlar sunabilmelidir. Yine, denetim makamına mücbir sebeplerden kaynaklanan gecikmeli bildirim yapılmışsa, bu sebepleri gösterir uygun belgeler sunulabilmelidir. Veri sorumlusunun ilgili kişilere ihlali bildirdiği durumlarda, ilgili kişi bildirimlerini gösterir belgeleri saklaması ve denetim makamına ibraz etmesi de gerekmektedir. Belgelendirme yükümlülüğü, veri ihlal bildiriminin içeriğini de kuşkusuz etkilemektedir. Genel olarak, iddia ve beyan olunan bilgilere ilişkin tüm belgelerin, mümkün olduğu hallerde ve ölçüde, veri ihlal bildirimi formuna eklenmesi gereği açıktır. Kuşkusuz, bu tür kayıtların kişisel veri içerdiği durumlarda, kişisel verilerin işlenmesine ilişkin ilkeler uyarınca uygun saklama süresini belirlemek ve işleme için yasal bir dayanak sağlamak veri sorumlusunun yükümlülüğüdür. Ancak, kayıtları hiçbir kişisel veri içermiyorsa, sınırlı muhafaza ilkesi geçerli değildir. 524 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Süre Denetim makamına bildirim GDPR’nin 33 üncü maddesinin (1) numaralı fıkrası gereğince ihlalin tespitinden itibaren gecikmeksizin ve uygun olduğu hallerde en geç 72 saat içerisinde yapılmalıdır. 72 saat kuralı, veri sorumlusunun ihlali tam olarak hangi anda tespit etmiş sayılacağı sorusunu gündeme getirmektedir. EDPB, kişisel verilerin tehlikeye girmesine yol açan bir güvenlik olayının meydana geldiğine dair makul bir kesinlik derecesine sahip olunması halinde, ihlalin tespit edilmiş sayılacağı görüşündedir.23 Örneğin, kişisel verilerin açık metin (plain text) halinde tutulduğu bir harici belleğin kaybolması durumunda, gizlilik ihlalini tespit etmek çoğunlukla mümkün değildir. Zira, yetkisiz kişilerin bu verilere erişim sağlayıp sağlamadığı genellikle bilinemez. Bununla birlikte, erişilebilirlik ihlalinin gerçekleştiğine dair EDPB görüşünde ifadesini bulan kesinlik derecesi tamdır. Burada veri sorumlusu harici belleğin kaybolduğunu fark ettiğinde erişilebilirlik ihlalini tespit etmiş sayılmaktadır ve 72 saati o an başlamıştır. Tespitin ardından, hem risk değerlendirmesi yapmak suretiyle veri ihlal bildirimi gerekip gerekmeyeceğini saptamak hem de gerekiyorsa veri ihlal bildiriminde bulunmak için 72 saat bulunmaktadır. Öte yandan veri sorumlusu, GDPR’nin 35 inci maddesinin (1) numaralı fıkrası gereği veri işleme gerçekleştirmeden önce yapılan veri koruma etki değerlendirmesinin bir parçası olarak, potansiyel bir ihlalin riskine ilişkin ön değerlendirmeye halihazırda sahip olabilir. Ancak veri koruma etki değerlendirmesi, maddi dünyada gerçeklemiş bir ihlalin özel koşullarına kıyasla daha genel niteliktedir. Bu nedenle, her durumda ihlalin özel koşullarını dikkate alan ek değerlendirme yapılması gerekecektir. GDPR’nin 33 üncü maddesinin (4) numaralı fıkrasına göre; bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde ve ölçüde, gereksiz gecikme olmaksızın aşamalı olarak ilave bilgi sağlanmalıdır. EDPB görüşüne göre; denetim makamı ile veri sorumlusu, ek bilgilerin nasıl ve ne zaman sağlanması gerektiği konusunda mutabakata varmalıdır. Elbette bu mutabakat, veri sorumlusunun diğer herhangi bir zamanda eline geçen ek bilgi, belge ve bulguları paylaşması gereğini ortadan kaldırmaz. 23  European Data Protection Board, Guidelines 9/2022 On Personal Data Breach Notification Under GDPR, Version 2.0, 28 March 2023. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 525 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı GDPR’nin 33 üncü maddesinin (1) numaralı fıkrasına göre, denetim makamına bildirimin 72 saat içerisinde yapılmadığı durumlarda, gecikmenin nedenlerinin de bildirilmesi gerekmektedir. Bu, hayatın olağan akışı içerisinde 72 saati aşabilen durumların da doğal olduğunun kabulü anlamına gelir. Böyle bir senaryo, örneğin, veri sorumlusu aynı kök nedenden kaynaklanan birden fazla ihlali kısa bir süre içerisinde peşi sıra tespit ettiğinde gerçekleşebilir. Bu durumda veri sorumlusu, her birini ayrı ayrı bildirmenin orantısız çabasından kaçınarak, tamamını temsil eden tek veri ihlal bildirimi düzenler. Bu durum, denetim makamına yapılacak bildirimin tespitin ardından 72 saatten makul ölçüde gecikmesine yol açabilir. Ancak, kaynağı ve sonuçları farklı olan bir dizi ihlalin tespiti halinde, bildirim normal şekilde gerçekleştirilmelidir. GDPR gecikmeli bildirimlere bir dereceye kadar izin verilmekteyse de bunun bir istisna hali olarak düzenlendiğini gözden kaçırmamak gerekir. Veri İşleyen Dahli GDPR’nin 28 inci maddesinin (3) numaralı fıkrası, veri işleyen tarafından gerçekleştirilen kişisel veri işleme faaliyetinin sözleşme veya benzeri bir hukuki tasarruf akdedilerek yönetilmesini şart koşar. Fıkranın bentlerinde bu sözleşmede özellikle yer alması gereken unsurlar sayılmıştır. Bu unsurlardan biri de veri işleyenin, 32 nci ve 36 ncı maddelerle düzenlenen veri güvenliğine ilişkin yükümlülüklere uyum konusunda veri sorumlusuna yardımcı olmasıdır. Bunların da ötesinde, GDPR’nin 33 üncü maddesinin (2) numaralı fıkrasıyla veri işleyenin, kişisel veri ihlalini tespit ettikten sonra durumu gecikmeksizin veri sorumlusuna bildirmesi zorunlu kılınmıştır. Veri işleyenin ihlali veri sorumlusuna haber vermeden önce risk değerlendirmesi yapmasına gerek bulunmadığı dikkate değerdir. Hatta bu, gereksiz gecikmeye mahal verebileceğinden iyi uygulama örneği de olmayacaktır. Kanun koyucuların kişisel verilerin korunması sorumluluğunu esas olarak veri sorumlularına yüklemesi, veri işleyenin risk değerlendirmesi yapmaktan azade olmasıyla paralellik arz etmektedir. EDPB, veri işleyenin derhal ihlali veri sorumlusuna haber vermesinin uygun olacağı görüşündedir. Yani veri işleyen; yaygın ya da münferit, bireysel ya da kitlesel fark etmeksizin her ihlali derhal veri sorumlusuna haber vermelidir. Daha fazla ayrıntı elde edildikçe, aşamalı olarak ihlal hakkında daha fazla bilgi verilebilir. 526 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Veri işleyenin, aynı olaydan etkilenen birden fazla veri sorumlusuna hizmet sağladığı durumlarda, ihlalden her bir veri sorumlusunu haberdar etmesi gerekecektir. Veri işleyenin statüsü ile ilgili detaylı hükümler içeren 28 inci maddenin (1) numaralı fıkrasına göre veri sorumlusu, GDPR gerekliliklerinin yerine getirilmesini ve ilgili kişilerin haklarının korunmasını sağlayacak biçimde uygun teknik ve idari tedbirler uygulama hususunda yeterli güvenceleri sağlayan veri işleyenler kullanmak ile yükümlüdür. Dolayısıyla veri sorumlusu, ihlalin tespit edilmesi ve bildirilmesinde asli kusurlu veri işleyen olsa bile, 33 ve 34 üncü maddeye aykırılıktan sorumludur. Başka deyişle, bir veri işleyen ile çalışma kararı verirken onun bir ihlale zamanında müdahale ve derhal bildirime yönelik teknik ve idari tedbir standardını da gözetmek durumundadır. Son olarak, veri sorumlusu ile arasındaki sözleşme kapsamında uygun yetkinin verilmiş olması halinde, veri ihlal bildirimi veri işleyen tarafından da yapılabilir. Şu kadar ki bu bildirim yine veri sorumlusu adına yapılır ve veri ihlal bildirimine ilişkin hukuki sorumluluk her daim veri sorumlusunda kalmaktadır. Ayrıca veri ihlal bildirimi, her durumda GDPR’nin 33 ve 34 üncü maddeleri uyarınca yapılmalıdır. Müşterek Veri Sorumlularının Durumu GDPR’nin 26 ncı maddesi, iç hukuk metinlerimizde yer almayan bir kavrama yer vermektedir. Buna göre, kişisel veri işleme amaç ve vasıtalarını iki ya da daha fazla veri sorumlusunun birlikte belirlediği hallerde, bu veri sorumluları müşterek veri sorumlularıdır. Aynı maddede, müşterek veri sorumlularının, GDPR yükümlülüklerine uygunluğa ilişkin sorumluluklarını, tabi oldukları Birlik veya Üye Devlet hukuku çerçevesinde belirlenmedikçe ve belirlendiği ölçüde, aralarındaki düzenlemeyle şeffaf bir şekilde belirleyecekleri hüküm altına alınmıştır. Hüküm lafzından anlaşılan, yükümlülük paylaşımının seçimlik değil zorunluluk olduğudur. EDPB de bu doğrultuda, veri ihlal bildirimi yükümlülüklerine uyum konusunda müşterek veri sorumlularından hangisinin öncülük edeceğinin veya sorumlu olacağının, aralarında yapacakları sorumluluk paylaşımında açıkça belirlenmesini güçlü bir şekilde tavsiye etmektedir. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 527 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı Sınıraşan Veri İhlalleri Birlik İçi Veri ihlal bildirimi yükümlülüğü ortaya çıkmış veri sorumlusu ile ihlalden etkilenen ilgili kişi aynı üye devlet kökenli olduğunda, bildirimin o üye devletin ulusal denetim makamına yapılacağına şüphe yoktur. Ancak, uluslararası kişisel veri işlemenin söz konusu olduğu durumlarda, bir ihlal birden fazla üye devletteki ilgili kişileri etkileyebilir. İşte, GDPR’nin 56 ncı maddesiyle Birlik içindeki uluslararası veri işlemelerden doğabilecek yetki uyuşmazlıklarının önüne geçilmesi amaçlanmıştır. İlgili maddenin birinci fıkrasına göre; veri sorumlusunun veya veri işleyenin ana kuruluşunun veya tek kuruluşunun denetim makamı, söz konusu veri sorumlusu veya veri işleyen tarafından gerçekleştirilen sınır ötesi işlemeye yönelik olarak baş denetim makamı şeklinde hareket etmeye yetkilidir. Aynı maddenin altıncı fıkrasına göre de baş denetim makamı söz konusu veri sorumlusu veya veri işleyen tarafından gerçekleştirilen sınır ötesi işleme faaliyetine ilişkin olarak onların tek muhatabıdır. Dolayısıyla, sınır ötesi veri işleme bağlamında yapılacak veri ihlal bildirimi baş denetim makamına yapılmalıdır. İhlal müdahale planı hazırlarken, bildirimde bulunması gereken baş denetim makamının hangisi olduğuna ilişkin bir değerlendirme yapılmalıdır. Bu durum ihlale yönelik derhal aksiyon alınmasına ve bildirim yükümlülüklerinin yerine getirilmesine olanak tanır. Baş denetim makamına bildirimde bulunurken, veri sorumlusu, uygun olduğu hallerde, ihlalin diğer üye devletlerde bulunan kuruluşları içerip içermediğini ve hangi üye devletlerdeki ilgili kişilerin ihlalden etkilenmiş olabileceğini belirtmelidir. Veri sorumlusunun baş denetim makamının hangisi olduğuna ilişkin herhangi bir şüphesi olması halinde, ihlalin gerçekleştiği yerdeki ulusal denetim makamına bildirimde bulunulmalıdır. Birlik Dışı Birlik dışında gerçekleşen veri ihlali, veri ihlal bildirimi yükümlülüğünü tetikleyip tetiklemediği anlamında esasa ilişkindir. Bu nedenle, bir önceki bölümde incelenmiştir. Usuller başlıklı bu bölümde ayrıca incelenmeyecektir. 528 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI 3.1.2. İlgili Kişiye İçerik İlgili kişiye veri ihlal bildirimin içermesi gereken asgari unsurlar GDPR’nin 34 üncü maddesinin (2) numaralı fıkrasında sayılmıştır. Fıkrada 4 adet unsur yer almaktadır. Birincisi, ihlalin mahiyetine açık ve sade bir dille yer verilir. İkincisi, veri koruma görevlisi veya daha fazla bilginin elde edilebileceği başka bir temas noktasının isim ve irtibat bilgilerine yer verilir. Üçüncüsü, kişisel veri ihlalinin olası sonuçları açıklanır. Dördüncü ve son olarak, uygun olduğu hâllerde, kişisel veri ihlalinin olası olumsuz etkilerinin azaltılmasına yönelik tedbirler de dahil olmak üzere, veri sorumlusu tarafından alınan veya ilgili kişilerce alınması önerilen tedbirler açıklanır. İlgili kişiye bildirim, kural olarak doğrudan yapılmalı; hatta gerektiğinde ilgili kişi grubu bazında özelleştirilmelidir. Şu kadar ki doğrudan bildiriminin orantısız bir çaba gerektirecek olması durumunda, aynı etkililikle bilgi veren kamuoyu duyurusu ve benzeri bir yöntemle yapılabilir. Örneğin, kişisel veri içeren belgelerin yalnızca kağıt formunda saklandığı bir istatistik deposunu su basması halinde orantısız çaba ile ilgili bu hüküm işletilebilir. Ancak, karşılaşılan mücbir sebepler denetim makamına tevsik edilebilmelidir. GDPR’de ilgili kişi bildiriminde kullanılabilecek vasıtalar sayılmamıştır. Dolayısıyla, e-posta, SMS, fiziki posta gibi yöntemlerden uygun olanının seçilmesi mümkündür. Ancak, artık kullanılmadığı aşikâr olan bir kanaldan bildirim yapılması yerinde olmayacaktır. Yine, internet sitesinde göze çarpan açılır pencereler, yazılı basında dikkat çeken reklamlar genel duyuruda kullanılabilir. Yalnızca bir basın bülteni veya kurumsal blog ile sınırlı bir bildirim, ilgili kişi bildirimi için etkili bir araç olmayacaktır. İlgili kişiye bildirimin, farklı dillerde yazılması gerekebilir. İlgili kişiyle olağan iş akışı döneminde kullanılan dil genellikle uygun olacaktır. Ancak, daha önce etkileşimde bulunulmayan ve veri sorumlusuyla farklı ülke vatandaşı ilgili kişilere bildirimin yerel dilde yapılması daha etkilidir. Süre GDPR 34 ncü maddesinin (1) numaralı fıkrasına göre ilgili kişilere veri ihlal bildirimi gereksiz gecikme olmaksızın yapılır. Bunun anlamı, en kısa sürede KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 529 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı yapılması gerekliliğidir. En kısa sürede bildirim, bireylerin kendilerini ihlalin olumsuz sonuçlarından sakınmak için adım atmalarına yardımcı olacaktır. Elbette, ‘en kısa süre’ ifadesinin yorum gerektiren muğlaklığı, her ihlalin koşullarına göre değerlendirmeyi zorunlu kılmaktadır. Örneğin, acil bir zarar riskini azaltma ihtiyacı ilgili kişiler ile daha hızlı iletişime geçilmesini gerektirirken; devam eden veya benzer kişisel veri ihlallerine karşı uygun tedbirlerin uygulanması ihtiyacı için daha uzun süreyi haklı gösterebilir. Ayrıca, GDPR’nin gerekçelerini oluşturan Recital başlıklı bölümün (88) numaralı maddesinde, ihlali ilgili kişilere süratle bildirmenin adli makamlarca yapılmakta olan soruşturmayı yersizce engelleyebileceği durumlarda kolluk kuvvetlerinin meşru menfaatlerinin dikkate alınması tavsiye edilmektedir. Bu, belirli durumlarda, gerekçelendirildiği hallerde ve kolluk kuvvetlerinin tavsiyesi üzerine, ilgili kişilere veri ihlal bildiriminin adli soruşturmaları aksatmayacak bir zamana ertelenebileceği anlamına gelir. Ancak, ilgili kişilerin zamanı geldiğinde derhal bilgilendirilmesi gerekecektir. Bazı durumlarda, riskin ağırlığı ve gerçekleşme olasılığı nedenleriyle, denetim makamına bildirimde bulunmadan önce dahi etkilenen ilgili kişilere bildirimde bulunulması gerekebilir. Örneğin, bertaraf edilmesi gereken bir kimlik hırsızlığı tehdidi varsa veya özel nitelikli kişisel veriler çevrimiçi olarak ifşa edilmişse, ilgili kişilere bildirmek için derhal harekete geçilmelidir. 3.2. TÜRK HUKUKUNDA 6698 sayılı Kanunda veri ihlal bildirimi usulleri ile ilgili genel çerçeve mevcut değildir. Ancak, Kanunun 22 nci maddesi ile Kişisel Verileri Koruma Kurulunun görev ve yetkileri belirlenmiştir. Maddenin (f) bendinde; veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak Kurulunun görev ve yetkileri arasında sayılmıştır. Bu yetki kapsamında, Kurulun veri ihlal bildirimleri usullerini düzenleyen 2 önemli Kararı bulunmaktadır. Bunlar; ‘Kişisel Veri İhlal Bildirimlerinin Usul ve Esaslarına İlişkin 24.01.2019 Tarih ve 2019/10 Sayılı Karar’ ile ‘Veri Sorumlusu Tarafından İlgili Kişiye Yapılan Veri İhlal Bildirimlerinde Yer Alması Gereken Asgari Unsurlara İlişkin 18.09.2019 Tarih ve 2019/271 Sayılı Karar’dır. Takip eden alt başlıklar altında, Türk hukukunda veri ihlal bildirimi usulleri, Kurulun anılan 2 Kararı ve uygulama pratikleri kapsamında incelenecektir. 530 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI 3.2.1. Denetim Makamına İçerik Kurula bildirim, Kurumun kvkk.gov.tr internet sitesinde yer alan standart bir form aracılığıyla yapılmalıdır.24 Çevrimiçi olarak ya da form elle doldurulup Kuruma fiziken intikal ettirilerek veri ihlal bildiriminde bulunulabilir. Uygulamada İngilizce dilinde de veri ihlal bildirimi kabul edildiği bilinmektedir. Mevzuatta, Kurula yapılacak veri ihlal bildirimlerinin içermesi gereken asgari unsurlar yer almaz. Veri ihlal bildirimi formu içeriğinde a) Hakkınızda, b) İhlal Hakkında, c) Bildirim ç) Olası Sonuçlar d) Önlemler olmak üzere 5 üst başlık bulunmaktadır. ‘İhlal Hakkında’ başlığı altında ihlalin kaynağı, kök nedeni, nasıl ve ne zaman gerçekleştiği, nasıl ve ne zaman tespit edildiği, ihlalden etkilenen veri kategorileri ve ilgili kişi grupları konularında detaylı bilgiler verilmesi beklenmektedir. Bu, esasen, GDPR gereğince denetim makamına bildirimin içermesi gereken unsurlardan ihlalin mahiyetine karşılık gelmektedir. Bu mahiyet, ihlalin potansiyel olumsuz sonuçlarının tayin edilmesinde belirleyici faktör olmaktadır. İlaveten, ihlalin mahiyeti hakkında fikri olmayan veri sorumlusunun, kişisel veri işlenen veri kayıt sistemi üzerinde kontrolü kaybetmiş olduğu söylenebilir. Bu durum, veri güvenliğine yönelik teknik ve idari tedbir alma noktasında arzu edilen gayreti göstermemiş bir veri sorumlusuna işaret edecektir. İhlalin mahiyeti, uygun olduğu hallerde ve ölçüde belgelendirilmeli ve Kurulun değerlendirmesine sunulmalıdır. Veri sorumlusunun, Kurula bildirimin parçası olarak, aynı veri işleyen ile çalışan diğer başkaca veri sorumlularının veri kayıt sistemini etkileyen bir ihlal söz konusuysa, bahse konu veri işleyenin adını vermesi gerekir. Her halükârda, Kurul ihlale ilişkin incelemesinin bir parçası olarak daha fazla ayrıntı talep etme yetkisine sahiptir. 2019/10 sayılı Kurul Kararı gereğince, veri sorumlusu tarafından her veri ihlaline ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması gerekmektedir. Bu yükümlülük, 24  https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 531 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı GDPR’nin 33 ncü maddesinin (5) numaralı fıkrasında yer alan belgelendirme yükümlülüğü ile paralellik arz etmektedir. Belgelendirme yükümlülüğü, veri ihlal bildiriminin içeriğini de kuşkusuz etkilemektedir. Haklı bir gerekçeyle tespitten itibaren 72 saatlik süreden sonra veri ihlal bildirimi yapılmışsa, bu haklı gerekçe ve bunu gösterir belgelere veri ihlal bildiriminde yer verilmelidir. Veri sorumlusunun ilgili kişilere ihlali bildirdiği durumlarda, ilgili kişi bildirimlerini gösterir belgeleri saklaması ve Kurula ibraz edilmesi de gerekmektedir. Veri sorumlusunun, ihlalden önce ve sonra aldığı teknik ve idari tedbirleri de kuşkusuz belgelemesi gerekmektedir. Bu belgeleme, Kurulun, veri sorumlularının birincil veri güvenliği yükümlülüğü olan teknik ve idari tedbirler almaları gereğine uygunluklarını teyit etmesini sağlar. Ani gelişen siber saldırılar bakımından her anı belgelendirmek elbette orantısız çaba gerektirebilir; ancak sürece yayılan ihlallerin daha detaylı belgelendirilmesi beklenir. Açıkçası, iddia ve beyan olunan tüm bilgilerin, mümkün olduğu hallerde ve orantısız çaba gerektirmediği müddetçe belgelendirilmiş olması ve veri ihlal bildirimi formuna eklenmesi aklın ve hukukun gereğidir. Süre Kanuna göre Kurula bildirim en kısa sürede yapılmalıdır; GDPR’nin aksine, açıkça bir süre belirlenmemiştir. 2019/10 sayılı Kurul Kararı ile ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine karar verilmiştir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir. Gerçekten de bir ihlalin gerçekleştiği açıkça tespit edilmesine rağmen, aynı zamanda ihlale ilişkin en temel bilgileri içerecek anlamlı bir bildirim oluşturabilmek için 72 saatten fazla sürenin zorunlu olduğu durumlar olabilir. Bu gibi makul nedenleri olan gecikmelere tolerans gösterilebilmektedir. Ancak Kurula 72 saate bildirimin esas, geç bildirimin istisna olduğu hatırdan çıkarılmamalıdır. 72 saat kuralı, veri sorumlusunun ihlali hangi anda tespit etmiş sayılacağını açıklama gereğini dayatmaktadır. Çünkü, 72 saat hukuk aleminde kısa bir süredir. Ancak, şaşırtıcı olmayan biçimde, tespit edilme anı da ihlalin kendine özgü koşullarına bağlı olacaktır. İhlalin en başından itibaren açıkça ortada olması 532 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI ne kadar tabiiyse, gerçekleşmesinden ve/veya başlamasından sonra tespitinin zaman alması da o kadar tabiidir. Öte yandan, ihlalin tespit edilmesindeki gecikmenin teknik ve idari tedbir eksikliğinden kaynaklanması da uygulamada sıkça görülür. Bu tedbirlere örnek olarak ağ trafiğinin düzenli olarak incelenmesi, veri sızıntısı tespit çözümü kullanılması ve bundan gelen raporların incelenmesi gösterilebilir. Nitekim, Kanunun ‘Veri güvenliğine ilişkin yükümlülükler’ başlıklı 12 nci maddesinin (1) numaralı fıkrasına göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. İhlali makul sürede tespit etme becerisinin veri güvenliğine yönelik teknik ve idari tedbirlerin kapsamına gireceğine kuşku olmasa gerektir. Veri sorumlusu, müşterilerinden birinin kişisel verilerini kazaen güvenilir üçüncü taraf tedarikçi işortağına göndermiş olsun. Bu varsayımsal ihlalde, veri sorumlusunun güvenilir üçüncü taraftan durumun haberini aldığı an ihlal tespit edilmiştir. Bir veri sorumlusunun; ağına izinsiz bir giriş fark ettiğini, ancak kişisel verileri ağın erişilen yeri dışında kalan bir başka sunucuda depolamakta olduğunu varsayalım. İzinsiz girişin fark edilmesi anında ihlal tespit edilmiş sayılmayabilir. Ancak, teknik ve idari tedbirler alması gereğinin bilincinde bir veri sorumlusu olarak ihlalden önce zaten tutmakta olduğu log kayıtlarının incelenmesiyle, kişisel verilere ilişkin şüpheli işlemler yapıldığını da kısa bir süre sonra teyit eder. İşte, bu teyit anında ihlali tespit etmiş sayılacaktır. Yine, bir veri sorumlusunun, sisteminde işlediği kişisel verilerin fidye yazılımı tarafından şifrelendiğini fark ettiği anda, ihlali tespit etmiş olduğuna şüphe yoktur. Veri sorumlusu; medya, ilgili kişi veya başka bir kaynak tarafından olası bir ihlal hakkında ilk kez bilgi aldıktan veya kendisi bir güvenlik olayı tespit ettikten hemen sonra, kısa bir soruşturma yürütebilir. Bu soruşturma süresi boyunca ihlalin tespit edilmiş sayılmayabilir. Ancak, ilk soruşturmanın mümkün olan en kısa sürede başlaması beklenir. Daha detaylı bir iç soruşturma müteakiben yapılmalıdır. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 533 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı Veri sorumlusu ihlalleri tespit edebilmek ve soruşturmak için dahili süreçlere sahip olmalıdır. Örneğin, log analizörleri gibi teknik araçlar ihlalleri tespit etme kapasitesini artırır. Çalışanlardan birinin, bir anomaliye denk geldiğinde bunu uygun yönetim kademesine rapor edebiliyor olması da önemlidir. Olay müdahale planlarında ve/veya veri güvenliği prosedürlerinde bu raporlama mekanizmasının detaylandırılması ve personelin bu mekanizmanın farkında olmasının sağlanması tavsiye olunur. Yine, ihlal yönetimi bakımından operasyonel sorumluluğun kimde olduğunun belirlenmesi faydalıdır. Geniş veya karmaşık organizasyona sahip veri sorumluları, ihlal yönetiminde daha küçük birimler bazında örgütlenme öngörebilir. Zira bu tür veri sorumlularının ihlali tek elden yönetmesi bürokratik hantallığa sebep olabilir ve bunun da bildirimde gecikmelere yol açması olasıdır. Anılan tedbirler, veri ihlali yönetiminin etkinliğine katkı sağlar. Veri ihlal bildirimi formunda yer alan bilgilerin tamamının ilk 72 saatte elde edilememiş olması mümkündür. Bu, özellikle, kişisel verilerin ne ölçüde tehlikeye atıldığını tam olarak belirlemek için daha derin bir analizin gerekli olduğu bazı siber güvenlik olayları gibi karmaşık ihlaller için geçerlidir. Ancak, yine de tespitten itibaren ilk 72 saatte elde edilen bilgilerle Kurula bildirimde bulunulması; devamında elde edilecek bilgilerle gecikmeksizin takip bildirimi yapılması gerekmektedir. Veri İşleyen Dahli Kanunda, veri ihlalinin aksine, bir veri işleyen tanımı mevcuttur. Kanunun ‘Tanımlar’ başlıklı (3) numaralı maddesinin (ğ) bendine göre veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Kişisel verilerin korunmasına ilişkin genel sorumluluk veri sorumlusuna aittir. Ancak veri işleyenin, veri sorumlusunun genel olarak kişisel verilerin korunması ile ilgili yükümlülüklerine uyması için oynaması gereken rolü vardır. Hatta, veri işleyen ile ilişkilerin yönetimi veri ihlal bildirimi sürecinin selameti bakımından kritiktir. Kanunun 12 nci maddesinin (2) numaralı fıkrası gereği veri işleyenler de (1) numaralı fıkra kapsamındaki veri güvenliğine yönelik teknik ve idari tedbirleri alma noktasında veri sorumlusuyla müştereken sorumludur. Bu nedenle, veri sorumlularının, veri işleyenlerin de en az kendileri tarafından sağlanan 534 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI güvenlik seviyesini sağlandığından emin olmaları gerekir.25 Zira, veri ihlallerini tespit ve bildirme kabiliyetinin veri güvenliği tedbirlerine gireceği açıktır. Bu doğrultuda, 2019/10 sayılı Kurul Kararıyla, veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına karar verilmiştir. Ancak Kurula bildirimin veri sorumlusu tarafından yapılması gerekmektedir. Müşterek Veri Sorumlularının Durumu 6698 sayılı Kanunda müşterek veri sorumluluğu kavramı yer almaz. Ancak, kişisel veri işlemenin nimetlerinden birlikte faydalananların, külfetlerine de kusurları oranında birlikte katlanmaları gereğinin önünde hukuki bir engel bulunmamaktadır. Nitekim, Kişisel Verileri Koruma Kurulu da buna paralel olarak ‘ortak veri sorumlusu’ kavramını içeren bir içtihat geliştirmiştir. Araç kiralama sektöründeki kara liste uygulamaları hakkında Kurulunun 23/12/2021 tarihli ve 2021/1304 sayılı İlke Kararı ile: “(…) Kanunun 4’üncü maddesinde düzenlenen genel ilkelere, Kanun’un 5’inci maddesinde düzenlenen işleme şartlarına ve Kanunun 8’inci maddesinde düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hâkimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine, (…) karar verilmiştir. GDPR’nin 26 ncı maddesi ise kişisel veri işleme amaç ve vasıtalarını birlikte belirleyen iki ya da daha fazla veri sorumlusunu müşterek veri sorumluları olarak tanımlamaktadır. Aynı maddede, müşterek veri sorumlularının, GDPR yükümlülüklerine uygunluğa ilişkin sorumluluklarını, tabi oldukları Birlik veya Üye Devlet hukuku çerçevesinde belirlenmedikçe ve belirlendiği ölçüde, aralarındaki düzenlemeyle şeffaf bir şekilde belirleyecekleri hüküm altına alınmıştır. GDPR’nin bu hükmü kapsamında müşterek veri sorumlularının, veri ihlal bildirimi yükümlülük paylaşımını önceden açıkça belirlemeleri gerekmektedir. 25  Kişisel Verileri Koruma Kurulu, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), KVKK Yayınları, Ankara, 2018, ss. 12-13. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 535 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı Bu çerçevede, iç hukukumuzda da kişisel veri işleme amaç ve vasıtalarını birlikte belirleyen iki ya da daha fazla veri sorumlularının, veri ihlal bildirimine ilişkin yükümlülük paylaşımlarını aralarında akdedilecek bir tasarrufla açıkça düzenlemeleri tavsiye olunur. Zira, veri ihlal bildirimi yükümlülüğe aykırılık nedeniyle, kusurları nispetinde yaptırıma tabi olabilmeleri mümkündür. Sınır Aşan Veri İhlalleri Türkiye Cumhuriyeti’nin egemenlik alanı dışında gerçekleşen veri ihlali, veri ihlal bildirimi yükümlülüğünü tetikleyip tetiklemediği anlamında esasa ilişkindir. Bu nedenle, bir önceki bölümde incelenmiştir. Usuller başlıklı bu bölümde ayrıca incelenmeyecektir. 3.2.2. İlgili Kişiye İçerik İlgili kişiye veri ihlal bildirimin içermesi gereken asgari unsurlar Kişisel Verileri Koruma Kurulunun bu konudaki 18.09.2019 tarih ve 2019/271 sayılı Kararı ile belirlenmiştir. Karar’da 6 adet unsur yer almaktadır. Buna göre: • Bildirim açık ve sade bir dile sahip olmalıdır. • İhlalin ne zaman gerçekleştiği belirtilmelidir. • Kişisel veri kategorileri bazında hangi kişisel verilerin ihlalden etkilendiğine yer verilmelidir. • İhlalin olası sonuçları açıklanmalıdır. • Veri ihlalinin olumsuz etkilerinin azaltılması için veri sorumlusunca alınan veya ilgili kişilerce alınması tedbirler önerilmelidir. • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi ve benzeri iletişim yollarına yer verilmelidir. GDPR’de yer alan ilgili kişi bildirimlerinin asgari unsurlarına ilaveten, ihlalin ne zaman gerçekleştiği ve hangi kişisel verilerin etkilendiği unsurlarının da ilgili kişi bildiriminde yer alması gereği kanaatimizce yerinde olmuştur. Bu unsurlar, ilgili kişilerin ihlalin potansiyel olumsuz etkilerinden kendilerini sakınmak için tedbir alabilme kapasitelerini artırmaktadır. 536 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI İlgili kişi bildiriminin doğası, denetim makamı bildirimine göre kuşkusuz farklı nitelik arz etmelidir. Bu farklılaştırma gereği, ilgili kişilerin denetim makamının sahip olduğu bilgi ve deneyimden çoğu durumda yoksun olmalarının bir sonucudur. Hatta, ilgili kişiye bildirimin makul bir nedeni olmaksızın karmaşık hale getirilmesi, iyi niyetli bir veri sorumlusundan beklenmez. Bu durum, eksik bildirim sonucunu doğurabilir. Dolayısıyla, açıklamanın son derece açık ve sade bir dille yapılması önem arz eder. Bildirim düzenli güncellemeler, haber bültenleri veya standart mesajlar gibi diğer bilgilerle birlikte gönderilmemelidir. İhlalden sonra ilgili kişilerce alınması önerilen tedbirlere örnek vermek yerinde olacaktır. Bu kapsamda, ilgili kişilerin kullanıcı adı ve parolalarının ele geçirildiği bir ihlalde, ilgili kişilere yeni bir kullanıcı adı ve parola oluşturma tavsiyesi verilebilir. Hatta, başka platformlarda kullanılan aynı kullanıcı adı ve/veya parolaların değiştirilmesi de önerilebilir. Zira, ilgili kişilerin diğer platformlardaki hesapları ‘credential stuffing’ saldırısına maruz kalabilir. Günümüzde ortalama bir bireyin onlarca farklı platformda kullanıcı hesabı bulunmaktadır. Kişinin bu hesapların her birine farklı parola atanması ideal olsa da bunun parola yönetimini oldukça karmaşık hale getirdiği herkesin malumudur. Dolayısıyla bireyler, farklı hesaplarında aynı ya da benzer parolaları kullanma eğilimindedir. Bu eğilimin farkında olan siber saldırganlar, bir şekilde ele geçirdikleri çok sayıda kullanıcı erişim verisini başka platformlarda otomatize araçlarla deneyerek ilgili kişilerin hesaplarına yetkisiz erişim sağlamaya çalışmaktadır. Bu saldırı yöntemine credential stuffing (kimlik bilgisi doldurma) adı verilmektedir. Farklı hesaplarda aynı ya da benzer parolalar kullanmanın, credential stuffing’e mağduru olma anlamında riski bulunmaktadır. 2019/271 sayılı Karar gereğince ilgili kişi bildirimi, bu kişilere ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun internet sitesi üzerinden yayımlanan genel duyuru ve benzeri uygun yöntemlerle yapılmalıdır. Doğrudan bildirimde e-posta, SMS, fiziki posta gibi yöntemlerden uygun olanı seçilebilir. Ancak, artık kullanılmadığı aşikâr olan bir kanaldan bildirim yapılması yerinde olmayacaktır. Ayrıca, ihlal nedeniyle tehlikeye giren bir iletişim kanalını kullanmaktan kaçınılması gerektiği son derece açıktır. Zira, bu kanala ilgili kişinin erişememesi ya da saldırganın erişmesi bildirimin güvenliğini tehdit eder. Genel olarak veri sorumlularının, etkilenen tüm ilgili kişilere bilgileri doğru bir şekilde iletme şansını en üst düzeye çıkaran araçları seçmeleri önerilir. Bu öneri, koşullara KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 537 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı bağlı olarak, tek bir iletişim kanalı kullanmak yerine birkaç kanal kullanması anlamına da gelmektedir. Veri sorumlusu müşterileriyle sık sık etkileşime giriyorsa, ilgili kişi bildiriminde en uygun iletişim kanalını belirleme konusunda avantajlı sayılabilir. İlgili kişi bildirimlerinin belgelenmesi ve bu belgelerin Kurulun incelemesine hazır halde bulundurulması gerekmektedir. Belgelemenin; bildirim tarihi, yöntemi ve içeriğini gösterir şekilde yapılması uygun olur. Süre Kanuna göre ilgili kişilere veri ihlal bildirimi en kısa sürede yapılır. En kısa sürede bildirim, bireylerin kendilerini ihlalin olumsuz sonuçlarından sakınmak için adım atmalarına yardımcı olacaktır. Elbette, ‘en kısa süre’ ifadesinin yorum gerektiren muğlaklığı, her ihlalin koşullarına göre değerlendirmeyi zorunlu kılmaktadır. Örneğin, bir zarar riskini azaltma ihtiyacı ilgili kişiler ile daha kısa sürede iletişime geçilmesini gerektirirken; devam eden veya benzer kişisel veri ihlallerine karşı uygun tedbirlerin uygulanması ihtiyacı için daha uzun süreyi haklı gösterebilir. Bazı durumlarda, riskin ağırlığı ve gerçekleşme olasılığı nedenleriyle, denetim makamına bildirimde bulunmadan önce dahi etkilenen ilgili kişilere bildirimde bulunulması gerekebilir. Örneğin, acil bertaraf edilmesi gereken bir kimlik hırsızlığı tehdidi varsa veya özel nitelikli kişisel veriler çevrimiçi olarak ifşa edilmişse, ilgili kişilere bildirmek için derhal harekete geçilmelidir. SONUÇ GDPR kişisel veri ihlalini; iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali olarak tanımlanmaktadır. Kişisel Verilerin Korunması Kanunu’nda, aksine, doğrudan bir veri ihlali tanımı yoktur. Ancak, ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlıklı 12 nci maddesinin veri ihlal bildirimi yükümlülüğüne kaynaklık eden (5) numaralı fıkrasına göre; veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla 538 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI başkaları tarafından elde edilmesi halinde, bu durumu ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmekle yükümlüdür. Kanunun lafzından kişisel veri ihlalinin, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali olduğu çıkarsanabilir. Verinin gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirliğin (availability) korunması gereğine yaslanan güvenlik ilkesine siber güvenlik disiplininde CIA üçlüsü adı verilmektedir. Bu unsurların bozulması, günümüzde, bireylerin tüm temel hak ve özgürlüklerini tehdit etme potansiyeline sahip hale gelmiştir. Hatta en güncel siber tehditler, bu unsurların da ötesine uzanmaktadır. Ancak, 6698 sayılı Kanun bütünlük ve erişilebilirlik unsurlarını dahi bireylerin temel hak ve özgürlükleri hilafına veri ihlal bildirimi yükümlülüğünün dışında bırakır görünmektedir. Bu durumun da Türk kişisel verilerin korunması mevzuatının en önemli eksiklerinden biri olduğu değerlendirilmektedir. Dolayısıyla, Kanun’un gizlilik unsurunun da ötesinde erişilebilirlik ve bütünlük unsurlarını da içeren ve hatta aşabilen, kapsayıcı bir veri ihlali tanımı yapar şekilde güncellenmesi gerektiği düşünülmektedir. Avrupa Birliği ve Türk hukuk sistemleri arasında veri ihlal bildirimlerinin esası, hangi veri ihlallerinin bildirileceği üzerine temelden ayrışmaktadır. GDPR kapsamında her veri ihlalinin bildirilmesi zorunlu değildir. Onun yerine, risk temelli bir yaklaşım benimsenmiştir. Buna göre; kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebebiyet vermesi muhtemelse denetim makamına, yüksek bir riske sebebiyet vermesi muhtemelse hem denetim makamına hem ilgili kişiye veri ihlal bildiriminde bulunulur. Ancak, GDPR’de yer alan bu hükümlerin yalnızca lafzından yola çıkarak, bir ihlalin bildirilip bildirilmeyeceğini tespit edebilmek uygulamada zor görünmektedir. EDBP’nin veri ihlal bildirimlerine ilişkin rehberleri bu konuda yol göstericidir. EDBP muhtemel risk ve muhtemel yüksek risk ifadelerini, bizce isabetli bir şekilde, oldukça geniş yorumlamaktadır. Başka deyişle, sıra maddelerin uygulanmasına geldiğinde, ihlal sonucunda ilgili kişilerin hak ve özgürlüklerine yönelik risk ihmal edilebilir seviyede düşük olmadıkça, veri ihlal bildiriminde bulunulmaktadır. Kanun itibarıyla, kişisel verilerin başkaları tarafından Kanuni olmayan yollarla elde edildiği her durum hem Kişisel Verileri Koruma Kuruluna hem ilgili kişiye bildirilmek zorundadır. GDPR’de olduğu gibi risk temelli bir yaklaşım KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 539 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı benimsenmemiştir. Kanaatimizce bu yerinde de olmuştur. Bu kanaatin iki temel sebebi vardır. İlki, Kişisel Verilerin Korunması Kanununun ülkemizde yürürlüğe girişinin Avrupa Birliğinde 95/46/EC Direktifine kıyasla oldukça yeni tarihli olmasıdır. Bu durum bizleri, ilerici bir kişisel verilerin korunması rejimi inşası konusunda kat etmemiz gereken mesafe olduğu sonucuna götürmektedir. Bulunduğumuz aşamada, veri ihlallerinin istisnasız bildirilmesine devam edilmesi, veri koruma kültürü gelişiminin devamına katkı sağlayabilir. İkincisi, riskin özniteliğidir. Hem riski mutlak isabetle tanımlamak günümüz koşullarında mümkün değildir hem de risk algısı ve değerlendirmesinin sübjektifliği, ceza ve kabahatler hukukunun belirli olgulara belirli sonuçlar öngören belirlenimci mantığıyla çelişmektedir. GDPR kapsamında ihlal bildirimi süreci, veri sorumlularınca acil aksiyon alınması gereken bir tür kıyamet senaryosu niteliği taşır. Daha doğrusu, veri sorumlularından öyle bir tür senaryodaymış gibi davranmaları beklenir. Detaylı veri ihlali bildirim kuralları ve bildirim için kısa zaman dilimi, şirketlerin tarihsel olarak ihlalleri uzun süre gizlemelerinin tepkisel bir sonucudur.26 İhlal bildirimlerinin içerik, süre, veri işleyen dahli, müşterek veri sorumluluğu, sınır aşan veri ihlalleri yönlerinden sıkı şartları doğrudan belirlenmiştir. 6698 sayılı Kanun ise veri ihlal bildirimlerine ilişkin bir çerçeveden yoksundur. Ancak, Kurulun 2019/10 ve 2019/271 sayılı Kararlarıyla, Kanun elverdiği ölçüde, Avrupa Birliği uygulamalarına yakınsandığı söylenebilir. Gelecekte yapılması muhtemel bir Kanun değişikliğinin önceliklerinden birinin, veri ihlali tanımı ve veri ihlal bildirimi esas ve usullerinde kapsamlı bir güncelleme olması isabetlidir. Avrupa Birliği kişisel verilerin korunması müktesebatının, ancak Türkiye’nin ihtiyaçlarına uygun düştüğü hallerde ve ölçüde mehaz alınması yerinde olacaktır. 26  Mehmet Bedii Kaya, “Self-Disclosure or Burying the Evidence Dilemma: A Legal Review of the Data Breach Rules under the Turkish Personal Data Protection Law”, https://iupress.istanbul.edu.tr/en/ journal/annales/article/self-disclosure-or-burying-the-evidence-dilemma-a-legal-review-of-the-data- breach-rules-under-the-turkish-personal-data-protection-law. 11.08.2024. 540 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI KAYNAKÇA Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında Kişisel Verileri Koruma Kurulunun 23/12/2021 Tarihli ve 2021/1304 Sayılı İlke Kararı. Avrupa Birliği Başkanlığı, 2016/679 Sayılı AB Genel Veri Koruma Tüzüğü’nün (GDPR) Gayriresmi Türkçe Çevirisi, 2023, Ankara. https://www. ab.gov.tr/ab-genel-veri-koruma-tuzugu-gdpr-turkceye-cevrildi_53650.html. 06.06.2024. BEKMAN, Müge, Veri İhlallerinde Kurumsal İletişimin Rolü: Yemeksepeti Örneği, https://dergipark.org.tr/tr/pub/ikad/issue/69178/1035349, 19.06.2024. BERMAN, Marshall, Katı Olan Her Şey Buharlaşıyor, Çeviren: Ü. Altuğ ve B. Peker, İletişim Yayınları, İstanbul, 2014. BORGESIUS, Frederik Zuiderveen, ASGHARI, Hadi, BANGMA, Noel, HOEPMAN, Jaap-Henk, “The GDPR’s Rules on Data Breaches: Analysing Their Rationales and Effects”, Scripted Dergisi, Cilt: 20 Sayı: 2, Yıl 2023, ss. 352-382. CASTELLS, Manuel, Enformasyon Çağı: Ekonomi, Toplum ve Kültür Cilt 1 Ağ Toplumunun Yükselişi, Çeviren: Ebru Kılıç, İstanbul Bilgi Üniversitesi Yayınları, İstanbul, 2008. CHIP, “Artık hacker’ların hedefinde benzin pompaları da var.”, 2023, https:// www.chip.com.tr/haber/artik-hackerlarin-hedefinde-benzin-pompalari-da- var_160529.html, 22.06.2024. ÇELİK, Yeşim, “Özel Hayatın Gizliliğinin Yansıması Olarak Kişisel Verilerin Korunması ve Bu Bağlamda Unutulma Hakkı”, Tükiye Adalet Akademisi Dergisi, Sayı 32, Yıl 2017, ss. 391-410. ÇELİKEL, Serdar, Kişisel Verilerin Korunması Hukuku Kapsamında Veri Sorumlusu ve Veri Sorumlusunun Yükümlülükleri, Doktora Tezi, Ankara Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı, Ankara, 2021. DE-YOLANDE, M’Bia Hortense, DOH-DJANHOUNDJI, Theo ve CONSTANT, Gabo Yves, “Breach Notification in the General Data Protection Regulation”, Voice of the Publisher, Sayı 9, Yıl 2023, ss. 334-347. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 541 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı DÜLGER, Murat Volkan, “Avrupa Birliği Genel Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması”, Yaşar Hukuk Dergisi, Cilt:1, Sayı 2, Yıl 2019, ss.71-174. DÜLGER, Murat Volkan, “Kişisel Verileri Koruma Kurulunun Kurula Şikâyette Bulunma Süresi ile Veri İhlali Bildirimine İlişkin Kamuoyu Duyuruları Hakkında Değerlendirme”, https://ssrn.com/abstract=3792293. 20.12.2023. DÜLGER, Murat Volkan, “Veri İhlali Bildiriminde Bulunması Gereken Unsurlar ve Bildirim Esas ve Usulleri: KVK Kurulu’nun 18 Eylül 2019 Tarihli, 2019/271 Sayılı ve 24 Ocak 2019 Tarihli, 2019/10 Sayılı Kararlarının Değerlendirilmesi”, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3792334, 05.02.2024. European Data Protection Board, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, Version 2.0, 2021. European Data Protection Board, Guidelines 9/2022 On Personal Data Breach Notification Under GDPR, Version 2.0, 28 March 2023. European Data Protection Board, Overview on Resources Made Available by Member States to the Data Protection Authorities and on Enforcement Actions by the Data Protection Authorities, 2021. European Union Agency For Cybersecurity, Enisa Threat Landscape 2021, October 2021. KAYA, Mehmet Bedii, “Self-Disclosure or Burying the Evidence Dilemma: A Legal Review of the Data Breach Rules under the Turkish Personal Data Protection Law”, Annales de la Faculté de Droit d’Istanbul, 2021, ss. 70-195. KEOHANE, Robert, NYE, Joseph, Power and Interdependence, HarperCollins, ABD, 1990. KIRAN, Nezir Furkan, İşgücü Pazarında Rekabet Hukuku Uygulamaları, Uzmanlık Tezi, Rekabet Kurumu, Ankara, 2022. Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararı. 542 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Kişisel Verileri Koruma Kurulu, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), KVKK Yayınları, Ankara, 2018. KORKMAZ, Ali, “İnsan Hakları Bağlamında Özel Hayatın Gizliliği ve Korunması”, KMÜ Sosyal ve Ekonomı̇ k Araştırmalar Dergı̇ si, Özel Sayı 1, Yıl 2014, ss.99-103. KUNER, Christopher, BYGRAVE, Lee A. ve DOCKSEY, Christopher, The EU General Data Protection Regulation (GDPR), Oxford University Press, Birleşik Krallık, 2020. LAMBERT, Paul, Understanding the New European Data Protection Rules, CRC Press, ABD, 2017. NAHYA, Osman, “İslam-Türk Hukukunda Örf ve Adetlerin Önemi”, Kültür Bakanlıgı Milli Folklor Araştırma Dairesi Yayınları Türk Folkloru Araştırmaları Yıllığı, Sayı 10, Yıl 1975, ss. 103-107. ONG, Rebecca, “Mandatory Data Breach Notification: Its Role In Protecting Personal Data”, Journal of International and Comparative Law, Cilt 10, Sayı 1, Yıl 2023, ss. 87-112. ÖZÇOBAN, Cuma, 21. Yüzyılda Ulusal Güvenliğin Sağlanmasında Siber İstihbaratın Rolü, T.C. Harp Akademileri Stratejik Araştırmalar Enstitüsü, Yüksek Lisans Tezi, İstanbul, 2014. REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 (GDPR). SAMONAS, Spyridon, COSS, David, “The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security”, Journal of Information System Security, Cilt 10, Sayı 3, ss. 21-45. SEVİNDİ, Nur Sena, ORDU, Muhammet Emin, “AB ve Türk Hukukunda Veri İhlalinin Tespiti ve Bildirim Süresinin Karşılaştırmalı Değerlendirmesi”, Kişisel Verileri Koruma Dergisi, Cilt:5, Sayı 1, Yıl 2023, ss.12-22. SİBERAY, “Sosyal Mühendislik”, https://www.siberay.com/sosyal-muhendislik, 28.06.2024. KİŞİSEL VERİ İHLAL BİLDİRİMLERİNİN ESAS VE USULLERİ YÖNÜNDEN AVRUPA BİRLİĞİ 543 VE TÜRKİYE UYGULAMALARI • Yaver Kağan KUZYAKA / Kişisel Veri Koruma Uzmanı SİBERBÜLTEN, “Fidye yazılım saldırısına uğrayan kahve makinesi, evet, doğru okudunuz!”, 2020, https://siberbulten.com/dijital-guvenlik/fidye-yazilimina- ugrayan-kahve-makinesi-evet-dogru-okudunuz/, 17.12.2023. SHARMA, Sanjay, Data Privacy and GDPR Handbook, Wiley, ABD, 2020. STALLINGS, William, BROWN, Lawrie, Computer Security Principles and Practice, Pearson Education, ABD, 2015. THE WACHOWSKİS, Matrix, 1999. https://www.imdb.com/title/tt0133093/. TUTAR, Hasan, “Katı Olan Her ‘İş’ Sanallaşıyor veya İşgörenin Artan Yalnızlığı Üzerine: Kuramsal Bir Yaklaşım”, “İş,Güç” Endüstri İlişkileri ve İnsan Kaynakları Dergisi, Cilt 9, Sayı 2, Yıl 2007, ss. 116-141. TÜRKMEN, Fikret, “Dede Korkut’ta Halk Hukuku ve Unsurları”, Bilig Dergisi, Sayı 58, Yıl 2011, ss. 245-256. URAL ASLAN, Yurdanur, DEĞİRMENCİ, Samet, “Avrupa Birliği Genel Veri Koruma Tüzüğü Işığında Türkiye’de Kişisel Verileri Koruma Kurumu”, Optimum Ekonomi ve Yönetim Bilimleri Dergisi, Cilt:10, Sayı 1, Yıl 2023, ss.23-38. Veri Sorumlusu Tarafından İlgili Kişiye Yapılan Veri İhlali Bildiriminde Yer Alması Gereken Asgari Unsurlara İlişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 Tarih ve 2019/271 Sayılı Kararı. VINCENT, David, Mahremiyet:Kısa Bir Tarih, Çeviren: Deniz Cumhur Başaraner, Epos Yayınları, İstanbul, 2017. YILMAZ, Sezen Ceren, Siber Uzayda Özel Hayatın Gizliliği Hakkını Yeniden Tartışmak, Doktora Tezi, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü Uluslararası İlişkiler Anabilim Dalı Uluslararası İlişkiler Bilim Dalı, Konya, 2023. YÜCE, Sezen, “Prof. Dr. Faruk BİLİR ile Röportaj: Kişisel Verilerin Korunması Kişinin Kendisinin Korunmasıdır”, TRT Akademi Dergisi, Cilt 6, Sayı 11, Yıl 2021, ss 172-181. YÜKSEL, Mehmet, “Mahremiyet Hakkı ve Sosyo-Tarihsel Gelişimi”, Ankara Üniversitesi SBF Dergisi, Cilt:58, Sayı:1, ss. 181.213. 544 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI ZANBAKLAR SEÇKİN, Ayca, Türk Kişisel Verileri Koruma Mevzuatının Avrupa Birliği Genel Veri Koruma Tüzüğü ile Uyumlaştırılması Sürecinde Doğabilecek Sorunlar ve Bu Sorunlara Yönelik Çözüm Önerileri, Yüksek Lisans Tezi, Yeditepe Üniversitesi Sosyal Bilimler Enstitüsü, İstanbul, 2022. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 545 Miraç GÜR / Kişisel Verileri Koruma Uzmanı GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI Miraç GÜR Kişisel Verileri Koruma Uzmanı “Bu çalışma, 09.12.2024 tarihinde kabul edilen “Gözetim Teknolojilerinde Kişisel Verilerin Korunması” başlıklı uzmanlık tezinden alınmıştır.” GİRİŞ 18. yüzyılın sonlarında ceza sisteminde işkence azaltılarak yerini disiplin ve denetime dayalı daha uzmanlaşmış uygulamalara bırakmış, cezanın hedefi mahkûmun bedeni değil ruhu olmuştur. Foucault halka açık infazlar ile hapishaneyi karşılaştırarak bedenin kamusal olarak cezalandırılması süreci sonunda ruhun özel olarak cezalandırılması sürecinin ortaya çıktığını iddia etmiştir. Bu sayede korkutucu ve toplumda etkisi büyük ceza yerine etkili ve toplumsal karşılığı düşük seviyede olan ceza ortaya çıkarılmıştır.1 Bu süreç ile birlikte disiplin anlayışının kendisi de değişmiş olup suçluların askeri kışla gibi alanlara kapatılmasıyla birlikte hapishanenin doğuşu gerçekleşmiştir. Sanayi Devrimi’nin bir sonucu olarak mimari yapı sadece hapishanede değil, aynı zamanda okullar, hastaneler ve ordu gibi birçok kurumda da farklı bir cezalandırma mekanizması oluşmuştur. Bu uygulamalar sayesinde, bedeni önce uysal ve itaatkâr kılıp sonra işlevsel olarak dönüştürerek üretken ve iktidar için verimli hale getirmek amaçlanmıştır. 1  Michel FOUCAULT, Discipline and Punish The Birth of the Prison, Vintage Books, A Division of Random House. Inc., New York, 1995, s.16 546 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Sisteme dahil olan bireylere karşı normların bilimsel olarak doğrulanması sağlanırken, normal olan anormalden ayrıştırılmakta ve disipline edici tekniklerle normalleşme sağlanmaktadır. Sonuç olarak yasaklar ve cezalarla faaliyet gösteren egemen güç, devletin merkezi gücünü yaptırımlar yoluyla kullanarak kendi normali olarak oluşturduğu yasalara itaati sağlamaktadır. Bu sayede gözlenenler normları içselleştiren özneler haline getirilerek sistem kendine; verimli, tek tipleştirilmiş, normlara itaat eden ve sürekli gözetlendiğini düşünen bireyler oluşturmuştur. Gerek devlet gerekse şirket olsun egemenliğin unsurlarını modern zamanlarda hayata geçirebilmek adına daha fazla bilgi ve teknolojiye ihtiyaç bulunmaktadır ve söz konusu bilgi ve teknolojiler gücün daha da genişlemesine olanak tanımaktadır. Genişleyen bu güç yapısında, en ileri teknolojilerle gözetlemeden yararlanılmaktadır. GÖZETİM KAVRAMI VE TARİHSEL GELİŞİMİ Gözetim kavramı, belirli bir alanı, olayı veya bireyleri sürekli olarak izleme ve gözlemleme pratiğidir. Genellikle güvenlik, denetim, istihbarat toplama, suçla mücadele gibi amaçlar için kullanılır ve bireylerin özel yaşamlarıyla ilgili bilgilerin toplanması ve analiz edilmesi yoluyla da gerçekleştirilebilir. Modern öncesi toplumlarda gözetim, toplumsal düzeni sağlamak, dini ve ahlaki normları korumak, iktidarı sürdürmek gibi amaçlarla kullanılmıştır. Bu dönemde gözetim genellikle fiziksel mekânlarla sınırlıydı ve teknolojik gelişmelerin kısıtlı olması nedeniyle daha doğrudan ve görünür bir şekilde uygulanıyordu. Gözetim genellikle topluluklar, aileler, dini kurumlar ve devlet tarafından doğrudan uygulanmaktaydı. Örneğin, köy toplumlarında sosyal normların korunması, komşuların birbirini gözetlemesi yoluyla sağlanıyordu. Bu tür toplumlarda bireylerin davranışları, topluluk üyeleri tarafından sürekli olarak gözlemleniyordu ve toplumsal baskı, norm dışı davranışları kontrol altında tutmak için önemli bir araçtı.2 Dini kurumlar da gözetim sürecinde merkezi bir rol oynuyordu. Orta Çağ Avrupa’sında Katolik Kilisesi, inanç ve ahlak kurallarının uygulanmasını sağlamak için bireyler üzerinde sıkı bir 2  James C. SCOTT, Weapons of the Weak: Everyday Forms of Peasant Resistance, Yale University Press, 1985, s.18. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 547 Miraç GÜR / Kişisel Verileri Koruma Uzmanı denetim mekanizması kurmuştu. Günah çıkarma gibi dini ritüeller, bireylerin iç dünyalarının bile denetim altına alınmasını sağlıyor ve bu ritüeller aracılığıyla kilise, bireylerin düşünce ve davranışlarını kontrol ediyordu.3 Modern toplumlarda ise gözetim, yalnızca bireylerin değil, aynı zamanda toplumsal yapıların da kontrolü ve denetimi için kritik bir araç haline gelmiştir. Modern toplumsal yapılarda gözetim, büyük ölçüde dijitalleşme süreci ile şekillenmiştir. Günümüzde bireylerin dijital ayak izleri, büyük veri şirketleri ve kamu kurumları tarafından toplanmakta, analiz edilmekte ve kullanılmaktadır. Bu süreç, internet kullanımından, sosyal medya etkinliklerine, finansal işlemlerden sağlık kayıtlarına kadar geniş bir yelpazede gerçekleşmektedir. Lyon, dijital gözetimin bireylerin mahremiyetini ciddi şekilde tehdit ettiğini ve bu sürecin “gözetim kapitalizmi” olarak adlandırılabileceğini belirtmektedir.4 Gözetim kapitalizmi, Zuboff’un tanımıyla, büyük teknoloji şirketlerinin bireylerin davranışlarını izlemek, tahmin etmek ve hatta yönlendirmek için topladığı büyük veri yığınları üzerine inşa edilen ekonomik modeldir.5 Bu model, bireylerin sürekli bir gözetime tabi tutulduğu ve bu gözlemin ekonomik çıkarlar için kullanıldığı bir toplumsal düzen oluşturmaktadır. Gözetimin İktidar İlişkisi ve Dijital Kültüre Etkisi Teknolojik gelişmelerle birlikte gözetim mekanizmaları daha sofistike hale gelmiş ve iktidarın bireyler üzerindeki denetim gücü daha da artmıştır. Özellikle dijital gözetim, bireylerin internet üzerindeki faaliyetlerini izleme ve bu bilgileri iktidarın çeşitli araçlarıyla (devlet, şirketler) kullanma pratiğini içermektedir. Bu durum, sadece bireylerin mahremiyetini tehdit etmekle kalmaz, aynı zamanda iktidarın toplumu kontrol etme ve yönlendirme gücünü de pekiştirir.6 Foucault, gözetimi biyopolitika kavramı ile de ilişkilendirir. Biyopolitika, iktidarın nüfus üzerinde uyguladığı kontrol mekanizmalarını tanımlar. Bu, devletin vatandaşlarının bedenleri ve yaşamları üzerindeki düzenleyici politikalarını içerir. 3  Peter BROWN, The Body and Society: Men, Women, and Sexual Renunciation in Early Christianity, New York, Columbia University Press, 1987, s.51. 4  David LYON, The Culture of Surveillance: Watching as a Way of Life, Polity Press, ABD, 2018. s.23. 5  Shoshana Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, New York: PublicAffairs, 2019, s.6. 6  LYON, The Culture of Surveillance: Watching as a Way of Life., s.34. 548 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Gözetim, biyopolitik bir araç olarak bireylerin sağlık, eğitim, güvenlik gibi çeşitli alanlarda sürekli denetim altında tutulmasını sağlar. Bu bağlamda gözetim bireylerin yaşamlarını kontrol eden ve yönlendiren bir iktidar biçimi haline gelir.7 Gözetim ve iktidar arasındaki ilişki, modern toplumların temel yapı taşlarından biri olmakla beraber iktidarın bireyler üzerindeki denetim gücünü artıran bir araç olarak işlev görür. Teknolojik gelişmelerle birlikte, gözetim mekanizmaları daha karmaşık ve yaygın hale gelmiş, iktidarın bireyler üzerindeki kontrolü daha da güçlenmiştir. Bu bağlamda gözetim, modern toplumlarda iktidarın sürekliliğini sağlamak için vazgeçilmez bir araç haline gelmiştir. Dijital çağda gözetim, yalnızca bir güvenlik veya kontrol aracı olmaktan çıkarak bireylerin ve toplumların kültürel yapısını derinden etkileyen bir unsur haline gelmiştir. Gözetim teknolojileri, bireylerin dijital ortamlardaki etkileşimlerinden günlük yaşam pratiklerine kadar geniş bir yelpazede kültürel değişimlere yol açmıştır. Bu değişimler, mahremiyet algılarından kimlik inşasına, toplumsal normlardan tüketim alışkanlıklarına kadar birçok alanda gözlemlenebilir. Dijital gözetim bireylerin mahremiyet algısını önemli ölçüde değiştirmiştir. Özellikle sosyal medya platformları ve akıllı cihazlar aracılığıyla gerçekleştirilen sürekli izleme, bireylerin mahremiyetini büyük ölçüde zayıflatmıştır. Dijital çağda mahremiyet, sürekli gözetim altındaki bireyler için giderek daha belirsiz bir kavram haline gelmiştir. Mahremiyetin bu şekilde yeniden tanımlanması, bireylerin kendi verileri üzerinde kontrol sahibi olma yetilerini zayıflatarak “gözetim kültürü” olarak adlandırılan bir olguyu ortaya çıkarır; burada bireyler sürekli izlenme durumuna alışır ve hatta bunu günlük yaşamlarının bir parçası olarak kabul eder hale gelirler. Bu tür bir kültür, mahremiyetin değerinin düşmesine ve bireylerin kendi mahremiyet sınırlarını yeniden tanımlamasına yol açar.8 Gözetim, dijital kimlik inşası sürecini de derinden etkiler. Bireyler, sosyal medya ve diğer dijital platformlarda kendilerini sunarken gözetim altında olduklarının farkındadırlar. Bu farkındalık, bireylerin çevrimiçi davranışlarını şekillendirir ve dijital kimliklerini inşa ederken belirli normlara ve beklentilere uymalarına neden olur. Hatta dijital çağda kimlik inşasının gözetim teknolojileri tarafından 7  Michel FOUCAULT, The History of Sexuality, Volume 1: An Introduction. Pantheon Books, New York, 1978, s.139. 8  David LYON, Surveillance Studies: An Overview. Polity Press, ABD, 2007, s.61. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 549 Miraç GÜR / Kişisel Verileri Koruma Uzmanı şekillendirildiğini söyleyenler de bulunmaktadır.9 Dijital platformlar, bireylerin kimliklerinin sürekli olarak izlenmesini ve bu performansın izlenmesi sonucu ortaya çıkan geri bildirimlerle bu kimlikleri yeniden şekillendirmelerini sağlar. Gözetim, bu süreçte bireylerin kendilerini nasıl sunduklarını etkiler; bireyler, izleyicilerinin beklentilerine göre davranışlarını düzenler ve böylece dijital kimlikleri üzerindeki kontrolü büyük ölçüde kaybederler. Dijital gözetim, toplumsal normların oluşumu ve sürdürülmesi üzerinde de önemli bir etkiye sahiptir. Gözetim teknolojileri, bireylerin sosyal davranışlarını izleyerek bu davranışların normatif bir çerçeve içinde gerçekleşmesini sağlar. Bu süreçte, sosyal medya platformları ve dijital etkileşimler, belirli normların yayılmasına ve bu normlara uygun davranışların ödüllendirilmesine yardımcı olmaktadır. Örneğin, sosyal medya platformları, belirli içeriklerin daha fazla görünür olmasını sağlayarak bu içeriklerin norm haline gelmesine katkıda bulunur. Gözetim, dijital kültürün bir diğer önemli bileşeni olan tüketim alışkanlıklarını da derinden etkiler. Dijital gözetim teknolojileri, tüketicilerin çevrimiçi davranışlarını izleyerek kişiselleştirilmiş reklamlar sunar ve bu sayede tüketim kültürünü şekillendirerek bireylerin tüketim alışkanlıklarını manipüle etmek için kullanılır. Çevrimiçi izleme yoluyla tüketicilerin davranışları önceden tahmin edilip bu tahminler doğrultusunda reklam stratejileri geliştirilmektedir.10 Bu süreç tüketim kültürünün daha da bireyselleşmesine ve tüketici davranışlarının şirketler tarafından daha fazla kontrol edilmesine yol açar. Dijital gözetim, tüketim kültürünü şekillendiren ve tüketicilerin karar alma süreçlerini etkileyen önemli bir araç haline gelir. Panoptikon, Süper Panoptikon, Sinoptikon ve Banoptikon Kavramları Gözetim çalışmalarında sıkça kullanılan Panoptikon, Süper Panoptikon, Sinoptikon ve Banoptikon kavramları, modern toplumların gözetim pratiklerini ve iktidar ilişkilerini anlamada kritik öneme sahiptir. Bu kavramlar, gözetimin yalnızca bir izleme aracı olarak değil, aynı zamanda toplumsal kontrol ve güç ilişkileri çerçevesinde nasıl işlediğini açıklar. 9  Bauman ZYGMUNT and David LYON, Liquid Surveillance: A Conversation, Cambridge: Polity Press, 2013, s.47. 10  Mark ANDREJEVİC, iSpy: Surveillance and Power in the Interactive Era. Lawrence: University Press of Kansas, 2007, s.55. 550 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Panoptikon, Jeremy Bentham tarafından 18. yüzyılda tasarlanmış bir hapishane modelidir. Bentham’ın Panoptikon’u, merkezi bir gözlem kulesinden tüm mahkûmların sürekli olarak gözlemlenebildiği bir yapıyı temsil eder. Bu modelde, mahkûmlar sürekli gözlemlendiklerini düşünürler, ancak gözlemcinin onları gerçekten izleyip izlemediğini bilmezler ve sonucunda, mahkûmların kendi davranışlarını disipline etmelerine neden olur. Michel Foucault, “Disiplin ve Ceza” adlı eserinde Panoptikon’u modern gözetim toplumunu anlamak için bir metafor olarak kullanır. Foucault’ya göre Panoptikon, modern iktidarın görünmez, ancak sürekli var olan bir gözetim biçimini temsil eder. Bu model, sadece hapishanelerde değil, okullarda, hastanelerde ve fabrikalarda da uygulanabilir ve böylece iktidar, bireylerin üzerinde sürekli bir denetim kurar.11 Süper Panoptikon kavramı, teknolojik gelişmelerle birlikte gözetimin genişleyen kapsamını ifade eder. Mark Poster, bu terimi dijital çağda gözetim pratiklerinin nasıl evrildiğini açıklamak için kullanmıştır. Süper Panoptikon, dijital ortamda bireylerin sürekli olarak izlenmesi ve bu verilerin merkezi veri tabanlarında toplanarak analiz edilmesi sürecini temsil eder. Bu süreç, geleneksel Panoptikon modelinden farklı olarak, gözetimin daha yaygın ve kapsamlı hale gelmesini sağlamıştır.12 Süper Panoptikon, bireylerin dijital izleme sistemleri tarafından sürekli olarak gözlemlenmesi ve davranışlarının önceden tahmin edilmesi için algoritmaların kullanılması anlamına gelir. Bu tür gözetim, sadece kamu kurumları tarafından değil, aynı zamanda büyük teknoloji şirketleri tarafından da uygulanır ve bireylerin mahremiyetini ciddi şekilde tehdit eder. Sinoptikon ise Panoptikon’un tersine çevrilmiş hali olarak düşünülebilir. Sinoptikon, çok sayıda insanın az sayıda kişiyi izlediği bir durumu ifade eder. Bu kavram, özellikle medya ve sosyal medyanın yaygınlaşmasıyla birlikte önem kazanmıştır. Sinoptikon’da, televizyon programları, ünlüler ve sosyal medya fenomenleri gibi az sayıda figür, geniş kitleler tarafından sürekli olarak izlenir.13 Sinoptikon, modern toplumlarda gözetim pratiklerinin nasıl değiştiğini ve kitle iletişim araçlarının bu süreçte nasıl bir rol oynadığını gösterir. Bu 11  FOUCAULT, Discipline and Punish: The Birth of the Prison, a.g.e. s.55. 12  Mark POSTER,The Mode of Information: Poststructuralism and Social Context, Chicago: University of Chicago Press, 1990, s.70. 13  Thomas MATHİESEN, “The Viewer Society: Michel Foucault’s ‘Panopticon’ Revisited” Theoretical Criminology 1, no. 2 (1997), s.218. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 551 Miraç GÜR / Kişisel Verileri Koruma Uzmanı durumda, gözetim sadece yukarıdan aşağıya doğru değil, aynı zamanda yatay bir şekilde de gerçekleşir; insanlar, başkalarını izleyerek sosyal normları ve değerleri yeniden üretirler. Banoptikon, özellikle güvenlik devletleri bağlamında, belirli grupların (örneğin göçmenler, etnik azınlıklar) sürekli gözetim altında tutulduğu ve bu grupların toplumdan dışlanarak “yasak” (ban) edildiği bir gözetim biçimini ifade eder. Bu kavram, gözetimin yalnızca bireyleri izlemekle kalmayıp, aynı zamanda belirli toplulukları dışlamak ve marjinalleştirmek için kullanıldığını gösterir.14 Banoptikon, modern toplumlarda gözetimin nasıl bir kontrol aracı olarak kullanıldığını ve bu süreçte toplumsal dışlama mekanizmalarının nasıl işlediğini anlamamıza yardımcı olur. Özellikle terörle mücadele, göçmen politikaları ve ulusal güvenlik gibi konular çerçevesinde bu tür dışlayıcı gözetim pratikleri yaygın olarak görülür. GÖZETİM KURAMLARI Bürokrasinin Gözetim ile İlişkisi Bürokrasi, modern devlet yapısının temel bir unsuru olarak çeşitli yönetim işlevlerini düzenler ve gözetim süreçlerini şekillendirir. Özellikle kamu sektöründe bürokratik yapılar gözetim uygulamalarının hem düzenleyicisi hem de uygulayıcısı olarak görev yapar. Bürokrasi içerisinde ve bir hiyerarşiye bağlı olarak yürütülen gözetim süreçleri kendine has bir yapıyı da doğurur. Gözetim bürokratik kurumlar tarafından gerçekleştirildiğinde, bürokrasinin kendine özgü nitelikleri, yani formelleşmiş kurallar ve prosedürler, gözetim süreçlerinin etkinliğini ve şeffaflığını artırabilir.15 Ancak bazı bürokratik yapıların aşırı katı olması, gözetim süreçlerinin esnekliğini ve etkinliğini sınırlayabilir. Gözetim teknolojilerinin bürokratik yapılar içinde kullanılması, bu teknolojilerin işlevsel etkilerini ve bürokratik süreçlere entegrasyonunu içerir. Bürokrasi, gözetim teknolojilerini operasyonel süreçlerin bir parçası haline getirerek, 14  Didier BİGO, “Globalized (in)Security: The Field and the Ban-opticon” In Terror, Insecurity and Liberty: Illiberal Practices of Liberal Regimes after 9/11, editörler: Didier Bigo and Anastassia Tsoukala, London: Routledge, 2006. s.24. 15  David LYON, The Electronic Eye: The Rise of Surveillance Society. Minneapolis: University of Minnesota Press, 1994, s.23. 552 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI verimliliği artırmayı ve denetim kapasitesini genişletmeyi hedefler. Özellikle dijitalleşme sürecinde, bürokratik yapılar, veri toplama, analiz etme ve izleme kapasitelerini artıran gözetim teknolojilerini daha fazla benimsemiştir.16 Gözetim, bürokratik yapılar içinde iki ana şekilde kullanılır: birincisi, bürokratik iç işleyişin kontrol edilmesi ve yönetilmesi; ikincisi ise toplumun genelinin denetlenmesi ve düzenlenmesi olup ilkinde bürokrasi, iç kontrol mekanizmalarını güçlendirmek için gözetim araçlarını kullanırken ikincisinde kamu düzenini sağlama amacı taşır.17 Bu bağlamda bürokrasinin rasyonelleşmesi, gözetim süreçlerinin sistematik ve düzenli bir şekilde yürütülmesini sağlar. Disiplinin Gözetim ile İlişkisi Modern toplumlarda disiplin ve gözetim, bireylerin davranışlarını düzenlemek ve kontrol altına almak için kullanılan temel araçlardır. Foucault’nun panoptikon kavramı, gözetimin disiplin süreçlerine nasıl etki ettiğini anlamak için önemli bir çerçeve sunar. Panoptikonun bireylerde sürekli olarak gözetim altında oldukları hissini oluşturması dolayısıyla bu his, bireylerin davranışlarını disiplinli bir şekilde düzenlemelerine yol açar. Foucault’ya göre, panoptikon sadece bir mimari yapı değil, aynı zamanda modern toplumlarda disiplinin nasıl işlediğine dair bir metafordur.18 Gözetim, disiplin süreçlerinde kritik bir role sahiptir çünkü bireylerin sürekli olarak izlenmesi, onların “normlara” uygun davranmalarını sağlar. Gözetimin disiplin süreçlerine etkisi özellikle eğitim, askerlik, fabrika gibi kapalı kurumlarda belirginleşir. Bu kurumlarda bireyler, sürekli bir gözetim altında tutularak belirli bir düzene uygun davranmaya zorlanırlar. Gözetim, bu süreçte, bireylerin davranışlarını standartlara uygun hale getirmek için bir araç olarak kullanılır. Bireyler, sürekli gözetim altında olmanın getirdiği baskı ile kendilerini kontrol etmeye başlarlar ve bu da disiplinin içselleştirilmesine yol açar.19 Foucault, modern toplumları “disiplin toplumları” olarak tanımlar ve bu toplumlarda disiplinin gözetimle iç içe geçtiğini savunur. Gözetim, bu toplumlarda yalnızca bireylerin denetim altında tutulması için değil, aynı zamanda toplumun genel 16  John GİLLİOM, Torin MONAHAN, SuperVision: An Introduction to the Surveillance Society, Chicago: University of Chicago Press, 2013. s.101. 17  FOUCAULT, Discipline and Punish: The Birth of the Prison a.g.e, s.70. 18  FOUCAULT, Discipline and Punish: The Birth of the Prison. a.g.e, s.72. 19  LYON, Surveillance Studies: An Overview, a.g.e s. 90. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 553 Miraç GÜR / Kişisel Verileri Koruma Uzmanı yapısının düzenlenmesi için de kullanılır. Disiplin bireylerin davranışlarını standartlaştırmayı amaçlarken, gözetim bu süreci destekleyen ve güçlendiren bir mekanizma olarak işlev görür. Dolayısıyla modern toplumlarda disiplin ve gözetim, bireylerin ve toplulukların şekillendirilmesi ve kontrol edilmesi için birlikte çalışan iki ana araç haline gelir. Parçalanmış Otorite ve Eşitsiz Gelişme Modern toplumlarda gözetim, otoritenin merkezi bir şekilde uygulanmasını değil, aksine otoritenin daha küçük parçalara bölünerek daha yaygın ve heterojen bir şekilde dağıtılmasını sağlar. Bu dağılım, gözetimin sadece kamu kurumları tarafından değil, özel sektör, eğitim kurumları, sağlık hizmetleri gibi birçok farklı aktör tarafından da uygulanmasına olanak tanır.20 Merkezi olmayan gözetim pratikleri, bireylerin sürekli olarak izlenmesini ve değerlendirilmesini sağlar, bu da otoritenin daha ince ve nüfuz edici bir şekilde işlemesine yol açar. Parçalanmış otorite, gözetimin çok sayıda farklı aktör tarafından uygulanmasıyla daha da güçlenir; bu da bireylerin ve grupların çeşitli gözetim mekanizmaları altında sürekli bir denetim ve kontrol altına alınmasına neden olur.21 Gözetim süreçleri, toplumsal eşitsizliklerin derinleşmesine ve farklı sosyal gruplar arasındaki gelişim farklılıklarının artmasına da sebep olur. Gözetim, özellikle gelişmiş teknolojilere erişimi olan aktörler tarafından daha güçlü bir şekilde uygulanırken, bu teknolojilere erişimi olmayan ya da sınırlı olan gruplar daha dezavantajlı bir konuma düşer. Bu durum, gözetimin eşitsiz gelişmeye nasıl katkıda bulunduğunu açıklar.22 Eşitsiz gelişme, sadece gözetim teknolojilerine erişim açısından değil, aynı zamanda bu teknolojilerin nasıl kullanıldığı ve kimin üzerinde kullanıldığı açısından da kendini gösterir. Örneğin, düşük gelirli topluluklar, gözetim teknolojileri tarafından daha sık ve yoğun bir şekilde izlenirken, bu toplulukların bu teknolojiler üzerinde herhangi bir kontrolü ya da denetimi bulunmaz. Bu durum, güç dengesizliklerinin daha da derinleşmesine ve toplumsal eşitsizliklerin artmasına yol açar.23 Bu durum, gözetimin hem bireyler hem de topluluklar üzerindeki etkilerini daha da karmaşık hale getirir. 20  FOUCAULT, Discipline and Punish: The Birth of the Prison, a.g.e, s. 78. 21 , Kevin D. HAGGERTY, V. Ericson RİCHARD, “The Surveillant Assemblage”, British Journal of Sociology 51, no. 4 (2000), s.611. 22  LYON, Surveillance Studies: An Overview. a.g.e, s. 93. 23  Torin MONAHAN, “Surveillance and Inequality”, Surveillance & Society 5, no. 3 (2006), s.222. 554 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Risk ve Sosyal Kredi Sistemi Yoluyla Gözetim Risk toplumu, riskin hem bireyler hem de kurumlar tarafından sürekli olarak yönetilmesi gereken bir durum olarak ortaya çıkar ve bu bağlamda gözetim, riskin tespit edilmesi, yönetilmesi ve azaltılması için kritik bir araç haline gelir.24 Gözetim, risk toplumu içinde, bireylerin ve grupların potansiyel tehlike veya sapma olarak değerlendirilmesi amacıyla kullanılır. Risk, bu süreçte bireylerin geçmiş davranışlarına ve mevcut durumlarına dayanarak hesaplanır. Gözetim teknolojileri, bu riski hesaplamak ve yönetmek için geniş ölçüde kullanılır, bu da bireylerin sürekli olarak izlenmesine ve değerlendirilmesine yol açar.25 Sosyal kredi sistemi, risk temelli gözetimin en belirgin örneklerinden biridir. Bu sistem, bireylerin kredi geçmişi, sosyal medya davranışları, yasal kayıtlar ve günlük yaşamlarındaki diğer aktiviteler gibi çeşitli veri kaynaklarından gelen bilgileri kullanarak bireylerin “kredi puanlarını” oluşturur.26 Sosyal kredi sisteminde, bireylerin puanları, sosyal itibarları ve risk profilleri ile doğrudan ilişkilidir. Yüksek bir sosyal kredi puanı, bireylere daha fazla toplumsal ve ekonomik fırsat sağlarken, düşük puanlı bireyler çeşitli kısıtlamalar ve yaptırımlarla karşı karşıya kalır. Bu, gözetim yoluyla bireylerin davranışlarını kontrol etmenin ve riskleri yönetmenin etkili bir yolu olarak görülür. Bireylerin sosyal kredi puanlarına dayalı olarak farklı muamele görmesi, toplumsal sınıflar arasındaki farkların daha da belirginleşmesine yol açabilir. Bu bağlamda, gözetim, toplumsal düzeni sağlama amacının ötesine geçerek, riskin yönetilmesi ve sosyal kontrolün sağlanması için bir mekanizma olarak işlev görür.27 Şebeke Yönetimi ve Yeniden Eğitim Merkezleri Yoluyla Gözetim Modern toplumlarda şebeke yönetimi (network governance), gözetimin yaygınlaşmasında ve karmaşık toplumsal yapıların kontrol edilmesinde kritik bir rol oynamaktadır. Şebeke yönetimi, merkezi bir otorite yerine çeşitli aktörler arasında dağıtılmış ve birbirine bağlı bir dizi ilişki ve koordinasyon mekanizmasına 24  Ulrich BECK, Risk Society: Towards a New Modernity, London: Sage Publications, 1992, s.57. 25  Anthony GİDDENS, “Risk and Responsibility”, Modern Law Review 62, no. 1 (1999): s.2. 26  Rogier CREEMERS, China’s social credit system: An evolving practice of control, Asian Survey, Leiden University, 2018, s.627. 27  CREEMERS, China’s social credit system: An evolving practice of control, a.g.e, s. 628. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 555 Miraç GÜR / Kişisel Verileri Koruma Uzmanı dayanır ve bu tür yönetim biçimleri, bilgi akışını kontrol etmek ve sosyal düzeni sağlamak için kullanılır.28 Gözetim, şebeke yönetimi içinde, bilgi toplama ve bu bilgiyi işleme süreçlerinde merkezileşmiş kontrol yerine, çeşitli düğümler aracılığıyla dağılır. Bu düğümler, kamu kurumları, özel şirketler, STK’lar ve diğer aktörler olabilir. Her bir aktör, belirli bir gözetim işlevini yerine getirir ve bu işlevler merkezi bir yapı yerine, şebeke boyunca yayılan bir düzen içinde gerçekleşir.29 Böylece gözetim, şebeke yönetiminin dinamik yapısına uygun bir şekilde, çeşitli aktörler arasında paylaşılan bir sorumluluk haline gelir. Yeniden eğitim merkezleri, özellikle totaliter ve otoriter rejimlerde, gözetim ve sosyal kontrolün en yoğun ve doğrudan uygulandığı alanlardan biridir. Bu merkezler, devletin “yeniden eğitilmesi” gereken bireyler üzerinde doğrudan bir kontrol mekanizması kurduğu yerlerdir. Özellikle Çin’in Sincan Uygur Özerk Bölgesi’ndeki yeniden eğitim kampları, bu tür gözetim pratiklerinin en bilinen örneklerinden biridir. Bu kamplar, Uygur Müslümanlarının ve diğer azınlık gruplarının “radikalleşme” ve “aşırıcılık”la mücadele bahanesiyle toplandığı yerlerdir.30 Yeniden eğitim merkezlerinde gözetim, fiziksel, psikolojik ve ideolojik gözetim olarak gerçekleştirilir. Bu merkezlerde, bireylerin düşüncelerini, inançlarını ve davranışlarını değiştirmek amacıyla çeşitli yeniden eğitim programları uygulanır. Şebeke yönetimi, gözetimin geniş bir toplumsal alana yayılmasını sağlarken, yeniden eğitim merkezleri, bu gözetimin en uç noktalara kadar uygulanmasını mümkün kılar. Ev Ziyaretleri Yoluyla Gözetim Ev ziyaretleri yoluyla gözetim, bireylerin en mahrem alanları olan evlerinde, devlet veya diğer yetkililer tarafından gerçekleştirilen kontrolleri ifade eder. Bu tür gözetim pratikleri, modern toplumlarda hem güvenlik hem de sosyal kontrol amacıyla yaygınlaşmıştır. Ev ziyaretleri, devletin bireyler üzerinde kurduğu denetim mekanizmalarının bir uzantısı olarak görülebilir ve genellikle “mahremiyet” kavramının yeniden tanımlanmasına yol açar.31 Ev, geleneksel olarak bireylerin dış dünyadan korunduğu, kişisel ve aile yaşamının gizliliğini 28  Manuel CASTELLS, The Rise of the Network Society. Oxford: Blackwell, 1996, s.38. 29  LYON, Surveillance Studies: An Overview, a.g.e, s. 103. 30  Adrian ZENZ, “‘Thoroughly Reforming Them Towards a Healthy Heart Attitude’: China’s Political Re-Education Campaign in Xinjiang”, Central Asian Survey 38, no. 1 (2019), s.109. 31  FOUCAULT, Discipline and Punish: The Birth of the Prison, a.g.e, s.106. 556 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI sürdürdüğü bir yer olarak kabul edilir. Ancak, ev ziyaretleri yoluyla gözetim, bu mahremiyetin ihlal edilmesine ve devletin bireylerin özel yaşamlarına müdahale etmesine olanak tanır. Özellikle sosyal hizmetler, sağlık kontrolleri, vergi denetimleri ve güvenlik taramaları gibi çeşitli nedenlerle yapılan ev ziyaretleri, devletin vatandaşları üzerinde kurduğu gözetim ağının önemli bir parçası haline gelir.32 Ev ziyaretleri, sosyal kontrolün bir aracı olarak kullanıldığında, bireylerin davranışlarını ve yaşam biçimlerini doğrudan etkileyebilir. Bu ziyaretler sadece güvenlik ve düzenin sağlanması amacıyla değil, aynı zamanda belirli normların ve değerlerin bireylere dayatılması için de kullanılır. Örneğin, çocuk koruma hizmetleri veya sosyal yardım programları kapsamında yapılan ev ziyaretleri, ailelerin çocuk yetiştirme pratiklerini denetlemek ve gerektiğinde müdahale etmek amacı taşır. Ev ziyaretleri yoluyla gözetim, mahremiyetin ihlali ve bireysel özgürlüklerin kısıtlanması gibi etik sorunları da beraberinde getirir. Özellikle dezavantajlı gruplar, bu tür gözetim uygulamalarına daha fazla maruz kalabilir. Örneğin, düşük gelirli aileler veya göçmenler, sosyal yardım veya yasal statüleri nedeniyle daha sık ev ziyaretlerine tabi tutulabilirler. Bu durum, sosyal eşitsizliklerin derinleşmesine ve belirli grupların devletin denetimine daha fazla maruz kalmasına yol açar.33 GÖZETİM TEKNOLOJİLERİ NEDİR? Gözetim teknolojileri, bireylerin, grupların ve toplulukların davranışlarını izlemek, kaydetmek ve analiz etmek için kullanılan çeşitli araçlar ve yöntemlerdir. Bu teknolojiler güvenlik, istihbarat, pazarlama ve kamu hizmetlerinin iyileştirilmesi gibi birçok alanda kullanılır. Gözetim teknolojilerinin kapsamı, fiziksel alanların izlenmesinden dijital etkinliklerin takibine kadar geniş bir yelpazeye yayılmaktadır. Dünya çapında devletler ve büyük şirketler, onlarca yıldır gözetim önlemlerini benimsemektedir. Ancak yapay zekâ gibi yeni teknolojilerin geliştirilmesiyle birlikte, benzeri görülmemiş bir hızda gözetleme uygulamaları yapabilmekte ve çevrimiçi platformlar ile hizmetler tarafından toplanan büyük miktardaki verilere kolayca erişebilmektedirler. 32  LYON, Surveillance Studies: An Overview, a.g.e, s.88. 33  John GİLLİOM, Overseers of the Poor: Surveillance, Resistance, and the Limits of Privacy, Chicago: University of Chicago Press, 2001, s.132. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 557 Miraç GÜR / Kişisel Verileri Koruma Uzmanı Gözetim ve teknoloji arasındaki bağlantı, ABD’deki 11 Eylül terör saldırılarından bu yana belirgin hale gelmiştir. Devlet gözetim yetkilerinin genişlemesi ve güvenlik ile terörle mücadele adına yeni teknolojilerin kullanımının normalleşmesi bu dönemde gözlemlenmiştir. Gözetim ve terörle mücadele politikalarını çevreleyen şeffaflık eksikliği, kamu kurumlarının müdahaleci teknolojiler kullanıp kullanmaması gerektiği konusunda kamuoyunda yapılacak tartışmaları engellemektedir. Teknoloji, terörle mücadele veya acil toplumsal suç unsurlarına müdahalede kullanıldığında, faydalı bir araç olarak gözükmektedir. Bunun yanı sıra gözetim araçlarının özensizce konuşlandırılmasının ve kullanılmasının insan hakları ve toplumsal alan üzerindeki etkisi ortaya çıkmaktadır. Teknoloji şirketlerinin yenilik için yarışırken kullandıkları kar odaklı yaklaşımı, tehlikeli ve hızlı uygulanan politikaları daha da kötüleştirebilmektedir. Teknoloji tasarımı ve geliştirilmesinde sivil toplum ve etkilenen topluluklarla istişare eksikliği, insan hakları risklerini önlemeyi veya azaltmayı daha da zorlaştırmaktadır. Güvenlik amaçları için geliştirilen teknoloji, toplumun bazı kesimlerini kasıtlı olarak hedef almak, gözetlemek ve baskılamak için de kullanılabilmektedir. Biyometrik Gözetim Teknolojileri Biyometrik veri, kimlik tespiti amacıyla vücudun fiziksel ve/veya davranışsal özelliklerini ölçen ve kaydeden veridir. Parmak izi, retina, yüz, ses ve yürüyüş gibi veriler bu kapsamda değerlendirilmektedir. Dolayısıyla biyometrik verilerin terörle mücadele adına toplanması ve kullanılması dünya çapında hız kazanmıştır. Biyometrik verilerin toplanması ve kullanılması, genellikle etkili bir şekilde düzenlenmeler yapılmadan veya hesap verebilirlik ilkesine tabi tutulmadan gerçekleşmektedir. Biyometrik verilerin doğası gereği gizlenmesi zor ve değiştirilmesi imkansızdır. Bu durum, özellikle biyometrik verilere ilişkin gözetim teknolojilerinin kamusal alanlarda kullanıldığında, mahremiyet hakkına tehdit oluşturmaktadır. Kamusal alanlarda ayrım gözetmeyen biyometrik gözetimin varlığı, ifade özgürlüğü gibi insan hakları üzerinde caydırıcı bir etkiye sahip olabilmektedir. Öte yandan yüz tanıma sistemleri, ten rengi siyah insanların yüzlerini tanırken daha fazla hata yapmakta ve bu da ayrımcılığa ve adil yargılanma hakkının ihlal edilmesine yol açmaktadır. 558 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI İçerik Gözetimi ve Kaldırma İçerik gözetimi ve kaldırma, özellikle Facebook, X (Twitter), YouTube veya Instagram gibi sosyal medya platformlarında internete gönderilen içeriğin yönetimidir. Bu süreç platformların özerk ve bağımsız içerik yönetim politikalarından kaynaklanabilir ve içerik kaldırma, amplifikasyon veya indirgeme yoluyla içerik düzenlemesi, platformdan çıkarma veya gölge yasaklama gibi uygulamaları içerebilir. Kamu kurumları ayrıca sosyal medya platformlarına belirli hesapların veya içeriklerin kaldırılmasını isteyen talepler veya ulusal ya da bölgesel yasalara dayalı kaldırma emirleri gönderebilirler. Örneğin 2021’de İsrail’in Filistin üzerindeki siyasi baskısı sırasında Facebook, Filistinliler ve destekçileri tarafından paylaşılan, insan hakları sorunlarını ve ihlalleri belgelendiren çok sayıda içeriği engellemiştir.34 Aynı şekilde birçok sivil toplum kuruluşları ve aktivistler için sosyal medya platformları destekçilerini örgütlemek ve onlara ulaşmak için önemli bir kanaldır. Sivil toplum kuruluşları ve aktivistlerin hesapları askıya alındığında veya içerikleri kaldırıldığında, misyonlarını yerine getirme kapasiteleri zarar görebilir ve ifade, örgütlenme ve toplanma özgürlüklerinin ihlal edilmesine yol açabilir. Benzer bir durum yukarıda ismi zikredilen sosyal medya platformlarının yönetim ve siyasi anlayışları için de geçerlidir. Örnek vermek gerekirse 2024 yılında İsrail’in Gazze’de yaptığı soykırıma ilişkin sosyal medyada insan hakları adına paylaşım yapan birçok hesabın erişimi kısıtlanmış, paylaşılan içerikleri engellenmiş veya kaldırılmış, hatta hesabı bile kapatılmıştır.35 Söz konusu duruma sosyal medya platformları sahiplerinin siyasi düşünceleri etkili olmuştur. Nihayetinde söz konusu platformların özel bir şirketin ürünü olduğu ve şirket politikalarının şirket sahiplerine göre şekilleneceği unutulmamalıdır. 34  Zaher ALBAİK, “Beytülmakdis Meselesinde “İsrail” Perspektifi Karşısında Filistinlilerin Perspektifinin Desteklenmesi Konusunda Sosyal Medyanın Rolü” Beytülmakdis Araştırmaları Dergisi, Ankara, 2022, 22 (1), s.39. 35  Ersin ÇAHMUTOĞLU, Sosyal medya devleri İsrail’in insanlık suçunu durdurabilir mi?, Anadolu Ajansı, 2024, https://www.aa.com.tr/tr/analiz/gorus-sosyal-medya-devleri-israil-in-insanlik-sucunu- durdurabilir-mi/3192846 GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 559 Miraç GÜR / Kişisel Verileri Koruma Uzmanı İnternet Kesintileri ve İnternet Sitesi Engellemeleri İnternet kesintileri, internet bağlantısının tamamen engellenmesini gerektirir. Gözetim önlemleri bağlamında internet sitesi engelleme, kamu kurumlarının internet ağları sağlayan şirketlere belirli internet sitelerine veya uygulamalara erişimi engellemeleri veya bant genişliğini kısmaları anlamına gelir; bu durum resim ve videoların paylaşılmasını veya görüntülenmesini zorlaştırır. Büyük iletişim kanallarını engellemek veya tüm internet ağlarını kapatmak; sivil toplumun fikir alışverişinde bulunma, kamuoyu tartışmalarına katılma ve ifade özgürlüğünün yanı sıra dernek kurma ve toplanma özgürlüğünün ihlallerine yol açabilir. İnternet kapatmaları ve internet sitesi engellemeleri genellikle kamu güvenliğini sağlama ve yanlış bilginin veya şiddete teşvikin yayılmasını engelleme adına benimsenmektedir. Çevrimiçi Hizmetler ve Telekomünikasyon Verileri Kamu kurumlarının, teknoloji ve telekomünikasyon şirketlerinin barındırdığı verilere ve tüm içeriklere erişim sağlaması, insanların hareketlerinin, davranışlarının ve temaslarının izlenmesine olanak tanır. 2013 yılında The Guardian, Edward Snowden adlı ajan tarafından toplanan ve ABD ile İngiltere’deki kitlesel gözetleme programlarını ortaya çıkaran kanıtları yayımlamıştır.36 Bu programlar, terörizmle mücadele kisvesi altında milyonlarca insanın çevrimiçi ve telefon aktivitelerini izlediğini kanıtlamıştır. Uygun güvenlik önlemleri ve etkili denetim olmadan kanuna uyan bireyler ve sivil toplum aktörleri gözetim ağına yakalanabilir. Verilerin kontrolsüz bir şekilde ele geçirilmesi, katılım, eleştiri ve fikir alışverişi için gereken alanların oluşturulmasını engeller. Bu durum, ifade özgürlüğü gibi haklar için caydırıcı bir etkiye sahip olabilir. Sosyal Medyanın Kamu Kurumları Tarafından Taranması Sosyal medyanın kamu kurumları tarafından taranması, sosyal medya platformlarına kullanıcıların yüklediği kamuya açık içeriklerin izlenmesi ve taranması sürecidir. Bu tarama, devletlerin kamu düzenini sağlama, güvenlik tehditlerini tespit etme veya suç faaliyetlerini önleme amacıyla gerçekleştirilebilir. 36  The Guardian, Edward Snowden: the whistleblower behind the NSA surveillance revelations, 2013, https://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance 560 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Sosyal medyada ifşa edilen bilgilerin taranması, kullanıcıların farkında olmadan ve kontrolleri dışında gerçekleşir. Bu, çevrimiçi fikir ve görüşlerin paylaşılması üzerinde caydırıcı etkiler yaratabilir, ifade özgürlüğüne zarar verebilir ve dijital sivil alanın daralmasına sebep olabilir. Öngörücü Analizler Öngörücü analizler, yapay zekâ kullanarak güvenlikle ilgili riskleri değerlendirmek, desenleri, anormallikleri ve şüpheli davranışları tespit etmeye odaklanan büyük veri kümelerinin analizidir. Örneğin 11 Eylül saldırısının ardından birçok ülke, havayollarının yolcuların ayrıntılı verilerini toplayıp kamu kurumları ve istihbarat teşkilatlarına iletmesini gerektiren politikalar getirmiştir. Veriler, risk kategorileri oluşturmak ve daha sonra sınır kontrolü sırasında “şüpheli” yolcuları belirlemek için analiz edilmiştir. Tahmini sistemler, gelecekteki riskleri veya olayları değerlendirmek için geçmişte toplanan verilerdeki kalıpları belirler. Bu değerlendirmeler, geliştiriciler tarafından yapılan önemli seçimlere, örneğin ulusal güvenlik için “riskin” nasıl tanımlandığına veya hangi davranışların veya grupların “şüpheli” olarak değerlendirildiğine bağlıdır. Bu, belirli grupları dezavantajlı hale getiren kasıtlı kamu politikalarını ve kurumsal uygulamaları içerebilir. Ayrıca, öngörücü sistemlerin analiz ettiği ve öğrendiği geçmiş veriler, tarihsel uygulama ve sosyo-ekonomik önyargılar tarafından belirlenebilir, dolayısıyla doğası gereği sınıflandırılabilir. Bu koşullar altında, özellikle marjinal olarak adlandırılan gruplara mensup kişiler, daha yüksek düzeyde bir incelemeye tabi tutulabilir. Bu, ifade özgürlüğü gibi medeni özgürlüklerden yararlanmalarını daha zor ve riskli hale getirebilir ve hatta haksız tutuklamalara ve hapse atılmalara yol açabilir. Casus Yazılımlar ile Gözetim Casus yazılım, son kullanıcının bilgisi ve izni olmaksızın, bir cihazdan bilgi çıkarmak ve/veya cihazın kontrolünü ele geçirmek amacıyla cihaza yüklenen bir tür kötü amaçlı yazılımdır. Casus yazılım araçları, insan hakları ve medeni özgürlükler için ciddi riskler oluşturur. Örneğin cep telefonları, bir kişinin günlük hayatının en mahrem ayrıntılarının depoları haline gelmiştir. Kişinin farkına bile varmadan ve müdahaleyi kontrol edemeden sahip olduğu bilgilere erişmek, GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 561 Miraç GÜR / Kişisel Verileri Koruma Uzmanı günümüzde oldukça mümkündür. Pegasus37 gibi modern casus yazılımların tespit edilmesi son derece zordur ve mevcut teknik araçlar, kurulumunu engellemeyi imkânsız hale getirir. Bu, diğer özgürlüklerin tam olarak kullanılması için elzem olan mahremiyet hakkını temelden ihlal eder. Casus yazılım kullanarak aktivistleri, gazetecileri ve siyasi muhalifleri kasıtlı olarak hedef almak, sindirmek ve susturmak demokrasinin özünü baltalar ve bu durum medeni özgürlüklerin ciddi bir ihlalidir. Mobil Uygulamalar ve Gözetim Mobil uygulamalar, modern yaşamın ayrılmaz bir parçası haline gelmiş ve kullanıcıların günlük aktivitelerini kolaylaştırmak için birçok işlev sunmaktadır. Ancak bu uygulamaların kullanımında, kullanıcıların kişisel verilerinin toplanması ve izlenmesi konusu önemli bir sorun olarak ortaya çıkmaktadır. Mobil uygulamalar kullanıcıların konum bilgileri, kişisel tercihleri, sağlık verileri gibi hassas bilgileri toplamak için çeşitli gözetim teknikleri kullanmakta ve bu verileri genellikle ticari, pazarlama veya güvenlik amaçlarıyla üçüncü taraflarla paylaşmaktadır.38 Mobil uygulamalar kullanıcı verilerini toplamak için GPS, Wi-Fi, Bluetooth, cihaz kimlikleri ve çerezler gibi çeşitli gözetim teknolojilerinden yararlanır.39 Örneğin, sağlık ve fitness uygulamaları, kullanıcıların fiziksel aktivitelerini, uyku düzenlerini ve hatta kalp ritimlerini takip ederek sağlık verilerini toplar ve analiz eder.40 Bu veriler genellikle uygulama geliştiricileri veya üçüncü taraflarca, kullanıcı profillemesi ve hedefe yönelik reklamlar oluşturmak amacıyla kullanılır.41 Kullanıcıların uygulamalara erişim izni vermesi, geniş çapta veri toplama ve işleme süreçlerini içerir ve bu da kullanıcıların farkında olmadan 37  Pegasus, İsrailli bir yazılım şirketi tarafından geliştirilmiş bir casusluk programıdır. Program, ya hedef alınan kişinin tıklamasıyla ya da hiçbir tıklama olmaksızın; cep telefonlarının mesaj, konum veya mikrofon (ortam dinleme) gibi özelliklerini ele geçirmeyi ve bu yolla takip edilmesi amaçlanan kişinin kişisel yaşamına girerek program sahibi için istihbarat toplamayı amaçlamaktadır. Kaynak: https://www. aa.com.tr/tr/dunya/israil-yapimi-pegasus-casus-yazilimi-dunyanin-dort-bir-yaninda-kullanildi/2481656 38  José VAN DİJCK, “Datafication, Dataism and Dataveillance: Big Data Between Scientific Paradigm and Ideology” ,Surveillance & Society 12, no. 2, (2014): s.200. 39  Lei, ZHANG, Zhou YONG, “Privacy and Security Risks of Mobile Health Applications”, IEEE Security & Privacy, 17, no. 6, (2019), s.56. 40  Deborah LUPTON, The Quantified Self: A Sociology of Self-Tracking Cultures. Cambridge: Polity Press, 2016, s.93. 41  Melissa DE ZWART, “Legal Risks of Big Data and Privacy in the Age of Surveillance Capitalism” , Privacy and Cybersecurity Law Report, 6, no. 3 (2020): s.3. 562 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI mahremiyetlerini tehlikeye atabilir.42 Bu durum, kullanıcıların kişisel bilgilerinin izinsiz veri toplama ve kötüye kullanma riskiyle karşı karşıya kalmasına yol açar. Dahası, mobil uygulamalar aracılığıyla gerçekleştirilen bazı gözetim faaliyetleri, kullanıcıların bu tür gözetime rıza göstermemesine rağmen devam edebilir. Kullanıcıların verilerinin izinsiz olarak toplanması ve işlenmesi, mahremiyet hakkının ihlali olarak değerlendirilebilir.43 Ayrıca söz konusu mahremiyet ihlallerinin önüne geçebilmek adına çıkarılmış hukuki düzenlemelerin ise küresel ölçekte uyumlu olmaması, veri koruma standartlarında boşluklara neden olabilmektedir.44 Kullanıcılar, uygulamaların veri toplama politikalarını daha dikkatli değerlendirmeli ve bu konuda daha bilinçli olmalıdır. Aynı zamanda, mobil uygulama geliştiricilerinin ve düzenleyici kurumların, kullanıcı verilerinin korunması için daha etkili politikalar geliştirmeleri gerekmektedir. Nesnelerin İnterneti ve Gözetim Nesnelerin İnterneti (Internet of Things, IoT), cihazların internet üzerinden birbirleriyle ve merkezi bir sistemle iletişim kurarak veri paylaşmasını mümkün kılan bir teknolojidir. IoT cihazları, ev aletlerinden güvenlik kameralarına, akıllı saatlerden otomobillere kadar geniş bir yelpazede yer alır. Bu cihazların yaygınlaşması, kullanıcıların günlük yaşamlarını kolaylaştırırken aynı zamanda büyük ölçekli veri toplama ve gözetim imkanlarını da beraberinde getirmiştir.45 IoT cihazları, çeşitli gözetim teknikleri kullanarak sürekli veri toplama ve iletme işlevine sahiptir. Akıllı ev sistemleri, güvenlik kameraları, akıllı termostatlar ve giyilebilir cihazlar gibi IoT araçları, kullanıcıların konum bilgileri, davranışları, biyometrik verileri ve sağlık durumları gibi çok çeşitli verileri toplar ve analiz eder.46 Örneğin akıllı saatler, kullanıcıların kalp atış hızlarını, adım sayısını ve 42  Viktor MAYER-SCHÖNBERGER, Kenneth CUKİER, Big Data: A Revolution That Will Transform How We Live, Work, and Think, Houghton Mifflin Harcourt, 2013. s.21. 43  Finn BRUNTON, Helen NİSSENBAUM, Obfuscation: A User’s Guide for Privacy and Protest, The MIT Press, 2015, s.104. 44  Bart CUSTERS, Data Dilemmas in the Information Society: Introduction and Overview, Springer, 2016, s.69. 45  Rob VAN KRANENBURG, The Internet of Things: A Critique of Ambient Technology and the All-Seeing Network of RFID, Institute of Network Cultures, 2008, s.45. 46  Miraç GÜR, Kişisel Verilerin Korunması Bağlamında Akıllı Şehirler ve Veri Mahremiyeti, Yüksek Lisans Tezi, Ankara: 2024, s.16. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 563 Miraç GÜR / Kişisel Verileri Koruma Uzmanı uyku düzenlerini takip edebilir ve bu verileri merkezi bir veri tabanına iletebilir.47 Aynı şekilde, akıllı ev cihazları, ev sahiplerinin alışkanlıklarını izlemek ve konforu artırmak amacıyla sürekli veri toplar ve bu veriler ticari veya güvenlik amaçlı kullanılabilir.48 IoT cihazlarının sürekli veri toplama kapasitesi, kullanıcıların farkında olmadan büyük miktarlarda kişisel verinin işlenmesine ve saklanmasına yol açar. Bu durum, kişisel verilerin kötüye kullanılması, izinsiz erişim ve siber saldırılar gibi güvenlik açıklarına karşı savunmasızlık oluşturur. Dahası, IoT cihazları genellikle açık ağlar üzerinden veri ilettiğinden, bu cihazların veri güvenliği ve gizliliği konusunda ciddi riskler barındırdığı gözlemlenmektedir. Birçok IoT cihazı, veri toplama ve izleme faaliyetleri için kullanıcıdan açık ve anlaşılır bir şekilde onay almadığı için bu durum, kullanıcıların mahremiyet haklarının ihlal edilmesine yol açar.49 Ayrıca, bu cihazlardan toplanan verilerin nasıl saklandığı, kimler tarafından erişilebileceği ve hangi amaçlarla kullanılabileceği konusunda belirsizlikler bulunmaktadır. IoT verilerinin işlenmesiyle ilgili şeffaflık ve hesap verebilirlik standartları getirilse de bu düzenlemelerin küresel düzeyde yeterince uygulanmadığı ve denetlenmediği konusunda eleştirilmektedir.50 Dolayısıyla nesnelerin interneti, günlük yaşamı kolaylaştıran ve verimliliği artıran birçok avantaj sunsa da gözetim potansiyeli ve mahremiyet üzerindeki etkileri göz ardı edilemez. Gözetimin Dijital Ekonomi ve Reklam Sektörüne Etkisi Dijital ekonomi, veriye dayalı iş modelleri ve teknolojilerle şekillenmiş, küresel ticaretin önemli bir bileşeni haline gelmiştir. Ancak, bu ekonomi, kullanıcıların çevrimiçi davranışlarını izleyen, analiz eden ve ticari amaçlar için kullanan gözetim teknolojileriyle de yakından ilişkilidir. Gözetim kapitalizmi olarak adlandırılan bu olgu, dijital ekonominin nasıl işlediğine dair temel dönüşümler meydana getirmiş ve tüketici güveni, piyasa rekabeti ve veri güvenliği gibi alanlarda 47  Almeida, TİAGO, João FONSECA and João JORGE. “IoT-Based Solutions for Intelligent and Secure Living.” International Journal of Internet of Things and Cyber-Assurance 2, no. 1 (2019), s.28. 48  Jan Henrik ZİEGELDORF, Garcia Morchon OSCAR, Wehrle KLAUS, “Privacy in the Internet of Things: Threats and Challenges” ,Security and Communication Networks 7, no. 12 (2014): s.2728. 49  Perera, CHARITH, Arkady ZASLAVSKY, Peter CHRISTEN, and Dimitrios GEORGAKOPOULOS. “Context- Aware Computing for the Internet of Things: A Survey.” IEEE Communications Surveys & Tutorials 16, no. 1 (2015): s.431. 50  LUPTON, The Quantified Self: A Sociology of Self-Tracking. A.g.e, s.67 564 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI önemli etkiler doğurmuştur.51 Benzer şekilde reklam sektörü, dijitalleşme ile birlikte büyük bir dönüşüm geçirmiş ve gözetim teknolojileri, bu dönüşümün merkezine yerleşmiştir. Dijital gözetim, reklam verenlerin hedef kitlelerine daha hassas ve kişiselleştirilmiş mesajlar iletmelerini sağlamak için kullanıcı verilerini toplama, analiz etme ve kullanma yeteneklerini geliştirmiştir. GÖZETİM TEKNOLOJİLERİNİN ETKİLERİ VE TARTIŞMALAR Mahremiyet İhlalleri Gözetim teknolojileri bireylerin günlük yaşamlarını izleme kapasitesine sahiptir. Bu teknolojiler, güvenliği artırmak, suçla mücadele etmek ve kamu düzenini sağlamak amacıyla kullanılsa da bireylerin mahremiyetine ciddi tehditler oluşturur. Özellikle büyük veri toplama uygulamaları ve yüz tanıma teknolojileri, bireylerin özel yaşamına dair bilgilerin toplanması ve analiz edilmesiyle mahremiyet ihlallerine neden olabilir. Gözetim teknolojilerinin en yaygın kullanımlarından biri, geniş çaplı veri toplama ve izleme uygulamalarıdır. Bu teknolojiler, internet üzerinden yapılan her türlü iletişimi ve etkinliği izleyebilir ve kullanıcıların haberi olmadan onların özel bilgilerini toplayabilir ve bu bilgileri çeşitli amaçlarla kullanabilir. Yüz tanıma teknolojileri, bireylerin yüz özelliklerini analiz ederek kimliklerini tespit etmekte kullanılır. Bu teknolojiler, güvenlik kameraları, akıllı telefonlar ve diğer cihazlar aracılığıyla geniş çapta kullanılmaktadır.52 Ancak, yüz tanıma teknolojilerinin yaygın kullanımı, bireylerin mahremiyetine ciddi tehditler oluşturur. Örneğin, Çin’de uygulanan yüz tanıma sistemleri, vatandaşların hareketlerini izlemek ve sosyal kredi sistemi aracılığıyla değerlendirme yapmak için kullanılmaktadır.53 Büyük veri analizi, gözetim teknolojilerinin bir diğer önemli bileşenidir. Bu analizler, toplanan verilerin işlenmesi ve belirli kalıpların ve eğilimlerin tespit edilmesi amacıyla kullanılır. Ancak bu tür analizler, bireylerin kişisel bilgilerinin detaylı bir şekilde incelenmesine ve profilleme yapılmasına olanak tanır. Bu tür uygulamalar, bireylerin mahremiyetine ciddi şekilde zarar verir. 51  Mark ANDREJEVIC. “Surveillance in the Digital Enclosure.” In The SAGE Handbook of Surveillance Studies, edited by Kirstie BALL, Kevin HAGGERTY, and David LYON, 101-110. SAGE Publications, 2012. s.31 52  GÜR. Kişisel Verilerin Korunması Bağlamında Akıllı Şehirler ve Veri Mahremiyeti. a.g.e, s.18 53  CREEMERS, China’s social credit system: An evolving practice of control, a.g.e, s.6 GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 565 Miraç GÜR / Kişisel Verileri Koruma Uzmanı Veri Güvenliği Riskleri Gözetim teknolojileri, büyük miktarda kişisel veri toplar ve işler ve bu veriler, çeşitli risklere karşı savunmasız olup yetkisiz erişimlere maruz kalabilir. Veri güvenliği riskleri hem bireyler hem de organizasyonlar için ciddi sonuçlar doğurabilir. Gözetim teknolojilerinde en büyük güvenlik risklerinden biri veri ihlalleridir. Veri ihlali, yetkisiz kişilerin bir sisteme erişerek hassas bilgileri çalması veya ifşa etmesi anlamına gelir. Örneğin 2017 yılında yaşanan Equifax isimli veri ihlali vakasında, 143 milyon Amerikalının kişisel bilgileri çalınmıştır.54 Bu tür ihlaller, bireylerin kimlik hırsızlığı, mali kayıplar ve diğer ciddi sonuçlarla karşı karşıya kalmasına neden olabilmektedir. Gözetim teknolojilerinde kullanılan verilerin güvenliğini sağlamak için genellikle şifreleme teknikleri kullanılır. Ancak zayıf şifreleme yöntemleri veya yetersiz güvenlik önlemleri, verilerin korunmasını zayıflatabilir. Örneğin, bazı gözetim cihazları ve sistemleri, varsayılan şifrelerle kullanıcıya ulaşır ve kullanıcılar bu şifreleri değiştirmediğinde bu cihazlar saldırılara açık hale gelir.55 Ayrıca güvenlik açıkları ve yazılım hataları, saldırganların bu sistemlere sızmasını kolaylaştırır. Veri güvenliği riskleri sadece dış tehditlerle sınırlı değildir. İç tehditler, yani organizasyon içindeki çalışanlar veya yetkili kişiler tarafından gerçekleştirilen ihlaller de ciddi bir risk oluşturur. İç tehditler, genellikle erişim haklarına sahip kişilerin verileri kötüye kullanması veya kasıtlı olarak zarar vermesi yoluyla gerçekleşir. Gözetim teknolojileri, ransomware (fidye yazılımı) ve diğer zararlı yazılımların hedefi olabilir. Bu tür yazılımlar, verileri şifreleyerek erişilmez hale getirir ve fidye ödenene kadar bu verilerin geri verilmemesi tehdidinde bulunur.56 Bu tür saldırılar, gözetim teknolojilerinin güvenlik açıklarını istismar ederek büyük zararlar verebilir. 54  Ponemon Institute. Cost of a Data Breach Study: Global Overview. IBM Security, 2018. s.51 55  William STALLINGS. Cryptography and Network Security: Principles and Practice. 7th ed. Pearson, 2018. s.132 56  Hussain FARHAN, Rehan HUSSAIN, Omar Khadeer HUSSAIN, and Ekram HUSSAIN. “Cybersecurity Threats to Smart Cities and Autonomous Vehicles: Role of Machine Learning.” IEEE Communications Standards Magazine 2, no. 1 (2018): s.40 566 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Dolayısıyla gözetim teknolojilerinde veri güvenliği riskleri, çeşitli tehditler ve zayıflıklar nedeniyle önemli bir sorun teşkil etmektedir. Veri ihlalleri, zayıf şifreleme ve güvenlik önlemleri, iç tehditler ve zararlı yazılımlar, bu teknolojilerin güvenliğini tehlikeye atmaktadır. Bu nedenle, gözetim teknolojilerinin güvenliğini sağlamak için kapsamlı ve güncel güvenlik önlemleri alınmalı ve sürekli olarak iyileştirilmelidir. Etik Sorunlar Gözetim teknolojileri, güvenlik ve suçla mücadele gibi önemli amaçlar için kullanılsa da bu teknolojilerin kullanımı etik sorunları da beraberinde getirir. Bireylerin özel hayatına müdahale etme, veri toplama ve analiz yöntemleri, adalet ve mahremiyet gibi konular etik tartışmaların merkezindedir. Gözetim teknolojileri, bireylerin özel yaşamına dair bilgilerin toplanması ve analiz edilmesiyle mahremiyet ihlallerine neden olabilir. Özellikle, geniş çaplı veri toplama uygulamaları ve yüz tanıma teknolojileri, bireylerin günlük yaşamlarını izleme kapasitesine sahiptir. Bu durum, bireylerin özel hayatlarına dair bilgilerin izinsiz ve kontrolsüz şekilde kullanılmasına yol açabilir.57 Gözetim teknolojilerinin kullanımıyla birlikte, büyük veri analizi ve yapay zekâ algoritmaları, bireyleri profilleme ve sınıflandırma yeteneğine sahiptir. Bu durum, bireylerin sosyal, ekonomik veya politik durumlarına göre ayrımcılığa uğramasına neden olabilir. Örneğin, sosyal kredi sistemleri gibi uygulamalar bireylerin davranışlarına ve sosyal etkileşimlerine göre puanlama yaparak belirli hak ve imkanlardan yoksun bırakılmasına neden olabilmektedir.58 Aynı şekilde gözetim teknolojilerinin aşırı kullanımı, bireylerin temel insan hakları ve özgürlüklerini tehlikeye atabilir. Özellikle, sansür ve ifade özgürlüğü gibi konular, bu teknolojilerin aşırı kullanımıyla doğrudan etkilenebilir. Gözetim teknolojilerinin etik sorunları, bireylerin mahremiyetini, adaletini ve insan haklarını ciddi şekilde etkileyebilir. Bu teknolojilerin kullanımında etik standartların ve hukuki çerçevelerin güçlendirilmesi, bireylerin haklarının korunmasına ve adil bir toplumun oluşturulmasına yardımcı olabilir. Güvenlik, 57  Glenn GREENWALD. No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State. New York: Metropolitan Books, 2014. s.23 58  Botsman, RACHEL. Who Can You Trust? How Technology Brought Us Together and Why It Might Drive Us Apart. PublicAffairs, 2017. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 567 Miraç GÜR / Kişisel Verileri Koruma Uzmanı sağlık, işyeri ve eğitim gibi çeşitli alanlarda geniş bir uygulama yelpazesine sahip olan bu teknolojiler, aynı zamanda mahremiyet ve etik sorunları da beraberinde getirmektedir. Gözetim teknolojilerinin etkili ama aynı zamanda etik bir şekilde kullanılması, yasal düzenlemeler ve teknik önlemlerle desteklenmelidir. GÖZETİM TEKNOLOJİLERİNDE KİŞİSEL VERİLERİN GÜVENLİĞİ “Gözetim” terimi anlaşıldığından çok daha geniş bir temelde değerlendirilmelidir. Bir ideal olarak, dijital araçların optimum kullanımını ifade ederken sosyal ve ekonomik hayatı etkileyen ve insanların psikolojilerinde ciddi dönüşümler yaşatan bir olgu olarak değerlendirilmektedir. Gözetim teknolojileri, teknik sistemlerinin güçlü olması dolayısıyla bir asimetrik güç oluşturmakta ve uygulama alanlarında çoğunlukla başarılı olmaktadır. Aynı zamanda dijital teknolojinin kullanımından da faydalanan gözetim teknolojileri, iktidarın güç alanını genişleten, denetimini ise kısıtlayan karşı konulamaz bir teknolojik determinizm ortaya çıkarmaktadır.59 Gözetim teknolojilerinin modern demokratik toplulukların yönetimi ve denetimi üzerindeki etkileri nedeniyle kamu kurumlarının gücünün artmasına neden olduğu söylenebilir. Büyük miktarda veri sağlayan bu teknolojiler hem kamu kurumları hem de ticari kuruluşlar için sosyal, politik ve ekonomik avantajlar sunmaktadır. Bu durum gözetim teknolojilerinin kullanımına bağlı olarak kurumsal politika, planlama ve denetimi güçlendirme eğilimini beraberinde getirmektedir.60 Gözetimin amacı doğrultusunda bazen sömürgeci faaliyetler gerçekleşebilmektedir. Veri ve teknoloji, sömürgeciliğin yeni bir aracı olabilir. Ülkeler ve şirketler, küresel düzeyde kişilerin verilerine egemen olmak için gözetim teknolojilerini kullanarak kaynaklara hâkim olmayı, menfaatleri doğrultusunda kitleleri yönlendirmeyi ve baskı altında tutmayı amaçlayabilirler. Sömürgecilik döneminde batılı ülkeler, zengin kaynaklara sahip bölgeleri ele geçirerek sömürmüş ve bu süreçte geri kalmış bölgelerin insan, çevre ve kaynaklarına dair verileri toplamışlardır. 59  Ümmühan KAYGISIZ, Zeki AYDIN. Yönetişimde Yeni Bir Ufuk Olarak Akıllı Kentler, Mehmet Akif Ersoy Üniversitesi Sosyal Bilimler Enstitüsü Dergisi.2017, s. 60 60  KAYGISIZ, Ü., AYDIN, Z. Yönetişimde Yeni Bir Ufuk Olarak Akıllı Kentler, a.g.e. s. 58 568 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Günümüzde, veri teknolojilerindeki ilerlemeler ve medya iletişim araçları sayesinde veri temelli yönetişim sistemleri ortaya çıkmaktadır. Gözetimde yönetişim61, ileri teknoloji kullanılarak e-yönetişim kavramı etrafında şekillenmektedir. E-yönetişim, vatandaşların, sivil toplum kuruluşlarının, kamu ve özel sektör aktörlerinin karar alma süreçlerine dijital ortamda katılımını sağlar. Yerel yönetimlerde uygulanması daha kolay olan bu süreç, daha doğru politikalar üretebilir ve yerelden genele, genelden küresele yayılabilir. Ancak bu süreçte veriyi kontrol eden güçlerin vatandaşları manipüle edebilme olasılığı da göz ardı edilmemelidir. Süreç içerisinde yönetişim kavramı kullanılarak veya insanların sürece katılımını zorunlu tutarak gözetim faaliyeti ölçüsüz bir şekilde uygulanabilmektedir. Benzer bir şekilde gözetim teknolojileri, marjinalleştirilmiş topluluklar üzerinde tahakküm kurma riskini artırabilir. Dolayısıyla kamu kurumları ve yerel yönetimler, herhangi bir gözetim teknolojisini kullanmadan önce, bu teknolojiler üzerinde mahremiyet denetimi yetkisi olan veri koruma otoritelerinin görüşlerini ve mevzuatlarını dikkate almalıdır. Bu bağlamda meşru sınırlar içerisinde bir mahremiyet ve kişisel verileri koruma kurumunun varlığı, kamu hesap verebilirliğini artıracaktır. Mobese kameraları, işlek yerlerde trafiği kontrol etmek ve kamusal alanları izlemek için kullanılmaktadır. Bu kameralar, görüntü alarak ve kaydederek çalışır. Ciddi bir trafik kazası veya kamusal bir alanda gerçekleşen bir yaralama olayında mobese kayıtlarına başvurulur. Kamusal alanın güvenlik gibi amaçlarla izlenmesi, ölçüsüz işleme olmadığı sürece yasalara aykırı değildir.62 Ancak, kaydedilen mobese kayıtlarının nerede saklandığı, kimlere aktarıldığı ve bu faaliyetlerin kimler tarafından yürütüldüğü gibi hususlar önemlidir. Anlaşılacağı üzere gözetim, genellikle bireylerin kişisel verilerinin toplanması, kaydedilmesi, saklanması, değiştirilmesi, açıklanması veya diğer şekillerde kullanılması süreçlerini içerir. 6698 sayılı Kişisel Verilerin Korunması Kanunu 61  Duygu HATİPOĞLU AYDIN. Kişisel Verilerin Korunmasında Hukukun Sınırları. İzmir Barosu Dergisi 2023. s.162 62  Yasemin HAYTA. Akıllı Kent Uygulamalarında Kişisel Verilerin Gizliliği ve Güvenliği, Fırat Üniversitesi Sosyal Bilimler Dergisi (2021), s.938 GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 569 Miraç GÜR / Kişisel Verileri Koruma Uzmanı (KVKK), bu tür işlemleri “kişisel verilerin işlenmesi” olarak tanımlar ve verilerin işlenmesi için belirli hukuki dayanaklar gerektirir. Gözetim faaliyetlerinin KVKK kapsamındaki en önemli ilkelerden biri, kişisel verilerin işlenmesinin ancak “belirli, açık ve meşru amaçlar için” yapılması gerektiğidir. Ayrıca, işlenen verilerin amaca uygun, sınırlı ve ölçülü olması zorunludur. 6698 sayılı Kanunun 4 üncü maddesinin (2) numaralı fıkrasında yer alan bir diğer genel ilke ise “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesidir.63 Kişisel verilerin korunması konusunun en temel ilkelerinden olan “belirli, açık ve meşru amaçlar için” işleme ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’nde (GVKT) de önemi vurgulanmış ilkelerden olup gözetim alanında yol gösterici olmuştur. Ayrıca, kişisel verilerin toplanması ve işlenmesi süreçlerinde “veri minimizasyonu”nun sağlanması, hukuka uygunluk açısından önemli bir hususu oluşturmaktadır. Sonuç olarak gözetim teknolojilerinin kullanımıyla elde edilen kişisel verileri, öncelikle genel ilkelere göre işlenmeli; kişisel verilerin güvenliği, güçlü şifreleme yöntemleri, veri minimizasyonu, anonimleştirme ve sıkı erişim kontrolleri gibi teknikler, veri ihlallerini önlemek için sürekli güvenlik denetimleri ve siber güvenlik protokolleri ile birlikte uygulanmalıdır.64 Uygur Özerk Bölgesi’nde Uygulanan Gözetim Faaliyeti Uygur Özerk Bölgesi, Tibet Özerk Bölgesi ile birlikte Çin’in siyasi açıdan hassas bölgelerinden biri olmakla beraber son yıllarda, bölgede aşırı düzeyde güvenlik ve gözetim uygulamaları hayata geçirilmeye başlanmıştır.65 Çin hükümetinin Uygur Özerk Bölgesi’nde yürüttüğü yoğun gözetim ve veri toplama faaliyetleri, Uygur Türklerinin günlük yaşamlarını etkileyen birçok boyuta sahiptir. Bu gözetim uygulamaları, Uygurların kişisel verilerinin elde edilmesi, depolanması ve analiz edilmesini içermekte ve çeşitli etik ve hukuki tartışmalara yol açmaktadır. 63  6698 sayılı Kişisel Verilerin Korunması Kanunu, m.4. 64  Schneier BRUCE. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. New York: W.W. Norton & Company, 2015. s.231 65  Gülperi GÜNGÖR. Security And Surveillance In Xinjiang Uyghur Autonomous Region. Department of International Relations METU, 2020 s.73 570 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI Çin’in Uygur Türkleri üzerinde uyguladığı dijital gözetim, büyük ölçüde yapay zekâ, yüz tanıma sistemleri ve biyometrik veri toplama tekniklerine dayanmaktadır. Çin hükümeti, Uygur Özerk Bölgesinde geniş bir gözetim ağı kurarak bu ağda yer alan kameralar vasıtasıyla, Uygurların yüz ifadelerini, hareketlerini ve hatta duygusal tepkilerini dahi izleyebilmek için gelişmiş yüz tanıma teknolojileri kullanmaktadır.66 Bu kameralar, toplu taşıma duraklarından okullara, alışveriş merkezlerinden sokaklara kadar hemen her yerde bulunmaktadır. Ayrıca Çin, Uygur Türklerinden zorunlu olarak biyometrik veri toplamakta olup söz konusu veri toplama faaliyetleri, Uygurların DNA örnekleri, parmak izleri, kan grubu bilgileri ve göz retinası taramaları gibi birçok özel nitelikli kişisel veriyi içermektedir.67 Bu biyometrik verilerin toplanması, Çin hükümeti tarafından “bölgedeki güvenliği sağlamak” gerekçesiyle meşrulaştırılmasına rağmen bu uygulamalar Uygur Türklerinin mahremiyet haklarını ciddi şekilde ihlal etmektedir. Tüm bunların yanı sıra Uygur Türklerinin dijital yaşamları da yakından izlenmektedir. Özellikle akıllı telefonlar, Çin hükümeti tarafından gözetim amacıyla kullanılmaktadır. Çin’de geliştirilen özel bir yazılım, vatandaşlarının telefonlarına zorunlu olarak yüklenmekte olup bu yazılım cihazlardaki mesajları, fotoğrafları, tarayıcı geçmişlerini ve diğer kişisel verileri izleyebilmenin yanı sıra sosyal medya hesapları ve çevrimiçi davranışlar da sürekli olarak izlenmekte ve bu veriler olası “aykırı” davranışların tespiti için analiz edilmektedir.68 Çin hükümetinin topladığı bu kişisel veriler, Uygur Türklerinin davranışlarını analiz etmek, potansiyel “tehditleri” belirlemek amacıyla kullanılmaktadır. Veriler, Çin’in “sosyal kredi sistemi” kapsamında da kullanılmakta ve bireylerin devletle ilişkilerini şekillendirmektedir.69 Uygur Özerk Bölgesi’nde uygulanan Sosyal Kredi Sistemi (SKS), ticari bir kredi derecelendirme sistemini de içermekle beraber vatandaşların ve iş dünyasının davranışlarının düzenlenmesine hizmet etmektedir. Bu kapsamda sistem dahilinde; şirket, kuruluş ve kişilerin finansal verileri, sosyal medya 66  Paul MOZUR “One Month, 500,000 Face Scans: How China Is Using A.I. to Profile a Minority.” The New York Times. 2019, Erişim adresi: https://www.nytimes.com/2019/04/14/technology/china-surveillance- artificial-intelligence-racial-profiling.html 67  Human Rights Watch. China: Minority Region Collects DNA from Millions. (2017). Erişim adresi: https:// www.hrw.org/news/2017/12/13/china-minority-region-collects-dna-millions 68  Darren BYLER. China’s hi-tech war on its Muslim minority. The Guardian. (2018). Erişim adresi: https:// www.theguardian.com/world/2018/apr/11/chinas-hi-tech-war-on-its-muslim-minority 69  Adrian ZENZ. Beyond the Camps: Beijing’s Grand Scheme of Forced Labor, Poverty Alleviation and Social Control in Xinjiang. Jamestown Foundation. (2019). s.55 GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 571 Miraç GÜR / Kişisel Verileri Koruma Uzmanı verileri, seyahat bilgilerini de içermektedir.70 Hükümet yetkilileri tarafından ise söz konusu uygulamanın sosyal kredinin devlet işlerinde dürüstlüğün, ticari bütünlüğün, toplumsal bütünlüğün, yargısal güvenilirliğin sağlanması amacıyla ortaya çıkarıldığı ve uluslararası kredi kuruluşlarının potansiyel bir tehdit olarak görülmesi dolayısıyla alternatif bir kredi sistemi olarak hedeflendiği belirtilmektedir.71 Sistemin veri tabanında finansal kredi bilgilerinin yanı sıra vergi borcu, ödenmemiş ücretler, sosyal güvenlik ve konut garanti fonu ücretleri, telekomünikasyon harcamaları, idari cezalar ve mahkeme işlerine ilişkin borç bilgileri de yer almaktadır.72 Bu sistemde işlenen kişisel veriler doğrultusunda telefon ve tabletiyle hükümet politikalarına uygun olmayan ağlarda gereğinden fazla zaman geçiren bireylerin kredi notu düşerken puanı düşük olan kişilere uçak bileti yasağı gibi mekanizmalar da uygulanmakta olup puanı yüksek olan kişiler güvenilir olarak işaretlenmekte veya çok düşük puanı olanlar kara listeye alınmaktadır.73 Otoriteler tarafından belirli normların oluşturulması ve bu normlara göre kategorize edilmesinin kişinin davranışlarını ve disiplini kontrol ettiği yadsınamaz bir gerçektir. Bu sistem aynı zamanda, teknoloji aracılığıyla genişleyen bir güç yapısını da oluşturmaktadır. Gözetim ve profillemenin tüm toplumu kapsaması ve çeşitli alanlardaki genişlemesi, beraberinde bir güvenlik toplumunu meydana getirmektedir. Nitekim öncesinde gözetim teknolojilerine belli başlı konularda başvurulan bir yönetim anlayışından, neredeyse tüm yönetim faktörlerinde gözetime başvurulan bir anlayışa doğru kayma yaşanmaktadır. Aynı zamanda çalışanların eğitim ve çalışma geçmişi, aile geçmişi, siyasi faaliyetleri, kazanımları ve hataları gibi kişisel bilgilerinin yer aldığı bir arşiv olması dolayısıyla sisteme maruz kalan ilgili kişiler, kendilerini mağdur özneler olarak görmeye başlamaktadır.74 SKS sisteminde, güvenilmez olarak nitelendirilen, normlara uymayan kişilerin ötekileştirilmesi durumu da söz konusudur. Yani bu sistemde hükümetin 70  GÜNGÖR, a.g.e, s.74 71  “Trust And Consequences: China’s Evolving Social Credit System”, South China Morning Post Youtube Channel, February 2019. https://www.youtube.com/watch?v=MkILQ6D2m_I 72  Trust And Consequences: a.g.e. 73  Mistreanu, SIMINA. “Fears About China’s Social-Credit System Are Probably Overblown, But It Will Still Be Chilling.” The Washington Post, 2019. https://www.washingtonpost.com/opinions/2019/03/08/ fears-about-chinas-social-credit-system-areprobably-overblown-it-will-still-be-chilling/. 74  Kostka, GENIA. “China’s Social Credit Systems and Public Opinion: Explaining High Levels of Approval.” New Media & Society 21, no. 7 (2019): 1573. 572 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI onaylamadığı kültürel ve dini uygulamalara katılım nedeniyle neredeyse tüm Müslümanların düşük puanlara sahip olacağı ve bu gözetim faaliyetinden dolayı onların Uygur Özerk Bölgesi’nin dışına çıkmalarına müsaade edilmemesi söz konusudur. Ayrıca Sincan Kamu Güvenliği Bürosu tarafından 2016 yılında önleyici bir güvenlik uygulaması olarak Entegre Ortak Operasyonlar Platformu kurulmuş olup bu sistem aracılığıyla insanlar; kontrol noktaları, telefon uygulamaları ve yüz tanıma kameraları dahil olmak üzere çeşitli araçlarla gözetlenmekte, telefonları ve sosyal medya hesapları da incelenerek paylaştıkları içeriklere göre “kişinin güvenilir olup olmadığına” karar verilmektedir.75 Böylece şüpheliler “yeniden eğitim merkezleri”nde raporlanmakta ve “aşırılık karşıtlığı eğitimi”ne tabi tutulmakta olup özellikle Uygur Özerk Bölgesi’ndeki Müslümanların kişisel verileri ban-optikon tipi gözetim ile sürekli hukuka aykırı bir şekilde işlenmektedir.76 Uygurların çoğunluğunun kırsal alanlarda yaşaması, farklı kültürleri, dinleri ve Orta Asya ülkeleriyle olan bağlantıları, onları bu rekabetçi sistemde geride bırakan nedenler olup bir güvenlik aygıtı olarak görülebilecek profilleme sistemi ile herkes gözetim altında tutulmaktadır. Bundan dolayı bölgede toplumsal sorunlardan kaynaklanan gerginlik, artık ideolojik bir sorun olarak değerlendirilmemekte, yetkililer tarafından “terör ve aşırıcılıkla savaş” söylemi üzerinden ele alınmaktadır. Hükümet tarafından her türlü kişisel verileri işlenerek gözetlenen ve “normal olmadığı” iddia edilen bireyler anında yakalanarak yeniden eğitim merkezlerinde “normalleştirilmeye” çalışılmaktadır. Uygur Özerk Bölgesinde Müslümanlar üzerinde yapılan bir diğer gözetim uygulaması da hükümet yetkililerinin ve parti üyelerinin görevli kadroları tarafından yapılan ev ziyaretleri olup söz konusu proje ilk olarak 2014 yılında “Halkı Ziyaret Edin, İnsanlara Fayda Sağlayın ve Halkın Gönüllerini Bir Araya Getirin” programı kapsamında 200.000 görevlinin Uygur Özerk Bölgesi’ndeki evleri ziyaret ederek halkın sesini dinleme ve sorunları çözme amacını dile getirmesi ile başlamıştır.77 2017 yılından sonra söz konusu kampanya genişletilerek 1 milyondan fazla Çin Hükümeti görevlisi, Uygur ve Kazak ailelerin evlerinde bir 75  Human Rights Watch. “Eradicating Ideological Viruses: China’s Campaign of Repression Against Xinjiang’s Muslims.” Eylül 2018. https://www.hrw.org/report/2018/09/09/eradicatingideological-viruses/chinas- campaign-repression-against-xinjiangs#. 76  Human Rigts Watch, Eradicating a.g.e. 77  Human Rights Watch. “China: Visiting Officials Occupy Homes in Muslim Region.” Ekim 2018. https:// www.hrw.org/news/2018/05/13/china-visiting-officials-occupy-homes-muslim-region. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 573 Miraç GÜR / Kişisel Verileri Koruma Uzmanı hafta boyunca kalması ve 2018’de ise bu durumun, iki ayda bir düzenli ziyaretlere dönüşmesi ile devam etmiştir.78 Evleri ziyaret eden yetkililerin, insanların günlük yaşantı ve inançlarına ilişki bir gözetim yapmasının yanı sıra kırsalda yaşayan Uygur Türklerine Çin kültürünün öğretilmesi amacını taşımaktadır. İsrail’in Filistinlilere Uyguladığı Gözetim Uygulamaları İsrail’in Filistinliler üzerindeki gözetim uygulamaları, tarihsel, politik ve teknolojik gelişmelerle şekillenmiş bir konudur. İsrail hükümeti, Filistinlilerin hareketlerini, iletişimlerini ve günlük yaşamlarını izlemek amacıyla bir dizi gözetim teknolojisi ve stratejisi kullanmaktadır. Bu gözetim uygulamaları hem fiziksel hem de dijital alanlarda geniş bir yelpazeye yayılmaktadır. İsrail’in fiziksel gözetim teknikleri, öncelikle kontrol noktaları, devriye gezen askerler, insansız hava araçları (İHA’lar) ve yüksek teknoloji güvenlik kameraları ile sağlanmaktadır. Filistin topraklarında, özellikle Batı Şeria’da ve Doğu Kudüs’te, İsrail’in işgalci kontrol noktaları ve askeri varlığı, Filistinlilerin hareket özgürlüğünü ciddi şekilde sınırlamaktadır. Örneğin, Gazze Şeridi’nde kullanılan insansız hava araçları, hem askeri hem de gözetim amacıyla kullanılarak Gazzelilerin hareketleri sürekli olarak izlenmektedir.79 İsrail, Filistinliler üzerinde dijital gözetim uygulamaları da yürütmektedir. Bu uygulamalar arasında telefon dinlemeleri, internet izlemeleri ve sosyal medya takibi yer almaktadır. İsrail istihbarat kurumları, Filistinlilerin çevrimiçi faaliyetlerini izlemek için gelişmiş yazılımlar kullanmakta ve veri toplama işlemleri gerçekleştirmektedir. Bu kapsamda, İsrail’in Filistinli bireylerin özel mesajlarını, e-postalarını ve diğer dijital iletişim kanallarını izlemek için “Pegasus” gibi casus yazılımlar kullandığı iddia edilmiştir.80 İsrail, Filistinliler üzerinde gözetim yapmak için yapay zekâ ve yüz tanıma teknolojilerini de kullanmaktadır. İsrail Savunma Bakanlığı tarafından geliştirilen bazı sistemler, Filistinlilerin kimliklerini belirlemek ve hareketlerini izlemek için yüz tanıma teknolojilerini kullanmaktadır.81 78  Human Rights Watch, China: Visiting, a.g.e, 79  Eval WEIZMAN. Hollow Land: Israel’s Architecture of Occupation. Londra: Verso, 2017. s.39 80  Amnesty International. “Israel/OPT: Investigate NSO Group Over Unlawful Surveillance of Human Rights Defenders.” 2019. https://www.amnesty.org/en/latest/news/2019/07/israel-opt-investigate- nso-group-over-unlawful-surveillance-of-human-rights-defenders/. 81  Human Rights Watch. A Threshold Crossed: Israeli Authorities and the Crimes of Apartheid and Persecution. 2021. https://www.hrw.org/report/2021/04/27/threshold-crossed/israeli-authorities- and-crimes-apartheid-and-persecution. 574 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI İsrail’in Filistinliler üzerinde uyguladığı hukuka aykırı gözetim pratikleri, uluslararası hukuk ve insan hakları normlarına aykırı olduğu gerekçesiyle eleştirilmektedir. Birçok insan hakları örgütü, bu tür uygulamaların Filistinlilerin mahremiyet haklarını ihlal ettiğini, ayrımcılık yaptığını ve insani krizleri derinleştirdiğini savunmaktadır.82 SONUÇ Bu çalışma, gözetim teknolojilerinin kişisel verilerin korunması ve mahremiyet üzerindeki etkilerini inceleyerek, gözetim faaliyetlerinin güvenlik ve kişi hakları arasında nasıl bir denge oluşturması gerektiğini ortaya koymayı amaçlamıştır. Modern gözetim sistemlerinin kişisel verilerin korunması hususunda temel ilkelerle uyumlu bir şekilde işletilmesinin kişiler üzerinde güven duygusunu artırdığı, buna karşın bu ilkelere uyulmaksızın yapılan gözetim faaliyetlerinin, bireylerin özgürlüklerini tehdit riski taşıdığı tespit edilmiştir. Bu bağlamda kişisel veri güvenliği ve mahremiyetin korunması, gözetim faaliyetlerinin meşruiyetinin ve toplumda güvenin sağlanmasının temel dayanaklarından biri olarak ele alınmıştır. Gözetim teknolojilerinin hızlı gelişimi, bireysel mahremiyetin korunmasını her zamankinden daha önemli hale getirmiştir. Özellikle dijitalleşmenin ivme kazanmasıyla birlikte çevrimiçi izleme teknolojileri, bireylerin günlük yaşamlarına dair geniş kapsamlı veriler toplamakta ve bu verilerin işlenmesi, kişisel hak ihlallerini beraberinde getirmektedir. Araştırmada, bu teknolojilerin denetimsiz bir şekilde kullanılması halinde bireylerin mahremiyet haklarının tehdit altına girebileceği sonucuna ulaşılmıştır. Bu bağlamda, kişisel veri güvenliğinin sağlanması, yalnızca bireylerin mahremiyet haklarını korumak için değil, aynı zamanda demokratik bir toplum yapısının sürdürülebilirliği açısından da hayati bir öneme sahip olduğu kanaatine varılmıştır. Çalışmanın bir diğer önemli bulgusu, gözetim teknolojilerinin güvenlik adına kullanımının, bireylerin özgürlüklerini kısıtlayıcı bir baskı aracı haline gelebileceği riskidir. Gözetim faaliyetleri, başlangıçta güvenlik gerekçesiyle meşru görülse de bu faaliyetlerin ölçüsüz ve sınırsız bir şekilde gerçekleştirilmesinin 82  B’Tselem. The Israeli Information Center for Human Rights in the Occupied Territories. 2020. https:// www.btselem.org/. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 575 Miraç GÜR / Kişisel Verileri Koruma Uzmanı bireylerin günlük yaşamları üzerinde sürekli bir denetim hissi oluşturacağı değerlendirilmekle birlikte söz konusu durumun zamanla güvenlik toplumu kavramının ön plana çıkmasına yol açacağı düşünülmektedir. Güvenlik toplumu, bireylerin özgürlüklerinin, kamu kurumları ya da özel sektör tarafından sürekli gözetim altında tutulduğu ve bu gözetimin bireyler üzerinde bir baskı aracı olarak kullanıldığı bir toplum yapısını ifade etmesi dolayısıyla, gözetim faaliyetlerinin bu yönde evrilmesinin önlenmesi gerektiği ve bu bağlamda “ölçülülük” ilkesinin hayati önem taşıdığı sonucuna varılmıştır. Kişisel verilerin korunması, gözetim teknolojilerinin hukuki ve etik boyutlarının en kritik unsurlarından biridir. Avrupa Birliği’nin GVKT ve Türkiye’de yürürlükte olan KVKK gibi düzenlemeler, kişisel verilerin işlenmesinde uyulması gereken ilkeleri ortaya koyarak bu alanda yol gösterici olmuştur. Gözetim teknolojileri, bireylerin kimlik bilgileri, davranış kalıpları ve özel yaşamları hakkında geniş veri setleri toplayarak, bireylerin hayatlarına yönelik kapsamlı analizler yapabilmektedir. Bu durumda, kişisel verilerin toplanması ve işlenmesi süreçlerinde “amaçla sınırlılık” ve “veri minimizasyonu” ilkeleri gibi temel ilkelere riayet edilmesi gerekmektedir. Aksi takdirde, bu verilerin kötüye kullanılması riski ortaya çıkmaktadır. Özellikle kamu kurumlarının ve özel sektörün bu teknolojileri nasıl kullanmaları gerektiğine yönelik öneriler geliştirilmiş ve bu öneriler kişisel veri güvenliği bağlamında somutlaştırılmıştır. Ayrıca, çalışma bireylerin kişisel verilerinin korunmasının sadece teknik ve hukuki bir konu olmadığını, aynı zamanda toplumsal güvenin sağlanması açısından da büyük bir öneme sahip olduğunu göstermiştir. Gözetim teknolojileri son derece geniş ve sürekli gelişen bir alan olduğundan, teknolojik gelişmelerle birlikte bu alanın sürekli güncellenmesi ve yeni önlemlere başvurulması gerekmektedir. Ayrıca çevrimiçi gözetim teknolojilerinin ticari kullanımı, özellikle reklam ve pazarlama stratejilerinde kişisel verilerin işlenmesi konusu, daha fazla araştırmayı gerektiren bir alan olarak öne çıkmaktadır. Gözetim teknolojileri hızla gelişmekte olup gelecekte bu teknolojilerin kişisel verilerin korunması üzerinde daha büyük tehditler oluşturacağı öngörülmektedir. Bu bağlamda yeni gözetim teknolojilerinin gelişmesiyle birlikte mahremiyet ve kişisel verilerin korunmasına yönelik ihlaller artacağı için gözetim faaliyetlerinde 576 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI “ölçülülük” ilkesinin öncelikli bir yer tutması gerektiği düşünülmektedir. Kamu kurumları, güvenlik amaçları doğrultusunda bu teknolojileri kullanırken bireylerin haklarını gözetmeli ve özel sektör de ticari faaliyetlerinde tüketicilerin mahremiyetine saygı göstermelidir. Ayrıca teknolojik gelişmeler ışığında yeni düzenlemelerin hayata geçirilmesi ve mevcut veri koruma yasalarının sürekli güncel gelişmelere uyarlanmasını gerektirmektedir. Yapay zeka ve büyük veri gibi yeni teknolojilerin gözetim faaliyetlerinde kullanılmasının, veri güvenliği açısından meydana getireceği riskler göz önünde bulundurulmalı ve bu risklerin minimize edilmesi için politikalar geliştirilmelidir. Böylece, bireylerin mahremiyet hakları korunurken, toplumun güvenlik ihtiyaçları ve hizmet politikaları da dengeli bir şekilde karşılanabilecektir. Sonuç olarak, gözetim faaliyetlerinin hem güvenlik ihtiyaçlarını karşılayacak hem de bireylerin mahremiyet haklarını ihlal etmeyecek bir denge ile yürütülmesi gerektiği sonucuna ulaşılmıştır. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 577 Miraç GÜR / Kişisel Verileri Koruma Uzmanı KAYNAKÇA ALMEIDA, Tiago, João Fonseca, and João Jorge, “IoT-Based Solutions for Intelligent and Secure Living”, International Journal of Internet of Things and Cyber-Assurance 2, no. 1 (2019), 20-34. Amnesty International, “Israel/OPT: Investigate NSO Group Over Unlawful Surveillance of Human Rights Defenders” 2019. https://www.amnesty.org/en/ latest/news/2019/07/israel-opt-investigate-nso-group-over-unlawful-surveillance- of-human-rights-defenders/. ANDREJEVICK, Mark, “Surveillance in the Digital Enclosure”, In The SAGE Handbook of Surveillance Studies, edited by Kirstie Ball, Kevin Haggerty, and David Lyon, ss.101-110. SAGE Publications, 2012. ANDREJEVICK, Mark, iSpy: Surveillance and Power in the Interactive Era, Lawrence: University Press of Kansas, 2007. BAUMAN, Zygmunt, LYON, David, Liquid Surveillance: A Conversation, Cambridge: Polity Press, 2013. BECK, Ulrich. Risk Society: Towards a New Modernity. London: Sage Publications, 1992. BIGO, Didier, “Globalized (in)Security: The Field and the Ban-opticon”, In Terror, Insecurity and Liberty: Illiberal Practices of Liberal Regimes after 9/11, edited by Didier Bigo and Anastassia Tsoukala, 10-48. London: Routledge, 2006. BOTSMAN, Rachel, Who Can You Trust? How Technology Brought Us Together and Why It Might Drive Us Apart, PublicAffairs, 2017. BROWN, Peter, The Body and Society: Men, Women, and Sexual Renunciation in Early Christianity, New York: Columbia University Press, 1987. BRUNTON, Finn, NİSSENBAUM, Helen, Obfuscation: A User’s Guide for Privacy and Protest, The MIT Press, 2015. B’Tselem. The Israeli Information Center for Human Rights in the Occupied Territories. 2020. https://www.btselem.org/. 578 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI BYLER, Darren. China’s hi-tech war on its Muslim minority. The Guardian. (2018). Erişim adresi: https://www.theguardian.com/world/2018/apr/11/chinas- hi-tech-war-on-its-muslim-minority CASTELLS, Manuel. The Rise of the Network Society. Oxford: Blackwell, 1996. CUSTERS, Bart. Data Dilemmas in the Information Society: Introduction and Overview. Springer, 2016. ÇAHMUTOĞLU Ersin, Sosyal medya devleri İsrail’in insanlık suçunu durdurabilir mi?, Anadolu Ajansı, 2024. DE ZWART, Melissa. “Legal Risks of Big Data and Privacy in the Age of Surveillance Capitalism.” Privacy and Cybersecurity Law Report 6, no. 3 (2020): 1-5. FOUCAULT, Michel, Discipline and Punish The Birth of the Prison, Vintage Books, A Division of Random House. Inc., New York, 1995 FOUCAULT, Michel, The History of Sexuality, Volume 1: An Introduction. Pantheon Books, New York, 1978 GIDDENS, Anthony, “Risk and Responsibility”, Modern Law Review 62, no. 1 (1999): 1-10. GILLIOM, John, and MONAHAN, Torin, SuperVision: An Introduction to the Surveillance Society, Chicago: University of Chicago Press, 2013. GILLIOM, John, Overseers of the Poor: Surveillance, Resistance, and the Limits of Privacy. Chicago: University of Chicago Press, 2001. GREENWALD, Glenn. No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State. New York: Metropolitan Books, 2014. GÜNGÖR, Gülperi, “Security And Surveillance in Xinjiang Uyghur Autonomous Region”, Master’s Thesis, Middle East Technical University, Ankara, 2020. GÜR, Miraç, Kişisel Verilerin Korunması Bağlamında Akıllı Şehirler ve Veri Mahremiyeti, Yüksek Lisans Tezi, Ankara: 2024. HAGGERTY, Kevin D., and RİCHARD V. Ericson. “The Surveillant Assemblage.” British Journal of Sociology 51, no. 4 (2000): 605-622. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 579 Miraç GÜR / Kişisel Verileri Koruma Uzmanı HATİPOĞLU AYDIN, Duygu. Kişisel Verilerin Korunmasında Hukukun Sınırları. İzmir Barosu Dergisi 2023. HAYTA, Yasemin. Akıllı Kent Uygulamalarında Kişisel Verilerin Gizliliği ve Güvenliği, Fırat Üniversitesi Sosyal Bilimler Dergisi (2021). Human Rights Watch. “China: Visiting Officials Occupy Homes in Muslim Region.” Ekim 2018. https://www.hrw.org/news/2018/05/13/china-visiting- officials-occupy-homes-muslim-region. Human Rights Watch. “Eradicating Ideological Viruses: China’s Campaign of Repression Against Xinjiang’s Muslims.” Eylül 2018. https://www.hrw.org/ report/2018/09/09/eradicatingideological-viruses/chinas-campaign-repression- against-xinjiangs#. Human Rights Watch. A Threshold Crossed: Israeli Authorities and the Crimes of Apartheid and Persecution. 2021. https://www.hrw.org/report/2021/04/27/ threshold-crossed/israeli-authorities-and-crimes-apartheid-and-persecution. Human Rights Watch. China: Minority Region Collects DNA from Millions. (2017). Erişim adresi: https://www.hrw.org/news/2017/12/13/china-minority- region-collects-dna-millions HUSSAIN, Farhan, Rehan HUSSAIN, Omar Khadeer HUSSAIN, and Ekram HUSSAIN. “Cybersecurity Threats to Smart Cities and Autonomous Vehicles: Role of Machine Learning.” IEEE Communications Standards Magazine 2, no. 1 (2018): 38-46. KAYGISIZ, Ümmühan - AYDIN, Zeki, Yönetişimde Yeni Bir Ufuk Olarak Akıllı Kentler, Mehmet Akif Ersoy Üniversitesi Sosyal Bilimler Enstitüsü Dergisi.2017. KOSTKA, Genia. “China’s Social Credit Systems and Public Opinion: Explaining High Levels of Approval.” New Media & Society 21, no. 7 (2019): 1573. LUPTON, Deborah. The Quantified Self: A Sociology of Self-Tracking Cultures. Cambridge: Polity Press, 2016. LYON, David. The Culture of Surveillance: Watching as a Way of Life, Polity Press, ABD, 2018 580 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI LYON, David. The Electronic Eye: The Rise of Surveillance Society. Minneapolis: University of Minnesota Press, 1994. LYON David, Surveillance Studies: An Overview. Polity Press. ABD, 2007. MATHIESEN, Thomas. “The Viewer Society: Michel Foucault’s ‘Panopticon’ Revisited.” Theoretical Criminology 1, no. 2 (1997): 215-234. MAYER-SCHÖNBERGER, Viktor, CUKİER Kenneth, Big Data: A Revolution That Will Transform How We Live, Work, and Think. Houghton Mifflin Harcourt, 2013. MISTREANU, Simina. “Fears About China’s Social-Credit System Are Probably Overblown, But It Will Still Be Chilling.” The Washington Post, 2019. MONAHAN, Torin, “Surveillance and Inequality” Surveillance & Society 5, no. 3 (2006): 217-226. MOZUR, Paul, “One Month, 500,000 Face Scans: How China Is Using A.I. to Profile a Minority” The New York Times. 2019. PERERA, Charith, Arkady ZASLAVSKY, Peter Christen, and Dimitrios GEORGAKOPOULOS. “Context-Aware Computing for the Internet of Things: A Survey.” IEEE Communications Surveys & Tutorials 16, no. 1 (2015): 414-454. Ponemon Institute. 2018 Cost of a Data Breach Study: Global Overview. IBM Security, 2018. POSTER, Mark. The Mode of Information: Poststructuralism and Social Context. Chicago: University of Chicago Press, 1990. ROGIER Creemers, China’s social credit system: An evolving practice of control, Asian Survey, Leiden University, 2018, s.627. 626-644. SCHNEIER, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. New York: W.W. Norton & Company, 2015. SCOTT, James C. Weapons of the Weak: Everyday Forms of Peasant Resistance. Yale University Press, 1985, s.18 http://www.jstor.org/stable/j.ctt1nq836. STALLINGS, William. Cryptography and Network Security: Principles and Practice. 7th ed. Pearson, 2018. GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 581 Miraç GÜR / Kişisel Verileri Koruma Uzmanı The Guardian, Edward Snowden: the whistleblower behind the NSA surveillance revelations, 2013,https://www.theguardian.com/world/2013/jun/09/edward- snowden-nsa-whistleblower-surveillance Trust And Consequences: China’s Evolving Social Credit System”, South China Morning Post Youtube Channel, February 2019. https://www.youtube. com/watch?v=MkILQ6D2m_I VAN DIJCK, José. “Datafication, Dataism and Dataveillance: Big Data Between Scientific Paradigm and Ideology.” Surveillance & Society 12, no. 2 (2014): 197-208. VAN KRANENBURG, Rob. The Internet of Things: A Critique of Ambient Technology and the All-Seeing Network of RFID. Institute of Network Cultures, 2008. WEIZMAN, Eval. Hollow Land: Israel’s Architecture of Occupation. Londra: Verso, 2017. ZAHER Albaık, Beytülmakdis Meselesinde “İsrail” Perspektifi Karşısında Filistinlilerin Perspektifinin Desteklenmesi Konusunda Sosyal Medyanın Rolü, Beytülmakdis Araştırmaları Dergisi, Ankara, 2022, 22 (1) ZENZ, Adrian. “Thoroughly Reforming Them Towards a Healthy Heart Attitude’: China’s Political Re-Education Campaign in Xinjiang.” Central Asian Survey 38, no. 1 (2019): 102-128. ZENZ, Adrian. Beyond the Camps: Beijing’s Grand Scheme of Forced Labor, Poverty Alleviation and Social Control in Xinjiang. Jamestown Foundation. (2019). ZHANG, Lei, and YONG Zhou. “Privacy and Security Risks of Mobile Health Applications.” IEEE Security & Privacy 17, no. 6 (2019): 51-60. ZIEGELDORF, Jan Henrik, OSCAR Garcia Morchon, and KLAUS Wehrle. “Privacy in the Internet of Things: Threats and Challenges.” Security and Communication Networks 7, no. 12 (2014): 2728-2742. ZUBOFF, Shoshana. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. New York: PublicAffairs, 2019. 582 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI GÖZETİMDE KİŞİSEL VERİLERİN KORUNMASI 583 Miraç GÜR / Kişisel Verileri Koruma Uzmanı 584 KİŞİSEL VERİLERİN KORUNMASINA UZMAN BAKIŞ -2- UZMANLIK TEZLERİ DERLEME ÇALIŞMASI