Kişisel Verilerin Korunmasına Uzman Bakış: Uzmanlık Tezleri Derleme Çalışması

fark etmeksizin bütün kişi, kurum ve kuruluşların kişisel veri işleme faaliyetleri Otuz üç madde ve iki geçici maddeden oluşan KVKKn’de kişisel veri işleme faa- hakkında uygulama alanı bulacağı anlaşılmaktadır. Söz konusu maddeye ilişkin liyetlerinde gözetilmesi gereken genel ilkeler, kişisel verilerin işlenme şartları, gerekçede ise hükümde özel sektör ile kamu sektörü arasında bir ayrım gözetil- veri sorumlusunun yükümlülükleri, kişisel verisi işlenen ilgili kişilerin hak arama mediği ve KVKKn’de öngörülen usul ve esasların her iki sektörde de uygulanacağı yolları ve Kişisel Verileri Koruma Kurumu (KVK Kurumu) teşkilatı ile KVK Ku- ifade edilmiştir (Türkiye Büyük Millet Meclisi, 2016a). rumu’nun görev ve yetkileri düzenlenmiştir. Anılan konularda çerçeve nitelikli hükümleri ihtiva eden KVKKn, ülkemizde doğrudan kişisel verilerin korunması Belirtmek gerekir ki her ne kadar KVKKn’ye ilişkin tasarı Başbakanlık’ın 18 Ocak amacına yönelik, kişisel veri işleme faaliyetlerinin hukuka uygun bir şekilde ger- 2016 tarihli yazısı ile TBMM Başkanlığına arz edilmiş olsa da kişisel verilerin çekleştirilebilmesi için uyulması gereken temel usul ve esasları belirleyen ve kap- korunması alanını sektörler-üzeri bir biçimde düzenleyen genel bir kanun yapı- samı bakımından sektör ayrımı gözetmeyen mevzuat boşluğunu doldurmuştur mına yönelik çalışmalar 1989 yılına kadar uzanmaktadır (Türkiye Büyük Millet (Bilir, 2020). Muhtevasında münhasıran kişisel veri işleme faaliyetlerinde riayet Meclisi, 2016b). edilmesi gereken düzenlemelere yer verilen KVKKn ile kişisel veri işleme faali- yetlerine ilişkin maddi kurallar içeren diğer kanunlar arasındaki ilişkiyi ortaya Ülkemizde, yıllar boyunca çeşitli politika belgeleri ve planlarında bireylerin kişi- koyabilmek adına öncelikle neden KVKKn’nin yürürlüğe konulmasına ihtiyaç sel verilerinin korunmasını güvence altına almaya yönelik hukuki çerçeveyi oluş- duyulduğunun anlaşılmasının uygun olacağı ve böyle bir kanuni düzenleme ya- turma hedefine yer verilmiştir (Şişkin ve Şencan, 2019). Diğer taraftan, kişisel pılmasında etkili olan ana faktörlerin aşağıda belirtilen üç başlık altında sınıf- verilerin korunmasına ilişkin bir kanun tasarısı hazırlamak amacıyla ilk defa landırılabileceği değerlendirilmektedir (Kişisel Verileri Koruma Kurumu, 2019). 13 Eylül 1995 tarihinde bir komisyon kurulmuştur. Ancak söz konusu komisyon çalışmalarını tamamlayamamış ve 18 Eylül 2000 tarihinde ikinci bir komisyon Bireylerin Temel Hak ve Özgürlüklerine Etkin Biçimde Koruma Sağlama kurulmuştur (Başalp, 2004). Adalet Bakanlığı bünyesinde kurulan ikinci komisyo- nun çalışmaları neticesinde Avrupa Ekonomik İşbirliği ve Kalkınma Teşkilatı, Bir- Teknolojik gelişmeler sonucunda bireylere ilişkin bilgilerin daha kolay toplana- leşmiş Milletler ve Avrupa Konseyi tarafından oluşturulmuş uluslararası belgeler, bilmesi, özel hayatın gizliliği başta olmak üzere bireylerin temel hak ve özgürlük- Avrupa Birliği (AB) mevzuatı ve Almanya başta olmak üzere Avrupa ülkelerinde lerine yönelik tehditlerin farklı bir boyut kazanmasına neden olmuştur. Devletler yürürlükte bulunan ulusal düzenlemeler dikkate alınarak (Öztürk ve Çalışkan, de “insan haklarına saygılı bir toplum yaratma ideali” altında kişisel verilerin 2018) hazırlanmış bulunan Kişisel Verilerin Korunması Kanunu Tasarısı, 7 Eylül korunmasını temin edecek düzenlemeler yapmaya başlamışlardır (Tezcan, 1991). 2003 tarihinde kamuoyu ile paylaşılmış olmakla birlikte (Küzeci, 2019) Başba- Akıllı cihazların ve internet kullanımının yaygınlığı (Çekin, 2020) ile toplum nez- kanlık’ın 22 Nisan 2008 tarihli yazısı ile TBMM Başkanlığına sunulmuştur (Tür- dinde bu alanda bir düzenleme yapılmasına ihtiyacın olduğu yönündeki inanç kiye Büyük Millet Meclisi, 2008). Ne var ki söz konusu tasarı, seçimler nedeniyle ülkemizde de kişisel verilerin korunmasına ilişkin bir kanun çıkarılmasını zaruri TBMM Genel Kurulu’na sevk edilemeden kadük hale gelmiştir (Küzeci, 2019). kılmıştır (Oğuz, 2013). Bu noktada belirtilmesinde fayda görülmektedir ki “kişi- sel verilerin korunması” şeklinde formüle edilen hukuki güvence sağlama yolu Geçen zaman içerisinde Adalet Bakanlığı bünyesinde kurulan çeşitli komisyonlar ile esasen bireylerin verilerinin değil; temel hak ve özgürlüklerinin korunması tarafından kanun tasarısı hazırlama çalışmaları devam etmiş; ancak 2014 yılına temin edilmek istenmektedir (Şimşek, 2008). Nitekim KVKKn’nin 1’inci madde- kadar yeni bir tasarı TBMM Başkanlığına sunulamamıştır (Türkiye Büyük Millet sinde Kanun’un amacının kişilerin temel hak ve özgürlüklerini korumak olduğu Meclisi, 2014). Bununla birlikte, 2014 tarihli tasarıya ilişkin görüşmeler de 2008 belirtilmiştir (Çekin, 2020). tarihli tasarı gibi seçimler nedeniyle tamamlanamamış olup benzer şekilde hü- kümsüz kalmıştır (Küzeci, 2019). Ardından, bir önceki başlıkta belirtildiği üzere Bu çerçevede, Anayasa’nın 2’nci maddesinde de belirtildiği üzere insan hakları- 18 Ocak 2016 tarihinde TBMM’ye sunulan tasarı 24 Mart 2016 tarihinde kabul na saygılı bir hukuk devleti olan ülkemizde kişisel verilerin korunmasına ilişkin edilerek yasalaşmıştır. temel usul ve esasları belirlemek yoluyla bireylere güvence sağlayacak bir kanuni düzenlemenin hayata geçirilmesi her şeyden önce temel hak ve özgürlüklerin 218 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 219 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI etkin bir biçimde korunabilmesi için gerekliydi (Küzeci,2019). KVKKn’ye ilişkin riden yeni veriler üretme kapasitesinin artması, genel gerekçede de kişisel verilerin korunması insan haklarının korunması bağ- lamında ele alınmış olup ülkemizde bu alanı bütüncül olarak düzenleyen bir » Verilere erişim, paylaşım ve transferin kolaylaşması ve maliyetinin düşmesi, kanuni düzenlemenin bulunmadığına dikkat çekilmişti (Türkiye Büyük Millet Meclisi, 2016a). » Kişisel verilerin ticari işletmeler için kıymetli bir varlık ve ticari meta niteliği kazanması neticesinde özel sektör unsurlarınca yaratılan risklerin daha yaygın Kişisel Verilerin Korunmasını İsteme Hakkı ve önemli boyutlara ulaşmış olması, Teknolojik gelişmeler sonucunda ortaya çıkan yeni teknik ve teçhizatlar vasıta- » Yabancı ülke istihbarat birimlerinin, terör ve suç örgütlerinin kişisel verileri sıyla kişisel verilerin işlenebilmesi kolaylaşmış ve yaygınlaşmıştır. 20. yüzyılın ele geçirme veya bu sistemlere zarar verme yönündeki faaliyet ve saldırılarının ikinci yarısından itibaren, kişisel veri işleme faaliyetlerinin herhangi bir insan artması, müdahalesi gerekmeksizin tamamen veya kısmen otomatik yollarla gerçekleşti- rilmeye başlanmasıyla gerek kamu kurum ve kuruluşları gerek şirketler tarafın- » Banka ve kredi kartı dolandırıcılıkları başta olmak üzere, kişisel verileri hedef dan daha öncesinde görülmeyen ve her geçen gün artan miktarda kişisel veriye alan veya bunlar kullanılmak suretiyle işlenen suç olaylarının artması” erişim sağlanmaktadır (Küzeci, 2019). Bu kapsamda, devletler tarafından kamu hizmetinin etkin sunumu ve planlama gibi amaçları gerçekleştirmek üzere va- şeklinde sayılan gelişmelere dikkat çekilerek kişisel verilerin işlenmesi bağlamın- tandaşlara ilişkin bilgileri depolayan merkezi veri tabanları kurulurken (Küzeci, da bireylere yönelik tehdit boyutunun ciddiyeti vurgulanmıştır (Cumhurbaşkan- 2019); özel kuruluşlar ise iş süreçlerindeki verimliliği artırmak ve müşterilerine lığı Devlet Denetleme Kurumu, 2013, 778-779). yönelik kişiselleştirilmiş mal ve hizmet sunumu sağlamak adına sektörlere göre farklılaşan ve oldukça sofistike işleme faaliyetlerini gerçekleştirmektedir (Türkiye Bilişim teknolojilerindeki değişim ve dönüşüm sürecinin sonraki aşamalarında, Ekonomi Politikaları Araştırma Vakfı ve Bilgi Üniversitesi Bilişim ve Teknoloji daha öncesinde çoğunlukla kamu kurumlarının yönetiminde bulunan merkezi Hukuku Enstitüsü, 2014). veri tabanları üzerinden gerçekleştirilen kişisel veri işleme faaliyetlerinin daha küçük, düşük maliyetli ve kamu makamları dışında kalan özel kuruluşlar tarafın- Belirtmek gerekir ki bilişim teknolojileri alanında yaşanan bu dönüşüm sayesinde dan da temini mümkün bilgisayarlar vasıtasıyla gerçekleştirilmeye başlanmasıyla yüksek miktarda kişisel verinin elde edilip depolanmasına ilaveten bahse konu birlikte bireylerin tehdit algısı önemli boyutlara ulaşmış ve kişisel verilerin ko- veriler üzerinde karmaşık ve ileri düzey işleme tekniklerinin tatbiki ile gerçek- runması taleplerinin “yurttaşlık hakkı” bağlamında ifade edildiği yeni bir döneme leştirilen inceleme ve analizler sonucunda bireyler hakkında çok daha fazla bil- adım atılmıştır (Şimşek, 2008, 9; Küzeci, 2019). Bu kapsamda, kişisel verilerin giye sahip olunabilmektedir (Şimşek, 2008). Nitekim Cumhurbaşkanlığı Devlet korunması bağlamında teknolojinin olumsuz sonuçlarından korunma ihtiyacı Denetleme Kurulu’nun “Kişisel Verilerin Korunmasına İlişkin Ulusal ve Ulusla- (Şimşek, 2008) ile birlikte konunun özel hayatın gizliliğine ve insan haklarına rarası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması etkisi de ön plana çıkmaya başlamıştır (Küzeci, 2019). Kapsamında Gerçekleştirilen Denetim Çalışmaları”na ilişkin 27/11/2013 tarihli ve 2013/3 sayılı Denetleme Raporu’nda, Kişisel verilerin korunması hakkı ilk başlarda özel hayatın gizliliği hakkının özel bir görünümü olarak kabul edilmekle birlikte zaman içerisinde bağımsız bir hak- » “Geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi, ka dönüşmüştür (Küzeci, 2019). Söz konusu dönüşümün pozitif hukuka yansıma- ları olmuş ve Portekiz ve İspanya anayasalarında kişisel verilerin korunması hak- » Daha önce dağınık yapılarca toplanan ve birbirinden ilişkisiz şekilde tutulan kı güvence altına alınmıştır (Kama Işık, 2020). Benzer bir anlayış ülkemizde de pek çok verinin merkezi olarak bir araya getirilmesi, benimsenmiştir. 12 Eylül 2010 tarihinde yapılan halkoylaması sonucunda kabul edilen 5982 sayılı Kanun’un 2’nci maddesi ile Türkiye Cumhuriyeti Anayasası’nın » Verilerin ileri teknolojik imkânlarla ve veri eşleştirme (data matching) ve veri “A. Özel Hayatın Gizliliği” başlıklı 20’nci maddesine, madenciliği (data mining) gibi tekniklerle analize tabi tutulmak suretiyle, ve- 220 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 221 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu ileride ortaya çıkması muhtemel tehlikelere karşı Sözleşmeci taraflar arasında hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere eriş- güvenli bir ekosistem yaratmak adına hazırlanan 108 sayılı Sözleşme 28 Ocak 1981 me, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda tarihinde imzaya açılmıştır (Avrupa Konseyi, t.y.). Sözleşme, Türkiye tarafından kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda ön- imzaya açıldığı ilk gün imzalanmasına rağmen imza tarihinden otuz beş sene görülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına sonra onaylanmıştır. Sözleşme’de yer verilen ilkelerin iç hukukta uygulanması- ilişkin esas ve usuller kanunla düzenlenir.” nı sağlayacak bir kanuni düzenlemenin bulunmaması sebebiyle Sözleşme KVK- Kn’nin yürürlüğe girmesinden hemen önce onaylanarak ülkemiz bakımından Hükmü eklenerek “kişisel verilerin korunmasını isteme hakkı” anayasal güven- bağlayıcılık kazanmıştır (Küzeci, 2019). Şöyle ki, Bakanlar Kurulu’nun 29/2/2016 ceye kavuşturulmuştur. Değişikliğe ilişkin gerekçede, Anayasa’da kişisel verilerin tarihli ve 2016/8576 sayılı Kararı ile onaylanan 108 sayılı Sözleşmenin “Tarafların korunmasına ilişkin dolaylı hükümlerin bulunduğu; ancak yeterli olmadığı ifade Görevleri” başlıklı 4’üncü maddesinin birinci paragrafı uyarınca Sözleşme taraf- edilmiştir (Türkiye Büyük Millet Meclisi, 2010, 9). ları, kişisel verilerin korunmasına ilişkin olarak Sözleşme’de yer verilen temel ilkelere işlerlik kazandırmak amacıyla iç hukukunda gerekli önlemleri almak- Kişisel Verilerin İşlenmesine İlişkin Temel İlkeleri İçerir la yükümlüdür. Yani, 108 sayılı Sözleşme hükümlerinin doğrudan uygulanması Bir Düzenleme Yapılması Gereği mümkün olmayıp bir uygulama kanunu vasıtasıyla Sözleşme’nin öngördüğü dü- zenlemelerin iç hukuka aktarılması gerekmektedir (Akıllıoğlu, 2004). 108 sayılı Kişisel verilerin kullanımı sonucunda gerek kamusal gerek özel kuruluşlar tara- Sözleşme’ye ilişkin Açıklayıcı Rapor’da da Sözleşme’nin doğrudan uygulanabilir fından önemli derecede katma değer elde ediliyor olsa da kişisel verilerin ölçü- nitelikte olmadığı ve bu sebeple taraf devletlerin, veri koruma hükümlerini iç süz, ilgili kişiler bakımından öngörülebilir ve şeffaf olmayan veya ayrımcılığa yol hukuklarına dâhil etmekle yükümlü kılındıkları ifade edilmiştir (Avrupa Konseyi, açacak işleme süreçlerine konu edilmesi suretiyle istismar edilmesi ya da uygun 1981). Dolayısıyla, kişisel verilerin korunması alanındaki temel ilkeleri öngören güvenlik tedbirlerinin alınmaması sebebiyle kişisel verilere yetkisiz kişi ve kuru- bir düzenlemenin yürürlüğe konulması 108 sayılı Sözleşme uyarınca ülkemiz ta- luşların erişimi gibi riskler göz önünde bulundurulduğunda; kişisel verilerin ilgili rafından yerine getirilmesi gereken bir yükümlülüktür. kişiler bakımından güvence teşkil edecek hukuki düzenlemelere tabi olmaksızın işlenebilmesi bireyler nezdinde telafisi imkansız veya çok güç nitelikte olumsuz Diğer taraftan, dünyada kişisel verilerin korunması alanındaki düzenlemelere sonuçlar doğmasına neden olabilecektir. Bu anlamda, Anayasa’nın 20’nci madde- bakıldığında ülkeler tarafından genellikle iki farklı modelin tercih edildiği gö- sine eklenen üçüncü fıkra hükmü, ülkemizde kişisel verilerin korunması alanın- rülmektedir. Bu kapsamda, Avrupa ülkeleri genellikle kişisel verilerin hem kamu da bir miladı teşkil etse de kişisel verilerin işlenmesi bağlamında bireylere tam kurum ve kuruluşları hem de özel sektör kuruluşları tarafından toplanmasına, ve etkin koruma sağlama hususunda yeterli olmamıştır. Zira kişisel veri işleyen kullanımına ve yayılmasına ilişkin düzenlemeleri bütüncül olarak içeren genel kuruluşların faaliyetlerini belirli bir çerçevede gerçekleştirmelerini sağlamak, kapsamlı kişisel verilerin korunması yasalarını kabul etmektedirler (Banisar ve onları denetim altında tutabilmek ve ilgili kişilere etkili hak arama yolları su- Davies, 1999). Diğer taraftan, ABD’nin başını çektiği diğer bazı ülkeler ise her- nabilmek için kanun düzeyinde düzenlemelerin yapılması gerekmektedir. “So- hangi bir ayrım gözetmeksizin bütün kişisel veri işleme faaliyetlerine ilişkin usul yut” nitelikteki söz konusu temel hak ve özgürlüğün kullanılabilirliği ancak bu ve esasları tek bir mevzuat metninde düzenlemek yerine yalnızca temel hak ve yolla sağlanabilecektir (Çekin, 2020, 9). Nitekim Anayasa’nın anılan hükmünde özgürlüklere karşı önemli ölçüde tehlike oluşturduğu kanaatine varılan belli başlı de kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği işleme faaliyetlerini düzenleyen sektörel kanunları tercih etmektedirler (Tezcan, öngörülmüştür. Bu anlamda kişisel verilerin korunmasına ilişkin usul ve esasları 1991). Ayrıca, bazı ülkelerde iki model sentezlenmekte ve sektörel ihtiyaçlar dik- düzenleyen bir kanunun yürürlüğe konulması, hem kişisel verilerin korunma- kate alınarak kişisel verilerin korunması alanındaki genel kanunlar özel işleme sını isteme hakkına işlerlik kazandırabilmek için gereklilik hem de Anayasa’nın faaliyetlerini düzenleme altına alan diğer kanunlarla desteklenmektedir (Banisar mezkûr hükmü uyarınca yerine getirilmesi gereken bir yükümlülüktür. ve Davies, 1999). Bununla birlikte, Avrupa Konseyi bünyesinde kişisel verilerin otomatik yollarla Ülkemizde benimsenen sistemin gelişim sürecine bakıldığında ise KVKKn önce- işlenmesi karşısında temel hak ve özgürlüklere yönelik olarak ortaya çıkan ve sinde de kişisel verilerin korunmasına yönelik birtakım düzenlemelerin bulundu- 222 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 223 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ğu görülmektedir. Ancak ülkemiz mevzuatında dağınık halde bulunan söz konusu tildiği üzere kamu kurum ve kuruluşlarının görev ve yetkilerinin belirlendiği düzenlemelerin sınırlı uygulama alanları, büyük oranda önleyici değil telafi edici düzenlemelerde kişisel verilerin toplanmasına dayanak teşkil edecek hükümler bir niteliğe sahip olması ve kişisel verilerin korunmasına ilişkin temel ilkelerin bulunmasına karşın işleme faaliyetinin amacı ve kapsamı ile işleme faaliyetine yokluğunda öngördüğü güvencelerin tam anlamıyla uygulanamaması nedeniyle konu kişisel verilerin toplanma şekli, saklanabileceği süreler ve üçüncü kişilere etkin bir koruma sağlayamadığı ifade edilmiştir (Küzeci, 2019). Hatta bu hususa aktarılıp aktarılamayacağı gibi hususlar ile ilgili hükümlerin bulunmaması söz ilişkin olarak 2008 tarihli kişisel verilerin korunması kanunu tasarısının genel konusu kuruluşların ölçüsüz kişisel veri işleme uygulamalarını engelleyememek- gerekçesinde, teydi (Tene ve Saygın, 2011; Cumhurbaşkanlığı Devlet Denetleme Kurumu, 2013). “Kişisel verilerin korunması, çağımızda, insan hakları kavramı ve korunması bi- Bununla birlikte, KVKKn’ye ilişkin genel gerekçede de açıkça zikredildiği gibi lincinin gittikçe gelişmesine paralel olarak önemini artırmaktadır. Bu nedenle bir 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135’inci maddesinde ülkenin mevzuatında değişik düzenlemeler içinde yer alan farklı hükümlerin, bu kişisel verilerin hukuka aykırı olarak kaydedilmesi; 136’ncı maddesinde kişisel konuya özgü felsefeden yoksun olması halinde kişisel verilerin korunması konusun- verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi ve 138’inci da artan ihtiyaca cevap vermesi mümkün olmamaktadır. Bunun öncelikli sebebi, maddesinde kanunların belirlediği sürelerin geçmiş olmasına karşın kişisel veri- söz konusu hükümlerin başlı başına yetersiz olmalarından ziyade; bu hükümlerin lerin yok edilmemesi suç olarak öngörülmüşken, kişisel veri işleme faaliyetinin hukuk sisteminde yer almasının, kişisel verilerin korunması amacı ile değil, ancak hukuka uygun olarak gerçekleştirildiğinin kabulü için riayet edilmesi gereken her bir hükmün ilgili olduğu sahalarda zamanın ihtiyaçlarına cevap vermesi amacı usul ve esaslar bu alana özgü bir kanun vasıtasıyla düzenlenmediği için anılan ile düzenlenmiş olmasıdır. Bundan dolayı hemen tüm modern hukuk sistemlerinde suçlara esas teşkil eden fiillerin tespitinde zorluklar yaşanmaktaydı (Türkiye Bü- olduğu gibi, ülkemizde de kişisel verilerin korunması amacına yönelik münhasır yük Millet Meclisi, 2016a). Aynı doğrultuda, kişisel veri işleme faaliyetinde bu- bir kanunun yürürlüğe girmesi kaçınılmaz hale gelmiştir.” lunan kişi ve kuruluşlar için hukuki öngörülebilirliğin sağlanabilmesi adına da işleme faaliyetlerine ilişkin usul ve esasların belirlendiği bir kanuni düzenlemeye açıklamasına yer verilmiştir (Türkiye Büyük Millet Meclisi, 2008). Özellikle ki- ihtiyaç duyulmaktaydı (Dülger, 2019). şisel verilerin korunması hakkının anayasal güvence altına alınmasından sonra yürürlüğe konulan düzenlemelerle kişisel verilerin korunmasından ziyade dü- AB ile İlişkiler zenlemenin ilişkili olduğu alandaki işleme faaliyetlerine dayanak oluşturulmak istendiği anlaşılmaktadır (Küzeci, 2019). 10-11 Kasım 1999 tarihlerinde Helsinki’de gerçekleştirilen AB Zirvesi’nde Türki- ye’ye adaylık statüsü verilmiştir (Avrupa Birliği Başkanlığı, 2020). KVKKn genel Bahse konu düzenlemeler bankacılık, finans veya sağlık hizmetleri gibi belirli gerekçesinde AB üyelik müzakere fasıllarından dördünün doğrudan kişisel ve- alanlara yönelik sektörel işleme faaliyetleri hakkında hükümler içermekte olup rilerle ilgili olduğu belirtilmiş olup Avrupa Komişyonu’nun KVKKn yürürlüğe kişisel verilerin korunması bakımından sınırlı düzeyde güvence barındırmakta- girmeden önce ülkemiz hakkında hazırlamış olduğu 2015 tarihli raporda yer dır (Gültekin Varkonyi, 2017). Bu bağlamda, KVKKn’nin yürürlükte bulunmadığı alan “Fasıl 10: Bilgi Toplumu ve Medya”, “Fasıl 23: Yargı ve Temel Haklar”, “Fasıl dönemde kişisel veri işleme faaliyetlerine özgü kuralları bütüncül olarak öngören 24: Adalet, Özgürlük ve Güvenlik” ve “Fasıl 28: Tüketicinin ve Sağlığın Korunma- kapsamlı bir kanunun yokluğu, zaten tatmin edici bir koruma sağlayamayan sek- sı” başlıkları altında kişisel verilerin korunması hakkında kapsamlı bir çerçeve törel düzenlemelerin bütünüyle etkisiz olmasına sebep olmaktaydı (Gürsel, 2016). kanunun yokluğuna dikkat çekilmiştir (Avrupa Komisyonu, 2015). Aynı raporda Diğer bir deyişle, kişisel verilerin korunması alanı ile ilgili çok yönlü sorunları AB müktesebatı ile uyumlu bir kişisel verilerin korunması kanununun kabul edil- tam anlamıyla ele alabilecek çerçeve bir kişisel verilerin korunması yasasının mesinin, Vize Serbestisi Diyaloğu kapsamında ve ülkemiz yetkili makamları ile olmaması, konuya ilişkin mevcut düzenlemelerin uygulamasındaki belirsizlik EUROJUST (Bkz. Adalet Bakanlığı Dış İlişkiler ve Avrupa Birliği Genel Müdürlüğü, ve toplum nezdinde mahremiyet farkındalığının düşük düzeyde olması dikkate 2021) ve EUROPOL (Bkz. Avrupa Birliği Başkanlığı, 2021) arasında karşılıklı kişisel alındığında; KVKKn öncesinde kişisel verilerinin işlenmesi bağlamında bireylerin veri aktarımı yapılması suretiyle terörle mücadele başta olmak üzere adli süreçler temel hak ve özgürlüklerine yönelik sağlanan sektörel güvence mekanizmalarının ve kolluk faaliyetleri bağlamında işbirliğinin tesis edilmesini sağlayacak operas- yetersiz olduğu tespit edilebilecektir (Küzeci ve Boz, 2017). Yine, yukarıda belir- yonel anlaşmaların akdedilebilmesi için de bir gereklilik olduğu ifade edilmiştir 224 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 225 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI (Avrupa Komisyonu, 2015). Benzer şekilde KVKKn’ye ilişkin olarak TBMM Adalet kelere Avrupa pazarına erişimde veya güvenlikten kamu sağlığının korunmasına Komisyonu’nda yapılan görüşmelerde kişisel verilerin korunması hakkında bir kadar çeşitli işbirliği alanlarında imtiyaz tanımış olmaktadır (Akçalı Gür, 2020). yasanın yürürlüğe konulmasının Vize Serbestisi Diyaloğu kapsamında ülkemiz tarafından yerine getirilmesi gereken taahhütlerden biri olduğu ve bu sebeple Ülkemizde de bu farkındalıkla AB müktesebatı ile paralel şekilde kişisel verilerin çalışmaların ivedi bir biçimde tamamlanmasının önem arz ettiği ifade edilmiştir işlenmesine ilişkin temel usul ve esasları içeren müstakil bir veri koruma yasa- (Türkiye Büyük Millet Meclisi, 2016c). sı kabul edilmiş ve bu yasada yer verilen düzenlemeler hazırlanırken o sırada AB’de yürürlükte bulunan 95/46/AT sayılı Direktif esas alınmıştır (Türkiye Büyük Ayrıca ifade edilmesinde fayda görülmektedir ki sadece ülkemiz gibi adaylık sta- Millet Meclisi, 2016a). Bununla birlikte, KVKKn’nin GVKT ile uyumlaştırılması tüsüne sahip ülkeler değil ticari ilişkiler başta olmak üzere çeşitli şekillerde AB çalışmaları devam etmekte ve özel sektör temsilcileri tarafından kişisel verilerin ile etkileşime giren ülkelerin ekseriyeti, Avrupa standartları ile uyumlu kişisel korunması alanında AB mevzuatı ile tam uyumun sağlanmasının ülkemiz ve AB verilerin korunması yasaları kabul etmeye gayret etmektedir (Banisar ve Davies, arasındaki ticari ilişkilerin geliştirilebilmesi bakımından önemli bir etken olduğu 1999). AB veri koruma hukuku uyarınca kişisel verilerin üye devletlerden diğer ifade edilmektedir (Türk Sanayicileri ve İş İnsanları Derneği, 2021). devletlere veya uluslararası kuruluşlara aktarılabilmesi için ana kural aktarımın yapılacağı ülkede veya uluslararası kuruluş nezdinde yeterli düzeyde koruma sağ- Uluslararası İşbirliği ve Ekonomik Faaliyetler landığının Avrupa Komisyonu tarafından verilecek bir kararla tespit edilmesidir. ABAD’ın “Schrems” kararında 95/46/AT sayılı Direktif kapsamında bir ülke tara- KVKKn genel gerekçesinde ülkemizde kişisel verilerin korunmasına ilişkin çer- fından yeterli koruma sağlandığının kabulü için söz konusu ülkenin iç hukuku çeve bir düzenleme bulunmaması sebebiyle Dışişleri Bakanlığı ile yabancı ülke veya uluslararası yükümlülükleri vasıtasıyla, Direktif ’in sağladığı güvenceye temel makamları arasında vatandaşların askerlik, vatandaşlık, kimlik ve malvarlığı bil- olarak eşdeğer düzeyde bir güvence sağlaması gerektiği vurgulanmıştır (Avrupa gilerinin karşılıklı paylaşımı hususunda problemlerin bulunduğu belirtilmiştir Birliği Adalet Divanı, 2015). Diğer taraftan, GVKT’nin başlangıç hükümlerinin (Türkiye Büyük Millet Meclisi, 2016a). Bununla birlikte, KVKKn’nin ve 2014 tarihli 101 numaralı paragrafında, tasarının genel gerekçelerinde bulunmamakla birlikte 2008 tarihli kişisel verile- rin korunması kanunu tasarısının genel gerekçesinde yasal düzenleme yokluğu “Kişisel verilerin Birlik dışındaki ülkelere ve bu ülkelerden akışı uluslararası tica- sebebiyle kişisel verilerin etkin korunmadığı yönündeki algının adli yardımlaşma retin ve uluslararası işbirliğinin gelişebilmesi için gereklidir. Veri akışındaki artış amacıyla ve gümrük idareleri arasında gerçekleştirilecek kişisel veri aktarımlarını kişisel verilerin korunması bakımından yeni sınamaları ve endişeleri de beraberinde da engellediği dile getirilmiştir (Türkiye Büyük Millet Meclisi, 2008). Yine, Cum- getirmiştir. Ancak, aktarımın yapıldığı ülke veya uluslararası kuruluşlardan aynı ya hurbaşkanlığı Devlet Denetleme Kurulu Raporu’nda kişisel verilerin korunması- da farklı ülke veya uluslararası kuruluşlardaki veri sorumlularına ve veri işleyenlere na ilişkin hassasiyetin dünya çapındaki artışına ve bunun sonucunda veri koruma yapılacak sonraki aktarımlar dâhil olmak üzere, kişisel veriler Birlikten üçüncü düzenlemelerinin ortaya çıkışına bağlı olarak vergilendirme ile suçun önlenmesi, ülkelerdeki veri sorumlularına, veri işleyenlere veya diğer alıcılara ya da uluslara- soruşturulması ve kovuşturulması gibi alanlarda uluslararası işbirliğinin sürebil- rası kuruluşlara aktarıldığında gerçek kişilere Birlik içerisinde Tüzükle sağlanan mesi için ülkelerin benzer nitelikte güvenceleri mevzuatına kazandırmasının bir koruma sekteye uğramamalıdır.” gereklilik haline geldiği ifade edilmiştir (Cumhurbaşkanlığı Devlet Denetleme Kurulu, 2013). ifadelerine yer verilmiştir. Güçlü bürokratik altyapısı, insan haklarını korumak amacıyla katı düzenlemeler yapma yönündeki eğilimi ve büyüklüğü sebebiyle Diğer taraftan, ülkemizde kişisel verilerin korunmasına yönelik güvenceleri içerir şirketler tarafından vazgeçilmez nitelikte bir tüketici pazarına sahip olduğu da genel bir hukuki çerçevenin yokluğu ticari kuruluşlar tarafından ülkemize yapı- dikkate alındığında (Bradford, 2012); AB’nin gerek mülga 95/46/AT sayılı Direktif lacak kişisel veri aktarımlarını kısıtlamakta, söz konusu kuruluşlar bu aktarım- gerek GVKT ve ilgili diğer düzenlemeler vasıtasıyla kişisel verilerin korunması ala- ları gerçekleştirebilmek adına her bir ülkedeki yetkili otorite nezdinde izin ve/ nında “altın standart”ı belirleyerek diğer ülkelerin düzenlemelerini etkilediğini veya yetkilendirme için başvuru yapmak zorunda kalmakta ve aktarım maliyeti söyleyebilmek mümkündür (Albrecht, 2016, 288). Bu kapsamda, AB, koşulluluk artmaktadır (Türkiye Ekonomi Politikaları Araştırma Vakfı ve Bilgi Üniversitesi temelinde kendi mevzuatı ile uyumlu veri koruma düzenlemelerini kabul eden ül- Bilişim ve Teknoloji Hukuku Enstitüsü, 2014). Nitekim KVKKn genel gerekçesinde 226 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 227 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI de gerek yabancı yatırımcılar gerek diğer ülkelerde faaliyet gösteren ülkemiz eko- önceliği üst düzeyde yer alan kurala aittir. Örneğin, bir yönetmelik hükmü ile bir nomik aktörleri tarafından ülkemize kişisel veri aktarımı gerçekleştirilemediğine kanun hükmü arasında çatışma varsa uygulamada kanun hükmü esas alınacaktır ve bu durumun ülkemize yapılacak yatırımlar bakımından “caydırıcı” bir etkene (Gözler, 2017). Belirtilmesinde fayda görülmektedir ki alt düzeyde yer alan bir dönüştüğüne dikkat çekilmiştir (Türkiye Büyük Millet Meclisi, 2016a). kuralın uygulanabilmesi için söz konusu kural, normlar hiyerarşisinde kendi- sinden yalnızca bir seviye üstte bulunan kurala değil üst düzeylerde bulunan her 6698 SAYILI KANUN HÜKÜMLERİNİN DİĞER KANUN HÜKÜMLERİ bir hukuk kuralına uygun olmak zorundadır. Aksi halde alt düzeyde bulunan KARŞISINDAKİ DURUMU VE ÖNCELİKLE UYGULANMA SORUNU kural, üst kural ilkesi gereği bir üst düzeyde bulunan hukuk kuralına uygun olsa dahi daha üst düzeyde bulunan kurala aykırılık teşkil etmekte ise uygulanması

konutta yaşayan ancak aile fertlerinden sayılmayanlar bakımından istisna hükmü Planlama ve İstatistik Gibi Amaçlarla İşlenmesi geçerli olmayacaktır. Bu anlamda aile kavramına yakından bakıldığında; 6698 sayılı Kanun uyarınca; “evlilik veya kan bağına dayanan, karı, koca, çocuklar, kardeşler arasındaki ilişkilerin oluşturduğu birlik” “kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi” olarak tanımlansa da (TDK) AİHM’in içtihadında da (X, Y ve Z v. Birleşik Krallık, 1997) ifade edildiği gibi, AİHS’nin 8 inci maddesinde aile kavramı sadece evlilik halinde Kanun maddeleri uygulama alanı bulamayacaktır. Maddede örnekseyici kurumuna dayalı ailelerle sınırlı tutulmamakla birlikte, toplumun değişen yapısı bir sayım olduğundan benzer amaçlarla yapılacak diğer işleme faaliyetlerinin de dikkate alınarak başka birlikteliklerin de aile kavramına dahil edilmesi mümkün anonim hâle getirilmek şartıyla istisna kapsamında sayılabileceği anlaşılmaktadır. olabilmektedir. Bu anlamda bir ilişki biçiminin aile hayatına kavramına dâhil olup olmadığına karar verilirken, bazı etmenler göz önünde bulundurulabilir, Diğer taraftan istisna hükmünde, kişisel verilerin istatistik amacıyla işlenmesi örneğin; ilişkinin uzunluğu, çiftin birlikte yaşaması ve çocuk sahibi olarak veya durumu; resmi istatistik ve anonim hâle getirilmek şartıyla istatistik amacıyla başka şekilde kişilerin birbirlerine olan bağlılıklarını kanıtlamaları gibi etmenler işlenmesi bakımından iki ayrı şekilde karşılık bulmuştur. (Roagna, 2012, s.27). Dolayısıyla aile fertleriyle ilgili kişisel verilerin işlenmesi hu- susu değerlendirilirken somut olayın kendine özgü özellikleri de dikkate alınarak Resmi İstatistik Amacıyla Veri İşleme Hali karar verilmelidir. Bu durum ‘resmi’ yani devlet bünyesindeki kamu kurumu tarafından istatistik 6698 sayılı Kanunun referans düzenlemesi (6698 sayılı Kanunun gerekçesinde amacıyla işlenen verileri kapsamaktadır. Ülkemizde ihtiyaç duyulan alanlarda anılan düzenlemeye atıfta bulunulduğu görülmektedir. Bkz. 6698 sayılı Kanun verilerin derlenmesini, gerekli istatistiklerin oluşturulmasını, bu istatistiklerin Tasarısı Genel Gerekçe, 19. madde ve 21. madde gerekçesi) olan 95/46/AT sayılı yayımlanmasını yapmakla görevli olan Türkiye İstatistik Kurumu (TÜİK) tarafın- Yönerge’de konuya ilişkin hükme bakıldığında da “ev içi faaliyet” ifadesinin kul- dan yürütülen istatistik faaliyetleri, söz konusu istisna hükmü kapsamındadır. lanıldığı görülmektedir. Dolayısıyla söz konusu istisna hükmünün tamamen özel TÜİK’in yanı sıra Resmi İstatistik Programı’nda (Resmi İstatistik Programı; verile- alanda gerçekleşen faaliyetlerle ilgili işlemelerde kişilere gereksiz yükümlülükler rin hangi tanım, yöntem, kapsam ve sınıflama kullanılarak hangi kurum tarafın- yüklenmemesinin hedeflendiği dikkate alınarak hükmün yorumlanması daha dan, hangi sıklıkta derleneceği ve yayınlanacağı ile ilgili bilgileri kapsamaktadır. doğru bir yaklaşım olacaktır. Erişim: https://www.tuik.gov.tr/Kurumsal/Sikca_Sorulan_Sorular, 06.07.2022.) yer alan kurum ve kuruluşlar tarafından istatistik üretilip, dağıtılıp yayımlanabil- Bu anlamda, faaliyetlerin tamamen kişisel veya aynı konutta yaşayan aile üye- mektedir. Bu anlamda, “resmi istatistik”ler, TÜİK ve Programda belirtilen kurum lerine (ev halkına) ilişkin olup olmadığı somut olaylara göre değerlendirilmesi ve kuruluşlar tarafından belirlenen konularda üretilmekte ve yayımlanabilmek- gerekir. Örneğin bir kişinin ailesinin evinde güvenliğini veya sağlığını korumak tedir. Kurum ve kuruluşların, görev alanları ile ilgili resmi istatistiklere ilişkin amacıyla yerleştirdiği kamera sistemi aracılığıyla kısmen de olsa kamusal bir ala- verileri değerlendirme, derleme ve yayımlama görevi Programda yer alır. Örne- nın görüntülenmesi veya kaydedilmesi halinde özel alan dışına yöneltilme hali ğin, 2022-2026 tarihli Resmi İstatistik Programında aşağıda belirtilen kurum ve söz konusu olacağından tamamen kişisel veya aynı konutta yaşayan aile üyelerine kuruluşlar resmi istatistik oluşturmada görevleri söz konusudur: (ev halkına) ilişkin bir faaliyetin söz konusu olduğu kabul edilemeyecektir (Bkz., 262 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 263 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI • “Cumhurbaşkanlığı ve bakanlıklar ile bunların bağlı, ilgili ve ilişkili kuruluş- dahalenin söz konusu olduğunu ancak sınırlamanın 5429 sayılı Türkiye İstatistik ları, Kanunu’na dayandığını, bu anlamda Kanunun “kanunilik” ölçütünü karşıladığını ortaya koymuştur. Ek olarak anılan davada mahkeme; • Mahalli idareler ve bunların bağlı ve ilgili kuruluşları ile birlik ve şirketleri, “… somut olayda kamu makamları tarafından başvurucunun; adı, adresi, ge- • Türkiye Cumhuriyet Merkez Bankası (TCMB), Borsa İstanbul (BIST) ve üniversi- lir kaynakları, tüketim alışkanlıkları ve ekonomik durumuna yönelik kişisel teler de dahil olmak üzere, tüzel kişiliğe haiz enstitü, teşebbüs, teşekkül, birlik, verileri”nin talep edildiği ancak söz konusu eyleme dair kanuni bir dayanağın döner sermaye, fon ve sair adlarla kurulmuş olan kurum ve kuruluşlar, bulunması ve “söz konusu düzenlemelerin, kamu düzeni, ülkenin ekonomik refahı amaçlarına yönelik” olduğu diğer bir ifadeyle meşru bir amacın mevcut • Kamu kurumu niteliğindeki meslek kuruluşları.” (“Resmi İstatistik Programı”, olduğu “toplumun tüketim harcamaları ile ekonomik düzeyinin belirlenmesi 2022–2026) ve tespit edilen veriler ışığında devletin kamu güvenliği ve planlı kalkınma hususlarında ihtiyaç duyulan tedbirleri alması için hane halklarına yönelik Vurgulanması gereken bir husus 5429 sayılı Türkiye İstatistik Kanununun 6 ncı anket yapılmasının demokratik bir toplumda gerekli” olarak görülebileceği be- maddesinde yer aldığı üzere Programda yer almayan istatistikî konulardaki ku- lirtilerek “Anayasa’nın 20 inci maddesinde güvence altına alınan özel hayata rum ve kuruluşların çalışmaları ile özel hukuk tüzel kişiliğine sahip kuruluşlarca saygı hakkının ihlal edilmediğine” karar vermiştir. veya gerçek kişiler tarafından yapılan araştırma ve sayımlara ait sonuçların resmî istatistik olarak kabul edilmemesidir. Anonim Hâle Getirilmek Suretiyle Araştırma, Planlama ve İstatistik Gibi Amaç- larla Kişisel Verilerin İşlenmesi Hali Diğer taraftan istatistik oluşturmada verilerin güvenliği ve gizliliğine dair usul ve esaslar 5429 sayılı Türkiye İstatistik Kanunu’nun 12, 13 ve 14 üncü maddelerinde Araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi halinde bu düzenlenmiş olup 5429 sayılı Türkiye İstatistik Kanunu sadece Türkiye İstatistik verilerin anonim hale getirilmesi söz konusu ise işleme faaliyeti Kanundan istisna Kurumu’nu değil, Türkiye İstatistik Sistemindeki kuruluşların tamamını kapsa- tutulmuştur. maktadır. Kişisel verinin anonim hale getirilmesi, “Kişisel Verilerin Silinmesi, Yok Edilmesi Belirtmek gerekir ki, TÜİK’in ve Resmi İstatistik Programında belirtilen kamu veya Anonim Hale Getirilmesi Hakkında Yönetmelik”te “kişisel verilerin başka kurum ve kuruluşlarının yalnızca resmi istatistik kapsamındaki faaliyetleri Ka- verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek nunun 28 inci maddesi çerçevesinde istisna hükmüne tabidir. Resmi istatistik kişiyle ilişkilendirilemeyecek hale getirilmesi” olarak tanımlanmaktadır. Bununla haricindeki faaliyet konularına ilişkin olarak kişisel veri işleme faaliyetleri açı- birlikte anılan Yönetmeliğin 4 üncü maddesinde imha işlemi de “kişisel verilerin sından TÜİK ve görev alan diğer kurumlar 6698 sayılı Kanun maddelerine tabi silinmesi, yok edilmesi ve anonim hale getirilmesi” işlemi olarak tanımlanmıştır. olmaya devam edecektir. Anonim hale getirme işleminin imha olarak tanımlanma nedeni anonim verinin kişisel veri niteliğini haiz olmamasından kaynaklıdır. Dolayısıyla kişisel verinin Anayasa Mahkemesinin istatistik amacıyla veri işlemenin konu olduğu ve bu mevcut olmadığı bir durumda işleme faaliyetinin, Kanun kapsamında bulunup kapsamda Anayasaya uygunluk değerlendirmesi yaptığı kararında (AYM, 2016) bulunmadığının değerlendirmesine de gerek kalmayacağı kanaatine varılabilir. başvurucu, Türkiye İstatistik Kurumu (TÜİK) tarafından yapılan Hane Halkı Büt- çe Anketi’ne geçerli bir nedeni bulunmaksızın katılmaması nedeniyle idari para Başka bir anlatımla, anonim veri; “başından beri belirli bir kişiyle ilişkilendirilmesi cezası uygulanması sebebiyle özel hayata saygı hakkının ihlal edildiği iddiası ile söz konusu olmayan veri”yi ifade ederken, anonim hale getirilmiş veri ise “daha başvuruda bulunmuştur. 6698 sayılı Kanun başvuruya konu idari işlemin tesis öncesinde belirli bir kişiyle ilişkilendirilmiş ancak kişiyle bağlantısı kalmamış ve- edildiği tarihte henüz çıkarılmamış olması nedeniyle başvuru konusu somut olay ri”yi ifade eder (Kişisel Verileri Koruma Kurumu, 2019, s.51). açısından dikkate alınması mümkün olamamıştır. Bununla birlikte mahkeme so- mut olayda kişisel verilerin korunması hakkı ve özel hayatın gizliliği hakkına mü- Öte yandan 6698 sayılı Kanunun 7 nci maddesinin birinci fıkrasında: 264 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 265 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına “millî savunma”, “millî güvenlik”, “kamu güvenliği”, “kamu düzeni” ve “ekonomik rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel güvenlik”i sağlamak adına kişisel verilerin korunması hakkına sınırlama getiril- veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, mesinin mümkün olabileceği düzenleniyorken söz konusu maddede farklı olarak yok edilir veya anonim hâle getirilir.” sayılan mefhumların ihlal edilmemesi şartıyla belirtilen konularda gerçekleşen işleme faaliyetinin Kanun kapsamında tutulmadığı görülmektedir. Bu anlamda maddesine yer verilmektedir. Dolayısıyla anonim hale getirilme işlemi, işleme fa- kanun koyucunun kişisel verilerin korunması hakkının sınırlandırılması duru- aliyetine dayanak teşkil eden işleme şartının ortadan kalkması halinde yapılacak munda dahi sayılan durumların da ayrıca gözetilmesi yoluna gittiği anlaşılmak- işlemlerden biri olarak sayılmaktadır. tadır. Bu anlamda bir veri sorumlusu tarafından “anonim” olmaksızın araştırma, plan- Diğer taraftan madde hükmünde dikkat çeken ilk husus kişisel verilerin “sanat, lama ve istatistik gibi amaçlarla kişisel verinin toplanması/işlenmesi işlemi ger- tarih ve edebiyat veya bilimsel amaçla” işlenmesinin yanı sıra hükmün devamına çekleştirilirken 6698 sayılı Kanun hükümlerine uyulması gerekmektedir. Diğer temel bir hak olarak ifade özgürlüğü kapsamında kişisel verilerin işlenmesi ha- bir ifadeyle bu amaçlarla veri işlenirken kişisel verilerin anonim hale getirilmesi linin eklenmesidir. Esasında söz konusu maddede yalnızca ifade özgürlüğünün söz konusu değilse istisna durumu söz konusu olmadığından Kanunun 5 inci değil Anayasa’nın 27 nci maddesinde yer alan; maddesinde yer verilen işleme şartlarının mevcut olması gerekmektedir. Dola- yısıyla bahse konu amaçlarla ve Kanunda yer alan işleme şartlarına dayanarak “Herkes, bilim ve sanatı serbestçe öğrenme ve öğretme, açıklama, yayma ve bu işlenen kişisel verilerin sonradan anonim hale getirilmesi durumu söz konusu alanlarda her türlü araştırma hakkına sahiptir.” olduğunda istisna maddesi kapsamına dahil olması mümkün olmakla birlikte Kanunun diğer maddeleri uyarınca kişisel veri işleme faaliyeti sonlandırılabil- hükmü çerçevesinde anılan maddede anayasal bir hak olan “Bilim ve sanat hür- mektedir. Dolayısıyla söz konusu istisna maddesi açısından maddenin karşılık riyeti” nin de farklı ifadelerle gözetildiği görülmektedir. bulduğu alanların sınırının dar olduğu değerlendirilmesine varılabilmektedir. Benzer şekilde AİHM de bir kararında ifade özgürlüğü ile birlikte akademisyenle- Kişisel Verilerin Millî Savunmayı, Millî Güvenliği, Kamu Güvenliğini, Kamu Dü- rin çalıştıkları alan hakkındaki düşüncelerini özgür bir şekilde ifade etme özgür- zenini, Ekonomik Güvenliği, Özel Hayatın Gizliliğini veya Kişilik Haklarını İhlal lüğü ve sınırlama olmaksızın bilgi ve gerçeği yayma özgürlüğüne sahip olduğunu Etmemek ya da Suç Teşkil Etmemek Kaydıyla, Sanat, Tarih, Edebiyat veya Bilimsel belirterek bir anlamda söz konusu hakların birbiri ile ilişkisini de ortaya koymuş- Amaçlarla ya da İfade Özgürlüğü Kapsamında İşlenmesi tur. Ek olarak Mahkeme, Avrupa Konseyi Parlamenterler Meclisi’nin akademik ifade özgürlüğünün korunmasına ilişkin 1762 (2006) sayılı Tavsiye Kararına atıfta 6698 sayılı Kanun uyarınca istisna kapsamına alınan diğer bir husus “sanat, tarih, bulunarak; edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü” kapsamında kişisel verile- rin işlenmesidir. Kişisel verilerin bu amaçlarla işlenmesi hali istisna kapsamında “Araştırma ve eğitimdeki akademik özgürlük, ifade ve eylem özgürlüğünü, tutulmakla birlikte bu işleme faaliyetlerinin taşıması gereken belirli koşullar söz bilgiyi yayma özgürlüğünü ve araştırma yürütme ve bilgiyi ve gerçeği sınırlama konusudur. Bu koşullar kişisel veri işleme faaliyetinin; olmaksızın dağıtma özgürlüğünü garanti etmelidir.” “millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik değerlendirmesinde de bulunmuştur (Sorguç v. Türkiye, 2009, par. 35). güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek” Bu minvalde, 6698 sayılı Kanunun 28 inci maddesinde de kişisel verilerin korun- ması hakkı ile bilim ve sanat hürriyeti ve ifade özgürlüğünün karşı karşıya kalma kaydıyla yapılmasıdır. durumunun düzenlendiği ifade edilebilir. Dolayısıyla söz konusu temel haklar ile kişisel verilerin korunması hakkının karşı karşıya gelmesi halinde maddede 6698 sayılı Kanunun diğer maddelerinde ve kıyasen uluslararası düzenlemelerde belirtilen koşulların değerlendirilmesinin yanı sıra, söz konusu haklar arasında 266 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 267 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI hangi hakkın baskın geleceğinin belirlenmesi amacıyla bir denge testi yapılması Ekonomik Güvenlik yoluna gidilmesinin hak ihlallerinin yaşanmaması uygun olacaktır. Ekonomik güvenlik, ülkenin refahına ve ekonomik işleyişine ilişkin potansiyel Millî savunma, kamu güvenliği, millî güvenlik, kamu düzeni ve ekonomik güven- tehlikeler ve ülke ekonomisine yönelik tehditlerle ilgili bir kavramdır. Aynı za- lik kavramları açısından değerlendirme yapıldığında, 6698 sayılı Kanunun norm manda devlet güvenliğinin ve refahının bir unsuru olarak değerlendirilmektedir denetiminde bulunduğu Anayasa Mahkemesi, kararında; bu kavramlar soyut ve (Krakov, 2008, s.141-142). Örneğin AİHM’de görülen Gillow davasında (Gillow v. genel kavramlar olarak görülse de kuralın tamamen belirsiz olduğu anlamına Birleşik Krallık, 1992) dengeli bir ekonomik kalkınmanın sağlanması amacıyla gelmediği, genel ve soyut düzenlemelerin olmasının somut olayın özelliklerine devletlerin halkı bölgenin belirli sınırları içinde yerleşmesi ile sınırlı tutulması göre yorumlanabilecek çözümler getirilebilmesine de olanak sağlayabileceği ifade ihtiyacı ekonomik güvenlik amacı çerçevesinde haklı bulunmuştur. Dolayısıyla edilmiştir (AYM, E.2016/125, K. 2017/143, K.T. 28.9.2017, par. 158). Bu anlamda kentsel alanların, iş alanları ile gözetilerek nüfus yoğunluğunun buna göre dü- öncelikle maddede belirtilen amaçlarla kişisel verilerin korunması hakkının sı- zenlenmesi yönünde bir gerekçenin, ekonomik güvenlik için haklı bir gerekçe nırlandırıldığı durumlarda ayrıca ihlal edilmemesi gereken koşulların ne anlam olarak görülmesi mümkün olmuştur. ifade ettiğinin açıklığa kavuşturulması gerekmektedir. Özel Hayatın Gizliliği Milli Savunma ve Millî Güvenlik Özel hayata saygı hakkı, Anayasa’nın 20 nci maddesinde güvenceye alınmıştır. Milli güvenlik, devletin milli savunması ve tüm dış ilişkilerini de kapsamına alan Söz konusu hak kapsamında korunan hukuksal çıkardan biri kişilerin mahremi- bir kavramdır. Kavram herhangi bir yabancı devlete veya devletler topluluğuna yet hakkıdır. Ayrıca Anayasa Mahkemesinin de zaman zaman kararlarında atıf karşı savunma ve askeri üstünlüğü, dış ilişkide üstün bir konumu; dış veya iç verdiği gibi, AİHM tarafından da hiçbir zaman özel hayat kavramına dair açık, menşeli ‘düşman’ların örtülü veya açık şekilde yıkıcı eylemlerine karşı savunma net ve belirli bir tanım getirilmemiştir (Örnek AYM Kararı için bkz. AYM, 2022). durumu/duruşu olarak tanımlanabilir (Amerika Birleşik Devletleri Savunma Ba- Mahkemeye göre özel hayat ayrıntılı bir tanımla açıklanamayacak bir kavram- kanlığı, 2001, s.361). Örneğin hükümetin yıkılması veya demokratik düzene karşı dır. Özel hayat kavramına ilişkin açık olansa her bireyin özgür şekilde kişiliğini saldırılar gibi tehlikelerden korunmayla ilgilidir (Roagna, 2012, s.42). Bu kavram- oluşturduğu ve geliştirdiği, diğer insanlarla ve dış dünya ile ilişkiyi içine alan ve lar AİHM tarafından da bir kişi hakkında gizli bilgi toplanması ve casuslukla ilgili ‘mahremiyet’ten daha geniş bir kavram olduğudur (Roagna, 2012, s. 12). AİHS’nin birkaç davada da esas alınmıştır (Örnek kararlar için bkz. Klass v. Almanya, 1993; 8 inci maddesinin ilk fıkrasında; Leander v. İsveç, 1987). “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hak- Kamu Güvenliği ve Kamu Düzeni kına sahiptir.” Kamu güvenliği ve kamu düzeni kavramları nadiren tek başına değerlendirilmek- hükmü yer alır. Bu anlamda özel hayat kavramı aile hayatı, konut dokunulmazlığı tedir. Bu kavramlar tek başına değerlendirildiğinde dahi AİHM bu amaçlarla bera- ve haberleşme hürriyeti olmak üzere başlıca üç konuyu içermektedir. Anayasa’nın ber suçun önlenmesi, milli güvenlik veya düzenin korunması gibi diğer sebeplere yapısı dikkate alındığında da benzer bir yaklaşımın söz konusu olduğu görülmek- de dayanma eğiliminde olmaktadır (Roagna, 2012, s.42). Güvenlik kavramı ayrıca tedir. (Anayasanın “IV.Özel hayatın gizliliği ve korunması” başlıklı bölümünde iç güvenlik ve kamu düzeni kavramları baz alınarak değerlendirilmektedir. Kamu “A.Özel hayatın gizliliği”, “B. Konut dokunulmazlığı”, “C. Haberleşme hürriyeti” düzeni; toplumsal düzeni ifade etmektedir. Dirlik, güvenlik, esenlik ve sağlık da temel haklarına yer verilmiştir.) kamu düzeninin temelleri olarak kabul edilir ve toplumsal barışın bozulmadığı bir durum olarak tanımlanabilir. Kişisel verilerin korunması hakkı Anayasa’nın “Özel hayatın gizliliği” başlıklı 20 nci maddesinde düzenlendiği dikkate alındığında söz konusu hak, özel hayatın gizliliği hakkının özel bir şekli olarak kişisel verilerin işlenmesi esnasında ger- çek kişilerin hak ve özgürlüklerini korumayı amaçlamaktadır. Dolayısıyla kişisel 268 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 269 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI verilerin korunması hakkı, “özel hayatın gizliliği hakkının özel bir alt görünümü kavramlarından biridir. Yapılan bir haksızlığın suç olup olmadığı her somut ola- olduğu” şeklinde ifade edilebilir. Bu minvalde özel hayatın gizliliğini ihlal eden ya ilişkin ilgili kanunda belirtilen unsurları taşıyıp taşımadığına göre belirlenir. her durum, kişisel verilerin korunması hakkını ihlal etmese de kişisel verilere Kişisel verilerin tarih, edebiyat, sanat veya bilimsel amaçla ya da ifade özgürlüğü ilişkin bir ihlalin özel hayatın gizliliği hakkını ihlal etmeme durumu pek olası çerçevesinde işlenmesi halinde bu durumun 6698 sayılı Kanundan istisna sayılan görünmemektedir. Benzer şekilde AİHM de kararlarında bir gerçek kişinin kişisel hallerden biri olması için bu işleme faaliyetinin kanun uyarınca bir suç teşkil verilerinin işlenmesi ve saklanması durumunun özel hayatın gizliliği hakkına etmemesi de gerekmektedir. müdahale teşkil ettiğini belirtmiştir. Dolayısıyla ‘kişisel verilerin işlenmesi ha- linde’ üst başlık olarak ‘ilgili kişilerin özel hayatın gizliliği hakkına müdahale’ Sanat, Tarih, Edebiyat veya Bilimsel Amaç Kapsamında teşkil ettiğini ifade etmek yanlış olmayacaktır (Benzer değerlendirmeler için bkz. Kişisel Verilerin İşlenmesi AİHM, S. and Marper v. Birleşik Krallık, 2008, par. 67; Leander v. İsveç, 1987, par. 48 ve ABAD, Birleştirilmiş davalar C-293/12 ve C-594/12, Digital Rights Ireland, İstisna hükmü gereğince yukarıda incelenen koşulların ihlal edilmemesi şartıy- par. 34-36; Ayrıca bkz. Birleştirilmiş davalar C-92/09 ve C-93/09 Volker und Mar- la tarih, sanat, edebiyat veya bilimsel amaçla veya ifade özgürlüğü kapsamında kus Schecke, 2010, par. 58). kişisel verilerin işlenmesi durumunda kanun maddeleri uygulama alanı bulama- yacaktır. Bilindiği üzere Anayasa’nın 27 nci maddesinde bilim ve sanat hürriyeti Bu anlamda 6698 sayılı Kanunun 28 nci maddesinde özel hayatın gizliliğini ihlal düzenlenmiş olup herkesin; etmemek kaydıyla, başkalarının bilim ve sanat özgürlüğü çerçevesinde belirti- len amaçlarla ve ifade özgürlüğü kapsamında kişisel verilerin işlenmesi durumu “bilim ve sanatı serbestçe öğrenme ve öğretme, açıklama, yayma ve bu alanlar- sorgulanırken somut olayın dinamiklerine göre bir sonuca ulaşılması gerekir. da her türlü araştırma hakkına” Anılan maddede ‘ihlal etmemek kaydıyla’ ifadesi kullanılsa da örneğin ifade öz- gürlüğü ile özel hayatın gizliliği hakkının karşı karşıya gelmesi halinde GVKT’de- sahip olduğu belirtilmiştir. ki düzenlemeye paralel şekilde iki hak arasında denge testi yapılması yolu ile bir kanaate varmak daha uygun bir yaklaşım olacaktır. Nitekim Kişisel Verileri Sanat, tarih ve edebiyat kapsamında kişisel verilerin işlenmesi halinin somut an- Koruma Kurulu’nun da denge testi yapılması suretiyle kanaate vardığı kararları lamda karşılığı araştırıldığında öncelikle bu alanların hayatta karşılığını bulan mevcuttur (Kurulun 22/05/2020 tarihli ve 2020/414 sayılı ve 02/12/2021 tarihli “şey” lere değinmek gerekir. 5846 sayılı Fikir ve Sanat Eserleri Kanununun 2 nci ve 2021/1217 sayılı Kararı). ve devam eden maddelerinde fikir ve sanat eserleri çeşitleri tanımlanmaktadır. İlk olarak “İlim ve edebiyat eserleri” tanımlanmış olup maddede; Kişilik Haklarını İhlal Etmemek “Herhangi bir şekilde dil ve yazı ile ifade olunan eserler ve her biçim altında Kişilik hakkı, kişinin, beden bütünlüğü, yaşamı, kişiliğini oluşturan maddi ve ifade edilen bilgisayar programları ve bir sonraki aşamada program sonucu manevi değerleri, sözü, fotoğrafı, adı, eseri diğer bir ifadeyle kişiliğini serbestçe doğurması koşuluyla bunların hazırlık tasarımları oluşturmasını sağlayan öğelerin tümü üzerindeki hakkıdır (Serozan, 2011, s.93). Kişilik hakları, kişiye sıkı sıkıya bağlı haklardan olup bu haklardan vazgeçilmesi Her nevi rakıslar, yazılı koreografi eserleri, Pandomimalar ve buna benzer ya da hakların devredilmesi mümkün değildir. Kişisel verilerin sanat, tarih, edebi- sözsüz sahne eserleri Bedii vasfı bulunmayan her nevi teknik ve ilmi mahiyet- yat veya bilimsel amaçlarla ya da ifade özgürlüğü çerçevesinde işlenmesi halinde te fotoğraf eserleriyle, her nevi haritalar, planlar, projeler, krokiler, resimler, somut olayın koşulları göz önünde bulundurularak yine denge testi yapılması coğrafya ve topoğrafyaya ait maket ve benzerleri, her çeşit mimarlık ve şehir- suretiyle sonuca ulaşılması uygun olacaktır. cilik tasarım ve projeleri, mimari maketler, endüstri, çevre ve sahne tasarım ve projeleri” Suç Teşkil Etmemek olarak sıralanmaktadır. İkinci olarak “Musiki eserler” sayılmış olup bunlar da “her Suç, karşılığında ceza veya güvenlik tedbiri yaptırımı olan ceza hukukunun temel nevi sözlü ve sözsüz besteler” olarak tanımlanmıştır. Üçüncü olarak “Güzel sanat 270 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 271 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI eserleri” belirtilmiş olup bunlar da estetik değere sahip olmak kaydıyla; almaması gerektiğine kanaat getirerek özel hayatın gizliliğinin ihlal edildiği tes- pitinde bulunmuştur (Yargıtay Hukuk Genel Kurulu, 2015). “Yağlı ve suluboya tablolar; her türlü resimler, desenler, pasteller, gravürler, güzel yazılar ve tezhipler, kazıma, oyma, kakma veya benzeri usullerle ma- Diğer taraftan sanat, tarih ve edebiyat amacıyla veri işleme halinin yanı sıra bilim- den, taş, ağaç veya diğer maddelerle çizilen veya tespit edilen eserler, kaligrafi, sel amaçla veri işleme durumunun da açıklığa kavuşturulması gerekmektedir. Söz serigrafi, Heykeller, kabartmalar ve oymalar, Mimarlık eserleri, El işleri ve konusu madde hükmünde, bilimsel amaçtan kastedilenin bilimsel araştırma olup küçük sanat eserleri, minyatürler ve süsleme sanatı ürünleri ile tekstil, moda olmadığı veya araştırma kapsamında olmayan ancak bilimsel bir amaç güden her tasarımları, Fotografik eserler ve slaytlar, Grafik eserler, Karikatür eserleri, durumun istisna hükmü kapsamına girip girmediği, bilimsel amaçla veri işleyen Her türlü tiplemeler” kimselerin akademik araştırmacı, kâr amacı güden veya gütmeyen kuruluşlar veya devlet kurumları olup olmayacağı veya bilimsel amacın fen bilimleri veya beşeri şeklinde sıralanmıştır. Son olarak ise “Sinema eserleri” ne yer verilmiştir. bilimleri kapsayıp kapsamayacağı soruları ile karşı karşıya kalınmaktadır. Çoğu zaman sosyal bilimler ile fen bilimleri, ilim, bilim ve fen gibi çeşitli kavramların Diğer taraftan ülkemizin 07.07.1995 tarihli ve 4117 sayılı Kanun ile en son haline varlığı ile bilimin tanımı noktasında kavram kargaşası nedeniyle birçok soruya taraf olunan Edebiyat ve Sanat Eserlerinin Korunmasına İlişkin Bern Sözleşme- net bir cevap verilememesi sonucunu da doğmaktadır. Dolayısıyla bu kavramlar sinin 2 nci maddesinde “Edebiyat ve Sanat Eserleri” deyimi; arasında net bir kanaate varmak için bilimin evrensel özelliği dikkate alınarak, modern dünyada yer alan kullanım ile tutarlı bir şekilde ve bilgi felsefesi de göz “ifade şekli ne olursa olsun, edebiyat, bilim ve sanat alanındaki kitaplar, dergiler önünde tutulmalıdır (Çengel, 2012, s.56). ve diğer yazılar; konferanslar, nutuklar, vaazlar ve benzer nitelikteki diğer eserler; dramatik eserler veya dramatik-müzik eserleri; koreografik eserler ve pandomima Madde bu açıdan bir veri sorumlusunun sadece bilimsel bir amaçla kişisel veri gösterileri; sözlü veya sözsüz müzikal kompozisyonları, sinema tekniğine benzer işlediği iddiası karşısında yapılacak değerlendirmenin nasıl olacağına ilişkin bir yöntemle ifade edilen sinematografik eserler; çizim, sulu ve yağlı boya resim, bir açıklama içermemektedir. Bu açıdan değerlendirildiğinde, istisna maddeleri mimarlık, heykel traşlık, oymacılık ve taş basma eserler, fotoğraf tekniğine benzer arasında bulunması nedeniyle kişisel verilerin korunmasına ilişkin 6698 sayılı bir yöntemle ifade edilen fotoğraf eserleri; uygulamalı sanat eserleri; resimlendir- Kanunda yer alan hak ve yükümlülüklerin sağlanmaması durumu karşısında, meler, haritalar, planlar, krokiler ve coğrafya, topografya, mimari veya bilimsel maddede “bilimsel amaçla veri işlenmesi” ifadesi sınırları belirli olmayan, genel üç boyutlu eserler gibi bütün ürünler” ve belirsiz bir ifade olarak değerlendirildiğinde ilgili kişiler açısından öngörüle- meyen sonuçlar doğurabilecektir. Dolayısıyla uluslararası düzenlemeler de dik- şeklinde belirtilmiştir. kate alınarak somut olay bazında yapılacak değerlendirmelerde esas alınabilecek ölçütlerin ortaya konulması gerekir. Bu çerçevede 6698 sayılı Kanun lafzı olarak tanımlandığında söz konusu eser- lerde belirtilen koşulları ihlal etmemek kaydıyla kişisel verilerin işlenmesi du- Araştırma veya bilimsel araştırmanın evrensel olarak kabul edilmiş bir tanımı söz rumunda 6698 sayılı Kanun maddeleri uygulanmayacaktır. Ancak özel hayatın konusu değildir. Ancak araştırmanın; bilgi stokunu artıran verilerin toplanması gizliliği hakkı ile madde hükmünde düzenlenen bilim ve sanat özgürlüğünün ve analizi de dahil olmak üzere sistematik bir faaliyeti ifade ettiği söylenebilir. karşı karşıya gelmesi halinde denge testi yapılması uygun olacaktır. Benzer şekilde Bilimsel araştırma ise fikir, bilgi ve bilgi alışverişine dayanır. Olayları gözlemleme, kişinin ad ve soyadının maskelenmeden kitapta yer verilmesine ilişkin Yargıtay bu olaylar hakkında bir hipotez elde etme ve hipotezin geçerliliği konusunda Hukuk Genel Kurulu, bilim ve sanat özgürlüğü ile özel hayatın gizliliği ve kişisel sonuca varma yöntemi de bilimsel araştırmanın yöntemidir. Aynı zamanda araş- verilerin korunması hakkının alt başlığı olarak değerlendirilen unutulma hakkı tırmanın yürütülmesi esnasında açıklık ve şeffaflık olması bilim ile sözde bilim arasında denge testi yapılması yoluna gitmiştir. Mahkeme, Avrupa Birliği Adalet arasında ayrım yapılmasına da yardımcı olur (Avrupa Veri Koruma Denetmeni, Divanı’nın “Google Kararı”na da atıfta bulunarak kişisel verinin eserde yer al- 2020, s. 9-10). Dolayısıyla hükmün sınırlarının bu doğrultuda açıklığa kavuştu- masında üstün bir kamu yararı olduğunu gösteren özel sebepler bulunmaması rulması yerinde olacaktır. nedeniyle bilimsel esere alınan belgelerde kişisel verilerin açık bir şekilde yer 272 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 273 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Avrupa Veri Koruma Denetmeni (EDPS), bilimsel araştırmalarda kişisel verilere 2) Bilgilendirilmiş onay, hesap verebilirlik ve gözetim kavramları da dahil olmak ilişkin görüşünde AB’nin 2019/790 sayılı Telif Hakkı Direktifine atıfta bulunarak üzere ilgili sektörel metodoloji ve etik standartlar geçerli olmalıdır. bilimsel araştırmanın hem doğa bilimlerini hem de insan bilimlerini kapsar şe- kilde ele alındığını ve ticari faaliyet güden kuruluşlar ile diğer kuruluşlar açısın- 3) Araştırma, özel çıkara hizmet etmek yerine, toplumun kolektif bilgisini ve re- dan bir ayrım yapıldığını belirtir. Direktifte bilimsel araştırma yapan üniversite, fahını artırmak amacıyla yürütülmelidir. araştırma enstitüsü, hastane gibi araştırma kuruluşlarının çeşitliliği dikkate alın- dığında söz konusu kuruluşlara karşı ortak bir anlayışa sahip olmanın önemine şeklinde belirtilmiştir (Avrupa Veri Koruma Denetmeni, 2020, s. 11-12). dikkat çekilir (AB 2019/790 sayılı Telif Hakkı Direktifi, Giriş kısmı, par. 12). Bu anlamda farklı yasal yapılarına rağmen AB üyesi devletlerdeki araştırma kuruluş- Diğer taraftan belirtmek gerekir ki, GVKT’ye göre kişisel verilerin korunması açı- larının genel olarak, kar amacı gütmeyen bir temelde ya da Devlet tarafından ta- sından gereklilik ve orantılılık ilkeleri çerçevesinde ve veri minimizasyonu ilkesine nınan bir kamu yararı misyonu bağlamında hareket etmesi ortak bir ölçüt olarak uyulması adına, kişisel verileri işlemeden önce bilimsel araştırma yapan kişiler araş- kabul edilmiştir. Bu minvalde yalnızca ticari teşebbüs amacı güden araştırmalar tırmanın veri işlemeden mümkün olup olmadığını da ayrıca değerlendirmelidir. Direktifin amaçları doğrultusundaki araştırma olarak kabul edilmemiştir (Avru- pa Veri Koruma Denetmeni, 2020, s. 10). Bu anlamda 6698 sayılı Kanun kapsamında bilimsel amaçla kişisel verilerin iş- lenmesi açısından değerlendirme yapılırken yukarıda yer verilen kriterlerin gö- Bilimsel araştırmanın toplum için yararlı olduğu ve bilimsel bilginin desteklen- zetilmesi uygun olacaktır. Örneğin üniversite bünyesinde akademik araştırma mesi gerektiği yaygın bir varsayımdır. Ancak bir faaliyetin araştırma olarak kabul çerçevesinde kişisel verilerin işlenmesi durumunda çalışmanın “konuya özgü” edilmesi tamamen sorumsuz bir şekilde kişisel veri işlenmesine dair bir yetki düzenlenmiş olan Yükseköğretim Kurumları Bilimsel Araştırma ve Yayın Etiği verildiği anlamına da gelmemektedir. Dolayısıyla bir veri sorumlusunun sadece Yönergesi çerçevesinde bir çalışma olup olmadığı değerlendirilmelidir. bilimsel araştırma amacıyla kişisel veri işlediği iddiasında bulunması bu kapsama dahil edilmesi için yeterli olmamalıdır. (Giovanni Buttarelli, 2018, s.2). İfade Özgürlüğü Kapsamında Kişisel Verilerin İşlenmesi GVKT resital 157 de araştırmanın rolü, “birkaç insanın yaşam kalitesini iyileştirebi- İstisna hükmünde sanat, tarih, edebiyat ve bilimsel amaçlar kapsamında verilerin lecek ve sosyal hizmetlerin verimliliğini artırabilecek” bilgilerin sağlanması olarak işlenmesi düzenlenirken bunlara ek olarak ifade özgürlüğü yani temel bir hak belirtilmiştir. Dolayısıyla GVKT teknolojik gelişme, temel ve uygulamalı araştırma ve özgürlük kapsamında kişisel veri işlenmesi hali de belirtilmiştir. Dolayısıyla ve özel olarak finanse edilen araştırma ve “halk sağlığı alanında kamu yararına maddede bilim ve sanat özgürlüğünün yanı sıra kişisel verilerin korunması hakkı yürütülen çalışmalar” da dahil olmak üzere geniş bir araştırma anlayışını kabul ile ifade özgürlüğü hakkının da karşı karşıya gelmesi halinin düzenlendiği yoru- etmektedir. munda bulunulabilir. 29. Madde Çalışma Grubu da rızaya ilişkin görüşünde bilimsel araştırmayı “ilgili İfade özgürlüğü Anayasa’nın “Düşünceyi açıklama ve yayma hürriyeti” başlıklı 26 metodolojik ve etik standartlara uygun olarak oluşturulmuş bir araştırma projesi” ncı maddesi uyarınca düşünceyi açıklama ve yayma özgürlüğü, yalnızca “düşünce olarak tanımlamıştır (29. Madde Çalışma Grubu, 2020, s. 27-30). Ayrıca EDPS de ve kanaate sahip olma”yı değil, sahip olunan “düşünce ve görüşü açıklama ve yay- bu yaklaşıma atıfta bulunarak yalnızca yerleşik bir etik çerçeve içinde gerçekleş- ma”, buna bağlı olarak “haber veya görüş alma ve verme” özgürlüklerini de kap- tirilen bilimsel araştırmaların özel veri koruma rejimine giren faaliyetler olarak samaktadır. Bu çerçevede, AYM’nin de kararlarında vurguladığı gibi “düşünceyi nitelendirmiştir. Bu nedenle, bilimsel araştırmalar için özel veri koruma rejimi- açıklama ve yayma özgürlüğü”, bireylerin serbest bir şekilde; nin üç kriterin her birinin sağlanması durumunda uygulanacağı belirtilmiştir. “haberlere, bilgilere, başkalarının düşüncelerine ulaşabilmesi”, “edindiği dü- Söz konusu üç kriter: şünce ve kanaatlerden dolayı kınanmaması ve bunları yalnız veya başkalarıyla birlikte çeşitli yöntemlerle serbestçe ifade edebilmesi, anlatabilmesi, savuna- 1) Kişisel veriler işlenir. bilmesi ve yayabilmesi” 274 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 275 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI anlamına da gelmektedir (AYM, 2014 (c), par. 40 ve AYM, 2004 par. 29). i. “Yayında kamu yararı bulunup bulunmadığı, genel yarara ilişkin bir tartışma- ya katkı sağlayıp sağlamadığı, Diğer taraftan bilim ve sanat özgürlüğü ile de bağlantılı olarak AİHM, akademis- yenlerin çalıştıkları alan hakkındaki düşüncelerini özgürce ifade etme özgürlü- ii. Toplumsal ilginin varlığı ve konunun güncel olup olmadığı, ğüne ve sınırlama olmaksızın bilgi ve gerçeği yayma özgürlüğüne sahip olduğunu belirtmiştir. Aynı zamanda Mahkeme, Avrupa Konseyi Parlamenterler Meclisi’nin iii. Haber veya makalenin yayımlanma şartları, akademik ifade özgürlüğünün korunmasına ilişkin 1762 (2006) sayılı Tavsiye Ka- rarına atıfta bulunarak; iv. Haber veya makalenin konusu, bunlarda kullanılan ifadelerin türü, yayının içeriği, şekli ve sonuçları, “Araştırma ve eğitimdeki akademik özgürlük, ifade ve eylem özgürlüğünü, bil- giyi yayma özgürlüğünü ve araştırma yürütme ve bilgiyi ve gerçeği sınırlama v. Habere yönelik sınırlamaların niteliği ve kapsamı, olmaksızın dağıtma özgürlüğünü garanti etmelidir.” vi. Haberde yer alan ifadelerin kim tarafından dile getirildiği, değerlendirmesinde bulunmuştur (Sorguç v.Türkiye, 2009, par. 35). vii. Hedef alınan kişinin kim olduğu, ünlülük derecesi ile ilgili kişinin önceki dav- AİHM kararlarında, ifade özgürlüğünün; ranışları, “toplumun ilerlemesi ve her insanın gelişmesi için esaslı koşullardan biri olan viii. Kamuoyu ile diğer kişilerin kullanılan ifadeler karşısında sahip oldukları hak- demokratik toplumun asıl temellerinden birini” ların ağırlığı.” oluşturduğuna dikkat çekmektedir. AİHM’e göre ifade özgürlüğü, yalnızca lehte (AYM, 2019, par. 33; AYM, 2004, par. 41; AYM, 2015 (a), par. 56; AYM, 2015 (b), par. ya da zararsız ya da gereksiz olarak nitelenen bilgi veya fikirler için değil, devletin 58-66; AYM, 2014 (d), par. 66-73). veya kamunun bir bölümü için rahatsız edici, şok edici hatta saldırgan düşün- celer için de uygulanmaktadır. Bunlar, demokratik toplum için hoşgörünün, ço- Temel hak ve özgürlüklerin ihtilafı durumunda hak ve özgürlükler arasında uy- ğulculuğun ve açık fikirliliğin gerekleridir (AİHM, Handyside v. Birleşik Krallık, gun bir dengenin kurularak muhtemel olduğu ölçüde her iki özgürlüğün de gö- 1976, par. 49). zetildiği bir yöntemin benimsenmesi gerekir. Dolayısıyla iki hakkın karşı karşıya kalması durumunda bu haklar arasında denge testi yapılması yoluna gidilmesi İfade özgürlüğüne ilişkin sınırlamalara ilişkin kamu makamları bir ölçüde takdir gerekecektir. yetkisine sahiptir. Ancak bu takdir yetkisi Anayasa Mahkemesinin denetimine de tabi olup hakkın özüne dokunmama, demokratik toplumun gereklerine uy- Bu anlamda yukarıda yer verilen kriterlerin ve Anayasanın 13 üncü maddesi ge- gunluk ve ölçülülük kriterleri çerçevesinde denetleme yapmaktadır. AYM yaptığı reğince hakkın özüne dokunmama, demokratik toplum düzeninin gereklilikleri denetimde genel veya soyut bir değerlendirmeden ziyade ifadenin türü, şekli, ve ölçülülük ilkesi de göz önünde bulundurularak somut olayın koşullarına göre içeriği, açıklandığı an ve sınırlama nedenlerinin niteliği gibi çeşitli hususlara göre kişisel verilerin korunması hakkı ile ifade özgürlüğü arasında makul bir dengenin farklılaşan ayrıntılı bir değerlendirme yapma yoluna gitmektedir (AYM, 2004 par. gözetilmesi dolayısıyla somut değerlendirmeler kapsamında hakkın sınırlandı- 33; AYM, 2014 (c), par.48). rılması yoluna gidilmesi gerekir. Örneğin; basın özgürlüğü ile davacının kişilik hakları arasında bir ihtilaf meyda- Örneğin soruşturma çerçevesinde kayıt altına alına alınmış olan telefon görüş- na gelmesi durumunda çatışan söz konusu haklar arasında denge yapılması için melerinin basına verilmesi ve bu görüşmelerin birçok gazetede yayımlanması başvurunun koşullarına ve bütünselliğine göre olaya uygulanabilecek kriterlerin sonucunda haberleşme hürriyeti ve özel hayatın gizliliği hakkının ihlal edildi- bazıları şu şekilde sayılmıştır: ğine yönelik Anayasa Mahkemesine gelen, bir başvuruda (AYM, 2015 (c), par. 70) 276 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 277 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI özel hayatın gizliğinin bir parçası olan kişisel verilerin korunması hakkı ile ifade Kişisel Verileri Koruma Kuruluna (Kurul) intikal eden şikayetlerde de Kurulun özgürlüğünün bir görünümü olan basın özgürlüğü karşı karşıya gelmiştir. AYM iki hakkın karşı karşıya gelmesi halinde somut olayın özelliklerine göre denge değerlendirmesinde; kişinin soruşturma aşamasında haberleşme hürriyetine ge- testi yaparak kanaate vardığı görülmektedir. Örneğin ifade özgürlüğü ile kişisel tirilen sınırlamaları kanunilik, demokratik toplumun gerekleri ve hakkın özüne verilerin korunması hakkının karşı karşıya geldiği durumlara ilişkin olarak Ku- dokunulması açısından değerlendirmiş ve esas yönünden aykırılık bulmamıştır. rul, aldığı Kararlarda; Ancak pozitif yükümlülüğü gereğince kamu makamlarının kişisel veriler ile gizli olması gereken haberleşme kayıtlarının açık edilmesini önlemek için ve haber- “ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları leşmenin gizliliği hakkının etkili bir şekilde korunmasını sağlamak için gerekli karşı karşıya geldiğinde haberin; a) Kamu ilgi ve yararı taşıması, b) Gerçek hukuki düzenlemelerin yapılması, organizasyonun kurulması, personelin bu ve güncel olması, c) Özü ile biçimi arasındaki denge, kriterleri kapsamında konuda eğitilmesini de içeren tüm tedbirleri alması gerektiğinin altını çizmiştir. değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin be- lirlenmesinin” Diğer taraftan Mahkeme, ifade özgürlüğü çerçevesinde kamu yararı gözetilerek mahkemelere konu olan ilgili haberlere ve yorumlara basının yer verme görevi önem arz ettiğine vurgu yaparak denge testi yapılması suretiyle olayları değerlen- bulunduğuna dikkat çekmekle beraber, bu durumun halihazırda görülen dava- dirmiştir (Kurulun 02/12/2021 tarihli ve 2021/1217 sayılı ve 22/05/2020 tarihli larda delil olarak kullanılan görüşme kayıtlarının, basın da dâhil olmak üzere ve 2020/414 sayılı Kararları). üçüncü kişilerin erişimine sınırsız bir şekilde açılacağı anlamına gelmediği, il- gili mahkemenin yargılamaya konu olan kişilerin mahremiyet hakkını ve özel Kişisel Verilerin Millî Savunmayı, Millî Güvenliği, Kamu Güvenliğini, Kamu hayatına saygı hakkını koruyucu nitelikte tedbirler alması gerektiği belirtilmiş Düzenini veya Ekonomik Güvenliği Sağlamaya Yönelik Olarak Kanunla Görev ve soruşturma aşaması henüz tamamlanmadan görüşme kayıtlarının ifşası ne- ve Yetki Verilmiş Kamu Kurum ve Kuruluşları Tarafından Yürütülen Önleyici, deniyle kişi hakkındaki iddiaların kamuoyu tarafından öğrenildiği bu nedenle Koruyucu ve İstihbari Faaliyetler Kapsamında İşlenmesi kişinin kendini savunma hakkının da elinden alındığı hususlarına yer verilerek haberleşme hürriyetinin maddi boyutunun ihlal edildiği sonucuna varmıştır. 6698 sayılı Kanun uyarınca millî güvenliği, millî savunmayı, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamak amacıyla yürütülen koruyu- AİHM de sokakta bulunan kapalı devre kameraların kayıt altına aldığı ve kişinin cu, önleyici ve istihbari faaliyetler kapsamında kişisel verilerin işlenmesi halinde bileğini kestiğini kayıt altına alan kamera görüntülerinin Belediye tarafından 6698 sayılı Kanun maddeleri uygulanmamaktadır. Ancak bu işleme faaliyetinin basına verilmesi ile ilgili bir başvuruda, (AİHM, Peck v. Birleşik Krallık, 2003) “kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından” yapılması kişisel verilerin korunması hakkına ilişkin bir müdahale niteliğinde olduğu ve bu gerekmektedir. müdahalenin başkalarının haklarının korunması ve suçun önlenmesi amaçlarıyla gerçekleştirildiği tespitinde bulunmuştur. 6698 sayılı Kanunun gerekçesinde, söz konusu maddeye ilişkin olarak; Bununla beraber, kişisel verilerin korunması hakkına müdahalenin demokratik “Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, bir toplumda gerekli olmadığı tespitinde bulunarak kişinin özel hayata saygı hak- milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağ- kının ihlal edildiği sonucuna varmıştır. lamaya yönelik faaliyetleri kapsamında işlediği verilerin Kanun kapsamı dı- şında tutulduğu” Sonuç olarak kişilik hakları, sanat ve bilim özgürlüğü de dahil olmak üzere ifade özgürlüğü ile birlikte kişisel verilerin korunması hakkının tehlikede olduğu var- ifade edilmiştir. Gerekçenin devamında bu amaçlarla, “suç gelirlerinin aklanması, sayılarak temel hakların birbiri ile çelişkili olduğu değerlendirilmemelidir. Bunun terörizmin finansmanının önlenmesi ve mali suçların araştırılması” konularında yerine somut olayın dinamiklerine göre amaç, kişilerin temel hakları ve toplumsal yetkili birimler tarafından yürütülen faaliyetler kapsamında işlenen kişisel veri- çıkarlar arasında “adil bir denge” aranması başvurulacak yöntem olmalıdır. lerin de istisna kapsamında olduğu belirtilmiştir. Ek olarak; 278 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 279 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI “bu konulardaki yetkili birimin; milli savunmayı, milli güvenliği kamu güven- karşısında söz konusu faaliyetlerin kapsamının belirsiz olduğu söylenemez.” liğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, Bilindiği üzere kamu düzenini sağlamak idarenin görevinde olup kolluk yetki- şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değer- sinin de varlık nedenini oluşturmaktadır. Kolluk gücü gibi silahlı kuvvetlerinin lendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği başta milli güvenlik, milli savunma ve kamu güvenliğinin sağlanmasına ilişkin verilerin” faaliyetlerinde Kanunla yetki verilmiş birimler tarafından işlenen kişisel veriler Kanun kapsamı dışında tutulmaktadır. kapsam dışında tutulduğu ifade edilmiştir (6698 sayılı Kanun, m. 28 gerekçesi). Bu anlamda 6698 sayılı Kanun gerekçesinde maddenin kapsamına ilişkin sınır- Diğer taraftan AYM, özel hayata dair bilgilerinin yer aldığı istihbari nitelikteki bir ların belirli ölçüde açıklandığı görülmektedir. raporun, yürütülen soruşturmada delil olarak kullanılması hakkındaki davada; (AYM, 2014 (a)) istihbarat çalışması yoluyla kişilerin özel hayatına dair bilgilerin Diğer taraftan 6698 sayılı Kanunun söz konusu maddesinde önleyici, koruyucu işlenmesinin ancak demokrasinin gerektirdiği kurumları korumak için ve zorun- ve istihbari faaliyetlerin “geniş ve belirsiz bir kavram” olduğu, istisna kapsamına lu olduğu ölçüde meşru görülebileceğine (Benzer yöndeki AİHM kararı için bkz. giren konuların sınırlandırılması gerektiği bu anlamda Anayasa’ya aykırı olduğu- Rotaru v. Romanya, 2000, par. 47) dikkat çekerek başvuran kişiye ilişkin bilgilerin nun ileri sürülmesi üzerine AYM’nin norm denetimi yaptığı kararında mahkeme; yer aldığı istihbarat raporunun 2937 sayılı Kanunun 4 üncü maddesine dayalı “yasa kurallarının genel ve soyut olmasının; somut olayın özelliğine göre değişe- olarak hazırlandığı ve Anayasa’nın 20 nci maddesinin ikinci fıkrasında yer alan bilecek tüm çözümleri kuralın bünyesinde barındırma”sından kaynaklı olduğu suç işlenmesinin önlenmesi, kamu düzeni ve milli güvenlik amaçlarına ilişkin tespitinde bulunmuştur. Bu doğrultuda Mahkeme hükmün uygulanacağı kamu olduğunun anlaşıldığı tespitinde bulunmuştur. kurum kuruluşlarına açıklık getirmiş ve aşağıda yer verilen tespitlerde bulunmuş- tur: (AYM, E.2016/125, K.2017/143, par. 158-159, bkz. 2937 sayılı Kanun’un m.4). Ardından kişinin mesleğiyle ilgili ve olumsuz olarak nitelendirilebilecek değer- lendirmelerin kesinlik taşımaması, doğruluğunun sorgulanmamış olması ve kişi “2559 sayılı Polis Vazife ve Salahiyet Kanunu, 2937 sayılı Devlet İstihbarat Hiz- hakkında herhangi bir konuya dayanak teşkil etmemiş olmasına rağmen, dava- metleri ve Millî İstihbarat Teşkilatı Kanunu gibi ilgili kuruluş kanunlarında nın dosyasına eklenmesinin, duruşmaların kural olarak kamuya açık yürütülmesi görev ve yetki verilmiş polis teşkilatı ve MİT gibi veya 4208 sayılı Kanun’la nedeniyle bu bilgilerin alenileştirilmesini haklı kılmadığı hususlarını gözeterek kurulan, görev ve yetkileri 5549 sayılı Suç Gelirlerinin Aklanmasının Önlen- kişinin özel hayatına yönelik ağır bir müdahalede bulunulduğu sonucuna varmış- mesi Hakkında Kanun ile yeniden belirlenen Malî Suçları Araştırma Kurulu tır. Ek olarak kamu davasına konu olmayan kişiye dair verilerin dava dosyasına (MASAK) gibi kamu kurum ve kuruluşlarının dava konusu kuralda yer alan eklenmesinin demokratik bir toplumda gerekli olarak kabul edilemeyeceği gibi millî güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağla- ölçülülük kriterini de taşımadığı belirtilmiştir. maya yönelik olarak kanunla görev ve yetki verilen kamu kurum ve kuruluşları olduğu açıktır. Bu kanunlarda, söz konusu kamu kurum ve kuruluşlarının Benzer şekilde AYM başka bir kararında (AYM, B. K. Başvurusu, B. N. 2014/14189, görev ve yetkileri ayrıntılı şekilde düzenlenmiş ve bu düzenlemelerde söz konusu K. T. 25/10/2017) dava dosyasına kişisel verilerin eklenerek duruşma salonunda görevlerin Türkiye Cumhuriyeti’nin ülkesi ve milleti ile bütünlüğüne, varlığı- bulunan kişilere ve davanın taraflarına açık hale getirilmesi halini de özel hayatın na, bağımsızlığına, güvenliğine, Anayasal düzenine ve millî gücünü meydana gizliliği hakkına bir müdahale olarak değerlendirmiştir. Ek olarak Mahkeme, özel getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel hayatın gizliliği hakkı açısından özellikle önem arz eden kişisel verilerin korun- faaliyetler hakkında millî güvenlik istihbaratını oluşturmak veya suç gelirleri- ması gereken durumlarda yargı makamlarının da gerekli önlemleri alması öde- nin aklanmasının önlenmesini sağlamaya yönelik olduğu belirtilerek bu kamu vinin bulunduğuna dikkat çekmiştir. Bu doğrultuda yargılamanın aleni şekilde kurum ve kuruluşları tarafından yürütülecek önleyici, koruyucu ve istihbari yürütülmesindeki kamusal menfaat ile kişinin mahremiyetinin ve özel hayatının faaliyetler de düzenlenmiştir. Bu bağlamda dava konusu kuralla düzenlenen korunması menfaati arasında adil bir dengenin kurulması ve varılan kanaatin, “önleyici, koruyucu ve istihbari” faaliyetlerin ilgili kuruluş kanunlarında veya hüküm kurulurken yeterli ve ilgili düzeyde gerekçelerin de sunulması gerektiği diğer kanunlarda kapsam, sınır ve içeriklerinin ayrıntılı şekilde düzenlenmesi vurgulanmıştır (AYM, 2017, par. 61). 280 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 281 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Anayasa Mahkemesi başka bir kararında; (AYM, Ö.N.M. Başvurusu, B. N. görmemiştir. Ardından 2004 yılında, Fransa Kanunları çerçevesinde ulusal bo- 2014/14751, 15/2/2017) Hava Kuvvetleri Komutanlığı İstihbarat Daire Başkanlığı yutta adli nitelikte seks suçluları veri tabanı oluşturulmuş, ilgili kişiye de bu veri nezdinde oluşturulan İnceleme Timi tarafından, başka bir kişi ile ilgili yürütülen tabanına işlendiğine dair bilgi verilmiştir. AİHM, hüküm giymiş suçlunun ulusal soruşturma kapsamında incelenen göreve tahsisli e-posta hesaplarında, sivil bir adli nitelikte veri tabanına kaydedilmesini AİHS’nin 8 inci maddesi çerçevesinde memurun asker kişilerle ilişki yaşadığının tespit edilmesi üzerine görevine son bulunduğuna karar vermiş, fakat, ilgili kişinin verilerinin silinmesini talep hakkı, verilmesini değerlendirdiği kararda, somut olayda kişinin alenileşmemiş gönül ilgili verilere yetkili erişim gibi yeterli düzeyde koruma tedbirlerinin alınması, ilişkisinin milli güvenliğin korunmasına yönelik bir amaca ilişkin askeri istihba- nedeniyle somut olayda kamu ve özel menfaat arasında adaletli bir dengenin ratı ilgilendirmediği, devlet memurluğundan çıkarma cezası ile verilen disiplin kurulduğu değerlendirmesinden hareketle AİHS 8 inci maddenin ihlal edilme- soruşturmasında özel hayatın gizliliği hakkına müdahaleye ilişkin haklı ve yeterli diğine karar verilmiştir. bir gerekçe bulunmadığını tespit ederek özel hayatın gizliliği hakkının ihlal edil- diğine karar verilmiştir. Kişisel Verilerin Soruşturma, Kovuşturma, Yargılama veya İnfaz İşlemlerine İliş- kin Olarak Yargı Makamları veya İnfaz Mercileri Tarafından İşlenmesi Bu bağlamda AYM özel hayatın gizliliğinin ihlal edildiğine dair kararlarında kişi- sel verilerin korunması hakkına getirilen sınırlandırmanın haklı bir nedeni olup 6698 sayılı Kanunun 28 inci maddesi uyarınca yargı makamlarının ve infaz mer- olmadığını değerlendirmiştir. Ancak ek olarak verilerin işlenmesinde haklı bir cilerinin “soruşturma, kovuşturma, yargılama veya infaz işlemleri”ne ilişkin olarak nedenin varlığı durumunda da işlenen verilerin açıklanmasında, bu durumun kişisel veri işleme faaliyetleri 6698 sayılı Kanun hükümlerinin uygulanmasından ölçülü olup olmadığı ve kişisel verilerin ‘kamu’ya duyurulmasında haklı bir neden istisna tutulmuştur. olup olmadığı hususu da ayrıca değerlendirilmiştir. Maddenin lafzından anlaşılacağı üzere hüküm kapsamındaki kişisel veri işle- AİHM ise kişinin sendika faaliyetlerine ilişkin bilgilerin bulunduğu gizli polis me faaliyetinin 6698 sayılı Kanundan istisna olabilmesi için iki koşulun varlığı dosyasındaki verilerinin işe alım sürecinde kullanılması nedeniyle yaptığı bir aranmaktadır. Bunlardan ilki “kişisel verilerin soruşturma, kovuşturma, yargıla- başvuruda (AİHM, Leander v. İsveç, 1987) demokratik bir toplumda, istihbarat ma veya infaz işlemleri”ne ilişkin olarak işlenmesi, diğeri ise söz konusu kişisel birimlerinin varlığının ve kişisel verilerin işlenmesi ve saklanmasının kanuna uy- veri işleme faaliyetinin “bir yargı makamı veya infaz mercii tarafından yerine gun olabileceğini, ulusal güvenliğin sağlanması veya suç işlenmesinin önlenme- getirilmesi” ve bu iki şartın varlığının birlikte olmasıdır. Ek olarak vurgulamak si amaçlarının gözetilmesi koşuluyla kamu menfaatinin, bireylerin menfaatinin gerekir ki söz konusu madde, yargı makamlarını ve infaz mercilerini bütünüyle önüne geçebileceğini ifade ederek hakkın sınırlandırılmasına ilişkin müdahale- Kanundan istisna tutmamış, yalnızca bu kurumların soruşturma, kovuşturma, nin demokratik bir toplumda ulusal güvenlik gibi bir konuda sosyal ihtiyaçları yargılama veya infaz işlemleri kapsamındaki kişisel veri işleme faaliyetleri istisna da göz önüne alarak AİHS’ne aykırı bulmamıştır. tutulmuştur. Öte yandan AİHM kararlarında birçok kez kişisel verilerin kolluk veya ulusal gü- Anayasanın 9 uncu maddesinde; venlik makamları tarafından işlenmesinin ve saklanmasının AİHS 8 inci madde- sinin birinci paragrafına müdahale olduğuna karar vermiştir. Birçok AİHM kararı “Yargı yetkisi, Türk Milleti adına bağımsız ve tarafsız mahkemelerce kulla- da anılan nitelikteki müdahalelerin gerekçelendirmesi ile ilgili sonuçlanmıştır nılır.” (Bkz: Leander v. İsveç, 1987; M.M. v. Birleşik Krallık, 2012; M.K. v. Fransa, 2013; Aycaguer v. Fransa, 2017). denilerek yargılama yapan makamın bağımsız mahkemeler olduğu belirtilmiştir. Bu doğrultuda Türkiye’deki yargı kolları Anayasanın 146 ncı ile 158 inci maddeleri Örneğin B.B-Fransa davasında, (B.B. v. Fransa, 2009) başvuran kişi, 15 yaşında, arasında sayılmakta olup ve bu yargı kolları Anayasa Yargısı (Anayasa Mahkeme- reşit olmayan kişilerle güven ilişkisi içinde seks suçu işlemesinden dolayı hapis si), İdari Yargı (Danıştay), Adli Yargı (Yargıtay), ve Uyuşmazlık Yargısı (Uyuşmazlık cezası verilmiş ve cezası 2000 yılında sonlanmıştır. Bir yılın ardından söz konusu Mahkemesi) olarak ifade edilebilir. Bu çerçevede maddede belirtilen yargılama cezanın sabıka kayıtlarından çıkarılması talebinde bulunmuş ancak talebi kabul makamlarından kastedilenin de Anayasa’da belirtilen yargı makamları olduğu 282 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 283 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI değerlendirilmektedir. Diğer bir ifadeyle, anılan maddede istisna tutulan kişisel Diğer taraftan, yargılama sürecinde kişisel verilerin işlenmesine ilişkin değer- veri işleme faaliyetleri, mahkemeler ve savcılık makamları tarafından gerçekleş- lendirmelere dair mahkeme kararları incelendiğinde; dava dosyasında bulunan tirilen, soruşturma, kovuşturma ve yargılama işlemlerine ilişkin faaliyetlerdir. kanıtların kişisel veri içermesi durumuna ilişkin olarak Yargıtay 4. Ceza Dairesi Kararında (Yargıtay 4. Ceza Dairesi, 2016). Davanın taraflarının, delilleri incele- 5271 sayılı Ceza Muhakemesi Kanunun 2 nci maddesinde soruşturma; yerek kaynağını sorgulama, hukukiliği ve inandırıcılığına dair düşüncesini ileri sürme hakkına sahip olduğu, özel durumlar haricinde kanıtların, davanın tarafla- “kanuna göre yetkili mercilerce suç şüphesinin öğrenilmesinden iddianamenin rından gizlenmesinin, erişiminin engellenmesinin ya da zorlaştırılmasının, sınır- kabulüne kadar geçen evre”, kovuşturma; “iddianamenin kabulüyle başlayıp, lanmasının mümkün olmadığını belirtmiştir. Ancak “kanıtları inceleme hakkı” hükmün kesinleşmesine kadar geçen evre” ile özel hayata ilişkin “kişisel verilerin korunması hakkı” arasında bir dengenin kurulması gerektiği ifade edilerek kişisel veri niteliğindeki bilgi ve belgelerin, Ana- olarak tanımlanmıştır. “Yargılama” ifadesinin ise 5271 sayılı Kanunda net bir ta- yasanın 20 inci maddesinin üçüncü fıkrası uyarınca davaya taraf olmayan başka nımı bulunmamakla birlikte soruşturma ve kovuşturma aşamalarını da kapsayan kişilerin bilgi ve belgelere erişimine karşı korunması için örneğin bu belgelerin üst bir başlık olarak değerlendirilebilir. Bu bağlamda yargılama faaliyetlerine; mühürlü zarf içine bulunması gibi önlemlerin alınması gerektiği belirtilmiştir. kesinleşmemiş mahkeme kararlarına karşı gidilen kanun yolları olan itiraz, isti- Bu itibarla Kararda yargılama faaliyeti kapsamında kişisel veri işlenmesi hali Ka- naf ve temyiz işlemleri ve kesinleşmiş kararlara karşı olağanüstü kanun yolları nun hükümlerinden istisna olmakla birlikte, haklar arasında denge kurulması olan kanun yararına bozma, yargılamanın yenilenmesi ve Yargıtay Cumhuriyet yoluna gidildiği görülmektedir. Başsavcısı’nın itirazı durumları da dahildir. AİHM, kişisel verilerin yargılama sürecinde dava dosyasına eklenerek davanın Bu doğrultuda söz konusu süreçlerde kişisel verilerin işlenmesi halinde 6698 tarafları haricinde duruşmaya katılan diğer kişilerin erişimine açık hale getiril- sayılı Kanun hükümleri uygulanmayacaktır. Örneğin, soruşturma kapsamında mesini özel hayata saygı hakkına bir müdahale olarak değerlendirilmiştir. Bu Cumhuriyet Savcılığınca şüphelinin kimlik tespitinin yapılması, zimmet suçu durumda kişisel verilerin korunması hakkına ilişkin müdahalenin haklı bir ne- kapsamında kişinin banka hesaplarının sorgulanması gibi durumlarda istisna dene dayanıp dayanmadığını irdelemiştir. Örneğin AİHM Panteleyenko-Ukray- hükmü gereğince 6698 sayılı Kanun hükümleri uygulanmayacaktır. na kararında; davaya bakan hâkimin başvurucu kişinin ruh ve sinir hastalıkları hastanesinden bilgilerini temin ederek bunların duruşmada açıklanması ile ilgili Maddede düzenlenen diğer bir kişisel veri işleme hali ise infaz işlemleri çerçeve- olarak, söz konusu verilerin açıklanmasının davanın sonucunu etkilememesi ve sinde yargı makamları veya infaz mercileri tarafından işlenen kişisel verilerdir. soruşturma için önemli nitelikte bilgi olmaması gerekçesi ile ilgisiz bir bilgi ol- Yargılamanın sonucu ile verilen mahkûmiyet hükmü kesinleştikten sonra ceza duğunu göz önüne alarak Sözleşme’nin 8 inci maddesinin ihlal edildiğine karar veya güvenlik tedbirleri infaz olunmaktadır. 5275 sayılı Ceza ve Güvenlik Tedbir- vermiştir (Panteleyenko v. Ukrayna, 2006, par. 61-62). Benzer şekilde, AİHM, L.L. lerinin İnfazı Hakkında Kanunda “infaz” ın tanımına yer verilmemekle birlikte Fransa kararında da dava dosyası içeriğinde sağlık verilerinin bulunmasına ilişkin infaz işlemi yargılama faaliyeti ile başlayan süreç sonunda verilen kararın uygu- olarak bu veriler dosyada bulunmadan da aynı sonuca ulaşılabileceğinden kişisel lanmasına ilişkin işlemler olarak tanımlanabilir. verilerin dosyada bulunmasının bu verilerin alenileştirilmesine neden olduğuna dikkat çekmiştir (L.L. v. Fransa, 2006, par. 46). Hükmün infazına ilişkin olarak; hükümlülerin Ceza İnfaz Kurumlarına alınması ve kayıt işlemleri infaz işlemine örnek olarak verilebilir. İnfaz işlemleri mahkûmi- Mahkeme kararlarından anlaşılacağı üzere, yargı makamları yargılama esnasında yet hükmünün infazına ilişkin olan işlemlerle sınırlı olarak değerlendirilmelidir. elde ettiği kişisel verilere ilgisiz üçüncü kişiler tarafından erişilmemesine ilişkin Bu anlamda, Ceza İnfaz Kurumları tarafından gerçekleştirilen her işlemin infaz gerekli önlemleri almakla yükümlüdür. Bu nedenle görülen davaya ilişkin dosyada işlemi olduğu anlamına gelmemektedir. Örneğin Ceza İnfaz Kurumlarının kendi davanın esasına etki etmeyecek kişisel verilere gerekli bulunmadıkça yer verilme- personeli hakkındaki veri işleme faaliyetleri infaz işlemi olarak değerlendirilme- melidir (Ocak, 2020, s. 51). melidir. Anayasa Mahkemesi de kararında; dava dosyası içeriğinde göğüs bölgesine ilişkin 284 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 285 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI fotoğrafların bulunması nedeniyle kişisel verilerine ilişkin gizlilik talebinde bulu- Kısmen İstisna Halleri nan başvurucunun, söz konusu talebinin karşılanmamasını özel hayatın gizliliği hakkının ihlali olarak değerlendirmiştir. Karara konu olayda; mahkeme gerekli 6698 sayılı Kanunun 28 inci maddesinin ikinci fıkrasında belirli koşullar altın- yapısal önlemler alınsa da davayı yürüten mahkeme tarafından verilen kararlarda da Kanunun bazı maddelerinin uygulanmayacağı durumlar belirlenmiştir. Söz üçüncü kişilerin müdahalelerine karşı kişilerin korunması imkânının sağlanma- konusu maddede; dığı durumda kişilerin hak ve özgürlüklerinin korunmasız bırakıldığına dikkat çekilmiştir (AYM, 2017, par. 59). Ek olarak, özel hayatın gizliliği hakkı bağlamında “Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla Ka- kişisel verilerin korunması hakkının gözetilmesinin gerekli olduğu hallerde yargı nunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, makamının gerekli önlemleri almaya ilişkin ödevinin bulunduğu, bu doğrultuda zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen yargılamanın aleni yürütülmesine ilişkin kamu menfaati ile kişinin özel hayatı- 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı nın korunması menfaati arasında adaletli bir dengenin kurulması gerektiği ve maddelerinin” hüküm kurulurken varılan sonuç hakkında yeterli ve ilgili gerekçelerin de sunul- ması gerektiği ifade edilmiştir. sayılan hallerde uygulanmayacağı ifade edilmiştir. Bu anlamda kural olarak veri sorumluları maddede sayılan durumlarda kanun hükümlerine tabi olmakla bera- Diğer taraftan Anayasa Mahkemesi birçok kararında memur ve kamu görevlileri- ber yalnızca sayılan maddeler açısından istisna tutulmaktadır. Diğer bir ifadeyle nin kamu görevlerine atanmasında arşiv araştırması ve güvenlik soruşturması ya- istisna tutulan maddeler haricinde Kanunda getirilmiş olan diğer yükümlülükler pılmasına ilişkin kuralları değerlendirmiştir (Kararlar için bkz. AYM, 24/7/2019 uygulanmaya devam edecektir. Ek olarak belirtmek gerekir ki sayılan maddelere tarihli ve E.2018/73, K.2019/65 sayılı, 19/2/2020 tarihli ve E.2018/91, K.2020/10 ilişkin istisnalar kapsamında kişisel veri işlenmesinin ön koşulu Kanunun ama- sayılı, 19/2/2020 tarihli ve E.2018/163, K.2020/13 sayılı, 3/6/2021 tarihli ve cına ve temel ilkelerine uygun ve orantılı olmaktır. E.2020/24, K.2021/39 sayılı ile 16/12/2021 tarihli ve E.2020/41, K.2021/91 sayılı Kararlar). Söz konusu kararlarda kamu görevlileri ve memurların kamu görevine Bu doğrultuda kişisel verilerin işlenmesine ilişkin ilkeler Kanunun 4 üncü mad- atanmasında bazı koşullara tabi tutulmasının gerekli olduğu, bir kamu görevine desinde yer almakta olup söz konusu madde; atanmadan önce ilgili kişiler hakkında arşiv araştırması ve güvenlik soruşturma- sı yapılmasına yönelik kuralların kanun koyucunun takdir yetkisine bırakıldığı a. “… (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: belirtilmiştir (AYM, E.2022/33, K.2022/67, 01/06/2022, par. 12). Ancak kuralda; b. Hukuka ve dürüstlük kurallarına uygun olma. “güvenlik soruşturması ve arşiv araştırmasına konu edilecek bilgi ve belgele- rin neler olduğuna, bu bilgilerin ne şekilde kullanılacağına, hangi mercilerin c. Doğru ve gerektiğinde güncel olma. soruşturma ve araştırmayı yapacağına ilişkin herhangi bir düzenleme” yapıl- madığı, “elde edilecek verilerin kullanılmasına ilişkin temel ilkeler belirlen- d. Belirli, açık ve meşru amaçlar için işlenme. meksizin kuralla sadece güvenlik soruşturması ve arşiv araştırması yapılması devlet memurluğuna alımda aranacak şartlar arasında sayılması” e. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. durumunun Anayasa’nın 13., 20. ve 128. maddeleriyle bağdaşmadığı tespit edile- f. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar rek kuralın iptaline karar verilmiştir (AYM, E.2018/73, K.2019/65, 24/07/2019, muhafaza edilme.” par.171-173). hükmünü haizdir. Dolayısıyla kısmen istisna durumu mevcut olsa da veri sorum- luları tarafından Kanunun amacına ve yukarıda yer verilen ilkelere uygun olarak kişisel veri işleme faaliyetinde bulunulması gerekir. 286 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 287 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Kişisel Veri İşlemenin Suç İşlenmesinin Önlenmesi İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Kişisel Verilerin İşlenmesi veya Suç Soruşturması İçin Gerekli Olması 6698 sayılı Kanunda “İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verile- 6698 sayılı Kanun çerçevesinde kısmen istisna olarak belirlenen faaliyetlerden rin işlenmesi” hali kısmen istisna olarak sayılan durumlardan biridir. Ancak ilgili ilki; kişi tarafından alenileştirilmiş kişisel veri işlenirken ilgili kişinin alenileştirme iradesinin gözetilmesi gerekir. Diğer bir ifadeyle söz konusu kısmen istisna hali “Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için ilgili kişi tarafından alenileştirme yapılma amacı ile sınırlıdır. Örneğin ilgili kişi gerekli olması” aracını satmak için telefon numarası bilgisinin kendi iradesiyle alenileştirdiyse, aracın satın alınması ile ilgili olarak işleme faaliyetinde bulunulması mümkün- halidir. Söz konusu madde ile Kanundan tam istisna kapsamında sayılan haller- dür. Fakat başka bir amaç için telefon numarası bilgisinin kullanılması halinde den olan kısmen istisna halinden yararlanılması mümkün olmayacaktır (Kişisel Verileri Koruma Kurumu, 2019, s. 76. Alenileştirmeye ilişkin Kurul Kararı için bkz. Ku- “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu rulun 30/06/2020 tarih ve 2020/508 sayılı Karar Özeti ve Kurulun 07/11/2019 düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev tarihli ve 2019/331 Sayılı Karar Özeti). ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” Kişisel Veri İşlemenin Kanunun Verdiği Yetkiye Dayanılarak Görevli ve Yetkili Kamu Kurum ve Kuruluşları ile Kamu Kurumu Niteliğindeki Meslek Kuruluşla- hali ile benzerlik teşkil ettiği değerlendirilebilir. Ancak söz konusu kısmen istisna rınca, Denetleme veya Düzenleme Görevlerinin Yürütülmesi ile Disiplin Soruş- durumunda yalnızca “suç işlenmesinin önlenmesi veya suç soruşturması için ge- turma veya Kovuşturması için Gerekli Olması rekli olması” durumunda kişisel verilerin işlenmesi hali düzenlenmiş olup veriyi işleyen veri sorumlusunun “kanunla görev ve yetki verilmiş kamu kurum ve ku- 6698 sayılı Kanunda; ruluşları” olma şartı aranmamıştır. Bu anlamda söz konusu madde kıyasen daha fazla sayıda veri sorumlusunu kapsamına aldığından yalnızca belirli maddeler “Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili açısından Kanun hükümlerinin uygulanmaması yoluna gidildiği değerlendiril- kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşla- mektedir. rınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruş- turma veya kovuşturması için gerekli olması” Bu çerçevede, suç soruşturması veya suç işlenmesinin önlenmesi için gerekli ol- ması halinde kişisel verilerin işlenmesi durumunda ilgili kişilerin aydınlatılması, durumunda, Kanunun belirtilen maddelerinden istisna tutulmuştur. İlgili kamu ilgili kişinin kişisel verilerine ilişkin bilgi talep etmesi ve ilgili veri sorumlusunun kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının yal- Veri Sorumluları Siciline kayıt yükümlülüğü söz konusu olmayacaktır. Aynı za- nızca kişisel verilerin işlenmesinin “denetleme veya düzenleme görevlerinin manda belirtmek gerekir ki söz konusu kısmen istisna hükmü kendi içinde de yürütülmesi” ve “disiplin soruşturma veya kovuşturması” için gerekli olmasına bir sınırlamaya gitmiş, yalnızca “gerekli” olduğu ölçüde kişisel verilerin işlenmesi ilişkin işlemleri kanunun belirtilen maddelerinden istisna tutulduğunu vurgula- gerektiği hükme bağlanmıştır. mak gerekir. Başka bir ifadeyle ilgili kurum ve kuruluşların yalnızca söz konusu işlemler haricindeki işlemleri için 6698 sayılı Kanunun tüm maddeleri uygulan-

nulmaması diğer bir ifadeyle hakkın kullanımının engellenmemesi, demokratik Dolayısıyla kişi 6698 sayılı Kanun çerçevesinde haklarını kullanmaktan geri bı- toplumun ve hukuk devleti olmanın gereği olan ek güvencelerin sağlanması, hak rakılsa da hakkının sınırlandırılma gerekçeleri, kişisel verilerine hukuka aykırı sınırlandırılırken gerekli, elverişli aynı zamanda yeterlilik ölçütünün sağlanması erişiminin engellenmesi vb. verilerinin güvenliği noktasında belirsiz, durumu

önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel kullanabilir. (2) Özel kanun hükümleri saklıdır.” hükümlerine, 4857 sayılı İş Ka- bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanu- nununun “İşçi özlük dosyası” başlıklı 75 inci maddesinde; nun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleşti- rilebileceği, bununla birlikte, Covid-19 salgını kapsamında yürütülen kamu “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosya- güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında da, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları kapsamında yer alacağı değerlendirilmektedir.” istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak açıklamalarına (KVKK, 2021) yönelik olarak, istihbari faaliyetler ile ön alan araş- kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıkla- tırmalarının gizli olması sebebiyle, Çalışma ve Sosyal Güvenlik Bakanlığının mamakla yükümlüdür.” 02.09.2021 tarihli yazısında (ÇSGB, 2021) bilgilendirme yapılarak işçilerin kişisel verilerinin işlenmesini öngören işleme faaliyetinin önleyici ve istihbari faaliyetler hükümlerine yer verilmiştir (Sümer, 2016). Diğer taraftan, GVKT, yetkili halk sağ- kapsamında olamayacağı değerlendirilmektedir. Kurulun 28.09.2021 tarihli ve lığı makamlarının ve işverenlerin, ulusal yasalara uygun olarak ve belirtilen koşul- 2021/980 sayılı kararında da belirtilmiş olduğu üzere somut olayda kamu sağlı- lar dahilinde, bir salgın bağlamında kişisel verileri işlemesine izin vermektedir. ğının korunması amacının bulunduğu, bu amaç doğrultusunda Kanunun 6 ncı Kamu sağlığı açısından gerekli olması halinde, GVKT’nin “Özel kategorilerdeki maddesinin üçüncü fıkrası çerçevesinde uygulamanın büyüklüğüne uygun araç- kişisel verilerin işlenmesi” başlıklı 9 uncu maddesinin ikinci fıkrasının (i) bendi 352 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 353 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI kapsamında kişisel verilerin işlenebileceği belirtilmiştir (EDPB, 2020). defalar uzatılmasına karar verebilir.” 2937 sayılı Kanunun 6 ncı maddesinin birinci fıkrasının (g) bendinde, “Teleko- şeklinde ifade edilen hüküm ile iletişim tespit edilirken işlenecek verilerin neler münikasyon kanallarından geçen dış istihbarat, millî savunma, terörizm ve ulus- olduğu açıklanmıştır. 2937 sayılı Kanunun 6 ncı maddesi kapsamında yürütülen lararası suçlar ile siber güvenlikle ilgili verileri toplayabilir.” hükmü, (h) bendinde, faaliyetler çerçevesinde, “elde edilen kayıtların söz konusu kanun dışında kullanı- “Yabancı unsurların ülkenin ve vatandaşların iletişim güvenliğini tehdit eden faa- lamayacağı, elde edilen bilgi ve kayıtların saklanmasında ve korunmasında gizlilik liyetlerinin engellenmesine yönelik çalışmalar yapabilir, ilgili kurum ve kuruluşlar- ilkesinin geçerli olduğu” ifade edilmiştir. Keza, anılan maddedeki usul ve esaslara dan talepte bulunabilir.” hükmü yer almakta olup bu hükümler kapsamında veri aykırı dinlemelerin hukuken geçerli sayılmayacağı, bu şekilde dinleme yapanlara toplanırken, “bir gerçek kişiyi belirli veya belirlenebilir kılan bir bilgi” işlenmesi 5237 sayılı Kanun kapsamında işlemlerin uygulanacağı belirtilmiştir. halinde, kişisel veri işleme faaliyetinin gerçekleştirileceği değerlendirilmektedir. Az önce bahsedilen hükümlere ve diğer kanunlardaki düzenlemelere bağlı kal- 2937 sayılı Kanunun 6 ncı maddesinin birinci fıkrasının (i) bendinde, “MİT’te maksızın, görev alan veya alacak kişilerin güvenilirliklerini ve uygunluklarını belirlemek için yalan makinası uygulaması dâhil test teknik ve yöntemlerini” kullanabileceği “…önleyici istihbarat elde etmek ve analiz yapabilmek amacıyla MİT Başkanı belirtilmiştir. Bu kapsamda, başta sağlık verisi olmak üzere özel nitelikli kişisel veya yardımcısının onayıyla yurt dışında veya yabancılar tarafından gerçek- verilerin işlenebileceği değerlendirilmektedir. leştirilen iletişim ile ankesörlü telefonlarla gerçekleştirilen iletişim ve MİT mensuplarının, MİT’te görev almış olanların veya görev almak üzere başvu- 2937 sayılı Kanunun 6 ncı maddesi kapsamında yer alan 03.07.2005 tarihli Ek ranların iletişiminin tespit edilebileceği, dinlenebileceği, sinyal bilgilerinin maddede, değerlendirilebileceği, kayda alınabileceği…” “Anayasa’da sayılan devletin temel niteliklerine ve demokratik hukuk devletine belirtilmiştir. yönelik ciddi bir tehlikenin bulunması halinde, devletin güvenliğinin sağlan- ması, casusluk faaliyetlerinin ortaya çıkarılması, devlet sırrının ifşasının tes- Anayasa Mahkemesinin 2018/73 E. 2019/65 K. 24.07.2019 tarihli kararında da, piti, terörist faaliyetlerin önlenmesi için telekomünikasyon yoluyla iletişimin denetlenebileceği” “… belirtilmiştir. Bu denetim kapsamında, “iletişimin tespiti, dinlenmesi, kayda 167. Anayasa’nın 20. maddesi uyarınca kişisel veriler ancak kanunda öngörü- alınması veya sinyal bilgilerinin değerlendirilmesi” bulunmaktadır. Ek maddenin len hâllerde veya kişinin açık rızasıyla işlenebilir. Dolayısıyla kişisel verilerin devamında ise, istihbari amaçla uygulanacak bu tedbirin sona ermesi halinde korunmasını isteme hakkına sağlanan anayasal güvencenin yaşama geçiri- dinlemenin içeriğine ilişkin kayıtların en geç on gün içinde yok edileceği ifade lebilmesi için bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir edilmiştir (Can, 2020). Bir diğer Ek fıkrada, ve söz konusu hakkın kullanılabilmesine elverişli olması gerekir. Ancak böyle bir düzenleme ile kişilerin özel hayatlarını ilgilendiren veri, bilgi ve belgele- “Kararda ve yazılı emirde, hakkında tedbir uygulanacak kişinin kimliği, ile- rin resmî makamların keyfî müdahalelerine karşı korunması mümkün hâle tişim aracının türü, kullandığı telefon numaraları veya iletişim bağlantısını gelebilir. tespite imkân veren kodundan belirlenebilenler ile tedbirin türü, kapsamı ve süresi ile tedbire başvurulmasını gerektiren nedenler belirtilir. Kararlar, en … fazla üç ay için verilebilir; bu süre aynı usûlle üçer ayı geçmeyecek şekilde en fazla üç defa uzatılabilir. Ancak, casusluk faaliyetlerinin tespiti ve terör ör- 171. Kuralda güvenlik soruşturması ve/veya arşiv araştırması yapılması me- gütünün faaliyeti çerçevesinde devam eden tehlikelere ilişkin olarak gerekli murluğa alımlarda genel şartlar arasında sayılmasına karşın güvenlik so- görülmesi halinde, hâkim üç aydan fazla olmamak üzere sürenin müteaddit ruşturmasına ve arşiv araştırmasına konu edilecek bilgi ve belgelerin neler 354 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 355 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI olduğuna, bu bilgilerin ne şekilde kullanılacağına, hangi mercilerin soruştur- ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, ma ve araştırmayı yapacağına ilişkin herhangi bir düzenleme yapılmamıştır. mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri Diğer bir ifadeyle güvenlik soruşturması ve arşiv araştırmasının yapılmasına ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve elde edilecek verilen kullanılmasına ilişkin temel ilkeler belirlenmeksizin ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de kapsam dışında kuralla sadece güvenlik soruşturması ve arşiv araştırması yapılması devlet tutulmaktadır.” memurluğuna alımlarda aranacak şartlar arasında sayılmıştır açıklamalarına yer verilmiştir. 172. Güvenlik soruşturması ve arşiv araştırması sonucunda devlet memurlu- ğuna atanmada esas alınacak kişisel veri niteliğindeki bilgilerin alınmasına, Ancak, kişisel verilerin işlenmesine ilişkin temel ilkelerin tüm işleme faaliyetleri- kullanılmasına ve işlenmesine yönelik güvenceler ve temel ilkeler kanunla be- nin özünde bulunması gerektiği, bu kapsamda, bir kişisel veri işleme faaliyeti her lirlenmeksizin bunların alınmasına ve kullanılmasına izin verilmesi Anaya- ne kadar Kanundan tam ve kısmi istisnaya tabi tutulmuş olsa da temel ilkelere sa’nın 13., 20. ve 128. maddeleriyle bağdaşmamaktadır. uygun ve orantılı olarak bu faaliyetlerin gerçekleştirilmesi gerektiği belirtilmiştir (KVKK, 2019). Bu çerçevede, her ne kadar istihbari faaliyetler açısından Kanun …” hükümleri uygulanmamakta ise de bu hususun kötüye kullanılmasını önlemek amacıyla kişisel veri işleme faaliyetlerinin denetimini sağlayacak mekanizmaların açıklamalarına yer verilmiştir (AYM, 2019). bulunmasının uygun olacağı değerlendirilmektedir. Bu noktada belirtmek gerekir ki, Anayasa Mahkemesinin 2018/73 E. 2019/65 K. Söz konusu istisnalar veri sorumluları için öngörülmemiş olup veri işleme faali- 24.07.2019 tarihli kararı ile Kanunun 28 inci maddesinin birinci fıkrasının (ç) yetleri bakımından düzenlenmiştir. Bu doğrultuda, istihbari olmayan faaliyetler bendinde, “faaliyetlerin kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları açısından Kanun hükümlerinin uygulanabileceği değerlendirilmektedir. tarafından yürütülmesi” şeklinde belirtilen ifadelerin göz önünde bulundurul- ması neticesinde faaliyetleri yürütecek kamu kurum ve kuruluşlarının görev ve Ulusal güvenliğe ilişkin kişisel veri işleme faaliyeti AB hukuku dışında tutulmuş- yetkilerinin şekli anlamda kanunla düzenlenmesi gerektiği, bir başka ifadeyle tur. Bu doğrultuda, ulusal güvenliğe ilişkin kişisel veri işleme faaliyetlerinde GVKT idarenin düzenleyici işlemleriyle bu görev ve yetkilerin tanınması halinde söz ve Direktif hükümleri uygulanmamaktadır. Uygulama örneği olarak Birleşik Kral- konusu hükmün uygulanmasının mümkün olmayacağı değerlendirilmektedir. lık, istihbarat hizmetlerinde AB hukukunun aksine 108 No’lu sözleşmeyi gözete- rek “Data Protection Act 2018” kapsamında özel düzenlemeler ile ulusal güvenlik Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi Kanun kapsamı dışında kurumlarına ve bu kurumların gerçekleştireceği kişisel veri işleme faaliyetlerine tutulmuş olup hükme ilişkin gerekçede, ilişkin veri koruma usulü sağlamıştır. Bu düzenleme ile istihbari faaliyetler kap- samında gerçekleştirilecek kişisel veri işleme faaliyetlerine ilişkin birtakım ilkeler “Bunun gibi kişisel verilerin, milli savunmayı, milli güvenliği, kamu güven- öngörülmüştür. Ayrıca, ilgili kişilere haklar da tanınmıştır. Bunlar, bilgi edinme liğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, hakkı, erişim hakkı, otomatik karar vermeyle yükümlü olmama hakkı, otomatik koruyucu ve istihbari faaliyetler kapsamında işlenmesi istisna olarak düzen- karar verme sürecinde müdahale hakkı, karar verme hakkında bilgi alma hakkı, lenmektedir. Buna göre Milli İstihbarat Teşkilatı ile diğer istihbarat birimle- işleme faaliyetine karşı çıkma hakkı ile düzeltme ve silme hakkı olarak sayılmıştır rinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve (Turan, 2021). Bununla birlikte, ulusal güvenlik için gerekli olması halinde istih- ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler bari hizmetlerin düzenlemeden muaf tutulacağı da belirtilmiştir. Aynı zamanda Kanun kapsamı dışında tutulmaktadır. Aynı şekilde belirtilen amaçlarla, suç şeffaflık konusunda hükümlere yer verilmiştir (Department for Digital, Culture, gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların Media & Sport, 2018). araştırılması konusunda; yetkili birim tarafından yürütülen faaliyetler kap- samında işlenen veriler de bu istisna kapsamındadır. Bu konulardaki yetkili birimin; milli savunmayı, milli güvenliği kamu güvenliğini, kamu düzenini ve 356 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 357 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ Bu hususlar doğrultusunda, Kanunun 28 inci maddesinde yer alan tam ve kısmi istisnaların AB uygulaması ile tam olarak uyuşmadığı, bu çerçevede, mevcut iç Kişisel verilerin korunması, başta özel hayatın gizliliğinin korunması olmak üzere hukuk düzenlemelerinin AB uygulaması ile uyumlaştırılabileceği değerlendiril- temel hak ve özgürlükleri güvence altına almayı amaçlamaktadır. Ancak, kolluk mektedir. ◆ ve istihbari faaliyetler söz konusu olduğunda kişisel verilerin işlenmesi disiplin altına almayı amaçlayan 6698 sayılı Kişisel Verilerin Korunması Kanununda yer alan tam ve kısmi istisnalar çerçevesinde Kanun hükümleri uygulanmamaktadır. AB’de kişisel verilerin korunması, AB düzeyinde sağlanmaya çalışılmış olup bu çerçevede GVKT yürürlüğe konulmuştur. Bununla birlikte, “suçların önlenmesi, soruşturulması, ortaya çıkarılması, kovuşturulması ile cezaların infazı amacıyla” yetkili makamların kişisel veri işlemesine ilişkin ayrı bir düzenleme olarak Di- rektif, AB bünyesinde yürürlüğe konulmuştur. Bu Direktif ile belirtilen amaçlara yönelik gerçekleştirilecek kişisel veri işleme faaliyetlerinde belli bir sistematik düzen sağlanmaya çalışılmaktadır. Fakat bu Direktifin üye devletlerin iç huku- kuna aktarılması gerekmekte olup henüz üye devletlerin tamamı iç hukukuna aktarmamıştır. Direktif, 1 inci maddesinde belirtilen amaçlar doğrultusunda gerçekleştirilecek olan kişisel veri işleme faaliyetlerinin özel ihtiyaçlarını ve özellikli karakterini dikkate alarak veri koruma ilkelerini ayrıntılı bir biçimde düzenlemiş olup birey- lerin hakları ile kolluk sürecinin ve adli sürecingereklilikleri arasında bir denge kurmaya çalışmıştır. Normlar hiyerarşisinde yer alan normlar her zaman somut olaya uygulanacak normu tayin etmekte yeterli olmamaktadır. Hükümlerin herkese ve her olaya uygulanabildiği hükümleri içeren kanuna genel kanun, belli kişi ve olaylara uy- gulanan kanunlara ise özel kanun denilmektedir. Bu çerçevede Kanunun, genel nitelikte bir kanun olduğu değerlendirilmektedir. Kolluk ve istihbari faaliyetler kapsamında, Kanun ve GVKT hükümlerinin birebir uygulanması gösterilen faaliyetlerin gizliliğine zarar verebileceği için bu hüküm- lerin doğrudan uygulanmaması gerektiği, ancak hukuk sistemimizde, Anayasada yer alan temel hak ve özgürlüklerin korunması ile kişisel verilerin korunması ilke- lerinin göz önünde bulundurulması neticesinde de söz konusu alanlara yönelik Direktif benzeri ayrı bir düzenleme yapılması gerektiği değerlendirilmektedir. Keza, gizli bilgilere ulaşılması için de yasal düzenlemeye ihtiyaç bulunduğu açık- tır. Böylelikle, faaliyet alanının amacı gözetilerek hem ilgili kişiler açısından hem de veri sorumluları açısında bilinmezlik neticesinde yaşanabilecek hak mahru- miyetlerinin önüne geçilebileceği düşünülmektedir. 358 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 359 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI KAYNAKÇA ◊ 9. SÜMER, H. H. (2016), İş Hukuku, Seçkin Yayıncılık, Ankara. Dergi Makaleleri için: ◊ 10. TURAN, M. (2021), Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Seçkin Yayıncılık, Ankara. ◊ 1. BİLGİÇ, A. (2019), Türkiye’de İç Güvenlik Yapılanmasında Çoklu Genel Kolluk Sisteminin Kurumsallaşması, İstanbul Gelişim Üniversitesi Sosyal Bi- ◊ 11. YENİSEY, F. (2016), Ceza Muhakemesi Hukuku, Ankara: Seçkin Yayıncılık. limler Dergisi, 6 (2), ss. 287-307, Erişim adresi: https://dergipark.org.tr/en/ download/article-file/836917. Tezler için: ◊ 2. BOSTANCI BOZBAYINDIR, G. (2018), Avrupa Birliği Ceza Hukuku’nda Po- ◊ 12. CAN, N. (2020), Kolluk ve Adli Makamlar Tarafından İşlenen Kişisel Ve- lis ve Ceza Adaleti Otoritelerine Yönelik 2018/680 Sayılı Direktif: Kişisel Veri- rilerin Korunması (Yayınlanmamış Yüksek Lisans Tezi), İstanbul Üniversitesi lerin Ceza Adalet Mekanizmalarında Korunmasına Getirilen Standartlar ve Sosyal Bilimler Enstitüsü, İstanbul. Direktife Yönelik Eleştiriler, Galatasaray Üniversitesi Hukuk Fakültesi Dergisi, 2018/2, ss. 51-103. Erişim adresi: https://www.jurix.com.tr/article/18552. ◊ 13. BAYRAM, Z. (2009), Kolluğun Suç Öncesi ve Sonrası Kişisel Veri Toplama Yetkisi (Yayınlanmamış Yüksek Lisans Tezi), Bahçeşehir Üniversitesi Sosyal ◊ 3. ATAK, S. (2010), Avrupa Konseyi’nin Kişisel Veriler Açısından Sağladı- Bilimler Enstitüsü, İstanbul. ğı Temel Güvenceler, TBB Dergisi, Sayı 87, ss.90-120, Erişim adresi: http:// tbbdergisi.barobirlik.org.tr/m2010-87-606#:~:text=Bu%20g%C3%BCven- ◊ 14. ÇETİNDAĞ, A. F. (2004), Türk Anayasal Sisteminde Temel Hak ve Özgür- celer%20aras%C4%B1nda%3B%20yaln%C4%B1zca%20ba%C4%9Flant%- lüklerin Sınırlanması Bağlamında Kamu Düzeni (Yayımlanmamış Yüksek C4%B1l%C4%B1,dan%20denetlenmesi%20gibi%20g%C3%BCvenceler%20 Lisans Tezi), Ankara Üniversitesi Sosyal Bilimler Enstitüsü, Ankara. yerhttp://tbbdergisi.barobirlik.org.tr/m2010-87-,606#:~:text=Avrupa%20 %C4%B0nsan%20Haklar%C4%B1%20S%C3%B6zle%C5%9Fmesi’nin,g%- ◊ 15.IŞIK, S. (2012), Kamu Hukuku Perspektifinde Türkiye’de Kamu Güvenliği C3%B6s%2D%20terilmesi%20hakk%C4%B1na%20sahiptir%E2%80%9D. (Yayımlanmamış Yüksek Lisans Tezi), Gazi Üniversitesi Sosyal Bilimler Ens- titüsü, Ankara. ◊ 4. KARAKURT, A. 2009, Sermaye Piyasası Kanunu Bağlamında İdari Yaptırım- lar, TBB Dergisi, Sayı 85, ss. 137-172, Erişim adresi: http://tbbdergisi.barobir- ◊ 16. FİŞ, B. (2002), Önleyici, Koruyucu Faaliyetler Ve Meşru Menfaatler Bağ- lik.org.tr/m2009-85-563. lamında İşçiye Ait Kişisel Verilerin İşlenmesi (Yayınlanmamış Yüksek Lisans Tezi), Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü, Ankara. Kitaplar için: ◊ 17.SARIHASAN ARKUN, B. (2010), İş Hukukunda İşçinin Sır Saklama Yüküm- ◊ 5. ÖZER, Y. M. (2020), Kişisel Verilerin Korunmasına Blok Zinciri Modeli: lülüğü, (Yayınlanmamış Yüksek Lisans Tezi), İstanbul Bilgi Üniversitesi Sosyal Vaatler ve Hukuki Engeller, Onikilevha Yayıncılık, İstanbul. Bilimler Enstitüsü, İstanbul. ◊ 6. MUTLU, M. S. (2020), Kişisel Verilerin Soruşturma Evresinde İşlenmesi ve Elektronik Kaynaklar için: İnsan Hakları Kapsamında Korunması,Adalet Yayınevi, Ankara. ◊ 18. İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü, (AB) ◊ 7. GÖZLER, K. KAPLAN, G. (2014), İdare Hukukuna Giriş, Ekin Basın Yayın 2016/680 Sayılı Avrupa Parlamentosu ve Konsey Direktifi, İstanbul Bilgi Üni- Dağıtım, Bursa. versitesi Bilişim ve Teknoloji Hukuku Enstitüsü, (AB) 2016/680 Sayılı Avrupa Parlamentosu ve Konsey Direktifi, Erişim adresi: https://itlaw.bilgi.edu.tr/ ◊ 8. GÜNDAY, M. (2013), İdare Hukuku, İmaj Yayınevi, Ankara. media/2019/7/29/law-enforcement-directive-turkce.pdf, 20.12.2021. 360 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 361 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ 19. European Data Protection Board, Contribution of the EDPB to the Euro- ◊ 28. Statement on the processing of personal data in the context of the CO- pean Commission’s evaluation of the Data Protection Law Enforcement Dire- VID-19 outbreak, Erişim adresi: https://edpb.europa.eu/sites/default/files/ ctive (LED) under Article 62, Erişim adresi: https://edpb.europa.eu/system/ files/news/edpb_statement_2020_processingpersonaldataandcovid-19_ files/2021-12/edpb_contribution_led_review_en.pdf, 14.12.2021. en.pdf, 03.10.2022. ◊ 20. Handbook on European Data Protection Law, 2018, Erişim adresi: ht- ◊ 29. Anayasa Mahkemesinin 2018/73 E. 2019/65 K. 24.07.2019 tarihli kararı, tps://www.echr.coe.int/documents/handbook_data_protection_eng.pdf, Erişim adresi: https://www.resmigazete.gov.tr/eskiler/2019/11/20191129-7. 18.04.2022. pdf, 10.05.2022. ◊ 21. Dijitalleşen Dünyada Kişisel Verilerin Korunması Konferansı, Erişim ad- ◊ 30. Data Protection Act 2018 Factsheet-Intelligence Services Processing, Eri- resi: https://www.kvkk.gov.tr/Icerik/6947/DijitallesenDunyada-Kisisel-Veri- şim adresi: https://assets.publishing.service.gov.uk/government/uploads/ lerin-Korunmasi-Konferansi, 16.04.02021. system/uploads/attachment_data/file/711233/2018-05-23_Factsheet_4_-_ intelligence_services_processing.pdf, 01.04.2022, s.1-4. ◊ 22. Contribution of the EDPB to the European Commission’s evaluation of the Data Protection Law Enforcement Directive (LED) under Article 62, Eri- şim adresi: https://edpb.europa.eu/system/files/2021-12/edpb_contributi- on_led_review_en.pdf, 17.05.2022. ◊ 23. Örneklerle Kişisel Verilerin Korunması, Erişim adresi: https://www. kvkk.gov.tr/SharedFolderServer/CMSFiles/a23bfe08-9b3a-4c2f8a97-a259dc- c0e667.PDF, 07.02.2022. ◊ 24. Aday Memur Hazırlayıcı Eğitimi, Ceza Muhakemesi Hukuku Ders Notu, Erişim adresi: https://edb.adalet.gov.tr/Resimler/SayfaDoku- man/26620201539387-CezaMuhakemesi%C4%B0HUKUKU.pdf, 03.04.2022. ◊ 25. Milli Emniyet Hizmeti Riyaseti, Erişim adresi: https://www.mit.gov.tr/ ikinci_bolum_F.html#F, 15.02.2022. ◊ 26. Covid-19 Pcr Test Sonucu ve Aşı Bilgisi Uygulamalarına İlişkin Kamu- oyu Duyurusu, Erişim adresi: https://www.kvkk.gov.tr/Icerik/7055/CO- VID-19-PCR-TEST-SONUCU-VE-ASI-BILGISI-UYGULAMALARINAILISKIN-KA- MUOYU-DUYURUSU, 03.10.2022 ◊ 27. İşyerlerinde iş sağlığı ve güvenliğinin sağlanmasına yönelik olarak 81 İl Valiliğine Covid-19 tedbirleri hakkında gönderilen yazı, Erişim adresi: htt- ps://www.csgb.gov.tr/cgm/duyurular/isyerlerinde-is-sagligi-ve-guvenligi- nin-saglanmasina-yonelik-olarak-81-il-valiligine-covid-19-tedbirleri-hakkin- da-yazi-gonderildi/, 03.10.2022. KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 363 UZMANLIK TEZLERI DERLEME ÇALIŞMASI BIR HAK ÇATIŞMASI ALANI OLARAK KIŞISEL VERILERIN KORUNMASI VE BASIN ÖZGÜRLÜĞÜ Tülay Selin GÜNER Kişisel Verileri Koruma Uzmanı Bu çalışma, 14.02.2023 tarihinde kabul edilen “Bir Hak Çatışması Alanı Olarak Ki- şisel Verilerin Korunması ve Basın Özgürlüğü” başlıklı uzmanlık tezinden alınmıştır. GİRİŞ Kişisel verilerin korunmasının bir hak alanı olarak tanınması yakın geçmişte meydana gelmiş olsa da mahremiyet olgusu ile bunun bir uzantısı olarak de- ğerlendirebileceğimiz kişisel verilerin gizli tutulması eğiliminin, insanın toplum içerisinde yaşamaya başlamasından bu yana gündemde olduğu bilinmektedir. Özellikle mesleki yükümlülükler kapsamında kişisel verilerin gizli tutulmasına yönelik uygulamalar ile kimliği belirli ya da belirlenebilir bir bireye ait bilgile- rin açığa çıkmaması sağlanmış, kimi zaman ise yasal düzenlemeler sayesinde bu bilgilerin gizli tutulması zorunlu kılınmıştır. Söz konusu düzenlemelerin belli bir alana ya da belli hususlara hasredilmiş olması, kişisel verilerin korunmasına yönelik olarak özel düzenlemelerin getirilmesi ihtiyacını ortadan kaldırmadı- ğından zaman içerisinde kişisel verilerin korunması da ayrı bir hak alanı olarak kabul görmeye başlamıştır. Diğer taraftan insanın, insan olması sebebiyle duygu, düşünce ya da kanaatlere sahip olmasının bir sonucu olarak bu duygu, düşünce ve kanaatleri farklı birey- lere ya da kitlelere aktarma isteği, tarihsel süreç içerisinde birçok engelle karşı- laşmıştır. Söz konusu engellemeler neticesinde gerek “ifade”nin gerek ifadenin 364 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 365 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI özel bir biçimi olarak “basın”ın korunması da gündeme gelmiş; gerek uluslararası terilen içgüdüsel tepkilerle kendiliğinden bir iletişim kurulduğu kabul edilmiş; gerek ulusal bazda yapılan düzenlemelerle ifade ve basın özgürlüğü koruma altına insanların birbiriyle iletişim kurma ihtiyacı sonucu duman, ateş, mağara resim- alınmıştır. Bu sayede toplumun farklı düşünce, kanaat ya da haberlere ulaşabil- leri gibi araçlar kullanarak ya da farklı sesler çıkararak birbirini bilgilendirmesi mesi güvence altına alınmış, ortaya konulan içeriklerin geniş kitlelere yayılması, ya da uyarması faaliyetleri bunu izlemiştir (Gönenç, 2007). İnsanın konuşarak bireylerin aydınlatılması ya da eleştirel içeriklerle kamusal tartışmalara katkı iletişim kurabilmesi ise iletişimde bir dönüm noktası olmuş; yazının bulunması sağlanması mümkün kılınmıştır. Bununla birlikte; basın ve ifade özgürlükleri ve akabinde matbaanın icadı, iletişim yöntemlerinin çoğalmasına etki ettiği kadar kapsamında ortaya konulan içeriklerin, kimliği belirli ya da belirlenebilir ger- düşüncenin farklı insanlara ulaşabilmesine de imkân sağlamıştır. çek kişileri konu edinmesi halinde içerikte yer alan kişilerin, kişisel verilerinin korunmasını isteme hakkının var olduğunu söylemek ne derece mümkün ise söz İletişimin tarihsel süreç içerisinde geçirdiği değişim ve yaşanan ilerlemelerde, konusu içeriğin yayımında ifade ya da basın özgürlükleri kapsamında hareket teknolojik gelişmelerin de büyük etkisi olmuştur. Daha hızlı ve kolay şekilde ileti- edildiğini de söylemek aynı derecede mümkün olduğundan yayımlanan bir içe- şim kurabilmeye olanak sağlayan telgraf, radyo, telefon, televizyon, bilgisayar gibi rikte kimliği belirli ya da belirlenebilir gerçek kişilere işaret edildiği ya da bu ki- pek çok aracın insanlığın kullanımına sunulması, iletişimi yalnızca bireysel te- şilere ilişkin bilgilerin doğrudan içerikte yer aldığı durumlarda, iki temel hakkın melde gerçekleştirilen bir faaliyet olmaktan çok daha öte bir boyuta taşımış; sözü karşı karşıya gelmesi söz konusu olmaktadır. edilen araçlar, düşüncelerin açıklanması ve başkalarına yayılması bakımından da büyük önem kazanmıştır. Nitekim iletişimde bahse konu araçların kullanımı; Bu kapsamda, basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının bilgi, düşünce ve kanaatlerin geniş kitlelere yayılmasında önemli bir role sahip bir yarışma durumuna yol açıp açmadığının ve yol açması halinde bu yarışmanın olmuş ve bilgi, düşünce, tutum ve kanıların, alıcı kesim durumundaki büyük ve ne şekilde çözümlenebileceğinin incelenmesini hedefleyen çalışmada; Türk Hu- dağınık bir kitleye, kitle iletişimi gerçekleştirmek üzere geliştirilmiş araçlarla ile- kukunda basın kavramı ve basının kapsamı, ifade ve basın özgürlüğü arasındaki tilmesi süreci (Salihpaşaoğlu, 2007) olarak tanımlayabileceğimiz “kitle iletişimi” ilişki, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan (Kanun) istisna bir denilen bir kavramın ortaya çıkmasını sağlamıştır. Kitle iletişiminde kullanılan hal olarak basın özgürlüğü kapsamında kişisel verilerin işlenmesinin hangi şart- araçlar gelişen teknoloji ile zaman içerisinde farklılaşmış ve sayıca artmış olsa da lar dahilinde gerçekleşebileceği ve Kişisel Verileri Koruma Kurulu’nun (Kurul) kaynak tarafından verilen iletiyi çoğaltmaları bakımından ortak özellik göster- konuya ilişkin yaklaşımının ne şekilde olduğu inceleme konusu edilecektir. miş ve gazete, dergi, kitap, broşür gibi basılı materyaller ile sinema, film, radyo, televizyon, plak, kaset, video ve benzeri araçların bu kapsamda yer aldığı kabul BASIN KAVRAMI İLE KAVRAMIN BASIN ÖZGÜRLÜĞÜ VE İFADE edilmiştir (Aziz, 2013). ÖZGÜRLÜĞÜYLE OLAN İLİŞKİSİ Bu noktada, düşünce ve kanaatlerin kitlelere yayılmasında etkin rol oynayan ve “İletişim”, “Kitle İletişimi” ve “Basın” Kavramları en önemli kitle iletişim araçları arasında yer alan “basın” kavramından da söz et- mek gerekmektedir. Sözlük anlamıyla basın, “gazete, dergi gibi belirli zamanlarda Sosyal bir varlık olarak insan, yaşamını bir topluluk içerisinde sürdürmekte ve çıkan yazılı yayınların bütünü, matbuat; bu tür iş yerlerinde görevli kimselerin sahip olduğu bilgi, duygu, düşünce, istek ve beklentilerini, tabiatı gereği bu top- tümü” (Türk Dil Kurumu, t.y.) şeklinde ifade edilmektedir. Bununla birlikte ba- luluk içinde bulunan diğer insanlara aktarmaktadır (Dinçtürk, 2007). Bu bağlam- sın kavramının; dar anlamda, geniş anlamda ve en geniş anlamda olmak üzere da, üzerinde uzlaşılmış bir tanım verebilmek mümkün görünmemekle birlikte; öğretide farklı kullanımlarının bulunduğu görülmektedir. Dar anlamda basının, belirli araçlar kullanarak, bilgi, düşünce ve tutumların karşılıklı aktarılmasını belirli zaman aralıklarıyla yayınlanan her çeşit haber, yorum ve fikirleri toplu- konu edinen faaliyetleri “iletişim” olarak tanımlamak mümkündür (Aziz, 2013). ma ulaştırma amacıyla basılan gazete, dergi gibi basılmış eserleri; geniş anlamda basının, bunlara ek olarak her türlü yazı, resim, kâğıt ve benzer materyallerden İnsanlığın var oluşuna dayandırılabilecek kadar eski bir faaliyet olarak iletişim, oluşan kitap, el ilanı, broşür, reklam panoları gibi vasıtaları; en geniş anlamda tarihsel süreç içerisinde pek çok farklı biçimde görünüm kazanmıştır. Örneğin, basının ise basının maddi konuları, görevleri, basınla ilgili her tür ödev ve yü- insanların içinde yaşadıkları doğa ile bütünleştiği ve yaşamını sürdürmeye çalış- kümlülükleri, basın özgürlüğü ve basın faaliyetlerini ifade ettiği belirtilmekte tığı ilk dönemlerde, doğa kaynaklı etkiler ileti olarak algılanmış ve bu iletiye gös- (Esendal, 2018) ve bu görüş doğrultusunda basının yazılı, görsel, işitsel ve ben- 366 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 367 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI zeri şekillerde kategorize edildiği kullanımlara da rastlanabilmektedir. Bununla Basın özgürlüğünün sınırlama sebeplerine Anayasa’nın 28. maddesinin üçüncü birlikte öğretide basın kavramı ile kitap, gazete dergi gibi yayımlanmak üzere fıkrasında yer verilmiş ise de bu sınırlamanın sınırını, temel hak ve özgürlükle- her türlü basım aracı ile basılan ve basılarak çoğaltılan kitle iletişim araçlarının rin sınırlanmasına ilişkin temel düzenleme olan Anayasa’nın 13. maddesi tayin ifade edildiği genel olarak kabul görmektedir (Akkurt, 2014; Akarcalı, 1989; Salih- etmektedir. Bilindiği üzere Anayasa’nın “Temel hak ve hürriyetlerin sınırlanma- paşaoğlu, 2007; Baykan, 2011; Yavuz Yayla, 2019). Öğretide bu kabulün temeline sı” başlıklı 13. maddesinde; “Temel hak ve hürriyetler, özlerine dokunulmaksızın ilişkin olarak; geçmişi daha eskiye dayanan gazete, dergi, kitap gibi yayınların, yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak hukuken korunmalarının farklı zeminlere dayandığı, basın özgürlüğü ve benzeri kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokra- basın ile ilgili yasal düzenlemelerin bu ayrım gözetilerek yapıldığı ve bu itibarla tik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı sözlü/görsel basının, basın kavramı dışında tutulduğu ifade edilmektedir (Esen- olamaz” düzenlemesine yer verilerek temel hak ve özgürlüklerin sınırlanmasında dal, 2018). Bu doğrultuda, basın kavramının günlük hayattaki kullanımı ile bir riayet edilmesi gereken sınırlar ortaya konulmuştur. Anayasa’nın 28. maddesi- hak alanı olarak kullanımında bazı farklılıkların bulunduğu anlaşılmaktadır. Bu nin üçüncü fıkrası ise sözü edilen şartlar dahilinde basın özgürlüğünün hangi farklılıklar temelde, bir kitle iletişim aracı olarak basının, düşünce ve kanaatle- durumlara dayalı olarak sınırlanabileceğini hüküm altına almakta olup, mezkûr ri kitlelere aktarırken kullandığı yöntem ile ilgilidir. Nitekim yukarıda da ifade düzenlemede basın özgürlüğünün, Anayasa’nın 26. ve 27. maddesi hükümleri edildiği üzere “bilgi, düşünce ve tutumların büyük ve dağınık bir kitleye, bu amaç doğrultusunda sınırlanabileceği belirtilmiştir. için geliştirilmiş araçlarla iletilmesi” (Aziz, 2013) olarak tanımlayabileceğimiz kitle iletişimi; yalnızca basılı yayınlar ile sağlanmamakta, teknolojik gelişmeler Bu sınırlama sebepleri arasında gösterilen, Anayasa’nın “Düşünceyi açıklama ve neticesinde hayatımıza giren radyo, televizyon, internet, videobantları gibi bir- yayma hürriyeti” başlıklı 26. maddesinde; “Herkes, düşünce ve kanaatlerini söz, çok farklı araçla da gerçekleştirilebilmektedir (Esmer, 2014). Bu bakımdan bası- yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma nın, iletişim ve kitle iletişiminin bütününü ifade eden genel bir kavram olarak hakkına sahiptir. Bu hürriyet Resmî makamların müdahalesi olmaksızın haber veya “medya”nın, yazılı mahiyete sahip olan bir alt başlığı olarak değerlendirildiğini fikir almak ya da vermek serbestliğini de kapsar. Bu fıkra hükmü, radyo, televizyon, söylemek mümkündür (Yıldız, 2012). sinema veya benzeri yollarla yapılan yayımların izin sistemine bağlanmasına engel değildir.” denilerek hakkın kullanımının; millî güvenlik, kamu düzeni, kamu gü- Türkiye Cumhuriyeti Anayasasında Basın ve İfade Özgürlüğü venliği, Cumhuriyetin temel nitelikleri ve Devletin ülkesi ve milleti ile bölünmez bütünlüğünün korunması, suçların önlenmesi, suçluların cezalandırılması, Dev- Genel Olarak let sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması, başkalarının şöhret veya haklarının, özel ve aile hayatlarının yahut kanunun öngördüğü meslek sırla- Yukarıda kavramsal çerçevesi ile ortaya çıkış sürecine değinilen, düşüncelerin ba- rının korunması veya yargılama görevinin gereğine uygun olarak yerine getiril- sılmış eserler yoluyla açıklanması özgürlüğü olarak nitelendirebileceğimiz basın mesi amaçlarıyla sınırlanabileceği hükme bağlanmıştır. Mezkûr düzenlemenin özgürlüğü (Yıldız, 2012; Akkurt, 2014), Anayasa’nın 28. maddesinde düzenleme dördüncü fıkrasında ise düşünceyi açıklama ve yayma hürriyetinin kullanılma- altına alınmış, yine Anayasa’nın 29. ve 30. maddelerinde süreli ve süresiz yayın sında uyulacak şekil, şart ve usullerin kanunla düzenleneceği ifade edilmiştir. hakkı ile basın araçlarının korunması anayasal güvenceye bağlanmıştır. Anaya- sa’nın, basın özgürlüğüne ilişkin genel düzenlemesi mahiyetini haiz 28. madde- Kişinin dilediği şekil, zaman ve koşulda bir baskı, sınırlama ve zorlamaya maruz sinin birinci fıkrasında; basının hür olduğu ve sansür edilemeyeceği, basımevi kalmadan bilgi ve fikir sahibi olabilme, özgürce düşünebilme, düşündüklerini kurmanın izin alma ve mali teminat yatırma şartına bağlanamayacağı belirtilmiş, hiçbir baskı altında kalmadan açıklayabilme, muhatabına iletebilme ve yayma ikinci fıkrasında ise; devletin, basın ve haber alma hürriyetlerini sağlayacak ted- imkânının elinde olması şeklinde tanımlayabileceğimiz (Özkepir, Kocaman ve birleri alacağı hükme bağlanmıştır. Düzenlemenin üçüncü fıkrasında basın hür- Kart, 2020), ifade özgürlüğü olarak da bilinen bu özgürlük, gerçeği araştırma riyetinin sınırlanmasında uygulanacak Anayasa hükümleri gösterilmiş, dördüncü hususunda vazgeçilmez bir araç olarak, düşünebilen bir varlık olan insana en- fıkra ve devamında, basın faaliyetleri kapsamında gerçekleşebilecek suçlara ilişkin telektüel kapasitesini oluşturma ve bunu geliştirme imkânı sunmakta; aynı za- usul ve esaslar, yayınların toplatılması, zapt ve müsadere edilmesi ile geçici olarak manda karar alma süreçlerine etkin katılım sağlama, ülke yönetiminde söz sahibi kapatılmasına ilişkin düzenlemelere yer verilmiştir. olma gibi işlevleri sayesinde demokratik rejimler bakımından önemli bir görev 368 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 369 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI üstlenmektedir (Uygun, 2014). Bilgiye ya da haberlere özgürce erişebilme, sınır- düzenlemelerin, ifade özgürlüğü bahsi yerine “basın hürriyeti” başlığı altında ya lama ya da yönlendirmelere tabi olmadan kanaat ve fikir sahibi olabilme ve sahip da bu düzenlemenin devamında, ifade özgürlüğünden ayrı bir şekilde ele alın- olunan düşünce ya da kanaatleri özgür bir şekilde açıklayabilme ya da yayabil- mış olması, Türk hukuku bakımından ifade ve basın özgürlüklerinin tamamen me şeklinde sıralayabileceğimiz üç temel unsurdan oluşan ifade özgürlüğünün ayrı hak ve özgürlükler olduğu yönünde bir fikri de gündeme getirebilecektir. kapsamında, sadece ifadenin içeriğinin değil, ifadenin yer aldığı açıklama ya da Bu hususta kanaatimiz; basın özgürlüğünün, ifade özgürlüğünün belli araçlarla yayma araçlarının da bulunduğu kabul edilmektedir (Özkepir, Kocaman ve Kart, kullanılabilen özel bir görünümü olmasına karşın ayrı düzenlemelerle koruma 2020). Bu bakımdan ifade özgürlüğünün; yalnızca bir fikrin dışa vurulması ile altına alınmış ayrı haklar olduğu yönündedir (Salihpaşaoğlu, 2007). sınırlı olmayan, o fikre ya da bilgiye ulaşma fırsatı ve serbestisi ile birlikte değer- lendirilen bir konumda bulunduğunu söylemek mümkündür (Sunay, 2000). Dar “Basın Kanunu ile “Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” anlamıyla bir düşüncenin, fikrin ya da inancın, çeşitli yollarla, herhangi bir engel Işığında “Basın” Kavramına Yeni Bir Bakış veya yasakla karşılaşmaksızın başkalarına aktarılmasını, geniş anlamıyla başka düşüncelere ulaşabilmeyi, din ve vicdan hürriyetini, aynı zamanda sahip olunan Bilindiği üzere 5187 sayılı Basın Kanunu, 09.06.2004 tarihinde kabul edilmiş düşünce doğrultusunda bireysel ya da toplu hareket ve davranışta bulunabilmeyi olup, 26.06.2004 tarihli ve 25504 sayılı Resmî Gazete’de yayımlanarak yürürlüğe içeren ifade özgürlüğü (Zarplı, 2008); söz, yazı, müzik, resim, görüntü gibi farklı girmiştir. Basın Kanunu’nun yürürlüğe girdiği tarihten bu yana, Anayasa Mah- şekillerde kullanılabilmektedir (Yavuz Yayla, 2019). kemesi’nin (AYM) iptal kararı doğrultusunda mezkûr Kanun’un 9. maddesinde yapılan değişiklik ile 6352 sayılı Kanun ile yargılama süreçlerine ilişkin olarak 19, Anlaşılacağı üzere ifade özgürlüğü; temel itibarıyla bir düşünce, kanaatin ya da 26 ve Geçici 3. maddelerinde yapılan değişiklikler haricinde esaslı bir değişiklik yargının başkalarına açıklanmasını kapsamaktadır. Bununla birlikte sözü edilen geçirmediği bilinmektedir. Buna karşın, 5187 sayılı Basın Kanunu’nun yürürlüğe açıklama faaliyetinde kullanılan yöntem ve araçların değişkenliği ile ifade özgür- girdiği 2004 yılından günümüze değin geçen yirmi yıla yakın zaman zarfında lüğünün farklı hak ve özgürlükleri bünyesinde barındıran kapsamlı bir mahiyete teknolojinin yanı sıra basın ve yayın araçlarında da büyük ve köklü değişimler sahip olması; ifade özgürlüğünün alt kategorileri olarak da değerlendirilebilecek gerçekleşmiş, özellikle basının bilgi, haber ve düşünceleri ortaya koyduğu yön- farklı hakların ortaya çıkışına da zemin hazırlamıştır. Bu bağlamda ifade özgürlü- temlerde meydana gelen değişiklikler; basına, basın araçlarına ve basın mensup- ğünün gazete, dergi, kitap gibi basılmış eserler yoluyla kullanılan görünümünün, larına bakış açısında bir değişikliğe gidilmesini zaruri kılmıştır. basın özgürlüğünü ifade ettiğini söylemek mümkündür (Akkurt, 2014; Yılmaz Avcı, 2014). Kanaatimizce basın özgürlüğünün sınırlama sebepleri bakımından Bu bakış açısıyla ortaya konulan ve 18.10.2022 tarihli ve 31987 sayılı Resmî Gaze- ifade özgürlüğüne yapılan yollama da bunun bir sonucudur. Bu yönüyle ifade öz- te’de yayımlanarak yürürlüğe giren 7418 sayılı “Basın Kanunu ile Bazı Kanunlarda gürlüğünün, basın özgürlüğüne kaynak teşkil ettiği ve bu iki özgürlüğün ayrılmaz Değişiklik Yapılmasına Dair Kanun”un gerekçesinde; teknoloji ve bunun sonuçla- bir ilişki içerisinde bulunduğu söylenebilir. Bununla birlikte basın özgürlüğünün, rı arasında yer alan internetin, diğer kitle ve iletişim araçlarını geride bıraktığı, mahiyeti gereği ifade özgürlüğünden ayrılan ve özel bir korumayı gerektiren fark- giderek artan kolay erişim ve iletişim yöntemlerinin sosyal medya kavramını top- lı alanlara ve koruma sahalarına sahip olduğunun da ifade edilmesi gerekmekte- lumsal yaşamın merkezine taşıdığı, internetin, haber ve bilgiye erişimi kolaylaş- dir. Anayasa’da özel olarak belirtilen ve basın özgürlüğüne ilişkin düzenlemeler tırmasının ve hızlandırmasının bir sonucu olarak sosyal medya kullanımının da arasında yer verilen basımevi kurma, süreli ve süresiz yayın haklarının izin ve arttığı, sosyal medya platformlarının da çeşitlenmesiyle kişilik hakkı ihlallerinin mali teminat şartına bağlanamaması, basımevi ve eklentileri ile basın araçlarının de yaygınlaştığı vurgulanarak bu ihlallerle mücadele edilebilmesi amacıyla mev- suç aleti olduğu gerekçesiyle zapt, müsadere ya da işletilmekten men edileme- cut düzenlemelere ek yeni düzenlemelerin yapılması gerektiği vurgulanmıştır mesi bu kapsamda öngörülen hükümler arasında değerlendirilebilir. Yine; med- (Basın Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Teklifi yada tekelleşmenin önlenmesi, basın çalışanlarının iş güvencesinin sağlanması (2/4471) ile Dijital Mecralar Komisyonu ve Adalet Komisyonu Raporları, t.y.). Bu ve haber kaynağını açıklama hakkı gibi haklar ve düzenlemelerin, bu kapsamda kapsamda, mezkûr Kanun’da kendisine yer bulan en önemli hususlardan biri, yer aldığı söylenebilecektir. Bu yönüyle basın özgürlüğünün, ifade özgürlüğü- konumuz açısından da önem arz eden internet haber sitelerinin durumuna iliş- nün özelleşmiş bir biçimi olduğunu ifade etmek mümkündür (Armağan, 1998). kindir. Nitekim 7418 sayılı Kanun’un yürürlüğe girmesi ile 5187 sayılı Basın Kanu- Bununla birlikte Anayasa’da yer alan ve basın özgürlüğüne yönelik olan mezkûr nu’nun kapsamına internet haber sitelerinin de eklenmesi sağlanmış, “internet 370 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 371 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI haber sitesi” kavramı ise mezkûr Kanun’da, “internet ortamında, belirli aralıklarla ve süresiz yayın haklarının izin ve mali teminat şartına bağlanamaması”, “bası- haber veya yorum niteliğinde yazılı, görsel veya işitsel içeriklerin sunumunu yap- mevi ve eklentileri ile basın araçlarının suç aleti olduğu gerekçesiyle zapt, mü- mak üzere kurulan ve işletilen süreli yayın” şeklinde tanımlanmıştır. Bu itibarla, sadere ya da işletilmekten men edilememesi” gibi hükümler bağlamında mevcut teknolojik gelişmelerin izlediği seyir de dikkate alınarak internet haberciliğinin, tartışmaların devam etmesi de ihtimal dahilinde bulunduğundan kanaatimizce basın ile olan yakın ilişkisi gözetilerek kanaatimizce isabetli bir şekilde internet konunun ayrı kanunlar ile düzenlenmesi ya da Anayasa’daki mevcut hükümlerin haberciliğinin de basın faaliyetleri kapsamında düzenlenen hak ve yükümlülük- ifade özgürlüğünü de içerecek şekilde daha kapsayıcı bir şekilde kaleme alınması, lere sahip olması amaçlanmıştır. sorunun kalıcı bir şekilde çözümlenebilmesi adına önemli bir yaklaşım olacaktır. 5187 sayılı Basın Kanunu’nun 7418 sayılı Kanun ile değiştirilmeden önceki halin- 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDAN İSTİSNA BİR de; “basın” kavramı ile esasen yazılı ve basılı formatta ortaya konulan, basım araç- HAL OLARAK İFADE ÖZGÜRLÜĞÜ VE BASIN FAALİYETLERİ ları ile basılan ve bu yolla çoğaltılabilen kitle iletişim araçları kapsama alınmakta ise de kitle iletişim araçlarının basılı eserlerle sınırlı olmaması, bir diğer ifade ile 28/1-c Düzenlemesinin Şartları düşünce, haber ya da kanaatlerin aktarımında “medya” olarak tanımlayabilece- ğimiz iletişim ve kitle iletişim araçlarının aktif rol oynaması, “basın” kavramının Kişisel veri işleme faaliyetleri bakımından ana kural; aydınlatma yükümlülüğü- yalnızca yazılı ve basılı eserlerle sınırlı tutulması fikrinin önüne geçmektedir. nün yerine getirilmesi, gerekli teknik ve idari tedbirlerin alınması, bir işleme Özellikle içinde bulunduğumuz dijital çağda bilgiye erişimin ağırlıklı olarak in- şartının bulunması ve genel ilkelere riayet edilmesi şartıyla kişisel verilerin işle- ternet, sosyal medya ve diğer dijital platformlar aracılığıyla gerçekleşmesi; gün nebilmesidir. Bununla birlikte kanun koyucu; belirlediği bazı durumlarda gerçek- geçtikçe gazete ve dergi gibi basın araçlarının güç kaybetmesine sebep olmakta, leşecek kişisel veri işleme faaliyetlerini, kısmen ya da tamamen Kanun kapsamı bu durum internet üzerinden ya da başka medya araçlarıyla gerçekleştirilen fa- dışında bırakmıştır. Kanun’un 28. maddesinde düzenlenen ve “istisna” olarak ifa- aliyetlerin, nitelik itibarıyla basın faaliyeti olarak kabul edilmesinin mümkün de edilen bu haller, sınırlı sayıda düzenleme altına alınmış olup faaliyet bazında olduğu durumlarda “basın” kavramının daha geniş bir kapsamda değerlendiril- Kanun hükümlerinin uygulanmasını devre dışı bırakmaktadır. Diğer bir deyişle mesini zorunlu kılmaktadır. Nitekim Türkiye İstatistik Kurumu (TÜİK) 2012 yılı işleme faaliyetini gerçekleştiren veri sorumlusundan bağımsız olarak, mezkûr verilerine göre sırasıyla 3004 ve 4105 olarak açıklanan gazete ve dergi sayıları, düzenlemede gösterilen haller kapsamında gerçekleştirilecek kişisel veri işleme 2021 yılında 2071 ve 2389’a gerilediği gibi, 2020 yılında sırasıyla 2164 ve 2582 faaliyetlerine Kanun hükümleri uygulanmamaktadır. Anılan düzenlemenin bi- olarak açıklanan gazete ve dergi sayıları, bir önceki yıl olan 2020 yılına göre de rinci fıkrasının (c) bendi; “Kişisel verilerin millî savunmayı, millî güvenliği, kamu %6’lık bir azalış göstermiştir (TÜİK, t.y.). Benzer bir durum gazete ve dergilerin güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik yıllık tirajlarında da görülmekte olup, 2020-2021 döneminde gazete ve dergi ti- haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat rajları arasında %7,2’lik bir fark olduğu TÜİK tarafından açıklanmıştır. (TÜİK, veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.” hükmünü t.y.) Bu istatistiklere paralel olarak; 2011 yılında %42,9 olan “bireylerde internet amirdir. Mezkûr düzenleme ile kişisel verilerin “ifade özgürlüğü” kapsamında kullanımı”nın 2021 yılında %82,6’ya ulaştığı, aynı yıl “hanelerin internet erişi- işlenmesi halinde, diğer şartların da yerine getirilmiş olması kaydıyla faaliyetin mi”nin %92 olarak açıklandığı göz önüne alındığında internet haberciliği ve sos- Kanun hükümlerine tabi olmayacağı hüküm altına alınmış olup bu şartlar; milli yal medyanın basın faaliyetleri bakımından arz ettiği önemi anlamak daha da savunmanın, milli güvenliğin, kamu güvenliğinin, kamu düzeninin, ekonomik kolaylaşacaktır. Bu bakımdan; internet haberciliği kapsamında gerçekleştirilen güvenliğin, özel hayatın gizliliğinin ya da kişilik hakkının ihlal edilmemesi ile faaliyetlerin, süreli yayın faaliyeti olarak değerlendirilmesini esas alan düzenle- ifade özgürlüğü kapsamında gerçekleştirilen faaliyetin suç teşkil etmemesi ola- menin yasalaşması ile internet haberciliği ve buna bağlı diğer hususların Basın rak öngörülmüştür. Bu bakımdan, sözü edilen kavramların açıklanması anılan Kanunu içerisinde açık bir şekilde konumlandırılması sağlanmış olduğundan düzenlemenin kapsamının anlaşılabilmesi için kritik önem taşımaktadır. basının yazılı/görsel/işitsel gibi farklı kategorilere ayrılmasına gerekçe olarak gösterilen fikir ayrılıklarının da büyük ölçüde son bulacağı düşünülebilir. Bu- İfade özgürlüğü kapsamında kişisel verilerin işlenmesi durumunda faaliyetin Ka- nunla birlikte Anayasa sistematiği içerisinde basın özgürlüğünün yazılı ve basılı nun hükümlerinden istisna tutulabilmesi için uyulması gereken ilk koşul, işleme eserlerle ilişkilendirilmesine gerekçe olarak gösterilen “basımevi kurma”, “süreli faaliyetinin milli savunmayı ihlal etmemesi olarak düzenlenmiş olup; “milli sa- 372 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 373 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI vunma” kavramının anlaşılabilmesi, öncelikle savunma kavramının açıklanması- neticesinde bu yönde bir kanaatin oluşması sonucunda oluşan güvensizlik duru- nı gerektirmektedir. Temel itibarıyla savunma ise bir saldırıya karşı koymayı ifade mu şeklinde ifade edilmesi mümkündür. etmektedir (Türk Dil Kurumu, t.y.). Saldırının bir bireye yönelmesi kadar ülkeye yönelmesi de söz konusu olabildiğinden devletler, kendi hakimiyet sahası içeri- Mezkûr düzenlemede yer verilen ikinci koşul, işleme faaliyetinin milli güvenliği sinde bulunan alanlara yönelik her türlü tehdidi göz önüne alarak bu tehdidin ihlal etmemesidir. Milli güvenlik kavramı, tarihsel olarak devlet kavramı kadar bir saldırıya dönüşmemesi adına gerekli tedbirleri almakta ve uygulamaktadır eskiye dayanmakla birlikte, kavrama yüklenen anlamın zamanla farklılaştığı gö- (Kalyon, 2008). Bu bakımdan bir saldırı tehdidinin ya da saldırının bir ülkeye rülmektedir (Yavuz Yayla, 2018). Bu farklılaşmanın temelinde; milli güvenlik kav- yönelmesi halinde ilgili devletin, kendi ülke sınırlarını söz konusu saldırıya ya ramının, algılanma biçiminde meydana gelen değişiklikler ile tehditlerin farklı da tehdide karşı koruması “milli savunma” kavramını ifade etmekte olup milli şekiller ve boyutlarda ortaya çıkmasının bulunduğu söylenebilir. Nitekim başta savunma temelde ülkenin dış saldırılara karşı korunmasını konu edinmektedir savaşlarla ilgili askeri ihtiyaçlar ve düzenlemeler için “milli savunma” kavramının (Yavuz Yayla, 2018). Bu kapsamda bir ulusa yönelen ya da yönelebilecek olan bir karşılığı olarak kullanılan milli güvenlik kavramı (Yavuz Yayla, 2018), II. Dünya saldırıya karşı hangi tedbirlerin alınabileceği, bu tedbirlerin ne zaman ve nasıl Savaşı’ndan Soğuk Savaş döneminin sonuna kadar çoğunlukla devlet merkezli uygulanabileceği, hangi kaynakların, hangi ölçüde, ne kadar ve nasıl kullanılabile- olarak ve askeri yaklaşım çerçevesinde dar bir bakış açısıyla ele alınmıştır (Arslan, ceği gibi hususlara yönelik olarak gerçekleştirilecek faaliyetlerin de milli savunma 2022). Bununla birlikte I. Dünya Savaşı ile evrensel nitelik kazanmaya başlayan kavramı kapsamında yer aldığı söylenebilecektir (Kalyon, 2008). milli güvenlik kavramının, II. Dünya Savaşı ve sonrasında bilimsel anlamda ele alınmaya başlayarak mevcut anlamını kazandığı (Yavuz Yayla, 2018) ve kavramın Bu noktada “ülke” ve saldırı tehdidi bağlamında “tehdit” kavramlarının da de- kapsamının suç faaliyetleri, terörizm ve göçü içerecek şekilde genişletildiği kabul ğerlendirilmesi gerekmektedir. Sözlük anlamıyla “ülke”, “bir devletin egemenliği edilmektedir (Arslan, 2022). altında bulunan toprakların tümü, diyar, memleket” (Türk Dil Kurumu, t.y.) şek- linde tanımlanmakta olup, söz konusu tanımdan da açıkça görüleceği üzere ülke Bu noktada kavrama dair net bir çerçevenin çizilemediğinin de belirtilmesi ge- kavramı, devletin hakimiyet sahası ile doğrudan bağlantılı bir konumda bulun- rekmektedir. Öğretide bu duruma gerekçe olarak; kavramın “bilimsel” bir nitelik maktadır. Bu yönüyle ülke, devletin hakimiyet sahası içinde yer alan kara sahası, taşımaması, teknik anlamda hukuki bir kavram olmaması ve kavramın salt askeri hava sahası, karasuları ve varsa adalarını kapsayan gerçek anlamda ülkeyi ifade bir kavram olarak değerlendirilmesi durumunda, askeri alan dışında kalan unsur- etmektedir (Kaya, 2020). larının dışlanması sebebiyle eksik bir tanımlamada bulunulması, kavramın siyasi, ekonomik ve hukuki olmak üzere çeşitli yönlerinin bulunması gibi sebepler gös- Ülkeye yönelmiş bir saldırı tehdidi bağlamında “tehdit”ten ne anlaşılması gerekti- terilmektedir (Çınarlı, 2015). Bu bakımdan kavrama ilişkin farklı tanımlamalarda ği de bu noktada karşımıza çıkan diğer bir sorudur. Nitekim, her şeyden önce her- bulunulması yoluna gidildiği ve yapılan tanımlarda milli güvenliğin farklı unsur- hangi bir tehlikenin, muhatabı tarafından algılanmadığı sürece “tehdit” olarak larına temas edildiği görülmektedir. Örneğin, öğretide Yavuz Yayla, kavramın yurt değerlendirilmesi fiilen imkân dahilinde değildir. Diğer taraftan ülkeye yönelmiş içi ve yurt dışı olacak şekilde ülke güvenliğinin sağlanmasını, bu yönüyle özellikle tehlikenin, ne aşamada tehdit olarak değerlendirilebileceği de söz konusu değer- askeri faaliyetleri ve dış güvenliği sağlayacak şekilde gerçekleştirilen eylemleri lendirmeyi sübjektif bir hale getirmektedir. Bu bakımdan tehdit kavramının genel ifade ettiğini belirtmekte iken (Yavuz Yayla, 2018); Tunç ve Döner, kavramı dar ve geçer bir tanımlanmasının yapılması kanaatimizce mümkün görünmemektedir. geniş anlamda ele alarak dar anlamda milli güvenliğin yalnızca milli savunma ile Bununla birlikte öğretide Yavuz Yayla, konuyu “güvenlik” kavramı üzerinden ele ilgili sorunları ele aldığını ve olağanüstü hal rejimi sonucunda alınacak önlemleri almakta ve güvenlik kavramını, “güvensizlik ihtimallerinin ortadan kaldırıldığı içerdiğini, geniş anlamda ise toplumsal hayatta karşımıza çıkabilecek her şeyin kaygı ve tehdidin olmama durumu” şeklinde tanımlayarak genel güvensizlik halini, milli güvenlik konusu kapsamında yer alabileceğini ifade etmektedir (Tunç ve tehdit olarak değerlendirmekte, tanım içerisinde yer alan tehdit kavramının ise Döner, 1998). Kanaatimizce milli güvenlik kavramının, dar anlamda ele alınarak bir yönüyle gerçek olgu ve olaylara diğer yönüyle algı ve tahminlere dayandığını yalnızca askeri bir kavram olarak tanımlanması, ortaya çıkacak sonuç bakımın- belirtmektedir (Yavuz Yayla, 2018). Söz konusu tespitlerden yola çıkılarak saldırı dan “milli savunma” ile “milli güvenlik” kavramlarını eş tutmak anlamına gelece- tehdidinin, ülkeye yönelik olarak bir saldırının gerçekleşeceğine ilişkin mevcut ğinden bu noktada “savunma” ile “güvenlik” kavramları arasında bir fark bulunup emarelerin bulunması ya da somut durumun hal ve şartlarının değerlendirilmesi bulunmadığı meselesine odaklanılması gerekmektedir. Yukarıda, savunmanın te- 374 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 375 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI mel itibarıyla “bir saldırıya karşı koyma”yı ifade ettiğinden söz edilmişti. Güvenlik zor kullanılması suretiyle önlenmesi ve ihlalin meydana gelmesi halinde etkileri- ise sözlük anlamıyla “toplum yaşamında yasal düzenin aksamadan yürütülmesi, nin ortadan kaldırılması amacıyla yapılan devlet faaliyetleri olarak ifade edilmesi kişilerin korkusuzca yaşayabilmesi durumu”nu ifade etmektedir (Türk Dil Kuru- mümkündür (Kızılyel, 2014). Bu noktada iç güvenliğin sağlanmasını da kapsamı- mu, t.y.). Bu bakımdan güvenlik kavramının, savunma kavramına nazaran daha na alan milli güvenlik kavramı ile kamu güvenliği kavramının arasındaki farkın geniş bir kapsama sahip olduğu, diğer bir ifade ile savunmanın, güvenlik kavra- da ortaya konulması gerekmektedir. Bilindiği üzere, üniter yapının korunması ve mının alt başlıklarından birini teşkil ettiği anlaşılmaktadır. Mülga 2945 sayılı ulusun tekliği bağlamında karşımıza çıkan sorunların, duruma göre milli güven- Milli Güvenlik Kurulu ve Milli Güvenlik Kurulu Genel Sekreterliği Kanununun lik veya kamu güvenliği meselesi olarak değerlendirilebilmesi mümkün olup bu ikinci fıkrasının (a) bendinde de kavramın; “Devletin anayasal düzeninin, milli noktada yönelen tehlikenin boyutunu dikkate almak gerekmektedir (Özdemir, varlığının, bütünlüğünün, milletlerarası alanda siyasi, sosyal, kültürel ve ekono- 2016). Anılan değerlere yönelen tehlikenin ancak düzenli askeri birliklerle gide- mik dahil bütün menfaatlerinin ve ahdi hukukunun her türlü dış ve iç tehditlere rilebilecek noktada olduğu bir durumda milli güvenliğin; bu boyutta olmayan karşı korunması ve kollanması” şeklinde tanımlanmış olması, milli güvenlik kav- tehlikeye karşı güvenlik tedbirlerinin alınması ihtiyacının doğduğu hallerde ise ramının sırf askeri bir kavram olmaktan öte bir anlamla yorumlandığı ve farklı kamu güvenliğinin söz konusu olabileceği söylenebilir (Özdemir, 2016). Diğer boyutlarının olduğu yönündeki yaklaşımları desteklemektedir. Sözü edilen tanım bir ifadeyle milli güvenlik, kamu güvenliğine nazaran daha yoğun ve büyük bir ile “tehdit” kavramının sahip olduğu anlam birlikte değerlendirildiğinde, milli tehlikenin varlığı halinde söz konusu olmakta iken kamu güvenliği, vatandaşların güvenlik kavramının iç güvenliğin sağlanması ve dış güvenliğin sağlanması olmak yaşam hakkının korunmasının devamlılığı ve güvenliğinin devlet sorumluluğu üzere iki temel meselesinin bulunduğu anlaşılmaktadır. Bu noktada dış güvenlik altında korunması faaliyeti olarak, kamusal alan ile özel alan arasındaki emniyet kavramı, “savaşta ve barışta, dış ülkelerden gelen tehlikelere karşı devlet tüzel kişi- hizmetlerini içermektedir (Özdemir, 2016). liğinin korunması” (Çınarlı, 2015) şeklinde ifade edilecek olursa devletin ülkesine yönelmiş mevcut ya da olası saldırıların önlenmesine yönelik tüm faaliyetlerin İstisna hükümlerinin uygulanması bakımından aranan dördüncü şart, kamu bu kapsamda yer aldığı söylenebilecektir. İç güvenlik ise devletin egemenlik sı- düzeninin ihlal edilmemesi olarak hüküm altına alınmıştır. Kamu düzeni; genel nırları içindeki emniyet ve asayiş durumuna vurgu yapan bir kavram olup; temel ve soyut bir kavram olarak temel itibarıyla toplum menfaatlerine yönelmiş olan, itibarıyla ülke sınırları içerisindeki insanların can ve mal güvenliğinin, toplumsal uyulmasında ve korunmasında toplumun ve devletin menfaatinin bulunduğu düzenin, temel hak ve özgürlükler ile rejimin temel değerlerinin korunmasını kurallar bütününü ifade etmektedir (Bayra, 2020). Bu yönüyle kamu düzeni, gö- ifade etmektedir (Çınarlı, 2015). Bu bakımdan milli güvenlik kavramının, ülkeye receli ve değişken bir yapıya sahip ise de toplumsal hayatta düzenin ve barışın yönelmiş olan somut bir saldırı ya da saldırı tehdidinden bağımsız olarak devletin hâkim olması ve devletin işleyişini bozması muhtemel unsurların yokluğu kamu iç ve dış güvenliğinin sağlanmasına yönelik olarak gerçekleştirilen faaliyetlerin düzeninin içeriği bakımından vazgeçilmezdir (Bayra, 2020). tümünü kapsadığını söylemek mümkündür. AYM; kamu düzeni kavramına ilişkin olarak bazı değerlendirmelerde bulunduğu Düzenlemede yer verilen üçüncü koşul, kamu güvenliğinin ihlal edilmemesi ola- bir kararında, öğretide kamu düzeni kavramına ilişkin olarak gerçekleştirilen rak ifade edilmiştir. Milli savunma ve milli güvenlik kavramlarına benzer şekilde, tanımlamaların incelenmesi sonucunda kamu düzeninin, “toplumun huzur ve kamu güvenliği kavramına ilişkin olarak da üzerinde uzlaşı sağlanmış bir tanım sükûnunun sağlanmasını, devletin ve devlet teşkilâtının muhafazasını hedef tu- bulunmamakta olup bu durumun sebebine ilişkin olarak “kamu” ve “güvenlik” tan her şeyi ifade ettiği, bir başka deyimle cemiyetin her sahadaki düzeninin te- kavramlarının ne olduğu hakkındaki görüş ayrılıkları gösterilmektedir. Bilindi- melini teşkil eden bütün kuralları kapsadığı sonucuna varıldığı”ndan söz ederek ği üzere güvenlik kavramı, temel olarak tehdit altında bulunmama durumunu “ilk bakışta doğrudan doğruya bir ilgisi görülmeyen birçok konularla birlikte ve ifade etmektedir. Kamu kavramı ise devlet ve devletin organlarını ya da toplumu memleket güveni de dâhil olmak üzere toplumun her alanda düzenini sağlayan ifade etmek üzere kullanılabilmektedir. Bu bakımdan güvenlik, topluma yönelik kuralların hedef tutulduğunu” ifade etmiş ve bu kuralların bozulması halinde bir tehdidin söz konusu olduğu durumlarda ilgili devlet bakımından çözülmesi kamu düzeninin bozulacağını belirtmiştir (Anayasa Mahkemesi Kararlar Dergisi, gereken bir sorun halini almaktadır. Bu bağlamda kamu güvenliğinin ise; bir 1971). Karardan da anlaşılacağı üzere kamu düzeni, oldukça geniş bir kapsama ülkede yaşayan insanların başta can ve mal güvenliği olmak üzere temel hak ve sahip bir kavram olup, kavramın, “bir ülkede yaşayan halkın günlük yaşantısının özgürlüklerine ya da devletin bizzat kendisine yönelen bir tehlikenin, gerekirse güvenlik, sağlık, dirlik ve esenlik içinde sürdürülmesi için alınan önlemler ile bu 376 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 377 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI doğrultuda gerekli koşulların sağlanması” şeklinde tanımlanması mümkündür ile kamusal alanlarda yaşadığı olayları içermekte ve bu alan kural olarak kişilik (Özdemir, 2016). haklarına ilişkin korumadan yararlanamamaktadır (Güntürk, 2012; Akyürek, 2021). Özel hayat alanı ise belli bir grubun ya da belli kişilerin öğrenebildiği ve İstisna hükümlerinin uygulanması bakımından aranan beşinci şart; ekonomik gözleyebildiği bir alan olup, bu alanın kişilik haklarına ilişkin korumadan ya- güvenliğin ihlal edilmemesidir. Üzerine farklı tanımlamalar yapılmış olmakla rarlandığı kabul edildiğinden özel hayat alanına haksız olarak girilmesi hukuka birlikte temel anlamda ekonomik güvenlik, “devletlerin varlığının sürekliliğini aykırılık arz etmektedir (Güntürk, 2012). “Giz alanı” ya da “sır alanı” olarak da ve halkın refahını sağlayan, stratejik ekonomik unsurlarının korunması ile olası ifade edilen gizli hayat alanı; kişinin duygusal ya da cinsel hayatının, haberleş- tehdit ve risklere karşı hazırlıklı olma hali” şeklinde ifade edilebilir (Kocatepe, melerinin ve kişisel bilgilerinin yer aldığı alan olup bu alanı özel hayat alanından 2019). Bu bağlamda söz konusu amaca yönelmiş faaliyetlerin, diğer şartların da ayıran temel özellik, özel hayat alanında yakın kişilerle paylaşılan olay ya da bil- sağlanması koşuluyla istisna kapsamında yer alacağı söylenebilir. gilerin, bu kişiler tarafından, kendileriyle aynı kapsamda bulunan diğer kişilere aktarılmasının mümkün olmasına karşın gizli hayat alanına dâhil faaliyetlerin, Düzenlemede yer verilen altıncı şart ise kişilik haklarının ihlal edilmemesidir. güvenilen kişiler dışında kalan kişilerce öğrenilmesinin, kişinin açık ya da örtülü Bu noktada “kişilik hakkı”nın tanımı ve hangi hakların kişilik hakkı kapsamın- iradesiyle engellenmesidir (Güntürk, 2012; Akyürek, 2021). Bu bakımdan özel da yer alabileceği, düzenlemenin anlaşılması ve uygulanması bakımından kritik hayat kavramı; kişinin, ortak hayat alanı dışında kalan, diğer bir ifadeyle kamuya önem taşımaktadır. Bununla birlikte, pek çok düzenlemede kendisine yer bulan kapalı olan, ancak bireyin rızası üzerine kişinin özel yaşam alanı içerisinde yer “kişilik hakkı” kavramının Türk Medeni Kanunu’nda tanımına yer verilmediğini, alan kimseler tarafından bilinebilen ve bu kişilerle paylaşılabilen etkinlik ve dav- mehaz düzenlememiz olan İsviçre Medeni Kanununun da konuya ilişkin bir ta- ranışları kapsayan bir kesit olarak ifade edilebilir (Çelik, 2017). nımlamaya gitmediğini belirtmek gerekmektedir. Öte yandan temel olarak kişilik hakkının, “insanın insan olması dolayısıyla ayrılmaz bir biçimde sahip olduğu İstisna hükümlerinin uygulanması bakımından aranan sekizinci ve son şart ise hakları” şeklinde ifade edilebilmesi mümkündür (Oğuzman, Seliçi ve Oktay Öz- işleme faaliyetinin suç teşkil etmemesidir. Bilindiği üzere suç, ceza kanunlarının demir, 2012). Bu bakımdan “kişilik hakkı”nın, bireyi birey kılan, kişinin kişiliğini olumlu veya olumsuz bir emrinin ihlalini ifade etmektedir (Zafer, 2011). Kanun oluşturan ve bu itibarla korumaya değer görülen, başta yaşam hakkı olmak üze- koyucu tarafından yasaklanan fiillerin gerçekleştirilmesi halinde ceza ya da gü- re kişinin bedensel ve ruhsal bütünlüğü, cinsel dokunulmazlığı, sağlığı, onuru, venlik tedbiri yaptırımına bağlanmış hukuka aykırı insan fiili olarak karşımıza saygınlığı, özel yaşamının gizliliği, özgürlüğü, sözleri, resmi, ismi gibi insana ait, çıkan suç kavramı, ancak ceza kanunlarında ya da ceza normu içeren diğer ka- bireysel ve kişisel değerlerini konu edindiği genel kabul görmektedir (Serozan, nunlarda düzenlenen hallerde ortaya çıkmaktadır. Bu bakımdan bir fiilin suç 2018; Şimşek, 2008; Oğuzman ve diğerleri, 2012; Dural ve Öğüz, 2018; Akipek, teşkil etmesi ile kast edilen; fiilin gerçekleşmesinden önce kanunda emredilmiş Akıntürk ve Ateş, 2015). olumlu ya da olumsuz emrin, ihlal edilmesi durumunda yaptırım olarak hapis, adli para cezası ya da güvenlik tedbiri uygulanacağının kanunda açık bir hükümle Bu noktada, hem kişilik hakkının bir parçasını oluşturan hem de Kanun’un 28/1-c düzenlenmesidir. düzenlemesinde ayrıca ve açıkça sayılarak faaliyetin istisna kapsamında değer- lendirilebilmesi için yedinci bir şart olarak aranan özel hayatın gizliliğinin ihlal Kişisel Verileri Koruma Kurulu Kararları Işığında İfade Özgürlüğü ve Kişisel edilmemesinden ve bu bağlamda “özel hayat” kavramından söz etmek gerekmek- Verilerin Korunmasını İsteme Hakkının Yarışması tedir. Güncel, dinamik ve karmaşık yapıya sahip bir kavram olarak “özel hayat”, öğretide farklı yazarlar tarafından farklı şekillerde tanımlandığından kavrama Bilindiği üzere Kanun’un 13. ve 14. maddelerinde, kişisel verileri işlenen ilgili dair üzerinde uzlaşılmış bir tanım verebilmek oldukça güçtür. Bununla birlikte kişilerin; mezkûr Kanun’un 11. maddesinde düzenlenen hususlarda söz konusu öğretide pek çok taraftar toplayan, Alman hukuku kökenli “Üç Alan” teorisi, ko- işleme faaliyetine ilişkin olarak veri sorumlularına başvurabileceği ve bu başvuru- nuyu daha basit bir çerçeve ile ele alarak kişinin yaşam alanını “ortak hayat alanı”, nun reddedildiği, başvuruya yeterli cevap alınamadığı ya da hiç cevap verilmediği “özel hayat alanı” ve “gizli hayat alanı” olmak üzere üç sınıf halinde incelemek- durumlarda Kurul’a şikâyet hakkının kullanılabileceği hüküm altına alınmakta- tedir. “Üç Alan” teorisini ileri süren Hubmann’a göre ortak hayat alanı; bireyin, dır. Yine Kanun’un 15. maddesinde şikâyet üzerine ya da ihlal iddiasının öğrenil- kural olarak herkesin izlemesine ve bilgisine açık olan alanlarda diğer bir ifade mesi halinde resen, Kurul tarafından gerekli incelemenin yapılacağı düzenleme 378 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 379 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI altına alınmıştır. Bu bakımdan Kurul uygulamasında ifade özgürlüğü ya da basın yoluna gitmiştir (Kişisel Verileri Koruma Kurumu, 2019). Bir başka şikâyette ise özgürlüğü ile kişisel verilerin korunması hakkının karşı karşıya geldiği durumlara internet gazeteciliği faaliyeti de gösteren veri sorumlusu şirketin, kendilerine ilişkin olarak Kurul’un yaklaşımına da yer verilmesi gerekmektedir. gönderilen ihtarnameyi, ihtarname içeriğinde yer alan kişisel veriler de görülecek şekilde haber içeriğinde kullanması inceleme konusu edilmiştir. Konuya ilişkin İlk olarak Kurul, metnin lafzi ifadesinde kendisine yer bulan “ifade özgürlüğü” olarak Kurul, Basın Kanunu’nun 14. maddesi gereğince yapılması gereken dü- kapsamında basın faaliyetlerinin de bulunduğunu açık bir şekilde ifade ederek zeltmenin kanundan kaynaklı bir yükümlülük olmasına karşın bu düzeltmenin basın özgürlüğünün, ifade özgürlüğünün bir yansıması olduğunu kabul etmekte amaçla bağlantılı, sınırlı ve ölçülü olması gerektiğine vurgu yaparak söz konusu ve demokratik toplumlardaki işlevine dikkat çekmektedir (Kişisel Verileri Koru- bilgilerin haberle bağlantılı olmadığını ve kişilik haklarının zarara uğraması- ma Kurumu, 2020a; Kişisel Verileri Koruma Kurumu, 2021; Kişisel Verileri Koru- na sebep olabilecek veriler içerdiğini, bu sebeple şikâyet konusunun Kanun’un ma Kurumu, 2022) Bu bağlamda Kurul’un konuya yaklaşımının, Anayasa’da iki 28/1-c düzenlemesi kapsamında değerlendirilemeyeceğini karara bağlamış; söz ayrı temel hak ve özgürlük olarak düzenleme altına alınmış olan basın özgürlüğü konusu işleme faaliyetine ilişkin bir işleme şartı bulunmasına karşın işlemenin ve ifade özgürlüğünü, haklar arasındaki bağlantıyı göz önüne almak suretiyle amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil etmesi sebebiyle değerlendirmek yönünde olduğu söylenebilir. veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir (Kişi- sel Verileri Koruma Kurumu, 2020b). Özetle Kurul, basın faaliyetlerinin icrası Öte yandan Kurul’un, kişilik hakkı ile basın ya da ifade özgürlüğünün karşı kar- neticesinde kişisel verilerin korunması hakkı ile ifade ya da basın özgürlüğü- şıya geldiğini değerlendirdiği başvurulara ilişkin olarak öncelikli olarak başvuru nün karşı karşıya geldiği başvurulara ilişkin olarak hangi hakkın üstün geleceği konusunun Kanun kapsamında değerlendirilip değerlendirilemeyeceği sorunu- meselesine odaklanmakta; bu noktada ise habere konu içeriğin kamu yararına na odaklandığı görülmektedir. Kurul’un vermiş olduğu kararlar incelendiğinde; yönelik olmadığı, haber detayında yer alan kişisel verilerin habere konu olay ile haberde yer alan bilgilerin bilinip bilinmemesine ilişkin olarak kamu yararının bağlantısız, yanlış ya da yanıltıcı olduğu, haber ile içerikte yer alan kişisel veriler bulunup bulunmadığı, bu bakımdan içeriğin kamunun haber alma hakkına hiz- arasında bir dengenin bulunmadığı başvuruları istisna kapsamında tutmayarak met edip etmediği (Kişisel Verileri Koruma Kurumu, 2020a), işlenen verinin özel Kanun hükümleri bağlamında ayrıca incelemektedir. Basın ya da ifade özgürlü- nitelikli olup olmadığı (Kişisel Verileri Koruma Kurumu, 2019), haberle ya da ğünün, kişisel verilerin korunması hakkına nazaran üstün geldiği değerlendirilen haber metni içeriği ile ilgisi olmayan, diğer bir ifade ile haberin yapılma amacı şikâyetler bakımından ise Kanun hükümleri uygulama alanı bulmadığından, ya- ile bağdaşmayan ya da bu amacı aşan bilgilerin haberde yer alıp almadığı (Kişisel pılan başvurular bakımından “Kurul tarafından tesis edilecek herhangi bir işlem Verileri Koruma Kurumu, 2020b), haberin doğru olup olmadığı (Kişisel Verileri bulunmadığı” yönünde karar verilmektedir. Koruma Kurumu, 2021) gibi hususları gözeterek öncelikle başvurunun, Kanun hükümlerine tabi olup olmadığını saptamaya çalıştığı anlaşılmaktadır. Söz ko- Bu noktada Kurul’un basın kavramına ve basın özgürlüğüne yaklaşımına da de- nusu hususları karşılayamayan, diğer bir ifade ile kişilik hakkının baskın geldiği ğinmek gerekmektedir. Kurul’a göre basın; “Kamu yararını ilgilendiren olay ve sonucuna varılan başvurular bakımından, bu başvuruların Kanun’un 28/1-c dü- konularda haber ve bilgi vermek, açıklamalar yapmak, eleştiri ve değer yargıları zenlemesi kapsamında yer almadığının değerlendirilmesi sebebiyle söz konusu sunmak suretiyle toplumu aydınlatmak ve kamuoyu oluşturmak” ile görevli olup başvurular bağlamında işlenen verinin türüne göre kişisel veri işleme şartları bu görev sebebiyle basına, haber verme hak ve görevi tanınmaktadır (Kişisel Ve- ya da özel nitelikli kişisel veri işleme şartlarının varlığının arandığı, ayrıca işle- rileri Koruma Kurumu, 2022). Bununla birlikte Kurul tarafından, habere konu me faaliyetinde genel ilkelere uyum hususunun da gözetildiği görülmektedir. Bu edilen kişilerin, kişisel verilerinin korunmasını isteme hakkı ile basın özgürlü- kapsamda Kurul’a intikal eden bir şikayette, ilgili kişinin kendisi ile ilgili olarak ğünün karşı karşıya geldiği durumlarda haberden beklenen yarar ve ilgili kişi- yapılan haber içeriğinde ilgili kişinin babasına ait sağlık verilerine de yer veril- nin, kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarla- mesi durumuna ilişkin olarak Kurul, söz konusu hususun bilinmesinde kamu rın karşılaştırılması gerektiği, bu karşılaştırmanın temel ölçütünün ise “kamu yararı olmadığı gerekçesiyle konunun Kanun’un 28/1-c düzenlemesi kapsamında yararı” olduğu belirtilmekte ve basının görev ve yetkilerini ifa ederken ortaya değerlendirilemeyeceğinden bahisle habere konu içerikte geçen sağlık verilerinin koyduğu yayının gerçek ve güncel olmasının yanı sıra kamu ilgi ve yararına da işlenmesi bağlamında şikayeti inceleme konusu ederek işleme şartının bulun- mazhar olması, aynı zamanda öz ve biçim arasındaki dengenin de korunması maması sebebiyle veri sorumlusu gazete hakkında idari para cezası uygulama gerektiği ifade edilmektedir (Kişisel Verileri Koruma Kurumu, 2021; Kişisel Ve- 380 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 381 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI rileri Koruma Kurumu, 2020a). Bu bakımdan Kurul’un “kamu ilgi ve yararının kemizde tartışma konusu edildiğinin, hatta bazı yargı kararlarında “unutulma varlığı”, “haberin gerçekliği ve güncelliği” ve “öz ve içerik arasında denge bulunup hakkı” ifadesine açıkça yer verildiğinin, özellikle Yargıtay tarafından unutulma bulunmadığı” olmak üzere üç ana kriter doğrultusunda bir değerlendirme yaptı- hakkı kavramının farklı kararlarda sıkça kullanıldığının belirtilmesi gerekmek- ğı anlaşılmaktadır. Bu kriterlerden kamu yararının tespitinde, “yapılan haberin tedir. Bu bakımdan Yargıtay’ın bir yüksek mahkeme olarak unutulma hakkını kişilerin merak duygularına ya da yüksek ahlaki ve hukuki değerlerin korunması içtihat yoluyla benimsediği ve mahiyeti uygun düştüğü ölçüde Kanun öncesi dö- amaçlarından hangisine hizmet ettiğinin tespit edilmesi gerektiği” belirtilmekte, nemde de kararlarına konu ettiğini söylemek mümkündür. Ülkemizde unutulma aynı zamanda “siyasetçiler ya da kamu görevlileri gibi kimseler hakkında yapılan hakkına ilişkin olarak verilen ilk karar olduğu ifade edilen (Yenice Ceylan, 2021) haberlere ilişkin olarak, basın özgürlüğüne yönelecek kısıtlamaların daha dar ve Yargıtay Hukuk Genel Kurulu (YHGK) tarafından verilen bir kararda, cinsel biçimde yorumlanması gerektiği” ifade edilmektedir (Kişisel Verileri Koruma taciz suçuna ilişkin olarak yapılan bir yargılama sırasında verilen ilamın temyizi Kurumu, 2021). Yine benzer şekilde “toplumsal bir ilgi uyandıran, kamuoyunun neticesinde Yargıtay tarafından verilen kararın, suçun mağduru ile diğer şahısla- düşünmesine ve tartışmasına katkıda bulunan, belli bir sorunun aydınlatılması rın ismi rumuzlanmadan akademik bir eserde kullanılması değerlendirme konu- ya da buna ilişkin çözüm yollarının gösterilmesi amacına hizmet eden olayla- su edilmiştir (YHGK, 2015). YHGK, öncelikle sorunun temeline ilişkin bir tespitte rın açıklamasında kamu yararı bulunduğu” kabul edilmektedir (Kişisel Verileri bulunarak “Unutulma hakkı ve bunun sonucu olarak kişisel verilerin ve kişilik Koruma Kurumu, 2020a). Haberin gerçekliği ve güncelliğine ilişkin olarak ise hakkının korunması ile bilim ve sanat hürriyetinin birbiri karşısındaki sınırların gerçeklik unsurunun, “haberin verildiği andaki beliriş biçimine uygunluk” biçi- belirlenmesi” gerektiğini ifade etmiş ve bunlar arasında adil bir denge kurulması minde anlaşılması gerektiği, güncellik unsurunun ise “olayın kamuya açıklandı- gerektiğini değerlendirmiştir (YHGK, 2015). Akabinde kişisel verilerin korunması ğı zaman diliminde açıklama faaliyetine ilişkin bir kamu yararının bulunması” ve kişisel verilerin korunmasının insan haklarıyla olan ilişkisine değinen YHGK; biçiminde değerlendirileceği, üzerinden geçen zaman sebebiyle açıklanmasının unutulma hakkını “üstün bir kamu yararı olmadığı sürece, dijital hafızada yer artık kamusal bir yararı içermediği durumlarda kişilik hakkının ön plana çıkacağı alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkala- belirtilmektedir (Kişisel Verileri Koruma Kurumu, 2021; Kişisel Verileri Koruma rının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlemesini Kurumu, 2020a). Son kriter olan biçim ve öz arasındaki dengeye ilişkin olarak isteme hakkı” olarak tanımlamış ve unutulma hakkı ile bununla ilgili olduğu öl- ise Kurul, bu unsurun gerçekleşmesi bakımından “haberin dilinin ve haberde çüde ve minimum süre ile kişisel verinin tutulması veya depolanması gibi konu- kullanılacak ifadelerin, haberin gerektirdiği biçim ve ölçüde bulunması”, aynı ların kişisel verilerin korunması hukukunun çatısını oluşturduğunu belirtmiştir zamanda “haberin sahip olacağı yasal fonksiyonun yöneldiği amaca ulaşabilmek (YHGK, 2015). Unutulma hakkının, kişiye geçmişini kontrol etme, belli hususla- için en uygun ve elverişli olan araçların seçilmesi ve kullanılması”nı kapsadığını rın geçmişinden silinmesini ve artık hatırlanmamayı isteme hakkını tanıdığı; ifade etmektedir (Kişisel Verileri Koruma Kurumu, 2021). muhataplara da üçüncü kişilerin bu bilgileri kullanmaması ya da hatırlamaması hususunda bir yükümlülük yüklediği, ayrıca Avrupa İnsan Hakları Sözleşmesi’nin Öte yandan kişiler hakkında yapılan haberlerin, farklı internet siteleri üzerinden 8. maddesi kapsamında değerlendirilen mahremiyet hakkının “bireyin kendisi arama motorlarına yansıması sonucu bu hususta yapılan silinme taleplerinin hakkındaki bilgileri kontrol edebilmesi” şeklindeki hukuki çıkarlarını da içerdiği de Kurul tarafından inceleme konusu edilerek bu taleplerin, unutulma hakkı ve kişisel verilerinin mahrem kalması konusunda bireyin hukuki menfaatinin kapsamında değerlendirme konusu edildiği görülmektedir. Bu bakımdan basın bulunduğu hususu da kararda vurgulanmıştır (YHGK, 2015). Kararı önemli kılan özgürlüğü ve kişisel verilerin korunmasını isteme hakkı bağlamında ortaya çıkan bir diğer husus, unutulma hakkının yalnızca internet ortamında gerçekleşmiş yarışma alanına; habere konu içeriğin yayınlanmasını takiben, ilgili kişilerce ger- olaylar bakımından değil basılı eserler bağlamında da değerlendirilebilecek bir çekleştirilecek silinme taleplerinin ve buna bağlı olarak unutulma hakkının da talep olarak ele alınmış olmasıdır. Nitekim mezkûr kararda unutulma hakkına dâhil olduğu anlaşılmaktadır. Bu noktada; iç hukukumuzda “unutulma hakkı” adı ilişkin olarak yapılan tanımların dijital veriler için düzenlenmesine karşın hak- ile özel bir düzenlemeye yer verilmemiş olmasına karşın hakkın Türk Hukuku kın özellikleri ve insan hakları ile ilişkisi göz önüne alınarak unutulma hakkının bakımından da tartışma konusu edildiğini ve bu kapsamda yer aldığı değerlen- “kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da dirilen taleplerin de gündeme gelebildiğini ifade etmek gerekmektedir. Özellikle kabul edilmesi gerektiği” yönünde bir değerlendirmede bulunulmuştur (YHGK, uluslararası gelişmelerle bağlantılı olarak henüz kişisel verilerin korunmasına 2015). Bununla birlikte söz konusu hususa ilişkin olarak öğretide bir birlik bu- özgülenmiş bir düzenleme yürürlüğe girmeden önce de unutulma hakkının ül- lunmadığı, bazı yazarlar tarafından unutulma hakkının basılı eserleri kapsama- 382 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 383 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI dığı, yalnızca internet ortamında yer alan içerikler bakımından uygulama alanı da kaldığı süre, güncelliğini yitirme, tarihsel bir veri olarak kabul edilememe, bulduğu yönünde değerlendirmelerde bulunulduğu (Ocak, 2018; Nalbantoğlu, kamu yararına katkısı (toplumsal açıdan haberin değeri, haberin geleceğe ışık 2018; Elmalıca, 2016), bazı yazarlar tarafından ise internet dışındaki mecralarda tutan niteliği) habere konu kişinin siyasetçi veya ünlü olup olmadığı, haber veya da kişinin izni olmadan kişisel verilerinin işlenebileceği ve bu durumda unutul- makalenin konusu, bu bağlamda haberin olgusal gerçekler ya da değer yargısı ma hakkının bulunmadığının kabul edilmesinin hak kaybına yol açabileceğinin içerip içermediği, halkın ilgili veriye yönelik ilgisi gibi hususların her somut olay ifade edildiği görülmektedir (Çınar, 2022; Akkurt, 2016). için ayrı ayrı değerlendirilmesi gerektiğini ifade etmiştir (AYM, 2016). Bununla birlikte AYM’nin 2014/16026 (AYM, 2014a) ve 2014/17943 (AYM, 2014b) Başvuru Diğer taraftan unutulma hakkı kapsamında değerlendirilebilecek bazı başvuru- numaralı kararlarında olduğu gibi kimi kararlarda; unutulma hakkının, basın lar, AYM tarafından da inceleme konusu edilmektedir. 27.04.2022 tarihi itiba- özgürlüğü ile haber ve fikirlere ulaşma özgürlüğünün özüne dokunmadan ve rıyla AYM’nin resmi internet adresi olan üzerinden yapılan taramalara göre bu hak sahibinin çıkarlarını koruyacak şekilde kullanılması gerektiği hususuna yer kapsamda yapılan en eski başvuru, başvurucunun uyuşturucu madde kullandığı verilmiştir. Bu bakımdan AYM’nin unutulma hakkına ilişkin yaklaşımının, haklar iddiasıyla yürütülen kovuşturma neticesinde başvurucu hakkında adli para cezası arasında denge kurma prensibi ile hareket edilmesi doğrultusunda şekillendiği uygulandığı hususunda yapılan ve ulusal bir gazetenin internet arşivi üzerinden ve yayınlanan içerik, içeriğe konu şahsın toplum içerisindeki yeri ya da kamu yayınlanan üç ayrı haber başlığının kaldırılması yönündeki talebin reddedilmesi yararına katkısı gibi hususlarda yapılacak değerlendirmenin bu hususta önem üzerine yapılmış olup, AYM söz konusu hususta Anayasa’nın 17. maddesinin birin- arz ettiği anlaşılmaktadır. ci fıkrasında yer alan “şeref ve itibarın korunması hakkı”nın ihlal edildiğine karar vermiştir (AYM, 2016). Konuya ilişkin olarak AYM; kişinin itibarının, kimliğinin Yukarıda sözü edilen yargı kararlarının verilmesini takiben, Kanun’un yürürlüğe ve manevi bütünlüğünün bir parçası olduğunu, bununla birlikte şeref ve itibara girmesi ve 2017 yılında Kurul’un faaliyetlerine başlamasıyla, unutulma hakkı, idari yönelen müdahalelerin Anayasa m. 17/1 kapsamında değerlendirilebilmesi için bakımdan da değerlendirme konusu edilmiştir. Bu kapsamda verilen 23.06.2020 müdahalenin belirli bir ağırlık eşiğini aşması ve öngörülebilir şekilde kişinin tarihli ve 2020/481 sayılı Kararda, yukarıda yer verilen yargı kararları ile unutul- kendi eylemleri sonucu ortaya çıkmaması gerektiğini, ulaşılabilirlik, yaygınlık, ma hakkının uluslararası kaynaklarına yer verilerek iç hukukumuzda hakka açık- haber ile fikirlerin depolanması ve muhafazasındaki kolaylık sebebiyle internet ça yer verilmemesine karşın hakkı sağlamaya yönelik araçların varlığına vurgu ortamının, içeriklerin uzun süre erişilebilir durumda olmasına imkan sağladığını yapılarak Anayasa m. 20, Kanun m. 4, 7 ve 11 düzenlemeleri ile “Kişisel Verilerin belirterek kişilerin şeref ve itibarını zedeleyebileceği hususuna vurgu yapmıştır Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” m. (AYM, 2016). Akabinde haberlerin internet ortamında yayınlanmasının kişisel 8 düzenlemeleri doğrultusunda “bu yöndeki taleplerin ayrı bir hak tanımlaması- verilerin korunması hakkı ile ilişkili olduğunu belirten Mahkeme, konunun şeref na gerek olmaksızın karşılanabileceği ve unutulma hakkının sağlanmasına ilişkin ve itibarın korunması hakkının yanı sıra Anayasa’nın 20. maddesi kapsamında olarak uygulanacak yöntemin, somut olay kapsamında değerlendirilmesi gerekti- da değerlendirilmesi gerektiğine işaret ederek “internetin yaygın kullanımı neti- ği” belirtilmiştir (Kişisel Verileri Koruma Kurumu, 2020c). Öte yandan anılan cesinde basın özgürlüğü ile şeref ve itibarın korunması hakkı arasındaki dengenin, kararda; arama motorlarında ad ve soyadı üzerinden gerçekleştirilen taramalar basın özgürlüğü lehine bozulduğunu, bu dengenin yeniden kurulabilmesinin şeref ve sonucunda kişilerin kendisiyle bağlantılı sonuçlara ulaşılmamasını istemelerinin itibar yönünden bireylerin unutulma hakkının kabul edilmesi ile mümkün olabile- “indeksten çıkarılma talebi” olarak nitelendirileceği ve “bu talepler kapsamında ceği”ni belirtmiştir (AYM, 2016). Unutulma hakkına ilişkin olarak ise Mahkeme, arama motorlarının, internette toplanan verilerin işlenmesinde amaç ve vasıtaları Anayasa’da açıkça düzenlenmemesine karşın hakkın, internet aracılığıyla ulaşıl- belirlemesi sebebiyle KVKK m. 3 gereğince veri sorumlusu sıfatını haiz olduğu ve bu ması kolay olan ve dijital hafızada yer alan haberlere erişimin engellenmesine kapsamda arama motoru işletmecisinin gerçekleştirdiği faaliyetlerin mezkûr mad- ilişkin olarak Anayasa’nın 5., 17. ve 20. maddelerinin doğal bir sonucu olduğunu, de gereği kişisel veri işleme faaliyeti olduğu” karara bağlanmıştır (Kişisel Verileri kişilerin manevi varlıklarının geliştirilmesine bir fırsat verebilmek açısından dev- Koruma Kurumu, 2020). Yine anılan kararda indeksten çıkarılma taleplerine iliş- letin pozitif yükümlülüğünün bulunduğunu; bununla birlikte hakkın, internet kin olarak “ilgili kişilerin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi gazete arşivlerinde yer alan her türlü haberler için uygulanmasını beklemenin edinmesindeki menfaat arasında bir denge kurulması gerektiği” belirtilerek sınırlı mümkün olmadığını vurgulamıştır (AYM, 2016). Bu noktada bazı kriterler orta- sayım ilkesine tabi olmamak kaydıyla bazı kriterler ortaya konulmuştur. Bu kri- ya koyan AYM, yayının internetten kaldırılabilmesi için; yayının içeriği, yayın- terler; “ilgili kişinin kamusal yaşamdaki rolünün önemi”, “ilgili kişinin yasal olarak 384 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 385 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ergin olup olmadığı”, “içeriğin doğruluğu ve güncelliği”, “bilginin çalışma hayatına SONUÇ ilişkin olup olmadığı”, “özel nitelikli kişisel veri içerip içermediği”, “içeriğin hakaret, onur kırıcı ifade ya da iftira mahiyetinde bulunup bulunmadığı”, “kişi hakkında ön 2010 yılında yapılan Anayasa değişikliği ile kişisel verilerin korunmasını isteme yargıya sebep olup olmadığı ya da kişi açısından risk teşkil edip etmediği”, “bilgi- hakkı bir temel hak ve özgürlük olarak açıkça hukuk sistemimize dâhil edilmiş; nin ilgili kişi tarafından yayımlanıp yayımlanmadığı”, “orijinal içeriğin gazetecilik mezkûr düzenleme uyarınca çıkarılan Kanun ile söz konusu hakkın kullanımına kapsamında işlenip işlenmediği”, “bilgilerin yayımlanmasında yasal bir zorunluluk ilişkin usul ve esaslar düzenleme altına alınmıştır. Bu hususta gerek Anayasa m. 20 olup olmadığı” ile “bilginin, ceza gerektiren bir suça ilişkin olup olmadığı” olarak düzenlemesi gerek Kanun ve ikincil düzenlemeleri, bireyin özel hayatını ve bireye belirtilmiştir (Kişisel Verileri Koruma Kurumu, t.y.). ait bir değer olarak kişisel verilerin gizliliğini belli şartlar dâhilinde korumakta- dır. Anayasa’nın 26. maddesinde düzenlenen ifade özgürlüğü ile 28. maddesinde düzenlenen basın özgürlüğü ise toplumun bilgi edinmesine, haber, bilgi ve dü- şüncelere ulaşmasını amaçlamakta ve hem bireyin hem toplumun menfaatlerine hizmet eden diğer hak ve özgürlükler olarak karşımıza çıkmaktadır. Her ne kadar söz konusu hak ve özgürlükler Anayasal düzeyde koruma altına alınmış ise de bu haklar bazı durumlarda karşı karşıya gelebilmekte ve ortaya çıkan bu problemin kimin lehine çözümleneceğinin tespit edilmesi gerekmektedir. Sözü edilen bu sorunu, Kanun’un 28/1-c düzenlemesinde öngörülen ve Kanun hükümlerinin uygulanmayacağı haller arasında gösterilen “Kişisel verilerin ifade özgürlüğü kapsamında işlenmesi” durumu daha da karmaşık bir hale getirmektedir. Bu ba- kımdan öncelikle basın kavramının anlamı ile basın faaliyetlerinin kapsamının belirlenmesi, basın özgürlüğü kapsamında hangi faaliyetlerin bulunacağının tes- pit edilmesi ve basın özgürlüğü kapsamında yer aldığı değerlendirilen faaliyetin, kişisel verilerin korunmasını isteme hakkı ile yarışması durumunda, hangi hakka üstünlük tanınması gerektiğinin değerlendirilmesi gerekmektedir. Bu hususta “basın” faaliyetinin, iç hukukumuz bakımından, esas itibarıyla yazılı bir formatta olup bu format ile dağıtıma elverişli mahiyete sahip süreli ya da süresiz yayınla- rı kapsamına aldığı ağırlıklı olarak kabul edilmekte ise de basın faaliyetlerinin, teknolojik gelişmelerin etkisiyle geçirdiği değişim ve gerçekleştirilmek istenen faaliyetin mahiyetinin farklılık göstermediği dikkate alınarak faaliyetin kapsa- mının daha geniş bir şekilde yorumlanmasına bir engel bulunmadığı değerlen- dirilmektedir. Özellikle kamuoyunun bilgilendirilmesi amacına hizmet edilen faaliyetler bakımından, faaliyetin sırf yazılı/basılı olmayan medya araçlarıyla ya da internet yolu ile yürütülmesi sebebiyle, yürütülen faaliyetin basın özgürlü- ğü kapsamında yer almadığının değerlendirilmesi, koruma altına alınan hak ve özgürlüğün mahiyetiyle bağdaşmayacaktır. Bununla birlikte Kanun’un m.28/1-c düzenlemesinde “ifade özgürlüğü” bağlamında değerlendirilen haller basın fa- aliyetleri kapsamında yer alıp almadığına bakılmaksızın kapsam dışı bırakıldı- ğından, sözü edilen faaliyetler, basın özgürlüğü kapsamında yer almadığı kabul edilse dahi, ifade özgürlüğü kapsamında yine himaye göreceğinden esasen bu hususta bir tartışma ortaya çıkmayacaktır. 386 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 387 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Öte yandan basın özgürlüğünün sınırlama sebepleri ile ifade özgürlüğünün sı- KAYNAKÇA nırlama sebepleri büyük ölçüde benzerlik göstermekte olup söz konusu haklar ile özel hayatın gizliliği bağlamında kişisel verilerin korunması hakkı karşı karşıya ◊ Akarcalı, S. (1989). Basının Görevleri ve Basın Özgürlüğü. Ankara Üniversitesi geldiğinde Kurul uygulamasında iki hak arasında bir denge kurulması yoluna gi- Siyasal Bilimler Fakültesi Dergisi, 44(1), 265-287. dildiği görülmektedir. Uygulamada esas itibarıyla yapılan içeriğin kamu yararına katkısı, habere konu kişinin sahip olduğu ünün kaynağı, kamusal bir görevi yerine ◊ Akipek, J. G., Akıntürk, T. ve Ateş, D. (2015). Türk Medeni Hukuku- Başlangıç getirip getirmediği, içeriğin sırf merak duygularının tatmini amacına yönelip Hükümleri Kişiler Hukuku I. Cilt (Yenilenmiş 12. Baskı). İstanbul: Beta Ya- yönelmediği gibi hususların gözetildiği, bununla birlikte söz konusu kriterlerin yıncılık. sınırlı sayım suretiyle ele alınmadığı, bu sebeple somut olay şartları dâhilinde farklı kriterler öngörülerek bir değerlendirme yapılması yoluna gidilebildiği gö- ◊ Akkurt, A. (2014). Basın Özgürlüğünün Kapsamı ve Sınırları (Yayımlanmamış rülmektedir. Bu bakımdan uygulamada, basın-yayın araçları ile kamuya açıklanan Yüksek Lisans Tezi). İstanbul Üniversitesi Sosyal Bilimler Enstitüsü, İstanbul. herhangi bir bilginin, doğrudan “basın özgürlüğü” kapsamında değerlendirilmesi yerine, kamuya açıklanan içeriğin mahiyetinin de gözetildiği ve bu sayede, bir ◊ Akkurt, S. S. (2016). 17.06.2015 Tarih, E. 2014/4-56, K. 2015/2679 Sayılı Yargı- diğer temel hak ve özgürlük olan özel hayatın gizliliği hakkına yönelik koruma tay Hukuk Genel Kurulu Kararı ve Mukayeseli Hukuk Çerçevesinde “Unutul- alanının devre dışı bırakılmadığı, benzer şekilde, aynı şartlar altında yayımlanan ma Hakkı”. Ankara Üniversitesi Hukuk Fakültesi Dergisi, 65 (4), 2605-2635. ve kişisel veri barındıran bir içeriğin, peşinen özel hayatın gizliliği kapsamında değerlendirme konusu edilerek kamunun bilgi edinme hakkının engellenmesinin ◊ Akyürek, G. (2021). Özel Hayatın Gizliliğini İhlal Suçu (3. Baskı). Ankara: Seç- de önüne geçildiği anlaşılmaktadır. kin Yayıncılık. Diğer taraftan basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının ◊ Anayasa Mahkemesi. (2014a). 05.10.2017 tarihli ve 2014/16026 Başvuru No’lu karşı karşıya gelmesi, unutulma hakkı meselesinin de tartışma konusu edilmesini G.Y. Başvurusu. https://kararlarbilgibankasi.anayasa.gov.tr/BB/2014/16026 gerektirmektedir. Tarihsel gelişim süreci içerisinde dijital ortamda gerçekleşen ve adresinden 27.04.2022 tarihinde erişilmiştir. yapıldığı dönemdeki gerçek durumları yansıtan içerikler hakkında uygulama ala- nı bulduğu kabul edilen unutulma hakkı, iç hukukumuzda içtihat yoluyla kabul ◊ Anayasa Mahkemesi. (2014b). 05.10.2017 tarihli ve 2014/17943 Başvuru edilmiş ve bazı yargı kararlarında hakkın, yalnızca dijital ortamlar bakımından No’lu Fahri Göncü Başvurusu. https://kararlarbilgibankasi.anayasa.gov.tr/ değil, dijital ortamlar dışında kalan diğer ortamlar bakımından da uygulama ala- BB/2014/16026 adresinden 27.04.2022 tarihinde erişilmiştir. nı bulduğu hususuna yer verilmiştir. Bununla birlikte hakkın ortaya çıkış süreci, kabul ediliş amacı ve dijital ortamlar dışında kalan içeriklere ilişkin taleplerin ◊ Anayasa Mahkemesi. (2016). 03.03.2016 tarihli ve 2013/5653 Başvuru No’lu kabul edilmesi halinde karara ilişkin icraatlarda bulunabilmenin zorlukları göz N.B.B. Başvurusu. https://kararlarbilgibankasi.anayasa.gov.tr/BB/2013/5653 önüne alındığında unutulma hakkının uygulama alanının dijital ortamlar ile sı- adresinden 27.04.2022 tarihinde erişilmiştir. nırlanması, özellikle uluslararası uygulama ile uyumluluk anlamında daha uygun bir çözüm yolu olacak, verilecek kararların icrası ve bakımından da yeknesaklık ◊ Anayasa Mahkemesi Kararlar Dergisi (1971). E:1962/128; K:1964/8 sayılı ve sağlayacaktır. ◆ 28.01.1964 tarihli Karar, https://www.anayasa.gov.tr/media/4921/kd_02.pdf 19.02.2023. ◊ Armağan, S. (1998). Basın Hürriyeti ve Sınırları. Gazi Üniversitesi Hukuk Fakültesi Dergisi, 2(2) https://dergipark.org.tr/tr/download/article-fi- le/789921 , 28.02.2022. 388 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 389 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Arslan, U. (2022). Milli Güvenlik Kavramı ve Kavramın Türkiye’de Hukuksal- ◊ Elmalıca, H. (2016). Bilişim Çağının Ortaya Çıkardığı Temel Bir İnsan Hakkı laşması Süreci. Necmettin Erbakan Üniversitesi Hukuk Fakültesi Dergisi, 5 Olarak Unutulma Hakkı. Ankara Üniversitesi Hukuk Fakültesi Dergisi, 65 (4), (1), 183-212. 1603-1636. ◊ Aziz, A. (2013). Televizyon ve Radyo Yayıncılığı (Giriş), İstanbul: Hiperlink ◊ Esendal, N. (2018). Basın Yolu ile Kişilik Haklarının İhlali. Ankara: Seçkin Yayınları. (https://books.google.com.tr/books/about/Televizyon_ve_Rad- Yayıncılık. yo_Yaync%C4%B1l%C4%B1%C4%9F%C4%B1_Giri.html?id=6TdwDwAAQ- BAJ&redir_esc=y adresinden 31.01.2022 tarihinde erişilmiştir.) ◊ Esmer, M. (2014). Avrupa İnsan Hakları Sözleşmesi ve 1982 Anayasası’nda İfa- de ve Kitle İletişim Özgürlüğü (Yayımlanmamış Yüksek Lisans Tezi). İstanbul ◊ Basın Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Teklifi Bilgi Üniversitesi Sosyal Bilimler Enstitüsü, İstanbul. (2/4471) ile Dijital Mecralar Komisyonu ve Adalet Komisyonu Raporları. (t.y.). https://www5.tbmm.gov.tr/sirasayi/donem27/yil01/ss340.pdf adresinden ◊ Gönenç, E. Ö. (2007). İletişimin Tarihsel Süreci. İstanbul Üniversitesi İletişim 08.08.2022 tarihinde erişilmiştir. Fakültesi Dergisi, Sayı 28, 87-102. ◊ Baykan, M. (2011). Avrupa İnsan Hakları Mahkemesi Kararlarında Basın Öz- ◊ Güntürk, M. S. (2012). Türk Yüksek Mahkemeleri ve Avrupa İnsan Hakları gürlüğü. Ankara: Adalet Yayınevi. Mahkemesi Kararları Işığında Özel Hayatın Gizliliğinin Korunması. Ankara: Seçkin Yayıncılık. ◊ Bayra, A. E. (2020). Hak ve Özgürlükleri Sınırlandıran Kavramların Tasnifi ve Derecelendirmesi-I: Kamu Düzeni ve Kamu Düzeni ile İlgili Kavramlar. ◊ Kalyon, L. (2008). Cumhuriyet Dönemi Savunma Politikaları (Yayımlanma- İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi, 7 (2), 45-72. mış Doktora Tezi). Ankara Üniversitesi Sosyal Bilimler Enstitüsü, Ankara. ◊ Çelik, Y. (2017). Özel Hayatın Gizliliğinin Yansıması Olarak Kişisel Verilerin ◊ Kaya, B. (2020). Uluslararası Sözleşmelerde Mülkilik İlkesi. İktisadi ve İdari Korunması ve Bu Bağlamda Unutulma Hakkı. Türkiye Adalet Akademisi Der- Yaklaşımlar Dergisi, 2 (1), 31-59. gisi, Sayı 32, 391-410. ◊ Kızılyel, S. (2014). Temel Hak ve Özgürlüklerin Kısıtlanmasında Kamu Gü- ◊ Çınar, A. (2022). Unutulma Hakkının Ortaya Çıkış Serüveni ve Kapsamının venliği Ölçütü (Yayımlanmamış Doktora Tezi). Polis Akademisi Güvenlik Bi- Değerlendirilmesi. Türkiye Adalet Akademisi Dergisi, Sayı 49, 551-584. limleri Enstitüsü, Ankara. ◊ Çınarlı, G. (2015). Anayasal Bir Kurum Olarak Milli Güvenlik Kurulu (Yayım- ◊ Kişisel Verileri Koruma Kurumu. (2019).09.12.2019 tarihli ve 2019/372 sa- lanmamış Yüksek Lisans Tezi). Marmara Üniversitesi Sosyal Bilimler Ensti- yılı Karar Özeti. https://www.kvkk.gov.tr/Icerik/6663/2019-372 adresinden tüsü, İstanbul. 21.02.2023 tarihinde erişilmiştir. ◊ Dinçtürk, Ö. (2007). 5187 Sayılı Yeni Basın Kanunu Kapsamındaki Basın Dü- ◊ Kişisel Verileri Koruma Kurumu. (2020a). 22.05.2020 tarihli ve 2020/414 sa- zenine Yönelik Suçlar (Yayımlanmamış Yüksek Lisans Tezi). İstanbul Üniver- yılı Karar Özeti. https://www.kvkk.gov.tr/Icerik/6915/2020-414 adresinden sitesi Sosyal Bilimler Enstitüsü, İstanbul. 22.08.2023 tarihinde erişilmiştir. ◊ Dural, M. ve Öğüz, T. (2018). Türk Özel Hukuku Cilt II Kişiler Hukuku (19. ◊ Kişisel Verileri Koruma Kurumu. (2020b).18.02.2020 tarihli ve 2020/145 sa- Baskı). İstanbul: Filiz Kitabevi. yılı Karar Özeti. https://www.kvkk.gov.tr/Icerik/6888/2020-145 adresinden 21.02.2023 tarihinde erişilmiştir. 390 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 391 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Kişisel Verileri Koruma Kurumu. (2020c). 23.06.2020 tarihli ve 2020/481 ◊ Serozan, R. (2018). Medeni Hukuk- Genel Bölüm/Kişiler Hukuku (8. Bası). sayılı Kararı. https://www.kvkk.gov.tr/Icerik/6776/2020-481 adresinden İstanbul: Vedat Kitapçılık. 27.04.2022 tarihinde erişilmiştir. ◊ Sunay, R. (2000). Avrupa İnsan Hakları Sözleşmesinde ve Türk Anayasasında ◊ Kişisel Verileri Koruma Kurumu. (2021). 30.09.2021 tarihli ve 2021/989 sa- İfade Hürriyetinin Korunması. Selçuk Üniversitesi Hukuk Fakültesi Dergisi, yılı Karar Özeti. https://www.kvkk.gov.tr/Icerik/7143/2021-989 adresinden 8(1-2), 527-544. 22.08.2023 tarihinde erişilmiştir. ◊ Şimşek, O. (2008). Anayasa Hukukunda Kişisel Verilerin Korunması. İstanbul: ◊ Kişisel Verileri Koruma Kurumu. (2022). 06.01.2022 tarihli ve 2022/13 sa- Beta Yayıncılık. yılı Karar Özeti. https://www.kvkk.gov.tr/Icerik/7179/2022-13 adresinden 18.04.2022 tarihinde erişilmiştir. ◊ Tunç, H. ve Döner, A. (1998). MGK ve Milli Güvenlik Kavramı. Selçuk Üniver- sitesi Sosyal Bilimler Meslek Yüksekokulu Dergisi, Sayı 1, 3-22. ◊ Kişisel Verileri Koruma Kurumu. (t.y.). Kişilerin Ad ve Soyadı ile Arama Mo- torları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarıl- ◊ TÜİK. (t.y.). https://data.tuik.gov.tr/Bulten/Index?p=Yazili-Medya-ve-U- masına İlişkin Değerlendirmede Dikkate Alınacak Kriterler. https://www. luslararasi-Standart-Kitap-Numarasi-Istatistikleri-2021-45833 adresinden kvkk.gov.tr/SharedFolderServer/CMSFiles/68f1fb19-5803-4ef8-8696-f938f- 12.08.2022 tarihinde erişilmiştir. b49a9d5.pdf adresinden 22.11.2022 tarihinde erişilmiştir ◊ Türk Dil Kurumu. (t.y.). https://sozluk.gov.tr/ adresinden 29.01.2022 tarihin- ◊ Kocatepe, M. (2019). Türk Vergi Hukukunda Mükellefin Vergi Mahremiyeti de erişilmiştir. Hakkı (Yayımlanmamış Yüksek Lisans Tezi). Marmara Üniversitesi Sosyal Bi- limler Enstitüsü, İstanbul. ◊ Türk Dil Kurumu. (t.y.). https://sozluk.gov.tr/ adresinden 17.02.2023 tarihin- de erişilmiştir. ◊ Nalbantoğlu, S. (2018). Bir Temel Hak Olarak Unutulma Hakkı. Türkiye Adalet Akademisi Dergisi, Sayı 35, 583-605. ◊ Türk Dil Kurumu. (t.y.). https://sozluk.gov.tr/ adresinden 17.02.2023 tarihin- de erişilmiştir. ◊ Ocak, A. (2018). Hakları Dengelemek: Unutulma Hakkı İfade Özgürlüğüne Karşı. Türkiye Adalet Akademisi Dergisi, Sayı 33, 507-518. ◊ Türk Dil Kurumu. (t.y.). https://sozluk.gov.tr/ adresinden 18.02.2023 tarihin- de erişilmiştir. ◊ Oğuzman, K., Seliçi, Ö. ve Oktay Özdemir, S. (2012). Kişiler Hukuku- Gerçek ve Tüzel Kişiler (12. Bası). İstanbul: Filiz Kitabevi. ◊ Uygun, O. (2014). Devlet Teorisi. İstanbul: On İki Levha Yayıncılık. ◊ Özdemir, A. (2016). “Kamu Düzeni” ve “Kamu Güvenliği” Kavramlarına Ana- ◊ Yargıtay Hukuk Genel Kurulu. (2015). 17.06.2015 tarihli ve E: 2014/56; K. litik Bir Yaklaşım (Toplantı ve Gösteri Yürüyüşü Hakkının Sınırlandırılması 2015/1679 sayılı Kararı. https://karararama.yargitay.gov.tr/YargitayBilgiBan- Örneği. International Journal of Legal Progress, 2 (2), 78-115. kasiIstemciWeb/ adresinden 25.04.2022 tarihinde erişilmiştir. ◊ Özkepir, R., Kocaman, S. Z. ve Kart, E. H. (2020). Sosyal Medya ve Basın Hu- ◊ Yavuz Yayla, E. (2018). Milli Güvenlik Kavramının Hukuki Boyutu. Antalya kuku. Ankara: Seçkin Yayıncılık. Bilim Üniversitesi Hukuk Fakültesi Dergisi, 6 (12), 29-78. ◊ Salihpaşaoğlu,Y. (2007). Türkiye’de Basın Özgürlüğü. Ankara: Seçkin Yayın- ◊ Yavuz Yayla, E. (2019). Basın Özgürlüğü ve Milli Güvenlik Kapsamında Sınır- cılık. ları. Ankara: Adalet Yayınevi. 392 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 393 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Yenice Ceylan, Ö. (2021). Unutulma Hakkının Basın Özgürlüğü Karşısındaki BİR SORUMLULUK ŞEKLİ OLARAK ORTAK VERİ Konumu. Kişisel Verileri Koruma Dergisi, 3 (2), 1-14. SORUMLULUĞU ◊ Yıldız, F. (2012). Türk Anayasa Hukukunda Basın Özgürlüğü (Yayımlanmamış Burak ÖZER Yüksek Lisans Tezi). Ankara Üniversitesi Sosyal Bilimler Enstitüsü, Ankara. Kişisel Verileri Koruma Uzmanı ◊ Yılmaz Avcı, K. (2014). İnsan Hakları Hukukunda İfade Özgürlüğü Bağlamın- da Basın Özgürlüğünün Sınırlandırılması Sorunu ve Türkiye Örneği (Yayım- “Bu çalışma 14.02.2023 tarihinde kabul edilen 6698 Sayılı Kişisel Verilerin Korun- lanmamış Yüksek Lisans Tezi). Karadeniz Teknik Üniversitesi Sosyal Bilimler ması Kanunu ve 4857 sayılı İş Kanunu Kapsamında Kişisel Verilerin Korunması Enstitüsü, Trabzon. başlıklı uzmanlık tezinden alınmıştır.” ◊ Zafer, H. (2011). Ceza Hukuku Genel Hükümler- TCK m.1-75, (2. Bası). İstan- GİRİŞ bul: Beta Yayıncılık. Ulusal ve uluslararası düzeyde toplumsal entegrasyonun artması ve teknolojinin ◊ Zarplı, Ç. (2008). İfade Özgürlüğü: İçeriği ve Sınırları (Yayımlanmamış Yük- çok hızlı bir şekilde ilerliyor olması, veri kavramının önemini gün geçtikçe daha sek Lisans Tezi). Dumlupınar Üniversitesi Sosyal Bilimler Enstitüsü, Kütahya. da artırmaktadır. Veriye kolay ulaşmanın hayatın olağan akışı içerisinde çeşitli avantajları olduğu aşikârdır. Kamu sektöründen özel sektöre, hizmet sağlayıcıla- rından hizmetten faydalananlara kadar birçok kişi ya da kurum bu avantajlardan istifade etmektedir. Veriyi işlemenin, kullanmanın ve manipüle etmenin bu denli kolay olduğu bir ortam veri işleme kaidelerinin ve veriyi korumanın nasıl ve ne şekilde yapılacağı, işlemeden kimin sorumlu tutulacağı fikrini de ön plana çıkar- maktadır. Bu noktada, veri sorumlusu kavramı ortaya çıkmaktadır. Veri sorumlusu, kişisel veri işleme faaliyetinin amaç ve araçlarını belirleyen gerçek veya tüzel kişidir. Veri sorumlusu, veri koruma düzenlemelerine intibak sağlanması ve kişisel verileri işlenen gerçek kişilerin hukuki düzenlemeler kap- samındaki taleplerinin muhatabı olması hasebiyle kişisel verilerin korunması hukukunda kritik öneme haizdir. Veri sorumlusu işleme faaliyetinin asli sorum- lusu konumu ile yükümlülük altında bulunmaktadır. Veri sorumlusu kavramı 394 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 395 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI içerisinde gerçek veya tüzel kişi olma, tek başına veya başkalarıyla birlikte hareket Veri sorumlusunun tespiti için kavramın temel esasları yol gösterici olmaktadır. etme gibi birtakım unsurlar barındırmakla birlikte veri sorumlusunun asıl unsu- Tanım ayrı ayrı analiz edilebilecek beş yapı taşı içermekte olup bunlar; ru veri sorumlusunun bağımsız olarak karar alma yeterliliğini veya kapasitesini gösteren işlemenin amaç ve araçlarını “belirleme” yetkisidir. Bu yetki kanunlar- » Gerçek veya tüzel kişi, kamu kurum kuruluşu veya herhangi bir organ dan, sözleşmeden veya kamu otoritesinin bildirimden kaynaklanabileceği gibi » Belirleyen genellikle fiili olguların bir sonucudur. » Tek başına veya başkalarıyla birlikte » Amaç ve araçlar Ortak veri sorumlusu kavramını ise veri sorumluluğunun özel bir türü olarak ni- » Kişisel verilerin işlenmesi şeklindedir. telendirilebilmek mümkündür. Ortak veri sorumluluğu işlemenin amaç ve araç- larının birden fazla veri sorumlusu tarafından birlikte belirlenmesini ifade eder. Gerçek veya Tüzel Kişi, Kamu Kurum Kuruluşu veya Herhangi Bir Organ Bu çalışmada, ortak veri sorumlusu kavramı genel hatlarıyla ortaya konulacaktır. Veri sorumlusu tanımının ilk unsuru kişilik unsurudur. Kimin veri sorumlusu VERİ SORUMLUSU KAVRAMI sıfatına haiz olacağı yasal düzenlemelerden kaynaklanan yükümlülüklerin yerine getirilmesi bakımından önem taşımaktadır. 95/46/EC sayılı Direktif (Direktif) ve Ortak veri sorumlusu kavramının anlaşılabilmesi için kısaca veri sorumlusu Avrupa Birliği Genel Veri Koruma Tüzüğü (Tüzük) gibi metinlerde “gerçek veya kavramına da değinmek gerekir. Zira kişisel verilerin korunması ile alakalı dü- tüzel kişi, kamu kurum kuruluşu veya herhangi bir organın” veri sorumlusu sıfa- zenlemelere uyumun sağlanması ve kişisel verileri işlenen kişilerin hukuki dü- tını haiz olabileceği belirtilmiştir. Prensipte, gerçek veya tüzel, özel hukuk ya da zenlemeler kapsamındaki hak ve taleplerinin muhatabı öncelikli olarak veri so- kamu hukukunda yer almasına bakılmaksızın geniş bir çerçevedeki kişi veya kişi rumlusudur. Veri sorumlusu, kişisel veri işleme faaliyetinin amaç ve araçlarını gruplarının veri sorumlusu olarak kabul edilebilmesi mümkün hale gelmektedir. belirleyen gerçek veya tüzel kişidir. Veri sorumlusu kavramı ile kişisel verilerin Tüzel kişilerde bizatihi tüzel kişiliğin kendisi veri sorumlusu sıfatını taşımakta korunması hakkı arasındaki ilişki 1960’lı yıllardan bugüne büyük bir değişim olup tüzel kişiliğin personeli, organı, yetkilisi veya tüzel kişilik nezdinde veri iş- göstermiş ve veri sorumluları zaman geçtikçe kişisel verilerin korunması bakı- leme faaliyetleri ile görevlendirilen kişi ve birimler veri sorumlusu olarak tavsif mından farklı yükümlülük ve sorumluluklar ile yüzleşmek zorunda kalmıştır edilmemektedir. (Halıcıoğlu, 2019). Veri sorumlusunun tespiti 1990’lı yılların başında çok daha kolayken, bilgisayar teknolojisinin gelişimi ve internet kullanımının yaygınlaş- Belirleyen ması, ticari ilişkilerin ve haberleşme yöntemlerinin değişimi ve daha kompleks bir hal alması, kişisel veri işlemenin küreselleşmesi, veri işleme yöntemindeki Veri sorumlusu tanımının bir diğer önemli unsuru veri işleme faaliyeti üzerinde- karmaşıklığın artması sebepleriyle, bu belirgin durum daha bulanık bir hal almış, ki karar verme gücü/etkisidir. Veri sorumlusunu işleme faaliyetinde yer alan diğer ilişkilerin ve yapıların karmaşıklaşması veri sorumlusu kavramının tespiti ve veri paydaşlardan ayırmak için gerekli unsurları içerir ve veri sorumlusunu tayin edici işleyen ile veri sorumlusu kavramı arasındaki çizginin belirgin şekilde çizilmesi en önemli unsur kişisel verilerin işlenmesinin amaç ve araçlarının belirlenme- çok daha zorlaşmıştır (Kuner, 2007). sidir. “Belirleme” yetkisi, veri sorumlusunun bağımsız olarak karar alma yeterli- liğini veya kapasitesini gösterir. Bu yetki; kanunlardan, sözleşmeden veya kamu Günümüzde pek çok kişisel veri işleme faaliyetinde birden fazla aktörün yer aldığı otoritesinin bildiriminden kaynaklanabileceği gibi genellikle fiili olguların bir pek çok senaryo karşımıza çıkmaktadır. Buna örnek vermek gerekirse ülkemizde sonucu da olabilmektedir (Avrupa Veri Koruma Kurulu, 2021). Madde 29 Çalışma e-devlet uygulaması ele alındığında söz konusu uygulamanın kurulmasından ve Grubu ve Avrupa Veri Koruma Kurulu bir işleme faaliyetinde veri sorumlusunun yönetilmesinden sorumlu kurum ve kuruluşlar ile birlikte bu uygulama kapsa- anlaşılabilmesi için “İşlemenin neden yapıldığı”, “Belirli bir amacın yerine getiri- mında vatandaşlara elektronik ortamda hizmet veren pek çok kurum bulunmak- lebilmesi için işlemenin yapılması gerektiğine kimin karar verdiği”, ve “İşlemeyi tadır. Dolayısıyla e-devlet uygulaması kapsamında gerçekleşen veri işleme faali- kimin başlattığı” sorularının cevaplarının araştırılması gerektiğini öne sürmüş- yetinde birden fazla aktörün varlığı veri sorumlusu tespitini zorlaştırmaktadır. tür (Madde 29 Çalışma Grubu, 2010, Avrupa Veri Koruma Kurulu, 2021). 396 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 397 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI İşlemenin karar verici tarafı genellikle yasal veya fiili olgulara bağlı olarak kolay Amaç ve Araçlar bir şekilde tespit edilebilmektedir. Bazı durumlarda açık yasal bir yetkinin kul- lanılması veya doğrudan kanun tarafından veri sorumlusu da tayin edilebilmek- İşlemenin amaç ve araçlarının belirlenmesi ise işlemenin “neden” ve “nasıl” ger- tedir. Nitekim, Tüzüğün veri sorumlusunu tanımlayan ilgili maddesinde buna çekleştirileceği sorunudur bu nedenle bu iki faktör üzerindeki hangi etki düzeyi- vurgu yapılmıştır. Kamu kurum, kuruluşları görevleri kapsamında gerçekleştir- nin bir kişi veya kuruluşun veri sorumlusu olarak nitelendirilebilmesi için yeterli dikleri kişisel veri işleme faaliyetlerinde veri sorumlusu olmaktadır. Öte yandan, olduğunun tespit edilmesi önem arz etmektedir. Amaç ve araçların belirlenmesi yasal bir yetkinin yokluğunda veri sorumlusunun tespit edilmesi, işlemeyi çev- söz konusu olduğunda önemli olan bir gerçek veya tüzel kişinin veri sorumlu- releyen tüm fiili koşulların değerlendirilmesi sonucu sağlanır. İşleme ile alaka- su sıfatını alabilmesi için hangi düzey ve ayrıntıda amaç ve araçları belirlemesi lı tüm şartlar göz önünde bulundurularak işleme üzerinde hangi tarafın karar gerektiğidir. Bu nedenle, işleme faaliyetinin hukuka uygunluğu için gerekli ve verici etkisinin olduğu anlaşılmaya çalışılır. Ancak belirtmek yerinde olacaktır ki önemli konularda örneğin işlemenin neden yapılacağı, hangi amaçların elde değerlendirme her bir spesifik işleme faaliyetinin kendine özgü şartları dikkate edilmesinin planlandığı, verilerin ne kadar süre ile saklanacağı, olası veri işleyen alınarak yapılmalıdır. Zira, bir işleme faaliyeti için veri sorumlusu olarak hareket veya üçüncü kişilerin işleme faaliyetinde nasıl bir rol ve yetkiye sahip olacakları eden tarafın başka bir işleme faaliyetinde veri işleyen şeklinde tavsif edilmesi de gibi hususlarda karar alınması veri sorumlusunun bir niteliği olup, buna ilişkin mümkündür. Bu husustaki yaygın örneklerden biri muhasebe şirketleridir. Mu- kararları alanlar fiili olarak veri sorumlusudur ve veri sorumlusunun yükümlü- hasebe şirketleri kendi çalışanları ile ilgili işleme faaliyetlerinde veri sorumlusu lüklerine tabidir. sıfatını taşırken hizmet verdiği müşteri ile alakalı verileri bakımından veri işleyen olarak kabul edilebilmektedir. Araçların belirlenmesi ise sadece kişisel verilerin işlenmesinin teknik yollarını değil aynı zamanda hangi verilerin işleneceği, verilere kimlerin erişebileceği so- Veri sorumlusunun belirlenmesinde işlemenin tarafları arasında akdedilen söz- ruları gibi işlemenin nasıl yapılacağını gösterir teknik ve organizasyonel konuları leşme hükümlerinin değerlendirilmesi de faydalı olabilmektedir. İşleme için da içeren daha geniş bir tanımlamadır. Ancak, bu her durumda veri sorumlusu- taraflar arasındaki sözleşmede direkt bir veri sorumlusu ataması yapılmasa da na atfedilmiş bir nitelik olmayıp, veri sorumlusu hangi donanım veya yazılımın işlemenin amaç ve araçlarının belirlenmesinde kimin karar verici olduğu ilgili kullanılacağı gibi bazı teknik ve organizasyonel konulara ilişkin alınacak karar- hükümlerin tetkik edilmesi ile ortaya çıkarılabilir. Şayet sözleşmede veri sorum- ları veri işleyene devredebilmektedir. Araçların belirlenmesi kimi zaman veri lusu olan taraf açık bir şekilde belirtilmişse fiili durumu gerçekten yansıtıp yan- sorumlusunun tespiti için yetersiz kalabilmektedir. Bu nedenle, hangi verilerin sıtmadığı kontrol edilmelidir. Tarafların sorumluluktan kaçınmak için aralarında işleneceği, ne kadar süreyle işleneceği ve verilere kimlerin erişebileceği benzeri akdedilen sözleşmeyi istedikleri şekilde tanzim etme imkânları bulunduğundan işleme faaliyetinin temel hususlarının belirlenmesi veri sorumlusunun kontro- akdin fiili durum ile uyuşması önem arz etmektedir. Örneğin, işlemenin amaç lüne bırakılmalıdır. ve araçları üzerinde belirleyici etkisi olan taraf sözleşmede veri işleyen olarak tavsif edilmişse de fiiliyatta veri sorumlusu olarak kabul edilmesi gerekmektedir Önemle belirtilmelidir ki amaçları belirleyen olmak münhasıran veri sorumlu- (Avrupa Veri Koruma Kurulu, 2021). suna ait ise de araçları belirleme konusunda veri işleyen de veri sorumlusunun lehine hareket etmek koşuluyla temel olmayan araçları belirleyebilecektir. Eğer Tek Başına ya da Başkaları ile Birlikte bir veri işleyen amaçların belirlenmesinde söz sahibiyse ve veriyi kendi menfaatle- ri adına işlerse veri sorumlusu olarak değerlendirilebilecek ve veri sorumlusunun Direktifte ve Tüzükte veri sorumlusu için işlemenin amaç ve araçlarına tek başına yükümlülükleriyle bağlı olacaktır (Madde 29 Çalışma Grubu, 2010). veya başkaları ile birlikte belirleyen ifadesi kullanılmıştır. Birden fazla tarafın veri sorumlusu olarak hareket edebileceği ihtimalini öngören daha net bir söyleyiş ile Kişisel Verilerin İşlenmesi ortak veri sorumluluğuna kapı aralayan bu ifade çalışmamıza vücut veren ortak veri sorumluluğunun kaynağı olarak ilerleyen bölümlerde ele alınacaktır. Veri sorumlusu tarafından belirlenen amaç ve araçlar ise kişisel verilerin işlen- mesi ile alakalı olmalıdır. Tüzükte, kişisel verilerin işlenmesi veriler veya veri set- leri üzerinde gerçekleştirilen herhangi bir işlem veyahut işlemler dizisi olarak 398 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 399 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI tanımlanmaktadır. Şu hâlde, veri sorumluluğu tek bir işleme faaliyeti için geçerli amaç ve araçlarını tek bir taraf belirliyorsa burada ortak veri sorumluluğundan olabileceği gibi birden fazla işleme için de geçerli olması mümkün bulunmakta- söz edilemez. Tarafların ortak karar alma sürecine katılımı farklı şekillerde ola- dır. Ancak işlemenin tamamı yerine belirli bir kısmı ile sınırlı kalmasına da engel bilir ve taraflar arasında eşit söz hakkı, eşit sorumluluk vb. hususlarda her zaman teşkil etmemektedir. eşitlik olmasına da gerek yoktur. İşlemenin amaç ve araçları tamamen ortak be- lirlenebilir, sadece amaç veya araç ortak belirlenebilir ya da bunlar kısmen ortak ORTAK VERİ SORUMLULUĞU belirlenebilir. Ancak olası varyasyonların çokluğu ve işleme ortamlarının görece karmaşıklığı nedeniyle ortak veri sorumluluğu tipolojisinin kapsamlı ve detaylı Avrupa Genel Veri Koruma Tüzüğünün ortak veri sorumluluğunu düzenleyen bir şekilde sınıflandırılması mümkün olmamakta ancak müşterek birtakım fiili 26’ncı maddesinde “joint controllers” tabiri kullanılarak kavram “İki ya da daha unsurlar aracılığıyla ortak veri sorumluluğunun bazı örnek ve kategorileri anla- fazla sayıda veri sorumlusunun işleme amaçları ve araçlarını ortak bir şekilde şılabilmektedir. Mevcut işleme faaliyetlerinin artan karmaşıklığına karşı taraflar belirlediği hallerde, bu veri sorumluları ortak veri sorumlularıdır. Ortak veri arasında akdedilen sözleşme hükümleri de ortak veri sorumluluğunun belirlen- sorumluları, veri sorumlularının ilgili sorumlulukları veri sorumlusunun tabi mesinde faydalı olmaktadır ancak sözleşme hükümleri her zaman fiili durum ile olduğu Birlik veya üye devlet hukuku çerçevesinde belirlenmedikçe ve belirlen- birlikte değerlendirilmelidir. diği sürece, özellikle ilgili kişilerin haklarının kullanımı ve 13 ve 14. maddelerde atıfta bulunulan bilgi sağlama görevleri ile ilgili olarak bu Tüzük kapsamındaki ORTAK VERİ SORUMLULUĞUNUN SONUÇLARI yükümlülüklere uygunluğa ilişkin sorumluluklarını aralarındaki bir düzenleme vasıtasıyla şeffaf bir şekilde belirler. Düzenleme çerçevesinde ilgili kişilere yönelik Tüzüğün ortak veri sorumluluğunu düzenleyen 26’ncı maddesi uyarınca ortak bir irtibat noktası belirlenebilir.” şeklinde tanımlanmıştır. veri sorumluluğunun birtakım sonuçları bulunmaktadır. Bunları değerlendir- mek gerekirse öncelikle ilgili maddeye göre taraflar Tüzük kapsamındaki yüküm- “Joint” sözcüğü Türkçe’ye ortak, ortaklaşa, müşterek ya da birlikte anlamlarında lülüklerine uyum konusunda sorumluluklarını belirleyebilirler. Daha öz bir ifade çevrilebilir. Bu sözcükler anlamsal olarak kavramı doğru karşılamakla birlikte Ki- ile ortak veri sorumluları kimin hangi işlemi yürüteceğini, kimin hangi işlem şisel Verileri Koruma Kurulunun “ortak” sözcüğünü tercih ettiği anlaşılmaktadır özelinde sorumlu olacağını netleştirmelidirler. Bu bilhassa birden fazla tarafın (Kişisel Verileri Koruma Kurulu, 2021). dahil olduğu karmaşık işleme ortamlarında yetki çatışmasının önlenmesi, veri koruma kurallarına tam uyumun ve kişisel veriler üzerindeki korumanın sağlan- Kavram genel tanımı itibariyle bir işleme sürecinde işlemenin amaç ve araçları- ması açısından önem arz etmektedir. Aksi halde belirsizliğin getireceği karmaşa nın birden fazla paydaş tarafından birlikte/ortaklaşa belirlenmesini ifade etmek- veri koruma yükümlülüklerinin ihlaline yol açabilecektir. Fiili koşullar da dikkate tedir. Ortaklaşa belirleme ile karar alma süreçlerinin sadece işlemeye katılan tek alınarak tüm görev ve sorumluluklar taraflar arasında açık ve şeffaf bir şekilde bir veri sorumlusu tarafından tayin edilmediği, tersine işlemeye katılan tüm ta- paylaşılmalıdır. Bunun yanı sıra ilgili kişilerin talep ve şikâyetlerinin kim tarafın- rafların ortak iradesinin bir eseri olarak belirlendiği kast edilmektedir. Böyle bir dan cevaplanacağı da iç ilişkide kararlaştırılabilir. Ancak tarafların bu yöndeki durumda, her bir veri sorumlusu verileri işlenen kişilerin haklarının korunması kararından bağımsız olarak Tüzüğün 26’ncı maddesinin üçüncü fıkrası uyarın- için kanunların getirdiği yükümlülüklere bağlı hareket etmelidir. Ancak işleme ca ortak veri sorumlularından herhangi birine başvuruda bulunabilir. Bir diğer sürecine birden fazla tarafın dahil olduğu her durumda ortak veri sorumluluğu- önemli husus ise ortak veri sorumlularının yükümlülükleri sadece Tüzüğün ortak nun var olduğunu iddia etmek doğru bir yaklaşım değildir. veri sorumluluğunu düzenleyen maddesinde yer alan hususlar ile sınırlı kalma- makta veri sorumluları için Tüzükte düzenlenen genel veri koruma ilkelerinin Teknolojinin günlük hayatta daha çok yer etmesiyle kişisel verilerin işlenmesi uygulanması, işlemenin yasal dayanağının sağlanması, güvenlik önlemlerinin çeşitlenerek karmaşık bir görüntü almıştır. Farklı paydaşların kişisel verileri üze- alınması, ihlal halinde denetim makamlarına ve ilgili kişilere bildirimde bulun- rinde aynı anda veya farklı zamanlarda ve aşamalarda farklı işlem veyahut işlem ma gibi tüm yükümlülüklere uymaları gerekmektedir. grupları gerçekleştirmesi mümkün hale gelmiştir. Ortak veri sorumluluğun tespi- tinde temel yaklaşım kişisel veri işleme sürecinin amaç ve araçlarının birden faz- Mevcut işleme faaliyetlerinin artan karmaşıklığına karşı görev ve sorumluluk- la paydaş tarafından belirlenip belirlenmediğine odaklanmaktır. Eğer işlemenin ların belirlenmesi ve paylaşılması noktasında Tüzük ortak veri sorumlularına 400 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 401 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI bir miktar hareket esnekliği sağlamıştır. Taraflar işlemenin Tüzük hükümlerine rumlu tutulmuştur. İşleme sürecine birden fazla veri sorumlusu ve işleyen iştirak uyumluluğunu sağladıkları sürece görev ve sorumluluklarını belirlemelerinde ettiğinde iştirakçilerin her birinin oluşan zararın tamamından sorumlu olacağı bir engel bulunmamaktadır. Avrupa Veri Koruma Kurulu görev ve sorumluluk- hükme bağlanmıştır. ların belirlenmesinde hangi tarafın ilgili kişilerin taleplerini karşılayabileceği, işleme sürecinin farklı bölümleri için kimin daha yetkin olduğunun belirlenmesi Tüzük ile birlikte veri sorumlusuna yeni yükümlülükler getirilmiş ve veri sorum- benzeri iş bölümü ile alakalı konulara yanıt verecek bir iç analiz yapılarak kayda lusunun mevcut yükümlülükleri ağırlaştırılmış olsa da Tüzükteki veri sorumlusu geçirilmesinin yararlı olacağını belirtmiştir. için belirlenen sorumluluk rejimi temelde Direktifte veri sorumlusuna çizilen sorumluluk modeli ile aynı kalmıştır. Tüzüğe göre hukuka aykırı işleme nedeniyle Ortak veri sorumlularına ayrıca bir yükümlülük getirilerek Tüzükte yer alan ortaya çıkacak zarardan veri sorumlusu mesuldür. Şahsi kusurunun bulunmadığı- yükümlülüklerinin bilhassa ilgili kişilerin bilgilendirilmesinin sağlanması hu- nı ispatlaması da bu durumu değiştirmemektedir. Buna göre veri sorumlusunun susundaki yükümlülüğün veri sorumluları arasında yapılacak sözleşme ile açık kusursuz sorumluluğunun Tüzükte de devam ettiğini ifade etmek mümkündür. bir şekilde düzenlenmesi gerektiği ifade edilmiştir. Her ne kadar Tüzükte söz- (Mesarcik, 2021). Veri sorumlusu adına hareket eden veri işleyenin hukuka aykırı leşmelerin yasal şekli belirlenmese ve taraflara bu konuda serbestlik tanınsa da eylemlerinin mesuliyeti de veri sorumlusu üzerindedir. Bu çerçevede, veri sorum- hesap verilebilirlik ve şeffaflık ilkelerinin bir gereği olarak Tüzük sözleşmelerin lusunun mesuliyeti genel itibari ile devam etmekte ise de veri sorumlusu zarara veri sorumlularının, ilgili kişilere karşı görev ve ilişkilerini net bir şekilde ortaya neden olan olaydan sorumlu olmadığını ispat ederse yaptırımlardan kurtulabil- koymalarını beklemektedir (Dülger, 2019). Ayrıca, sözleşmenin özünün de ilgi mektedir. Veri sorumlusunun zarara neden olan olaydan sorumlu olmaması yani kişilere sunulması gerektiği belirtilmiştir. Sözleşmenin özünden kasıt açıklan- zararın kontrolünün ötesindeki olayların bir sonucu şeklinde vuku bulması ilgili mamış olmakla birlikte Avrupa Veri Koruma Kurulu Tüzüğün 13 ve 14’üncü mad- kişinin kusuru veyahut mücbir sebep kaynaklı olabilmektedir (Alsenoy, 2016). delerindeki hususlara değinecek şekilde asgari işlenen kişisel veri kategorileri, işlemenin amacı, ilgili kişilerin haklarını kullanabilmeleri için başvuru usul ve İşleme sürecine birden fazla tarafın dahli halinde ayrı veri sorumlusu şeklinde yollarını, alınan teknik ve idari tedbirleri, varsa veri işleyenleri, veri sorumluları- hareket eden veri sorumluları kendi tasarrufları altındaki işleme faaliyetleri ba- nın görev ve sorumluluk paylaşımı konularında ilgili kişilere bilgi sağlanabileceği kımından mesuliyet taşımaktadır. Ortak veri sorumluluğu noktasında ise Tüzük görüşündedir (Avrupa Veri Koruma Kurulu, 2021). ortak veri sorumlularının özellikle ilgili kişilere karşı görev ve sorumluluklarını aralarında yapacakları bir sözleşme ile belirlemelerine cevaz vermektedir. An- Taraflar arasında akdedilecek böyle bir anlaşma/sözleşme vasıtasıyla sorumlu- cak yukarıda değinildiği üzere Tüzüğün 82’nci maddesi uyarınca işlemeye dahil lukların net bir biçimde dağıtılması uygulayıcılar açısından da kolaylık sağlaya- olan her veri sorumlusu ilke olarak zarardan sorumludur. Dolayısıyla tarafların caktır. İlgili kişiler ortak veri sorumlularının arasındaki anlaşma ile ortak veri aralarında akdettikleri anlaşma ile sorumluluk paylaşımında bulunmaları ilgili sorumlularının üstlendikleri roller ve sorumluluklar hakkında bilgilendirilme- kişilere karşı zararın tümünden doğan sorumluluklarına engel teşkil etmemekte lidir. Bununla birlikte, bilgilendirme yapılmış olsa dahi ilgili kişilerin ortak veri ve zararı meydana getiren olaya sebebiyet vermediklerini kanıtlamadıkları müd- sorumlularının her birine de ilgili kişi hakları kapsamında başvuruda bulunma- detçe sorumluluktan kurtulamamaktadırlar. larına mâni bir durum yoktur. Bu sebeple ilgili kişilerin veri sorumlularının her biri ile temasa geçebilmesinin de önü açılmalıdır. AVRUPA BİRLİĞİ ADALET DİVANI KARARLARI SORUMLULUĞUN PAYLAŞILMASI Ortak veri sorumluluğu kavramının ve uygulamada kavramın nasıl yorumlandığı- nın anlaşılması adına Avrupa Birliği Adalet Divanının (ABAD) geçtiğimiz yıllarda 2018 yılında yürürlüğe girerek Direktifi mülga eden Tüzük, beraberinde veri so- yayınlanan ortak veri sorumluluğu ile alakalı üç kararının tetkik edilmesi yerinde rumluları ve veri işleyenler arasındaki sorumluluk rejimini düzenleyen birtakım olacaktır. Bahse konu ABAD kararları sırasıyla 5 Haziran 2018 tarihli Wirstshaft- değişiklikler getirmiştir. Tüzüğün 82’nci maddesine göre veri sorumlusu halen sakademie ve Facebook İrlanda Kararı, 10 Temmuz 2018 tarihli Yehova Şahitleri veri işleme sürecinin asli sorumlusu olmakla birlikte veri işleyen de artık yaptı- Kararı ve 29 Temmuz 2019 tarihli Fashion ID ve Facebook Kararıdır. rımların muhatabı ve Tüzüğün ihlal edilmesi durumunda ilgili kişilere karşı so- 402 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 403 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Wirstshaftsakademie ve Facebook İrlanda Kararı likte sorumlu yapmamakla birlikte fan sayfası yönetimi Facebook’ta sayfa açarak; Facebook’a ziyaretçilerin bilgisayar veya diğer cihazlarına Facebook hesabı olsun Wirstshaftsakademie ve Facebook İrlanda Kararı ABAD’ın ortak veri sorumluluğu ya da olmasın çerez yükleme fırsatı tanımaktadır (ABAD, 2018). hakkında vermiş olduğu ilk karardır. Wirstshaftsakademie, Facebook’ta kurdu- ğu fan sayfası üzerinden eğitim hizmeti sunmaktadır. Fan sayfaları kişiler veya ABAD Başsavcısı Yves Bot, dava ile alakalı mütalaasında veri sorumlusu kavra- işletmeler tarafından Facebook’ta açılabilen kullanıcı hesaplarıdır. Fan sayfası mının şekli bir kavramdan ziyade işlevsel bir kavram olduğunu ve sorumlulu- yöneticileri, Facebook’a kayıt olduktan sonra Facebook tarafından tasarlanan ğun tespitinde somut şartların ve fiili etkinin göz önüne alınması gerektiğini platformu kullanarak kendini sosyal ağın kullanıcılarına ve fan sayfasını ziyaret belirtmiştir. Bot’a göre veri sorumlusunun belirlenmesinde işlemenin neden ve eden kişilere tanıtabilmekte ve platformdaki her türlü iletişim imkânından yarar- nasıl yapıldığı sorgulanmalıdır. Bu husustaki tayin edici unsur ise tarafların ara- lanabilmektedir. Facebook’un “Facebook Insights” adı verilen bir fonksiyonu saye- larındaki sözleşme çerçevesinde belirlenmiş rolleri yerine gerçekteki işlevlerinin/ sinde fan sayfası yöneticileri sayfa ziyaretçileri ile ilgili anonim istatiksel verileri faaliyetlerinin tetkik edilmesidir. Bot, fan sayfası yönetiminin kişisel verilerin elde edebilmektedir. Bahse konu hizmet Facebook’un değiştirilemeyen kullanım Facebook tarafından nasıl işleneceği konusunda baskın bir role sahip olduğu, koşulları altında ücretsiz olarak sunulmaktadır. Bu veriler, sayfayı ziyaret edenle- işlemenin amaç ve araçlarının belirlenmesine katılım sağladığı; dolayısıyla işleme rin bilgisayarının sabit diskine ya da diğer medya araçlarına yerleştirilen ve her üzerinde fiilen etkisinin bulunduğunu ileri sürmüştür (Bot, 2018). Ayrıca, Wirst- biri benzersiz bir kullanıcı kodu içeren çerezler vasıtasıyla Facebook tarafından shaftsakademie ve Facebook’un işlemede yakın ilişkili amaçları bulunmaktadır. toplanmaktadır. Çerezler iki yıl boyunca etkinliklerini koruyabilmektedir. Face- Wirstshaftsakademie, istatistiki veri elde etmeyi hedeflemekteyken Facebook rek- book’ta kayıtlı kullanıcıların bağlantı bilgileriyle eşleştirilebilen kullanıcı kodu lam hizmetlerini geliştirme fırsatı yakalamaktadır. Bot, kişisel verilerin Facebook fan sayfası yüklendiğinde toplanmakta ve yüklenmektedir. Wirstshaftsakademie tarafından toplanması faaliyeti özelinde Wirstshaftsakademie’nin Facebook ile ve Facebook İrlanda tarafından çerezlerin yüklenmesi ve işlevi ya da sonraki iş- birlikte sorumlu olduğu sonucuna varmıştır. Her iki şirketin de Facebook tara- leme süreci ile alakalı herhangi bir bilgilendirme yapılmamıştır (ABAD, 2018). fından gerçekleştirilen faaliyet bakımından sorumluluk taşımakta olduğu ancak bu sorumluluğun eşit sorumluluk anlamına gelmediği vurgulanmıştır. Dava konusu olay uzun yargısal süreçlerin ardından nihayetinde Alman Federal İdare Mahkemesi tarafından ABAD’a intikal ettirilmiştir. ABAD 13 Mayıs 2014 Başsavcı Bot’un görüşü veri sorumlusunun amaçsal bir yorumu şeklinde anlaşıla- tarihli Google Spain kararına atıf yaparak veri sorumlusu kavramının kişilerin bilir çünkü defaten vurgulandığı üzere Avrupa Birliği hukukunun birinci önceliği tam ve etkin korunmasının sağlanabilmesi adına geniş bir şekilde yorumlanması kişisel verilerin dolayısıyla kişilerin temel hak ve özgürlüklerinin koruma altına gerektiğini ifade etmiş olup sonrasında ise veri işleme faaliyetleri bakımından alınmasıdır. ABAD da başsavcının görüşleri ile aynı doğrultuda Wirstshaftsaka- tarafların veri sorumlusu sıfatını kazanıp kazanmadıklarını değerlendirmiştir. demie’nin Facebook’un kullanım koşulları ve çerez politikasını kabul ettiğini ifa- ABAD’ın değerlendirmesine göre esas veri işleme faaliyeti Facebook tarafından de etmiştir. Bu bağlamda Wirstshaftsakademie, Facebook tarafından kendisine fan sayfasını ziyaret eden kişilerin bilgisayarlarına veya diğer cihazlarına çerez sunulan parametreler vasıtası ile hangi hedef kitlenin verilerinin toplanacağı, yerleştirilmesi suretiyle gerçekleştirilmektedir. Ziyaretçiler Facebook hizmetle- toplanacak veri kategorileri gibi kriterleri belirleyerek Facebook’un veri işleme rini veya Facebook şirketler grubu tarafından sunulan hizmetleri kullandığında faaliyetine ve daha sonra hangi amaçlar için kullanılacağının belirlenmesine da- cihazlarına yerleştirilen bu çerezler yoluyla Facebook kişisel verileri elde etmekte, hil olmaktadır. Wirstshaftsakademie’nin belirlediği kriterlere göre Facebook ziya- işlemekte ve kayıt edebilmektedir. Ayrıca, Facebook iş ortaklarının, üçüncü taraf- retçilerin verilerini toplayarak istatistik verisi haline getirmektedir. Bu çerçevede, ların bu çerezleri reklam amaçlı kullanabileceği belirtilmiştir. Facebook çerezler Wirstshaftsakademie Facebook ile birlikte işlemenin amaç ve aracını belirlemekte vasıtasıyla elde ettiği verileri kendi sistemini iyileştirmek için kullanmakta ve ve her iki taraf ortak veri sorumlusu sıfatını almaktadır (Ronthkegel, Strassmeyer, fan sayfası yöneticilerine sayfalarını ziyaret eden kişilerle alakalı istatistiki veri 2019). ABAD, Wirstshaftsakademie gibi bir fan sayfasının Facebook’un sunduğu sağlamaktadır. Örneğin, sayfalarını beğenenlerin veya sayfadaki uygulamaları platform ve hizmetlerden yararlanmasının onu kişisel verilerin korunması ile kullananların profil bilgilerini vermekte böylece bu kişilerin ilgisini çekebilecek alakalı yükümlülüklerden muaf tutmadığını değerlendirmektedir. Yine ortak içeriklerin üretilmesine katkı sağlamaktadır. Salt Facebook gibi bir sosyal medya veri sorumluluğu her durumda eşit sorumluluk anlamında ele alınmamalıdır. platformunu kullanmak kullanıcıyı işlenen veriler bakımından Facebook ile bir- Zira birden fazla tarafın işlemenin farklı aşamalarında ve seviyelerde işlemeye 404 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 405 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI dahil olması olasıdır. Bu yüzden tarafların sorumluluğu somut olayın ilgili tüm Fashion ID ve Facebook İrlanda Kararı koşulları dikkate alınarak tayin edilmelidir. Somut olayda, fan sayfası Facebook kullanıcı hesabı bulunmayan kişiler tarafından da ziyaret edilebildiğinden söz ko- ABAD tarafından ortak veri sorumluluğu konusunda verilmiş son karar 2019 nusu kişilerin kişisel verilerinin işlenmesi bakımından Wirstshaftsakademie’nin tarihli Fashion ID ve Facebook İrlanda kararıdır. Fashion ID online satış yapan sorumluluğu daha ağır basmaktadır (ABAD, 2018). bir Alman giyim perakende şirketidir. Fashion ID, internet sitesine Facebook ta- rafından sağlanan “beğen” butonunu üçüncü kişi eklentisi olarak yerleştirmiştir. Yehova Şahitleri Kararı Eklenti site ziyaretçilerine Fashion ID’nin hizmetlerini beğenme ve Facebook’ta yayınlama fırsatı tanımakla birlikte ziyaretçilerin ip adresleri, kullandıkları ta- ABAD’ın Wirstshaftsakademie ve Facebook kararından sonraki bir diğer önem rayıcının özellikleri ve beğendikleri içerik bilgileri Facebook’a iletilmektedir. arz eden kararı Yehova Şahitleri kararı olmuştur. Karara konu hadisede, Finlan- Bunun için ziyaretçilerin Facebook hesaplarının olması veya “beğen” butonuna diya’daki Yehova’nın Şahitleri Topluluğu üyeleri dini propaganda aracı olarak tıklamaları da gerekmemekte siteyi ziyaret etmeleri yeterli olmaktadır (Globoc- kapıdan kapıya iletişim yöntemini kullanmaktadır. Üyeler yaptıkları görüşmeler nik, 2019). Alman Tüketiciyi Koruma Derneği (Verbraucherzentrale-NRW) site sırasında görüşme yaptıkları kişiler ile alakalı çeşitli bilgileri not almakta, kişile- ziyaretçilerinin bilgileri ve rızaları olmaksızın kişisel verilerin Facebook’a akta- rin isimleri, adresleri, aile durumları ve dini inançları gibi bilgileri kayıt altına rımının hukuka aykırı olduğunu öne sürerek konuyu yargıya taşımıştır. Fashion alınmaktadır. Söz konusu bilgiler sonraki ziyaretler için de saklanmaktadır. ID yerleştirilen eklenti marifetiyle ziyaretçilerin kişisel verilerinin toplandığın- dan ve Facebook’a iletildiğinden bilgisinin olmadığını zira söz konusu verilere ABAD, bir önceki Wirstshaftsakademie ve Facebook kararında yer alan görüşle- erişemediğini ve işlemenin amaç ve araçlarını belirleyemediğini ileri sürmüştür. rini aynen yineleyerek bunlara ilave olarak işlemenin amaç ve araçlarının belir- Facebook ise ziyaretçilerin ip adreslerinin jenerik hale getirildiği ve bu şekilde lenmesi sürecinin veri sorumlusunun yazılı emir veya talimatları doğrultusunda saklandığını ifade etmiştir. Nihayetinde, konu hakkındaki görüşlerini almak üze- yürütülmesine yönelik Direktifte herhangi bir şart olmadığını kişisel verilerin re Düsseldorf Bölge Yüksek İdare Mahkemesi (Oberlandesgericht Düsseldorf) işlenmesine kendi amaçları için etki eden ve işleme faaliyetinin amaç ve araçları- tarafından ABAD’a başvurulmuştur. nın belirlenmesi sürecine katılan her gerçek veya tüzel kişi veri sorumlusu olarak tavsif edilebileceğini, ortak veri sorumluluğunun kabulü için işlemeye katılan ABAD Başsavcısı Michal Bobek dava ile ilgili mütalaasında Fashion ID’nin veri tarafların verilere erişiminin bulunmasının gerekmediğini açıklamıştır (ABAD, sorumlusu statüsüne ilişkin görüşlerini açıklamıştır. Fashion ID her ne kadar 2018). ABAD, somut olayda ziyaret edilen kişilerden kişisel verilerinin toplanma- Facebook tarafından işlenen verilere erişemediğini ve bu çerçevede işlemenin sının ve sonraki işleme faaliyetlerinin Topluluğun inancını yayma maksadıyla amaç ve araçlarını belirleyemediğini iddia etse de başsavcı Bobek Fashion ID’nin kullanıldığını ve Topluluk üyelerinin Topluluğun çıkarları doğrultusunda hareket Facebook’un ziyaretçilerin kişisel verilerini sitede yer alan eklenti sayesinde elde ettiğini belirtmiştir. Diğer yandan, Topluluk üyeleri ziyaret ettikleri kişilerle ilgili etmesini mümkün kıldığını ifade etmiştir. Buna ek olarak, Fashion ID’nin eklen- hangi durumlarda kişisel veri toplayacaklarını, hangi veri kategorilerinin topla- tiyi gönüllü olarak internet sitesine entegre ettiğini, eklentinin internet sitesine nacağını ve sonrasında bu verilerin nasıl işleneceğini belirleyebilmektedir. Buna yerleştirilmesi işlemi ile toplanacak kişisel verilerin parametrelerinin belirlen- ilişkin koordinasyon, organizasyon ve teşvik Topluluk tarafından yürütülmekte- diğinin söylenebileceğini ve ortak veri sorumluluğu için verilere erişimin şart dir. Topluluk, veri işlemenin amaç ve araçları hususunda üyelerine gönderdiği olmadığını belirtmiştir (Bobek, 2019). Fashion ID ve Facebook kişisel verilerin yazılı talimatlar ile net ve kesin bir sınır ve kurallardan ziyade genel bir çerçeve ticari kullanımı için karşılıklı veya tamamlayıcı amaçlarla hareket etmektedir. belirlemekte üyeler de kendileri için belirlenen sınırlar dahilinde özgürce hareket Ancak tarafların ortak veri sorumluluğu işlemenin amaç ve araçlarının birlikte/ ederek ziyaret edilen kişilerin hangi bilgilerinin ne şekilde toplanacağını belirle- ortaklaşa belirlendiği faaliyet ile sınırlı kalmaktadır. O halde Fashion ID, ziyaretçi- yerek inanışın yayılması amacına katılmakta ve aktif katkıda bulunmaktadır. Bu lerin kişisel verilerinin toplanması ve Facebook’a iletilmesi faaliyetinde Facebook doğrultuda, işlemenin amaç ve araçlarının belirlenmesi sürecinde ortak hareket ile birlikte ortak veri sorumlusu olarak kabul edilmelidir. Ancak Fashion ID’nin eden Yehova Şahitleri Topluluğu ve Topluluk üyelerinin ortak veri sorumlusu sorumluluğu verilerin Facebook’a iletiminin ardından gerçekleştirilecek işleme haline geldiği kabul edilmiştir (ABAD, 2018). faaliyetlerini kapsamamaktadır. Bobek son olarak, kişisel verilerin toplanması ve Facebook’a iletilmesinden önce zamanında ve etkin korumanın sağlanabil- 406 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 407 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI mesi için ziyaretçilerin rızalarının alınması ve işlemeyle ilgili bilgilendirilmesi ABAD, Fashion ID gibi bir internet sitesinin Facebook hesabı olan veya olmayan görevinin/sorumluluğunun Fashion ID tarafından yerine getirilmesi gerektiği tüm kişilerin erişimine açık olduğunu bu son durumda kişisel verilerin işlenme- üzerinde durmuştur. sinden Fashion ID’nin sorumluluğunun özellikle Facebook hesabı bulunmayan ziyaretçiler açısından daha fazla olduğunu açıklamıştır. ABAD’a göre verilerin ABAD, kararında ilk olarak internet sitesine eklentiyi yükleyen Fashion ID’nin toplanması ve iletilmesi öncesinde ziyaretçilerin rızalarının alınması gerekmek- Facebook’a iletilen veriler üzerinde herhangi bir etkiye sahip olmamakla birlikte tedir. İnternet sitesini ziyaret dolayısıyla kişisel veri işleme süreci başladığından eklentinin sağlayıcısı Facebook ile birlikte veri sorumlusu sıfatını alıp alamaya- ziyaretçilerin rızalarının alınması yükümlülüğü Fashion ID’nin üzerindedir. Rı- cağı sorusuna cevap aramıştır. ABAD bu sorunun çözümü için Wirstshaftsaka- zanın işlemeye daha sonra dahil olan Facebook tarafından alınması ziyaretçile- demie ve Facebook İrlanda ile Yehova Şahitleri kararlarındaki çizgisini devam rin haklarının tam ve zamanında korunmasına engel teşkil edecektir. Bununla ettirmiştir. Direktifin gayesinin kişilerin temel hak ve özgürlüklerinin en yüksek birlikte ABAD rızanın işlemenin amaç ve araçlarının Fashion ID tarafından be- düzeyde korunması olduğu, söz konusu hedefin sağlanabilmesi için Direktifte lirlendiği işlemler için geçerli olacağını yani iletim sonrasında Facebook tara- veri sorumlusu kavramının geniş bir bakış açısıyla ele alındığı belirtilmiştir. fından gerçekleştirilecek işlemeleri kapsamayacağını belirtmiştir. Ziyaretçilerin bilgilendirilmesi yükümlülüğü de ziyaretçiler ile ilk elden muhatap olduğu için ABAD’a göre somut olayda Fashion ID hangi verilerin toplanarak Facebook’a ak- Fashion ID üzerindedir. Ancak yine Facebook tarafından gerçekleştirilecek son- tarılacağı ve sonrasında yürütülecek işleme faaliyetleri konusunda herhangi bir raki işlemleri kapsamayacaktır zira Fashion ID’nin bu işlemler ile alakalı bilgi rol almamakla birlikte Facebook eklentisini sitesine ekleyerek ziyaretçi verileri- sahibi olması beklenmemektedir (ABAD, 2019). Tüm açıklamalar ışığında ABAD nin toplanmasına ve Facebook’a aktarılmasında bilinçli bir etkisi olmuştur. Zira internet sitesi ziyaretçilerinin kişisel verilerinin toplanması ve Facebook’a iletil- Fashion ID’nin katkısı olmadan Facebook’un kişisel verileri elde etme ve işleme mesi işlemi özelinde Fashion ID ve Facebook’un ortak veri sorumlusu oldukları olanağı bulunmamaktadır. Fashion ID sitesine Facebook’un “beğen” butonunu sonucuna varmıştır. ekleyerek ziyaretçilerin kişisel verilerinin toplanacağının ve Facebook’a iletile- ceğinin tamamen farkındadır. Öyleyse Fashion ID sitesine Facebook eklentisini ABAD Kararlarına İlişkin Değerlendirmeler yerleştirerek verilerin toplanması ve iletilmesi işlemleri üzerinde belirleyici bir etkiye sahip olmaktadır. Bu bağlamda sonuç olarakFashion ID internet sitesini Yukarıda detayları aktarılan ABAD kararlarının arkasında yatan mantığın daha ziyaret edenlerin kişisel verilerinin toplanması ve Facebook’a iletilmesi işlemle- iyi anlaşılabilmesi ve ortak veri sorumluluğunun tespitine sistematik bir yaklaşım rinde Fashion ID ve Facebook işlemenin araçlarını birlikte belirlemektedir. İşle- getirilebilmesi için veri koruma kanunlarında; özellikle Tüzükte tanımlanan veri menin amaçları için bakıldığında ise Fashion ID Facebook’un “beğen” butonunu sorumlusu kavramının temel unsurlarının irdelenmesi gerekmektedir. Öncelikle internet sitesine yükleyerek ürünlerini sosyal medya mecrasında daha görünür ortak veri sorumluluğundan bahsedebilmek için işlemede rol alan tarafların veri kılarak bilinirliğini artırma gayesindedir. Ürünlerinin artan bilinirliği sayesinde sorumlusu sıfatını taşıması zorunluluğu bulunmaktadır. ABAD, 2014 yılındaki Fashion ID ticari avantaj sağlayacaktır. Google Spain kararında, daha sonraki kararlarını da etkileyecek temel prensi- bini ortaya koymuştur. ABAD, Direktifin amaçsal yorumu yoluna giderek temel Bu nedenle site ziyaretçilerinin verilerinin toplanması ve Facebook’a iletilmesini hedefin kişilerin temel ve hak özgürlüklerinin tam ve etkin korunması olduğunu, kabul etmiş görünmektedir. Facebook da kendi sisteminin optimize edilmesi veya bunun temini için ise veri sorumlusu kavramının geniş bir şekilde ele alınması ge- reklam/tanıtım faaliyetleri için söz konusu verileri kullanabilecektir. Sonuç ola- rektiğini belirtmiştir (ABAD, 2014). Dolayısıyla, ortak veri sorumluluğu kavramı- rak, bu işleme faaliyetleri hem Fashion ID hem de Facebook’un ekonomik çıkarla- nın da aynı şekilde geniş bir perspektifte yorumlandığını söylemek mümkündür. rı için gerçekleştirilmektedir. ABAD bu şartlar altında Fashion ID ve Facebook’un işlemenin amaçlarını da birlikte belirlediğini ifade etmiştir. Fashion ID’nin “be- İşlemeye dahil olan tarafların veri sorumlusu sıfatını taşıyıp taşımadıklarının ğen” butonu yoluyla toplanan ve iletilen verilere erişiminin olmamasının ortak tespitinde çoğu durumda somut olayın koşulları dikkate alınmaktadır. İşlemenin veri sorumluluğuna engel teşkil etmediğini çünkü bir tarafın ortak veri sorum- amaç ve araçlarına karar veren taraf veri sorumlusu olarak hareket etmekte buna lusu olarak kabul edilebilmesi için gerekli şartın işlemenin amaç ve araçlarının karşın işleme sürecinin esaslı unsurları üzerinde karar yetkisi bulunmayan taraf birlikte belirlenmesi olduğunu vurgulamıştır (ABAD, 2019). ise veri işleyen sıfatını almaktadır. Şartların gerektirmesi halinde işlemenin araç 408 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 409 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI yönü veri işleyen vasıtası ile dış kaynaklı sağlanabilir ancak veri sorumlusunun başına veri sorumluluğu için yeterli olmayacaktır. Çünkü bu durum sundukları işleme üzerinde fiili kontrolü devam ettiği sürece bu onun veri sorumluluğunu hizmet için kazanç elde eden veri işleyenlerin ortak veri sorumlusu olarak kabul engellememektedir (Hess, 2019). edilmeleri sonucunu doğurur ki ortak veri sorumlusu sıfatını alabilmek için ilgili işlemin doğrudan bir değer meydana getirmesi gerekmektedir. İşleme sürecine birden fazla veri sorumlusu dahil olduğunda ortak veri sorum- luluğu ihtimali değerlendirmeye alınmalıdır. Ortak veri sorumluluğu işlemede İşlemenin amaç yönü bakımından ise taraflar işlemenin amaçlarını birlikte be- yer alan tarafların işlemenin amaç ve araçlarını birlikte belirlemeleri şartı ile lirledikleri sürece farklı amaçlar gütmelerinde bir engel bulunmamaktadır. Ta- geçerlilik kazanmaktadır. Ancak Ortak veri sorumluluğu kavramı sistematik bir rafların amaçları aynı, farklı, birbirine yakın veya birbirini tamamlayıcı nitelikte konsept olmadığından uygulamadaki sorunların çözüme kavuşturulabilmesi için olabilirler. Şu husus vurgulanmalıdır ki amaçlar belirli, açık ve meşru olmalıdır. ABAD kararlarında da çok kez vurgulandığı üzere somut olaydaki tüm ilişkili Wirstshaftsakademie ve Fashion ID kararlarında Facebook kendi hizmetlerinin faktörler bütüncül bir yaklaşım ile ele alınmalıdır. kalitesini artırma diğer internet siteleri ise ürünün tanıtımı, bilinirliğini artırma, ziyaretçi profilleri hakkın bilgi temin etme gibi kendi bağımsız amaçlarını takip Ortak veri sorumluluğunun belirlenmesinde temel kriter işlemenin amaç ve araç- etmektedir. Nihayetinde veri sorumluları kişisel verileri ticari amaç gibi genel bir larının işlemeye dahil olan taraflar tarafından birlikte belirlenip belirlenmedi- hedefle işlemektedir. Ancak ortak veri sorumluluğundan bahis açabilmek için salt ğidir. Burada belirtilmelidir ki işlemenin amaç ve araçlarının belirlenmesinde soyut düzeyde işlemenin amaçlarının belirlenmesi yeterli gelmemektedir. Araç- hangi düzeydeki etkinin ortak veri sorumluluğu için yeterli olduğu cevaplanması ların da birlikte belirlenmesi şartı aranmaktadır. Wirstshaftsakademie ve Fashi- gereken kritik bir sorudur. Fakat, yasal düzenlemelerde bu etkinin ne düzey ve on ID kararlarında olduğu gibi bir tarafın sunduğu işleme aracının, alt yapının detayda olması gerektiği hükme bağlanmamıştır. Bu nedenle, böyle bir değer- kullanılması, tercih edilmesi; Yehova Şahitleri kararında belirtildiği gibi hangi lendirme yapılabilmesi için ana odak noktası genellikle fiili olgular olmaktadır. verilerin toplanacağı, saklanacağı gibi işlemenin esaslı unsurlarının belirlenmesi ABAD, her işleme sürecinin aşama aşama incelenmesini ve işlemeye ortak veri bu mahiyette kabul edilmiştir. Ayrıca belirtmek yerinde olacaktır ki; örneğin bir sorumlusu olarak dahil olan taraflar arasında eşit düzeyde etkinin gerekli olma- tarafın diğer tarafların kişisel verileri belirli bir amaç için işlemesine olanak tanı- dığını, bunun yerine her bir tarafın bilinçli ve aktif münferit katkısının değerlen- yan bir uygulamayı diğerlerinin kullanımına sunması ortak veri sorumluluğuna dirmeye alınmasını salık vermiştir. Fashion ID kararında, sayfasına Facebook’un yol açmamaktadır. Bunun için, işlemenin amaç ve araçları üzerindeki etkinin beğen butonunu entegre etmesinin işlemenin amaç ve aracının belirlenmesi için tüm ortak veri sorumluları tarafından bilinen veri setlerine yönelik olmasına yeterli katkıyı sağladığını; dolayısıyla internet sitesinin Facebook ile birlikte ortak bakılmalıdır. İşlenecek veri kümesine/kümelerine karar verilmesi veya önceden veri sorumlusu olduğuna hükmetmiştir. Bu görüşe göre ortak veri sorumluluğu belirlenen işleme amaçlarının diğer veri sorumlusuna sunulması gibi işlemler amaç ve aracın tarafların birlikte belirlediği belirli işlem veya işlem dizileri için ortak veri sorumluluğunu gündeme getirebilmektedir (Rothkegel, Strassmeyer, geçerli ve sınırlı olmaktadır. Dolayısıyla tarafların sorumluluğu da bu amaç ve 2019). Bu sayede belirli bir veri kümesine ilişkin işleme amaçlarını önden be- araçları birlikte belirlenmiş belirli işlem veya işlemler dizisi çerçevesinde kal- lirleyen taraf diğerlerinin aynı veri kümesi üzerinde gerçekleştirecekleri işleme maktadır. Fashion ID kararında Fashion ID’nin sorumluluğu verinin toplanması faaliyetine etki etmektedir. ve Facebook’a aktarılması işlemleri ile sınırlı kalmaktadır. Verilerin Facebook’a aktarımından sonra Facebook’un veriler üzerinde gerçekleştireceği işlemler öze- Fiili işleme üzerinde herhangi bir etkide bulunmadan sadece tamamlanmış bir iş- linde Fashion ID’nin bir sorumluluğu bulunmamaktadır. leme faaliyetinden faydalanmak ortak veri sorumluluğuna neden olmamaktadır. Ortak veri sorumluluğu sadece söz konusu belirli bir veri işleme faaliyeti üzerinde İşlemenin neden yapıldığı, işlemeyi hangi tarafın başlattığı ve işlemeden doğru- etkinin uygulandığı durumlarda var olabilir. Daha önceden tamamlanmış bir dan kimin fayda sağladığı sorularına cevap aranması değerlendirmeye yardımcı işlemeden elde edilen sonuçların veya bilgilerin paylaşılması çoğu kez ayrı veri olabilecek hususlardır. Bu hususlardan bir veya birkaçının belirli bir veri işleme sorumluları arasında veri aktarımı şeklinde görülebilir. Ancak işleme öncesinde faaliyeti için geçerli olması halinde ortak veri sorumluluğu ihtimali kuvvetlen- veya işleme sırasında planlayıcı, karar verici ya da teşvik edici bir etkide bulunu- mektedir. Örneğin bir tarafın işlemeden fayda sağlayıp sağlamadığı değerlen- lursa bu durum değişebilir (Rothkegel, Strassmeyer, 2019). dirilirken sunulan bir hizmetin karşılığı olarak ticari kazanç elde edilmesi tek 410 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 411 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ de araçlarına dair birlikte karar alınması gerektiği söylenebilir. Karar alma düze- yi bir tarafın sunduğu altyapı, sistem veya işlem parametrelerinin kullanılması, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 26’ncı maddesinde ortak veri so- kabul edilmesi, münferit veya ortak hedeflere ulaşılabilmesi için bir tarafın veri rumluluğu özel olarak düzenlenmiştir. Ortak veri sorumluluğu, iki veya daha işlemesine olanak verilmesi, rıza gösterilmesi gibi mutlak eşitlik ve hakimiyet fazla veri sorumlusunun işleme sürecinin amaç ve araçlarını birlikte belirlemeleri gerektirmeyen durumları kapsayabilmektedir. Ayrıca bir kez daha belirtilmelidir halinde ortaya çıkan veri sorumluluğunun özel bir türüdür. ki tarafların ortak belirlemeleri kaydıyla işlemede farklı, aynı, yakınsak veya bir- birini tamamlayan amaçlar gütmelerinde bir sakınca bulunmamaktadır. Amaç Uygulama açısından bakıldığında ortak veri sorumluluğuna dair şu iki temel nok- unsurunun bu denli çeşitlilik gösterebilmesi nedeniyle ortak veri sorumluluğu- ta veri koruma otoriteleri ile işleme sürecinden etkilenen ve faydalanan kişiler nun tespitinde araç unsuruna daha fazla dikkat gösterilmelidir. için sorunlu gözükmektedir. Bunlardan ilki ortak veri sorumluluğunun tespitinin günümüzün karmaşık teknoloji dünyasında görece zor olması ve bu tespite imkân Uygulama açısından zorluk arz eden ikinci husus ise taraflar arasında sorumlulu- tanıyacak yeterli somut kriterlerin eksikliğidir. Esasında, ortak veri sorumluluğu- ğun ne şekilde belirleneceği ve paylaştırılacağıdır. Tüzükte ortak veri sorumluları- nun tespiti için tek bir kriter bulunmaktadır. Avrupa Birliği Genel Veri Koruma na bilhassa ilgili kişilere karşı görev ve sorumluluklarını, aralarında akdedecekleri Tüzüğü’nün ilgili maddesinin lafzından anlaşıldığı üzere ortak veri sorumluluğu bir sözleşme ile belirlemelerine izin verilmiştir. Bir zararın ortaya çıkması halinde işlemenin amaç ve araçlarının birden fazla veri sorumlusu tarafından belirlenme- Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 82’nci maddesi uyarınca işlemeye si halinde ortaya çıkmaktadır. Burada önemli nokta işleme amaç ve araçlarının dahil olan her bir veri sorumlusu ilke olarak zarardan sorumlu olmaktadır. İlgili işlemeye dahil olan veri sorumluları tarafından birlikte belirlenmesidir. Ancak kişi, taraflar arasındaki sözleşmeden bağımsız olarak her bir veri sorumlusuna bu “belirleme” yetki veya kapasitesinin hangi ayrıntı ve düzeyde olması gerektiği karşı haklarını tatbik edebilmektedir. Bu bakımdan ortak veri sorumlularının il- netliğe kavuşturulmamıştır. Madde 29 Çalışma Grubu ve Avrupa Veri Koruma gili kişilere karşı müteselsil sorumluluğunun bulunduğu söylenebilir. Fakat idari Kurulu yayınladığı dokümanlar ile konuya açıklık getirerek uygulamaya yön ver- yaptırımlar söz konusu olduğunda Avrupa Birliği Genel Veri Koruma Tüzüğü’nde meye çalışmışsa da konu hakkında halen kısıtlı sayıda kaynak ve uygulama örneği sorumluluğun belirlenmesi ve paylaştırılması sarih bir düzenleme ile açıklığa ka- bulunmaktadır. Avrupa Birliği Adalet Divanının bir önceki bölümde tafsilatıyla vuşturulmamıştır. Avrupa Birliği Adalet Divanı, sorumluluğun tespitinde aşama izah edilmeye çalışılan üç kararı bu konuda literatürdeki en temel başvuru kay- temelli bir yaklaşım getirmiştir. Veri işleme sürecinin karmaşık yapısı dikkate naklarıdır. alınarak uygulanan bu yaklaşımda, veri sorumluları amaç ve aracın birlikte be- lirlendiği işleme safhalarındaki sorumlulukları oranında değerlendirmeye tabi Avrupa Birliği Adalet Divanı, kararlarındaki mantığını kişilerin temel hak ve öz- olmaktadır. Dahil olmadıkları işleme süreçleri bakımından taraflarına herhangi gürlüklerinin tam ve etkin korunması gayesi üzerine inşa etmiş olup kararlar bu bir sorumluluk atfedilmemektedir. Ortak veri sorumlularına ilişkin sorumluluk çerçeveden ele alınmalıdır. Kişilerin temel hak ve özgürlüklerinin korunması da ve kusur miktarlarının belirlenmesi açısından her halükârda olay bazında veri veri sorumlusu kavramının dolayısıyla ortak veri sorumlusu kavramının geniş işleme süreçlerinin ve koşullarının incelenmesi gerekmektedir. ◆ yorumuyla mümkün hale gelmektedir. Böylelikle işlemede yer alan tarafların veri işleme sürecinin tamamına yayılmaksızın belirli bir aşama veya aşamalarına ak- tif ve bilinçli katkıda bulunmaları ortak veri sorumluluğunun mevcudiyeti için yeterli kabul edilmiştir. Farklı veri sorumluları kişisel veriler üzerinde aynı anda veya farklı zaman ve aşamalarda, farklı işlem veya işlem grupları gerçekleştirebil- diğinden tarafların belirleme sürecine katılımları da değişkenlik gösterebilir, yani taraflar arasında eşit söz hakkı, eşit sorumluluk vb. konularda her zaman eşitlik bulunmasına gerek yoktur. Aksine Avrupa Birliği Adalet Divanı kararlarında da görüldüğü üzere bir tarafın daha baskın olması mümkündür. Söz konusu karar- lar işlemenin amaç ve araçları yönünden yorumlandığında, amaç ve aracın bir bütün halinde değerlendirilmesi gerektiği yani işlemenin hem amaçlarına hem 412 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 413 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI KAYNAKÇA ◊ Dülger, M. V. (2019). Avrupa Birliği Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması, Yaşar Üniversitesi Hukuk Fakültesi Dergisi, 1(2), 71-174 ◊ Alsenoy, B. V. (2016). The Allocation Of Responsibility And Risk Among Actors Involved In Personel Data Processing, (Doktora Tezi), Leuven Üniversitesi ◊ Globocnik, J. (2019). On Joint Controllership for Social Plugins and Other Hukuk Fakültesi, Leuven Third-Party Content – a Case Note on the CJEU Decision in Fashion ID, In- ternational Review of Intellectual Property and Competition Law, (IIC) 50, ◊ Avrupa Veri Koruma Kurulu/ European Data Protectıon Board (EDPB), 1033–1044 (2021). Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 2.0. Erişim adresi: https://edpb.europa.eu/system/fi- ◊ Halıcıoğlu, M. (2019). Türk Hukukunda Veri Sorumlusu Kavramı, (Yüksek les/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf Lisans Tezi), Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü, Ankara ◊ Avrupa Birliği Adalet Divanı/Court Of Justıce Of The European Unıon (CJEU), ◊ Kuner, C. (2007). European Data Protection Law, Corporate Compliance and Google Spain SL, Google Inc. v Agencia Española de Protección de Datos Regulation, United Kingdom, Oxford University Press (AEPD), Mario Costeja González. C-131/12. 2014. Erişim adresi: https://curia. europa.eu/juris/document/document.jsf?docid=152065&doclang=en ◊ Madde 29 Çalışma Grubu/Artıcle 29 Workıng Party, (2010) Opinion 1/2010 on the Concepts of “Controller” and “Processor”, WP 169. Erişim adresi: htt- ◊ Avrupa Birliği Adalet Divanı/Court Of Justıce Of The European Unıon (CJEU), ps://ec.europa.eu/justice/article-29/documentation/opinion-recommenda- Patrick Breyer vs Bundesrepublic Deutschland. C-582/14, 2016. Erişim ad- tion/files/2010/wp169_en.pdf resi: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:- 62014CJ0582 ◊ Madde 29 Çalışma Grubu/Artıcle 29 Workıng Party, (2007) Opinion 4/2007 On The Concept of Personal Data, WP No: 136. Erişim adresi: https://ec.euro- ◊ Avrupa Birliği Adalet Divanı/Court Of Justıce Of The European Unıon pa.eu/justice/article-29/documentation/opinion-recommendation/fi- (CJEU), Unabhangiges Landeszentrum für Datenschutz Schleswig-Holstein les/2007/wp136_en.pdf v. Wirtshaftsakademie Schleswig-Holstein GmbH, Facebook Ireland Limited. C210/16. 2018. Erişim adresi: https://eur-lex.europa.eu/legal-content/EN/ ◊ Mesarcîk, M. (2021) The Great Escape? Liability Of Public Authorities In The TXT/PDF/?uri=CELEX:62016CJ0210 Data Protection Area, Institute of State and Law, Czech Academy of Sciences, 11,158-177 ◊ Avrupa Birliği Adalet Divanı/Court Of Justıce Of The European Unıon (CJEU), Jehovan Todistajat - Uskonnollinen Yhdyskunta. C-25/17. 2014.Erişim adresi: ◊ Hess, S. (2019). The GDPR: Joint Controllership anda Independent Control- https://curia.europa.eu/juris/document/document.jsf?docid=203822&doc- lership Should the SWIFT Criteria Determine the Difference?, (Yüksek Lisans lang=EN Tezi), Tilburg University, Tilburg ◊ Avrupa Birliği Adalet Divanı/Court Of Justıce Of The European Unıon (CJEU), ◊ Kişisel Verileri Koruma Kurulu, 23.12.2021 tarihli ve 2021/1303 sayılı Araç Fashion ID GmbH & Co.KG Verbraucherzentrale NRW Ev, Facebook Ireland kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin Ltd. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordr- verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında payla- hein-Westfalen C-40/17. 2019. Erişim adresi: https://curia.europa.eu/juris/ şılmasını sağlayan bir kara liste programı oluşturulması hakkında Kararı. document/document.jsf?text=&docid=216555&doclang=EN ◊ Rothkegel, T., Strassemeyer, L. (2019). Joint Control in European Data Pro- tection Law-How to make Sense Of the CJEU’s Holy Trinity, Computer Law Review International, 20, 162-168 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 415 UZMANLIK TEZLERI DERLEME ÇALIŞMASI MAHREMIYET KORUMALI VERI PAYLAŞIMI VE AÇIK VERI Mert VAROL Kişisel Verileri Koruma Uzmanı Bu çalışma, 14.02.2023 tarihinde kabul edilen “ Mahremiyet Korumalı Veri Payla- şımı ve Açık Veri “ başlıklı uzmanlık tezinden alınmıştır. GİRİŞ Günümüzde büyük miktarda veri gerek kamu kurumları gerekse özel şirketler tarafından toplanıp depolanmakta, işlenmekte ve fayda sağlayan bir kaynak konu- muna gelmesiyle giderek daha çok alanda kullanılmaktadır. Dijital devrimle bir- likte, veri ekonomide merkezi bir rol almaya başladı. Bununla birlikte, verilerin tam potansiyeline ulaşmak, onların nasıl sunulduğuna bağlı olmaktadır. Veriler değerleri kaybolmadan farklı şekillerde fayda sağlayacak biçimde kullanılmalıdır. Bu, verileri doğru biçimde ve doğru zamanda kullanılması ve ona değer katmak ve veriden değer yaratmak isteyen herhangi bir tarafa sunulması anlamına gel- mektedir. Verileri paylaşmak ve açmak, birçok karar vericinin analizini geliştire- bilmek için gerekli verileri çevrimiçi olarak kullanılabilir hale getirmek anlamına gelmekle birlikte aynı zamanda insanların zamandan tasarruf etmelerini veya her türlü sektörde daha bilinçli kararlar almalarını mümkün kılmaktadır. Veri ve içerik bağlamında açık veri, herkesin herhangi bir amaç için özgürce eri- şebileceği, kullanabileceği, değiştirebileceği ve paylaşabileceği veri anlamına gel- mektedir. Kamu kurumları tarafından açık hale getirilen ve kullanılabilecek veya yeniden kullanılabilecek birçok veri türü mevcuttur. Bunlar başlıca kültür, bilim ve araştırma, finans, istatistik, hava durumu ve çevre ile ilgili verileri içerebilir. 416 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 417 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Verilerin açık veri olarak yayınlanması son yıllarda artış göstermektedir. Gittikçe Yeniden Kullanım ve Yeniden Dağıtım: Verilerin yeniden kullanımının ve yeni- daha fazla veri seti halka açılmış; vatandaşların, araştırmacıların veya uygulama den dağıtımının diğer veri kümeleriyle birleştirme olasılığı da dahil olmak üzere geliştiricilerin gerçek zamanlı verilerden yararlanabilmesi için API’ler tasarlan- mümkün kılacak şekilde kullanılabilir hale getirilmesidir. mış ve bu verilere dayalı yeni uygulamalar geliştirilmiştir. Evrensel Katılım: Verileri herkesin kullanabilmesi, yeniden kullanabilmesi ve ya- Kamu kurumları doğası gereği veri açısından oldukça zengindir. Verilerin kamu yabilmesidir. kuruluşları tarafından açılması, kamu sektörü verilerinin kullanıma sunulduğu ve böylece diğer veri kaynaklarıyla birleştirilebildiği ve vatandaşlar tarafından Verilerin açıklığı ise iki boyutta düşünülmektedir: kamu hizmetlerinin iyileştirilmesi, ticari yeniliklere ilham verilmesi ve şeffaflı- ğın sağlanması dahil olmak üzere çeşitli amaçlar için kullanılabileceği yeni bir Yasal Olarak Açıklık: Yasal olarak açıklık, verilerin herkesçe erişilebilir, yeniden olgudur. Temelde açık veri kamu sektörü tarafından açıklık ve şeffaflık çerçevesin- kullanılabilir ve dağıtılabilir olmasını sağlayan açık bir lisansa sahip olmasıdır. de benimsenen bir yaklaşım olarak ön plana çıkmıştır. Bunun yanında verilerin Veriler minimum kısıtlamalara tabi olarak açık hale getirilmelidir. yayınlanması ve yayınlanan verilerin analiz edilmesiyle verilerden yeni faydalar elde edilmesi de açık verinin kullanımını giderek yaygınlaştırmaktadır. Örneğin; Teknik Olarak Açıklık: Teknik olarak açıklık; verilere herkesin ortak, ücretsiz ola- hava durumunu kontrol etmeye, gidilecek adres için en iyi rotayı bulmaya veya rak kullanılabilen yazılım araçları ile erişebilmesi ve bu verilerin kullanılabilmesi gayrimenkul değerlerini karşılaştırmaya yönelik uygulamaların tümü açık veri- için makine tarafından okunabilen ve tescilli olmayan elektronik formatlarda lerin kullanılabilirliğine bağlıdır. Bu örnekler, verilerin açık veri olarak yayınlan- yayınlanmasıdır. Veriler herkese açık olmasının yanında teknik olarak açıklığı masının vatandaşların günlük yaşamlarını nasıl iyileştirebileceğine örnek teşkil sağlayabilmesi için parola veya güvenlik duvarı kısıtlamaları olmaksızın herkese etmektedir. Benzer şekilde, işletmeler açık veri olarak yayınlanan devlet verileri açık bir sunucuda erişilebilir olmalıdır (The World Bank, 2022). sayesinde yeni hizmetler geliştirmenin yeni yollarını bulmaktadırlar. Açık veri, veri setlerinin ortak bir alanda olmasını veya açık bir lisans aracılığıyla Bununla birlikte tüm bu faydaların yanında verilerin açık olarak yayınlanması, dağıtılmasını gerektirmektedir. Veriler bir bütün olarak, ücretsiz ve tercihen in- farklı kaynaklardan elde edilebilecek verilerin eşleştirilmesi yoluyla bireylerin ye- ternet üzerinden indirilebilir ve açık lisans koşullarına uymak için olabilecek ek niden tanımlanması riskini de beraberinde getirebilir. Artan yeniden tanımlama bilgiler de dahil olarak sağlanmalıdır (Van Loenen, Vancauwenberghe ve Crom- riski, yararlı verilerin serbest bırakılması bakımından zorluklar yaratır ve dikkatli pvoets, 2018). bir şekilde dengelenmiş bir yaklaşım gerektirir. Söz konusu verilerin niteliğine ve değerine bağlı olarak bazı yeniden tanımlama riskleri açık veri yayınlamada göz Açık veri özel sektör ya da kamunun dijital verisidir. Belirli bir yönteme göre ya- önünde bulundurulmaktadır. pılandırılmış bir şekilde ve ücretsiz erişimi garanti eden açık bir lisans ile teknik, yasal veya finansal kısıtlamalar olmadan herkesin yeniden kullanma olasılığına AÇIK VERİ KAVRAMI sahip olarak yayılır. Açık veriyi oluşturan bir dizi kaynak ve veri türü bulunur. Bu kaynaklar; her seviyeden kamu organı tarafından toplanan tüm verileri içeren Açık veri; her türden kullanıcı için herhangi bir kısıtlama olmadan erişilebilen, kamu verileri, bilimsel araştırmalardan, özellikle de kamu tarafından finanse edi- paylaşılabilen, kullanılabilen ve yeniden kullanılabilen verilerdir. Open Definiti- len araştırmalardan elde edilen veriler ve doğru teşvikler ve gizlilik korumaları ile on’a göre açık veri; herhangi bir amaç için herkes tarafından serbestçe kullanılan, kamuya açılabilecek özel sektör verileridir (Monina ve Sedkaoui, 2016). Açık veri değiştirilen ve paylaşılan; en fazla kaynağı ve açıklığı koruyan önlemlere tabi olan hareketinin arkasındaki felsefe, temelinde vatandaşı merkeze alır. Bu anlamda, ve- veriler olarak tanımlanmaktadır (Monina ve Sedkaoui, 2016). Açık veri tanımı rilere ücretsiz erişim, demokratik kurumların vatandaş açısından geliştirilmesine aşağıda yer alan spesifik ögeleri içerir: katkıda bulunur. Bu etkinlik demokratik tartışmaları zenginleştirmeye, kamusal yaşamı canlandırmaya ve kamu hizmetlerinin yenilenmesine katkıda bulunmaya Kullanılabilirlik ve Erişim: Verilerin bir bütün ve rahatlıkla herkesçe erişilebilir yardımcı olmalıdır. Açık veri süreci, inovasyonda ve kamusal faaliyetlerin geliş- olmasıdır. tirilmesinde şeffaflık üzerine inşa edilmiş bir süreçtir. Açık veri aynı zamanda 418 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 419 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI kamu sektörünün verilerin bekçisi olma rolünden vazgeçtiği ve bunun yerine Verilerin Makinelerce Okunabilir Olması (Machine Processable): Veriler, oto- özel ve kamu sektörleri arasında güç dinamiklerinin yeniden düzenlenmesine matik işlemeye izin verecek şekilde yapılandırılmalıdır. Verilerin yaygın olarak yol açan bir veri ve bilgi sağlayıcısı rolüne geçiş yaptığı anlamına gelebilir. Bu kullanılabilmesi, verilerin uygun şekilde kodlanmasını gerektirir. Serbest biçim- açıklık; şeffaflığı, yeni uygulamaların geliştirilmesini ve veri zenginleştirilmesine li metin, tablo ve normalleştirilmiş kayıtların yerini tutmaz. Benzer şekilde bir bireysel katılımı teşvik ederek veriler etrafında devlet, şirketler ve vatandaşlar metnin görüntüleri metnin kendisinin yerine geçmez. Normalleştirilmiş veri arasında ilişkiler kurmayı mümkün kılacaktır. Açık verilerin odak noktası ile il- öğelerinin veri formatı ve anlamları hakkında yeterli belgeler, veri kullanıcıları gili herhangi bir kısıtlama bulunmamakla birlikte her türlü sosyoekonomik, iş, için mevcut olmalıdır. kültürel, çevresel veya bilimsel araştırmalar açık veri olarak kullanım alanı bulsa da, bugüne kadarki odak genel olarak yüksek kamu politikasına ve ekonomik, Verilerin Ayrımcı Olmaması (Non-Discriminatory): Veriler herhangi bir kayıt ulaşım ve mekânsal veriler gibi ticari yeniden kullanım değerine sahip verilerin gerektirmeksizin herkesçe kullanılabilmelidir. açılması olmuştur. Verilerin Tescilli Olmaması (Non-Proprietary): Veriler, üzerinde hiçbir varlığın Açık Veri İlkeleri özel denetimi olmayan bir formatta kullanılmalıdır. Tescilli formatlar, verileri kimlerin kullanabileceği, nasıl kullanılabileceği ve paylaşılabileceği ve verilerin Açık veri, kamu sektörünün verilerin koruyucusu rolünü bırakması ve yerine yeni gelecekte kullanılabilir olup olmayacağı konusunda gereksiz kısıtlamalar ekler. bir bilgi ve veri sağlayıcısı rolü koyarak kamu ve özel sektör arasındaki güç dina- miklerinin yeniden düzenlenmesini sağlaması açısından önemlidir. Verilerin açık Verilerin Lisanssız Olması (License Free): Veriler herhangi bir telif hakkı, patent, veri olarak paylaşılması belirli ilkelere bağlıdır. Açık veri ilkeleri, hangi verilerin ticari marka veya ticari sır düzenlemesine tabi olmamalıdır. Yalnızca makul gizli- kamuya açık olması gerektiğini belirleyen bir kriter değildir. Mahremiyet, güven- lik, güvenlik ve ayrıcalık kısıtlamalarına izin verilebilir. Devletlerin bünyesindeki lik ve diğer yasal kısıt ve endişeler veri setlerinin halkla paylaşılmasını engelleye- bilgiler, kamuya açık kayıtlar, kişisel veriler, telif hakkıyla korunan çalışmalar ve bilir. Açık veri ilkeleri kamuya açık verilerin açık veri olarak kabul edilmesi için diğer açık olmayan verilerin bir karışımı olduğundan, hangi verilerin mevcut karşılaması gereken koşulları belirtir (Open Government Working Group, 2007). olduğu, hangi lisanslama, hizmet koşulları ve yasal kısıtlamaların geçerli olduğu Açık veri ilkelerine ilişkin literatürde birbirinden farklı görüşler bulunsa da genel konusunda net olmak önemlidir. (The Annotated 8 Principles of Open Govern- olarak kabul görmekte olan ilkeler ve açıklamalarına çalışmada yer verilmiştir: ment Data, 2022) Verilerin Eksiksiz Olması (Complete): Tüm kamuya açık veriler kullanıma sunul- AÇIK VERİ VE MAHREMİYET İLİŞKİSİ malıdır. Kamuya açık veriler; geçerli gizlilik, güvenlik veya ayrıcalık sınırlamala- rına tabi olmayan verilerdir. Veriler mümkün olan en yüksek ölçüde dijital olarak Açık verilerden elde edilecek faydalar, kamu kurumları ve işletmelerin sahip ol- paylaşılmalıdır. dukları verileri açık lisanslarla yeniden kullanılabilir formatlarda yayınlanmasını teşvik etmektedir. Ayrıca, hem tek başlarına hem de diğer veri setleriyle birlikte Verilerin Birincil Olması (Primary): Veriler mümkün olan en yüksek ayrıntı dü- bu verilerin yeniden kullanımlarını artırmak için veriler bulunabilir ve diğer zeyi ile birleştirilmiş ya da değiştirilmiş formlarda değil, kaynaktan ilk toplandığı veri setleriyle birlikte çalışabilir hale getirilmeye çalışılmaktadır (Davies, Walker, gibi olmalıdır. Rubinstein ve Perini, 2019). Açık veriler şeffaflığın artması, kamu kurumlarının verimliliğinin artırılması, vatandaşların yönetime katılımlarının teşviki ve yeni- Verilerin Güncel Olması (Timely): Verilerin değerinin korunması için gerektiği liğin teşvik edilmesi dahil olmak üzere birçok amaca hizmet eder. Bunun yanında kadar çabuk kullanıma sunulmalıdır. kamu kurumların topladığı, depoladığı ve işlediği veriler kişilerle ilgili bilgileri de içerebilir. Bu nedenle mahremiyet, açık verilerin yayımlanmasında dikkate Verilerin Erişilebilir Olması (Accesible): Veriler en geniş amaç ve kullanıcı yelpa- alınması gereken bir konudur. Mahremiyet ile ilgili endişeler, ana kaynağı veri zesinde internette erişilebilir hale getirilmelidir. olan teknolojilerden büyük veri analitiği, yapay zekâ ve makine öğrenimi gibi alanlarda öne çıkmaktadır. Açık hükümet verileri bu yeni teknolojilerde ve sü- 420 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 421 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI reçlerde kullanılabilir, ancak bu durum mahremiyet endişelerini daha önemli belirlemek ve ele almakla uğraşırken, aynı zamanda, büyük veri çağından önce hale getirmektedir Açık veri kümelerinin kişisel veri içermesi durumunda ortaya geliştirilen politikalara dayalı olarak hükümetler tarafından rutin olarak büyük çıkabilecek mahremiyet zararlarına ek olarak, mahremiyetle ilgili endişeler, va- miktarda kişisel veri yayımlanabilir. Kamuya açık kişisel veriler, mahkeme ve mah- tandaşları daha az veri paylaşmaya yöneltebilir. Birbirinden farklı kaynaklardan keme kararlarında bulunabilir, seçimler, satın alma, kamu sektörü maaşları vb. gelen verileri kullanarak birbirinden farklı veri setlerinden bireylerin yeniden ta- ile ilgili çeşitli şeffaflık yasaları ve politikaları kapsamında yayımlanabilir (Davies nımlanması potansiyeli, mahremiyet ve açık verilerle ilgili endişeleri daha keskin ve diğerleri, 2019). Kamu verilerinin bu kategorileriyle ilgili olarak mahremiyete hale getirdi (Davies ve diğerleri, 2019). 2015 yılında kabul edilen Uluslararası Açık ilişkin riskler, bu tür verilerin kamuya nasıl açık hale getirildiğinin yeniden de- Veri Sözleşmesi verilerin açık veri olarak yayımlanmasından önce, kamu kuru- ğerlendirilmesini gerektirecektir. luşlarının bu veriler için kişilerin mahremiyetine yönelik hassasiyeti ve riskleri değerlendirmesi gerektiğini, bireylerin kimliklerinin tespit edilememesi için açık Açık verilerin yayınlanmasında mahremiyet ve şeffaflığı dengelemek, eğitim ve verilerin varsayılan olarak uygun anonimleştirmeyi içermesi gerektiğini özellikle kaynak gerektirecek ve hükümetlerin bu kaynakları sağlama taahhüdü, dengenin kabul eder (Open Goverrnment Partnership, 2015). Açık veri yayınlamada mahre- nasıl sağlanacağı üzerinde önemli bir etkiye sahip olacaktır. Veri setleri kişisel miyet konusu, yayımlanacak veri setlerinin kişisel veri içerip içermediği dikkate veriler içerdiğinde, veri setlerini yayımlamayı reddetmek, yeniden kullanım için alınarak ele alınmalıdır. Yeniden tanımlanma riskleri, verilerini açmaya niyetli verilere erişimi sınırlayacaktır. Bunun yerine, açık verilerin paylaşılması teşvik kuruluşların verileri açık veri haline getirmeye yönelik isteklerinin azalmasına edilirken mahremiyeti korumak için verilerin yeterince anonim hale getirilip neden olabilir. Mahremiyet risklerinin ele alınması söz konusu olduğunda açık getirilemeyeceğinin belirlenmesi önem arz etmektedir. verilerin belirli zorluklar sunan bazı özellikleri vardır. Örneğin; açık verinin ideal karakteristiği, herhangi bir amaç için herkes tarafından özgürce kullanılabilen, Gizlilik Riskleri ve Yeniden Tanımlama değiştirilebilen ve paylaşılabilen veriler olmasıdır. Buna ticari amaçlar da dahildir. Açık verilerin, özellikle büyük veri ortamında ticari olarak yeniden kullanılması Verilerin varsayılan olarak açık olması kurumların kendi verilerini proaktif ola- ve dağıtılabilir olması mahremiyet risklerini artırabilir. rak paylaşması, çevrimiçi olarak erişilebilir biçimlerde yayınlanması açık veriden elde edilecek faydalar açısından önemlidir. Açık verilerin önemli ekonomik, de- Mahremiyetin açık veri yayımlanmasında önemli bir konu olduğuna şüphe yok- mokratik ve sosyal faydaları olsa da verilerin açık veri olarak yayınlanması, örne- tur. Vatandaş güveni, kuruluşların kendileriyle paylaşılan kişisel bilgileri uygun ğin açık veriler kişisel verileri içerdiği takdirde, bireyin mahremiyetine yönelik şekilde koruma yeteneklerine bağlı olmakla kalmaz, kişisel veriler gelişigüzel bir tehdit oluşturacaktır. Bu verilerin yayınlanmasında mahremiyete yönelik birincil şekilde paylaşılırsa bireyler mahremiyet zararlarına maruz kalabilir. Kamu bil- risk, bireylerin yeniden tanımlanabilecek olmasıdır. Bu, kişisel veri olan veya di- gileri ve verileriyle ilgili olarak mahremiyeti şeffaflıkla dengeleme ihtiyacı, açık ğer bilgilerle kolayca bağlantı kurarak kişisel verilere dönüştürülebilen verileri veri hareketinden önce gelir. Bazı durumlarda, şeffaflığa yönelik kamu yararı, içeren veri setlerini serbest bırakmaktır. Bir veri setinin açık veri olarak yayınlan- kişisel verilerin açık veri olarak ifşa edilmesini haklı kılabilir. Mahremiyet, bir masında bir bireyin yeniden tanımlanması gibi olumsuz sonuç ortaya çıkabilir. ülkeden diğerine ve belirli bir ülkedeki alt gruplar arasında dahi değişebilen bir Örneğin; bir kişi için aşağılanmaya, utanmaya veya endişeye neden olabilecek kavramdır. Ayrıca, her iki hedefin göreli önemine bağlı olarak, mahremiyet/şef- sağlık verilerinin serbest bırakılmasından, bireyin hassas bir sağlık durumu için faflık dengesi de farklı şekillerde kurulabilir. tedaviye eriştiği sonucuna varılabilir. Veya verilerin açık veri olarak yayınlanması bireylerin istihdam veya ilişkilerine, birey hakkında verilen kararlar veya sigorta Hızla gelişen büyük veri ve yapay zekâ çağı, açık verilerin yeni kullanımlarına yol gibi hizmetlere erişimlerinde problemler, mali kayıplar ya da bir şiddet mağdu- açmıştır. Bu teknolojiler aynı zamanda farklı kaynaklardan gelen anonimleştiril- ru ya da suç tanığının kimliğinin belirlenmesi gibi güvenlik riski gibi zararları miş verilerin eşleştirilmesi yoluyla bireylerin yeniden tanımlanması riskini de ortaya çıkarabilir. Bu zararların niteliği, kapsamı ve etkileri yayınlanan verilerin artırabilir. Bu artan yeniden tanımlama riski, faydalı açık verilerin paylaşılması türlerine ve bireylerin kimliklerinin kapsamlarına bağlı olacaktır. Kamu verileri- için zorluklar yaratır ve dikkatli bir şekilde dengelenmiş bir yaklaşım gerektirir. nin açılması ile ortaya çıkabilecek kimlik belirleme riskleri iki gruba ayrılabilir: Söz konusu verilerin niteliğine ve değerine bağlı olarak, bazı yeniden tanımlama Bir kişinin kimliğinin kasıtlı olarak bir girişim olmaksızın yeniden tanımlanması riskleri kabul edilebilir. Açık veri yayıncıları potansiyel mahremiyet sorunlarını ve serbest bırakılan veri setinden bir kişiyi yeniden tanımlamaya yönelik kötü 422 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 423 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI niyetli ve kasıtlı bir girişim. Bu serbest bırakılan veri kümelerindeki verilerin bağlamda önemli bir araç kimliksizleştirmedir. Kimlik gizleme, kişisel verilerin diğer açık veri setleriyle ya da yasal olmaya yollarla başka şekillerle elde edilen bir kayıttan veya veri setinden çıkarılması işlemi için kullanılan genel terimdir. veri setlerindeki bilgilerle eşleştirilmesiyle gerçekleşebilir (Privacy Committee Kimlik gizleme, bireylerin mahremiyetini korur, çünkü bir kez kimliksizleşti- of South Australia, 2014). Verilerini varsayılan olarak açık hale getiren kurumlar, rildikten sonra bir veri setinin artık kişisel veri içermediği kabul edilebilir. Bir aynı zamanda yayınladığı verilerde mahremiyet korunmasına da önem verme- veri seti kişisel veri içermiyorsa, paylaşımı, yayımlanması, yeniden kullanılması lidir. Verilerin yayınlanmasında bireylerin kimliklerinin yeniden belirlenmesi bireylerin mahremiyetinin ihlal edilmesi riskini olabilecek en düşük seviyeye in- riskinin değerlendirilmesi, bir kurumun verileri yayınlama kararı almasında bu direcektir. Böylece mahremiyet koruma düzenlemeleri ile ilgili hükümler, bu tip riskleri kabul edilebilir düzeye indirmek için atılması gereken adımlardan biri- veri paylaşımları için geçerli olmayacaktır. Veri setinin yeniden tanımlanması dir (Article 29 Data Protection Working Party, 2013). Bir veri setinin açık olarak riskini sıfıra indirmediğini belirtmek önemlidir. Bunun yerine bu süreçle, yeni- yayınlanmasında gizlilik risklerini yönetmenin ilk adımı, bu verileri kamuya açık den tanımlama riskinin çok küçük olduğu veri setleri üretilir. hale getirme riskinin ilk değerlendirmesini yapmaktır. Bu risklerin değerlendiril- mesi, yayınlanacak verilerin de ayrıntılı bir şekilde değerlendirilmesini gerektire- Kimliksizleştirilmiş veri setlerini serbest bırakmanın ana nedenlerinden biri, cektir. Gizlilik riskinin seviyesi, verilerin yayınlanmasından ve bu tür bir yayının başkalarına araştırma amacıyla ham verilerin değerlerini ve özelliklerini incele- sonuçlarından kimlik tespit etme olasılığına bağlı olacaktır. Çoğu durumda en me fırsatı sağlamaktır. Bu nedenle, kimliksizleştirme, bireylerin mahremiyetini çok kullanılan mahremiyeti koruyucu risk azaltma tekniği, verileri hassas bilgi- korurken, bilgilerde mümkün olduğunca fazla fayda sağlamaya çalışmalıdır. Açık lere kadar izleyebilecek her türlü tanımlayıcıyı ortadan kaldırarak kimliksizleş- veri girişimleri, proaktif olarak veri setlerini serbest bırakarak ve bunları herkesin tirmektir (Ethical and Responsible Use of Open Government Data, 2022). kullanımına ve yeniden yayımlamasına ücretsiz olarak sunarak kamu kurumları- nın şeffaflığını ve hesap verebilirliğini artırmayı amaçlar. Kimliksizleştirmenin Kimliksizleştirme bu amacı, onu açık veri paylaşımı için dikkate alınması gereken önemli bir araç haline getirir. Bu girişimlerin sağladığı artan bilgi miktarı ve kullanılabilirliği göz Giderek artan bir şekilde özellikle kamu kuruluşları çeşitli konularda veri setle- önüne alındığında, kurumların veri setlerini bireylerin mahremiyetini koruyacak rini halka açık hale getirmektedirler. Açık veri paylaşımı kapsamında yayınlana- şekilde yayınlamaları önemlidir. Açık veri girişimleri ayrıca araştırmayı, inovasyo- cak verilere örnek olarak, altyapı projelerine yapılan devlet harcamalarının bir nu ve yeni uygulama ve hizmetlerin geliştirilmesini teşvik etmeye çalışır. Açık veri tablosu veya kamu tesisleri için coğrafi kodlardan oluşan bir veri kümesi verile- kümelerinin faydası ne kadar büyük olursa, kamu verilerini kullanmak isteyen bilir. Bununla birlikte, serbest bırakılması amaçlanan diğer kamu verileri, kişisel araştırmacılar, yeni kurulan şirketler ve girişimciler için başarı şansı o kadar iyi olmayan ve kişisel veriler arasında bu kadar net bir ayrıma sahip olmayabilir ve olur (Information and Privacy Commissioner of Ontario, 2016). Kamu kurumları, kimliksizleştirilmiş kişisel verileri içerebilir. Kişisel verilerin kimliksizleştirilmesi, veri setlerini içerisinde yer alabilecek kişilerin mahremiyetinden ödün vermeden belirsiz kişisel tanımlayıcıların ve kişisel verilerin veri setlerinden kaldırılmasıdır, araştırmacılara ve kullanıcılara açık hale getirmek için kimliksizleştirme yönte- böylece bilgilerin konusu olan bireylerin tanımlanması riski minimuma inecek- mini kullanabilir. Mahremiyet duyarlı veri setlerini açık veri setlerine dönüştür- tir. Kişisel veri içeren veri setleri için, kurumlar genellikle veri setlerini açık ola- mek için kimliksizleştirmeyi kullanmak isteyen kurumlar; kimliksizleştirmeyi, rak paylaşmadan önce bu kişisel verileri veri setinden kaldırır. Kimliksizleştirme veri yayımlamayı ve yayım sonrası izlemeyi desteklemek için uygun sürdürülebilir kişisel verilerin toplanan, kullanılan, arşivlenen ve paylaşılan verilerden kaldırıl- yönetişim yapıları oluşturmaya özen göstermelidir. Kimliksizleştirme işlemi ki- masını tanımlamak için kullanılan bir terimdir (National Institute of Standards şisel verilerin mahremiyet koruyucu teknolojiler vasıtasıyla kişiyi belirlenebilir and Technology, 2022). Kimliksizleştirme tek bir teknik değil, farklı etkinlik dü- kılan özelliklerinden ayrılması olarak tanımlanmakta ve başta veri anonimleş- zeylerine sahip farklı veri türlerine uygulanabilecek yaklaşımlar, algoritmalar ve tirme olmak üzere bulanıklaştırma, şifreleme, anahtar kodlama olmak üzere, araçlar topluluğudur. Genel olarak, bir veri kümesinin yayınlanmasının yarattığı pek çok farklı kimliksizleştirme metodu kimliksizleştirme için uygulanmakta- mahremiyet riski, daha agresif kimliksizleştirme teknikleri kullanıldıkça azalır, dır. Verilerin anonimleştirilmesi, kişisel verilerle ilgili veriler için geçerli olan, ancak bu durumda veri kalitesinin de düşme ihtimali ortaya çıkacaktır. Kamu bir bireyin bu veri kümesinden doğrudan veya dolaylı olarak, bu verileri diğer kurumlarının elindeki verilere olan talep arttıkça, kurumlar kişisel verileri ya- veri kümeleriyle birleştirerek bile tanımlanamadığı dönüştürücü bir süreçtir. Bu, yımlamak için bazı mahremiyet koruyucu süreç ve teknikleri uygulamalıdır. Bu istenmeyen kişisel verilerin ifşa edilme risklerini azaltmaya yardımcı olurken, 424 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 425 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI verilerin verileri paylaşmak için katılımcılar arasında yeniden kullanılabilmesini, SONUÇ dağıtılabilmesini ve böylece açık verinin amaçlarına uygun olarak kullanılmasını sağlayacaktır (Dang, Küng, Takizawa ve Chung, 2020). Açık veri yayınlamada te- Açık veri herkes tarafından, herhangi bir yerde, herhangi bir amaç için özgürce mel endişelerinden biri, kişisel verilerin izinsiz olarak paylaşılmasıdır. Bu sorun, kullanılabilen, paylaşılabilen veriler olarak tanımlanmaktadır. Açık veriler tanımı veriler anonimleştirilerek giderilebilir diğer bir deyişle, veri setlerinde yer alan ve özellikleri gereği herkesin serbestçe erişebileceği ve herhangi bir kısıtlama kişisel tanımlayıcıların, bir bireyin herhangi bir şekilde tanımlanmasını engel- olmaksızın kullanabileceği ve manipüle edebileceği şekilde yayınlanan veriler leyecek ölçüde kaldırılmasını ve verilere erişen tarafların verileri anonimleştir- olarak ifade edilir. Verilerin açık veri niteliğinin olması için; veriler bütün olarak meye çalışmasını engelleyecek ölçüde kaldırılmasını gerektirmektedir. Veriler mevcut, kolayca erişilebilir, yeniden kullanılabilir, yeniden dağıtılabilir ve evren- mahremiyeti korumak için uygun şekilde anonimleştirildiği takdirde, araştırma sel olmalıdır (yani herkesçe erişebilir, yeniden kullanabilir veya yeniden dağıta- amacıyla indirilebilir, kullanılabilir, paylaşılıp ve analiz edilmesi için serbestçe bilir). Genel olarak verilerin açık veri olarak kabul edilebilmesi için, başkaları kullanılabilir olacaktır (Al Ryalat ve Momani, 2019). tarafından kullanılması, birleştirilmesi, yeniden yayımlanması ve üzerine inşa edilmesi amacıyla açık, izin verilen bir lisans altında makine tarafından okuna- bilir bir biçimde yayınlanması gerekmektedir. Veri temelli ekonomide açık veri kullanımının yaygınlaşması; inovasyonun teşvik edilmesi, iş süreçlerinin, ürünlerin ve hizmetlerin iyileştirilmesine yönelik katkı sağlaması, yeni ürün ve hizmetlerin geliştirilmesi gibi faydalarından dolayı kaçı- nılmaz bir durumdur. Ekonomik faydasının yanında kamu kurumları açısından daha fazla şeffaflık, demokratik hesap verilebilirlik, yönetime daha fazla vatan- daş katılımı, devlete karşı güven yaratılması gibi faydalar açık verinin sağladığı önemli faydalar arasında yer alır. Verilerin açık veri olarak hiçbir kısıtlama olmaksızın yayınlanarak yeniden kulla- nımının ve serbestçe erişilebilirliğinin, daha fazla şeffaflık ve ekonomik faydalar getireceği söylenebilir. Ancak bununla birlikte, açık veri yayınlaması sonucunda verilere kolayca erişilebilmesi, kullanılabilmesi, yeniden kullanılıp dağıtılabilmesi, kişiler açısından bir mahremiyet riski unsurunu da berberinde getirecektir. Mah- remiyetin ve kişisel verilerin korunmasının söz konusu olduğu tüm durumlarda dengeli bir yaklaşım izlenmelidir. Çünkü açık verilerin doğası gereği kısıtlama olmaksızın herkesçe erişilebilir, serbeste paylaşılabilir ve herhangi bir amaç için özgürce kullanılabilir veriler olması, kişisel verilerin ilgili düzenlemelerde öngörü- len şartlar ve ilkelerle işlenebilmesi, aktarılabilmesi gibi sebeplerle açık veri olarak yayınlanmasının önünde bir zorluk ve mahremiyete yönelik de bir risk unsuru ortaya çıkarmaktadır. Bu yüzden veriler her zaman için mahremiyetin ifşası riski de göz önünde bulundurularak ve bu risk minimuma indirildikten sonra açık veri olarak yayınlanmalıdır. Özellikle kamu kurumları tarafından açık veri por- talları veya diğer platformlar aracılığıyla açık veri ve verilerin yeniden kullanım girişimleri, kişisel veriler yerine anonimleştirilmiş verilerin yeniden kullanım için kullanılabilir hale getirilmesi amaçlanmalıdır. Bu yaklaşım veri mahremiyetinin sağlanması ve korunması ile şeffaflık arasında bir denge sağlanması bakımından 426 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 427 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI daha güvenilir bir yol olacaktır. Bu yüzden açık veri yayınlama için veriler uygun KAYNAKÇA tekniklerle anonimleştirilmelidir. Anonimleştirme, kişisel bilgiler içeren verilerin ifşasının önlenmesi amacıyla mahremiyet koruyucu modeller ve teknikler vasıta- ◊ Alryalat S. S., Momani, S. M. (2019) A Beginner’s Guide to Using Open Access sıyla bireyi tanımlayıcı öznitelikler üzerinde yapılan kimliksizleştirme işlemidir. Data, CRC Press. Anonimleştirme tamamen veya ağırlıklı olarak teknik bir faaliyet olarak görüle- bilir ancak; verileri güvenli bir şekilde paylaşmanın en iyi yolu olarak anonimleş- ◊ Dang, T. K., Küng, J. , Takizawa, Chung, Makoto Tai M., der., (2020). Future tirme seçildikten sonra, bir sonraki adım uygun bir istatistiksel modeli seçmek Data and Security Engineering Big Data, Security and Privacy, Smart City and gibi görünebilir. Tüm bunlarla birlikte anonimleştirme; araştırma, yasal ve etik Industry 4.0 Applications, Singapore: Springer Singapore, değerlendirmeler, risk analizi ve testlerini içeren bundan daha derinlemesine bir süreçtir. Veri setleri anonimleştirildiğinde, yeniden tanımlama riskinin değerlen- ◊ Data Europa, “Ethical and Responsible Use of Open Government Data”, dirilmesi gereklidir ve yeniden tanımlama testi yapmak iyi bir uygulama olabilir. 2022, https://data.europa.eu/sites/default/files/report/2015_ethical_and_ Anonimleştirmeyle, verinin biçimi ve tipi korunarak paylaşılmış büyük veri set- responsible_use_of_open_government_data.pdf, 10.09.2022. lerinde yer alan bireylerin tanımlayıcı bilgileri ve hassas verilerinin ifşa edilmesi riski en aza indirilebilir ya da tamamen engellenebilir. Fayda sağlayacak içerikten ◊ Davies, T., Walker, S. B., Rubinstein, M., Perini F. (2019) The State of Open yoksun bırakılmış verileri açık veri olarak yayınlamanın bir anlamı olmayacaktır. Data Histories and Horizons, Cape Town: African Minds and International İdeal olarak, anonimleştirme, veriyi fayda amaçlı kullanacak tarafların ihtiyaçları- Development Research Centre. nı karşılamak için yeterli faydayı korurken yeniden tanımlama riskini minimuma indirecek şekilde uygulanmalı ve yöntemler buna göre seçilmelidir. Bu yüzden açık ◊ IPC, “De-identification Guidelines for Structured Data”, 2022, https:// veri paylaşımında veri mahremiyeti sağlanırken bu çalışma kapsamında da açık- www.ipc.on.ca/wp-content/uploads/2016/08/Deidentification-Guideli- lanmış olan diferansiyel mahremiyet gibi yenilikçi veri mahremiyeti yaklaşımları nes-for-Structured-Data.pdf, 13.09.2022. maliyet uygulanabilirlik çerçevesinde uygulanmalıdır. ◊ Monino, J-L, Sedkaoui, S. (2016), Big Data, Open Data and Data Development, Son olarak ülkemizde açık veriye yönelik herhangi bir yasal düzenleme bulun- Londra: ISTE Ltd. madığı görülmüştür. Bu konuya ilişkin olarak ilgili kurumlarca çalışmalar yapıl- ması gerekliliği ve yapılacak yasal düzenleme çalışmalarının günümüzde hemen ◊ NIST, “De-Identifying Government Datasets”, 2022, https://csrc.nist.gov / hemen her alanda bireylerin faaliyetleri neticesinde üretilen veriden fayda sağ- csrc/media/ publications/sp/800-188/draft/documents/sp800_188_draft2. lamaya yönelik yaklaşım olan açık veri paylaşımının, veri mahremiyeti göz ardı pdf, 10.09.2022. edilmeden, aralarında bir denge oluşturularak mevcut düzenlemeler ile birlikte ele alınması gerektiği düşünülmektedir. ◊ Opendatacharter, “Principles”, 2022, https://opendatacharter.net/, 04.04.2022. ◊ Opendatatoolkit, “Open Data Essentials”, 2022, http://opendatatoolkit.wor- ldbank.org/en/essentials.html, 04.04.2022. ◊ Opengovdata, “The Annotated 8 Principles of Open Government Data”, 2022, https://opengovdata.org/, 30.03.2022. ◊ Privacy and Open Data Guideline, Privacy Committee of South Australia, 22.02.2020. 428 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 429 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Public Resource, “Open Government Data Principles”, 2022, https://public. resource.org/8_principles.html, 23.03.2022. ◊ Van loenen, B., Vancauwenberghe G., CROMPVOETS, J. (2018) .Derleyen: Open Data Exposed, Lahey: T.M.C. ASSER PRESS. YAPAY ZEK SISTEMLERINDE VERI KORUMA YAKLAŞIMLARI Begüm Tuğçe BURHAN Kişisel Verileri Koruma Uzmanı “Bu çalışma 14.02.2023 tarihinde kabul edilen 6698 Sayılı Kişisel Verilerin Korun- ması Kanunu ve 4857 sayılı İş Kanunu Kapsamında Kişisel Verilerin Korunması başlıklı uzmanlık tezinden alınmıştır.” GİRİŞ Yapay Zekâ (YZ) uygulamaları, insanın bilişsel süreçlerine uyumlu bir şekilde çalışmasıyla beraber hayatımızda önemli bir yer edinmeye başlamıştır. Bilgi- nin dijital ortama aktarılarak gelişen teknolojiler kapsamında kullanım süreçle- rinde; bir iş modelini değiştirmek, yeni gelir ve değer üreten fırsatlar sağlamak amaçlı kullanımı sonucu dijitalleşme yaygınlaşmaya başlamıştır. Dijitalleşmeyi, büyük verinin kullanımını, bulut teknolojilerinin yaygınlaşmasını ve nesnelerin internetinin kullanımını kapsayan Yapay Zekâ sistemlerinin kullanımı, yaşamı kolaylaştırarak birçok yeniliğin ortaya çıkmasına olanak sağlamaktadır. Yapay Zekâ teknolojisi ile beraber bilgi işlem gücünün artmasıyla teknolojiler ucuzlayıp hızlanmakta ve organizasyonlarda daha az insani iş gücüne ihtiyaç duyulmak- tadır. Tüm bu faktörler yeni teknolojilerin kullanımına ilişkin ve Yapay Zekânın etkinliğini arttırmaya yönelik teşvik edici nitelik taşımaktadır. Yapay Zekaya ilişkin yaşam döngüleri verilerin toplanması ile başlamakta olup, bu verilerin analizi ve çıktıların değerlendirilmesi ile bilgilerin sentezlenerek sü- reçlerin başlamasına dayanmaktadır. Bu durum veri ekonomisine değer katmakta 430 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 431 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI olup, çalışmalarla beraber hayal etmesi güç eylemlerin bile teknoloji ile gerçek- 6. Taraflar için yükümlülüklerin ve sorumlulukların belirlenmesi, leşebilmesini mümkün kılmaktadır. Bu teknolojilerin kullanımı ile hizmetlerde 7. Verilerin kullanımının ilgili kişilerin mahremiyeti ve yönlendirilmesi açısın- iyileşme gerçekleşmesi ve verimliliğin artması sağlanmaktadır. Öte yandan veri- lerin YZ teknolojileri makine öğrenmesi süreçlerinde kaynak olarak kullanılması dan oluşturabileceği risklerin azaltılması, ile; bilgiye erişilmesi, toplanması, değerlendirilmesi ve çıktıların alınması kaçı- 8. Geliştirilen sistemlerde oluşabilecek hataların kolaylıkla belirlenip ayıklana- nılmazdır. Bilgi işleme süreçlerinin bulut bilişim ile etkileşimi sayesinde büyük miktarda veri toplanarak çeşitli yerlerde depolanabilmektedir. bilir olabilmesi Konu, ilgili kişilerin mahremiyeti ve özel hayatın gizliliği açısından değerlendi- gerekmektedir (Hoffmann-Riem, 2019). İlgili düzenlemelerin ise veri koruma rildiğinde; verilerin işlenme amacı dışında kullanılması, kişilerin davranış mo- ilkelerine uygun bir biçimde, şeffaf, etkin, teknolojik gelişmelerin artışını des- dellerinin ve karakter analizinin tespit edilerek profilleme gerçekleştirilmesi, veri tekleyici, gelişmeleri kapsayacak ve çeşitli alanları düzenleyebilecek şekilde esnek, yanlılığı sonucu YZ uygulamaları tarafından önyargı içeren kararlar alınması, meşru ve yeterli olması gerekmektedir (Baldwin, 2011). öneri sistemleri ile bireylerin yönlendirilmesi gibi durumlarda etik ve hukuki problemlerin doğarak mahremiyet ihlallerinin ortaya çıkabildiği görülmektedir. Bu konuda düzenlemeler yapılırken ayrıca, YZ teknolojisini kullanmanın yarar- Uygulama geliştirme sürecinde kullanılan verilerin doğru ve güvenilir olmadığı larından ve zararlarından kimin veya neyin sorumlu olduğu ve güvenilir yapay veya algoritmik kararların adil olmadığı durumlar, kişilerin hak ve özgürlükleri- zekâ için gereksinimlerin neler olduğu sorularına değinmek gerekmektedir. nin zarar görmesine veya ekonomik kayıplara neden olabilmektedir. Bahse konu araçlar kullanılarak yaşamın kolaylaştırılması sağlansa da diğer yandan pek çok YZ teknolojilerinin makine ve derin öğrenme ile insan beynini model alarak in- hususta oluşturabileceği muhtemel risk ve tehlikeler ile de farklı disiplinler için sanlar tarafından gerçekleştirilen muhakeme, özerklik, yaratıcılık vb. faaliyetleri tartışma konusu olabilmektedir. gerçekleştirdiği görülmektedir. Makine öğrenmesi ile YZ uygulamaları çok hızlı bir biçimde öğrenme ve değişim gerçekleşmekte, dinamik olarak kendi alt he- Ancak Yapay Zekânın insanlık için çok önemli ve büyük bir yenilik olduğunu göz deflerini belirleme kapasitesine ve harici sensör bilgileri veya güncellenmiş girdi ardı etmemek, bu konudaki gelişimleri engellememek büyük önem taşımaktadır. verileri aracılığıyla yerel koşullara uyum sağlama yeteneklerine sahip olmaktadır. Bu noktada teknolojinin gelişimi ile dengeli bir biçimde, insan haklarının korun- Aynı zamanda, makine öğrenme sistemleri, önceden programlanmayan yollarla ması çerçevesinde hukuki ve etik düzenlemeler yapılarak ve çeşitli teknik ve idari alternatifler arasında seçim yapan bağımsız kararlar alarak ve bunu herhangi bir tedbirler alınarak kişisel verilerin korunması kapsamında kişilerin temel hak ve insan müdahalesi olmadan gerçekleştirecek şekilde tasarlanmıştır. (CoE, 2019) özgürlüklerinin korunması ihtiyacı doğmaktadır. YZ kullanımında, veri yöneti- şimi stratejisi uygulanırken kaynakların yalnızca yapay zekâ ürün geliştirmeye Faaliyetleri değerlendirilerek yapay zekânın gelişmişlik düzeyi göz önüne alın- odaklanmak yerine mahremiyeti artırmaya yönelik, kullanımda mahremiyet dığında, veri sorumlusunun robot olarak kabul edilmesi durumunda kişiliğinin odaklı olunması, güvenliğin ve sistemlerin takibinin de sağlanması gerekmek- belirsizliği problemi ortaya çıkmaktadır. Doktrinde yer alan görüşlerde YZ’ye kö- tedir. lelik statüsü verilmesi, tüzel kişilik benzeri bir kişilik tanınması gerektiği, ya da öngörülebilirlik ve şeffaflık sorunlarının ortadan kaldırılması adına yapay insan Bu kapsamda, veri koruma ilkelerine uyumlanmasına yönelik düzenlemeler ile statüsü, elektronik kişi olarak kabul edilmesi görüşleri yer almaktadır. 1. Sistemlerin demokratik ve anayasal denetiminin sağlanması, Konuya ilişkin olarak, gelişmiş otonom robotların elektronik kişi statüsü edin- 2. Eşitlik, adalet, hakkaniyet şeffaflık, mahremiyet ve hesap verebilirlik gibi de- mesi ile, robotların özerk karar alabilecekleri durumlarda veya üçüncü taraflar- la bağımsız olarak iletişim sağladıkları hallerde neden olabilecekleri muhtemel ğerlerin korunması, hasarlarda, robotlara elektronik kişilik statüsü verilerek sorumluluk almaları 3. YZ sistemleri ve uygulamaları için standart kalite seviyesi geliştirilmesi, gerektiği görüşleri de mevcuttur. (European Parliament, 2015) Bu yaklaşımla, 4. Bu sistemlerin uygun ve orantılı bir biçimde kullanılması, yapay zekâ sistemlerine bir tür yasal statü verilmesinin, yapay zekayı geliştiren 5. İlgili kişiler ve kullanılan veriler açısından şeffaflığın sağlanması, veya başlatan şirketten ayırarak, yapay zekanın neden olduğu kayıp ve hasar için belirli bir tazminat planının yapay zekanın kendisi için oluşturulmasını sağlaya- 432 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 433 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI cağı öngörülmektedir. YZ teknolojisinin dinamik yapısı gereği, bu teknolojinin ve karar alıcılarının; YZ teknolojilerinin yaşam süreçleri boyunca genel kapsamlı gelişimi ile birlikte, iş süreçleri ve tüketicilere ilişkin ilgili yeni hesap verebilirlik bu rehberden faydalanmaları konuya ilişkin çalışmalarında veri güvenliğini sağ- ve sorumluluk biçimlerine ihtiyaç duyulacağı açıktır. lamaları hususunda önem arz etmektedir. Ancak YZ sistemlerine doğrudan sorumluluk yüklemek yerine mevcut sistemler YAPAY ZEK UYGULAMARINDA KİŞİSEL VERİLERİN KORUNMASINA ve uygulamaların değerlendirilmesi gerekmekte olup, ele alınan YZ sistemlerinin YÖNELİK ALINABİLECEK TEKNİK TEDBİRLER henüz kendilerine ve geçmişlerine ilişkin bilince sahip olmamaları durumunda bu sistemlere doğrudan sorumluluk yüklemek uygun olmayacaktır. (Erdoğan, Yapay Zekâ uygulamaları, sosyal yaşam, ekonomik gelişim, toplum refahı ve gü- 2021) Ayrıca insan üretimi ile ortaya çıkan YZ’ye sahip varlıklara kişilik atfedil- venliğinin iyileştirilmesine yönelik birçok yenilik sunmaktadır. Ancak bu tek- mesi durumunda, üretimi yapanın ve kullanıcının sorumluluğunu zayıflatmak nolojilerin yayılması ile birlikte veri miktarının ve çeşitliliğinin artmasına sebep gibi, olası sorunları ortadan kaldırmaktan çok yeni sorunlar ortaya çıkarması olan süreçlerde kişisel verilerin de kullanılması bireyler için risk teşkil edebil- muhtemeldir. (Akyol, 2021) Bu noktada belirtmek gerekir ki, yaşamımızı etkile- mektedir. Bilindiği üzere, Kanun’da veri sorumlularının yükümlülükleri arasında yen her alanda olduğu gibi bu YZ’nin uygulamalarının kullanımında ortaya çıkan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere huku- hukuki, insan hakları ihlallerini önleyecek, etkili ve meşru düzenleyici mekaniz- ka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak” malara ihtiyaç duyulmaktadır. yer almaktadır. Bu kapsamda veri sorumlusu gerekli tüm teknik ve idari tedbiri almak zorundadır. Tüm yasal düzenlemelerin yanısıra yapay zekâ uygulamalarının geliştirme süreç- lerinden itibaren, YZ’nin dinamik yapısı gereği gelişmelere uyum sağlayabilecek, Kişisel verilerin kullanıldığı, işlendiği, depolandığı; öğrenme, çıkarsama, uygula- siber tehditlere karşı koruma sağlayabilecek, düzenlemelere ve mahremiyetin ma süreçleri için büyük veriye ve algoritmanın büyük verilerle eğitiminin sonucu korunmasına yönelik gelişmelere adapte olabilecek çeşitli teknik ve idari tedbir, olarak veri modeline ihtiyaç duymaktadır. Bu uygulamaların veya sistemlerin yöntem ve araçlara ihtiyaç duyulmaktadır. Ortaya çıkan düzenleme ve yönlen- kişisel verileri de içerebilecek olmaları sebebi ile uygulama geliştiriciler veya sağ- dirme gereksinim ile birlikte konuya ilişkin birçok ülke tarafından rehber veya layıcıların veri mahremiyetini sağlamaları gerekmektedir. açıklayıcı nitelikli rehberler sunulmuştur. Sürekli değişmekte ve gelişmekte olan YZ uygulamalarının kullanımına ilişkin Bu hususta ülkemizde, Kişisel Verileri Koruma Kurumu tarafından “Yapay Zekâ süreçlerde ortaya çıkabilecek risklere ilişkin olarak uygulanabilecek tedbirlerin Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” başlıklı rehber düzen- konu özelinde değerlendirilmesi gerekmekle birlikte, uygulanabilecek güvenlik lenmiştir. (KVKK, 2021) Rehberde, YZ teknolojileri geliştirilirken insanlara hiz- tedbirleri çalışmada örneklendirilmiştir. YZ sistemlerinin geliştirildiği ve devreye met edecek şekilde tasarlanmasını sağlamak üzere; geliştiriciler, üreticiler, servis alındığı süreçlerde süreç boyunca mahremiyet değerlendirilmesi yapılmasına yö- sağlayıcılar ve karar alıcılara yönelik tavsiyeler sunulmakta olup, gerçekleştirilen nelik, eğitim verisi ihtiyacını azaltmaya yönelik, temel veri kümesini azaltmadan çalışmalar çerçevesinde kişisel verilerin korunması hususunda açıklık sağlanması veri korumasını desteklemeye yönelik ve kara kutu sorununu önlemek için ta- hedeflenmektedir. Rehberde, YZ sistemlerinin geliştirilme ve uygulama süreçle- sarlanmış yöntemler kullanılmaktadır. Bu yöntemler süreçlerle ilişkilendirilerek rinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesinin gerekliliği örneklendirmek mümkündür; vurgulanmaktadır. Aynı zamanda YZ sistemleri geliştirilirken ilgili kişiler üzerin- de ayrımcılık, önyargı gibi istenmeyen etkiler yaratmasından kaçınılmasının öne- 1. Tasarım Gereği ve Varsayılan Ayarlarla Mahremiyet İlkeleri: Tasarım gereği mi belirtilmektedir. Bu kapsamda, demokrasinin işleyişini, sosyal ve etik değer- ve varsayılan ayarlarla mahremiyet kavramının amaçları; mahremiyeti sağ- leri göz önünde bulunduran yaklaşımın gerekliliğinin üzerinde durulmaktadır. lamak, kişilerin kendilerine ilişkin bilgileri üzerinde kontrolünün olmasını Ayrıca, konuya ilişkin genel ve taraflar için tavsiyeler sunulmuş olup, tasarımdan sağlamak ve kuruluşlar için sürdürülebilir bir rekabet avantajı elde edebil- itibaren veri koruma ilkesine uygun bir biçimde teknolojik gelişmelerin gerçek- melerini sağlamaktadır. (Cavoukian, 2011) Risk odaklı yaklaşımlara dayanan leştirilmesine yönelik alınabilecek olan teknik ve idari tedbirler sunulmaktadır. ilkelere uyum ile yapay zekanın oluşturabileceği tehditler önceden ele alına- Bu kapsamda YZ sistemleri geliştiricilerinin, üreticilerinin, servis sağlayıcılarının rak minimum düzeye indirilmesi hedeflenir. Bu ilkelerin YZ teknolojisinin 434 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 435 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI her aşamasında göz önünde bulundurulması; herhangi bir sistemin, hizme- bilecek, yeni, sentetik veri örnekleri oluşturmak için iki sinir ağı kullanan tin, ürünün veya sürecin tasarım aşamasında ve daha sonra yaşam döngüsü algoritmik mimarilerdir. Bu yöntem ile makine öğrenim süreçlerinde, eği- boyunca veri koruma konularının dikkate alınmasını sağlar ve belirli amaca tim seti gerçek verilerle uyumlu istatistiklerle yapay veri üreterek yeni veriler ulaşmak için yalnızca gerekli olan verilerin işlenmesini gerektirir. oluşturmaktadır. Günümüzde asıl kullanım alanı görüntü üretimine yönelik olmakla beraber, pek çok alanda büyük hacimli yüksek kaliteli, yapay eğitim 2. Veri Koruma Etki Değerlendirmesi: Modernize Edilen 108 sayılı Sözleşme’nin verileri üretmek için bir yöntem olma potansiyeline de sahiptir. Bu durum, 10(2) maddesinde; veri sorumlularının ve veri işleyenlerin “bu tür bir işleme gerçek kişisel bilgileri içeren büyük miktarda veriyi kullanmaya gerek kalma- faaliyeti başlamadan önce, amaçlanan veri işlemenin, ilgili kişilerin temel dan büyük hacimli verilere olan ihtiyacı karşılayacaktır. (Goodfellow, 2014) hak ve özgürlükleri üzerinde oluşabileceği muhtemel etkisini incelemenin ve değerlendirmenin ardından, veri işleme faaliyetini bu faaliyete bağlı riskleri Bu teknoloji sayesinde etkili bir biçimde anonimleştirme gerçekleştirilebil- önleyecek veya bu riskleri en aza indirecek şekilde tasarlanmaları gerektiği” mektedir. Yapay olarak oluşturulan ve gerçek olaylardan kaynaklanmayan belirtilmiştir. sentetik veriler üretilmesi sağlanmaktadır. Bu nedenle veriler gerçek olma- dığı için kişisel veri olarak kabul edilemez. Ancak bu yöntemin Deepfakes Bu durum AB mevzuatında GDPR madde 36 uyarınca, “veri işleme faaliyetle- teknolojisinin temelini oluşturduğunu ve kullanım durumuna bağlı olarak, rinin bireylerin hak ve özgürlükleri için yüksek risk oluşturabileceği durum- ilgili kişinin mahremiyetini riske atabileceği veya mahremiyeti koruyucu bir larda etki değerlenmesi yapılması gerekmektedir” biçiminde ele alınmıştır. tedbir olabileceği unutulmamalıdır. Yapay Zekâ teknolojilerinin gelişimiyle beraber karmaşıklaşan veri işleme fa- 5. Federe Öğrenme: Federe öğrenme yöntemi kullanılarak, veri veya modellerin aliyetleri gözlemlendiğinde, veri sorumlularının sürecin doğasını, kapsamını, güvenilmeyen cihazlarda depolanması, güvenilmeyen kanallar üzerinden ile- bağlamını, yeni teknolojilerinin etkisini ele alarak, veri işlemenin gerekliliği, tim veya güvenilmeyen hizmetlerde hesaplama problemlerine ilişkin çözüm orantılılığı ve ilgili kişilerin hak ve özgürlüklerine ilişkin oluşabilecek riskleri sağlamak amaçlanmaktadır. (OVIC, 2019) değerlendirmeleri gerekmektedir. Veri koruma etki değerlendirmesi yapıla- rak, kişisel verilerin işlenmesinden önce mahremiyete ilişkin risklerinin ve Federe öğrenme dağıtık öğrenme prensibine dayanmaktadır. Bu makine bu yönde alınabilecek tedbirlerin belirlenmesi ve risklerin en aza indirilmesi öğrenmesi yönteminin ana özelliği, yerel bir veri kümesine sahip merkezi sağlanabilir. olmayan cihazlara veya sunuculara dayalı paylaşılan istatistiksel modellerin eğitmesine olanak sağlamasıdır. Eğitim verileri yerelde tutularak, kullanıcı ve- 3. Kişisel Verilerin Anonim Hale Getirilmesi: YZ sistemlerinin eğitim ve işleyiş rilerinin, kullanıcıların cihazlarından hiç çıkmadan, eğitim sürecinin birçok verilerine ilişkin anonimleştirme gerçekleştirildiği durumlarda, kayıtların kullanıcı arasında dağıtılarak işbirlikçi bir süreç izlenmektedir. sonradan ayırt edilememesi sayesinde ilgili kişilerde daha fazla güven duygu- su uyandırarak daha fazla veri paylaşımı sağlayarak, yapay zekâ sistemlerinin Başka bir deyişle, verileri tek bir konumda bir araya getirme ihtiyacını or- performansının önemli ölçüde iyileştirilmesi sağlanabilecektir. Anonimleş- tadan kaldırarak makine öğrenimini merkezden uzaklaştırır. Bunun yerine tirmenin ilgili YZ öğrenme sürecinde YZ sistemlerinin işlevlerini gerçekleştir- model, farklı konumlarda birden çok yinelemede eğitilir. Daha genel anlamda mesine engel olması durumunda ise takma adlandırma (Pseudonymisation) bu yöntem, makine öğrenimi algoritmalarının farklı konumlarda bulunan ile, bir bireyin adı gibi benzersiz bir tanımlayıcının yerine başka bir değer çok çeşitli veri kümelerinden deneyim kazanmasına olanak tanır. Tüm bu atanması ile gizliliğin arttırılması sağlanabilmektedir. Her iki yöntemde de avantajların yanısıra bu yöntemin kullanımı, ham verilerin merkezi bir su- temel amaç yalnızca gerekli olan verilerin muhafaza edilmesi ile kişisel ve- nucuya geri iletilmesi ve ardından sonuçların cihaza geri gönderilmesi nede- rilerin muhafaza edilme süreçlerinde meydana çıkabilecek riskleri en aza niyle oluşan zaman gecikmesini azaltmaktadır. Tahmin cihazın kendisinde indirmektir. gerçekleştiği için gerçek zamanlı tahmini mümkün kılmaktadır. 4. Çekişmeli Üretici Ağ: Çekişmeli Üretici Ağlar gerçek verilerin yerine geçe- Veri güvenliği açısından değerlendirilecek olursa; federe öğrenme tasarım ge- 436 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 437 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI reği ve yapısal olarak veri minimizasyonunu içermektedir. Yöntemin çalışma rin kapsamlı olarak korunması sağlanabilmektedir. (Ji, Lipton ve Elkan, 2014) prensibinde anlatıldığı üzere veri toplama ve birleştirme, federe yaklaşımda birbirinden ayrılamaz. Müşteri verilerinin amaca özel dönütleri, analistlerin Veri koruma perspektifinden bakıldığında bu yöntemin kullanılması esna- müşteri başına mesajlara erişimi olmadan, anında birleştirme için toplan- sında karşılaşılması muhtemel en büyük zorluk, gerçek cevaplara eklenecek maktadır. Ayrıca ele alınan makine öğrenmesi ve analiz hedefleri, anonim uygun miktarda gürültü üretilmesi sonucu hem ilgili kişilerin mahremiye- olarak veri toplama hedefiyle uyumludur. Makine öğrenme sürecinde amaç, tini sağlayıp hem de paylaşılan cevapların kullanışlılığının korunmasıdır. eğitim için kullanılan verileri fazla ezberlemeden tüm kullanıcılar için doğru Ayrıca veri tabanlarının bağlantılarının takip edilmesi ile sorgu sonuçları- tahminde bulunan bir modeli eğitmektir. nın kombinasyonunun, gizli olması amaçlanan bilgilerin ifşa edilmesine yol açabilecek olması sebebiyle her sorgunun bağımsız olarak ele alınması önem 6. Matriks Kapsülleri: Matriks kapsülleri, sinir ağlarının yeni bir çeşididir ve öğ- taşımaktadır. (Madde 29 Çalışma Grubu, 05/2014 Görüşü) renme faaliyeti için daha az veri gerektirmektedir. Kapsüller, bir katmandaki tüm aktivasyon olasılıkları ve kapsüllerin pozlarını bir sonraki katmandaki 8. Homomorfik Şifreleme: Homomorfik şifreleme, kullanıcıların şifrelenmiş aktivasyon olasılıkları ve pozlarına dönüştüren çok daha karmaşık bir sistem verileri üzerinde şifresini çözmeye ihtiyaç duymadan işlem yapmasını sağla- kullanmaktadır. Temel bir hesaplama birimi oluşturabilmektedir. yan bir şifreleme türüdür. Homomorfik şifreleme ile mahremiyeti koruma odaklı dış kaynaklı depolama ve hesaplama işlemleri yapılabilmektedir. Bu 7. Diferansiyel Mahremiyet: Diferansiyel mahremiyet yöntemi, veri setinde yer durum, veri setinin kullanım olanaklarını sınırlamadan gizliliğin korunabi- alan kişilerin bilgilerini anonim hale getirirken, grupların kalıplarını tanım- leceği anlamını taşımaktadır. layarak veri kümesi hakkındaki bilgileri herkese açık olarak paylaşmak için kullanılan bir sistemdir. Bu sayede veri sorumlusu orijinal verileri bünyesinde Geleneksel bir şifreleme modelinde, veriler üzerinde değişiklik yapılmak iste- tutarken, veri setini yayınlama esnasında veri kümesinin anonimleştirilmiş nirse bulut konumundan indirilmeli, şifresi çözülmeli, okunmalı veya düzen- görünümlerini oluşturabilmektedir. lenmeli, yeniden şifrelenmeli ve ardından yeniden yüklenmelidir. Dosyaların boyutları genişledikçe, bu görevler giderek daha külfetli hale gelebilmektedir Bu yöntem ile, istatistiksel veri tabanları üzerine yapılan analizlerde gürültü ve veri setinin güvenliğini sağlamak zorlaşmaktadır. ekleme metodu kullanılarak sistemin yaşam döngüsünde girdi, model ve çıktı süreçlerinde koruma sağlanmaktadır. Öte yandan, homomorfik olarak şifrelenen veriler, hala sunucudayken şifre çözülmesine gerek olmaksızın üzerlerinde sınırlı işlemler gerçekleştirilebil- Kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilen- mektedir. Ardından, nihai olarak şifrelenmiş ürün, mesajın şifresini çözmek dirilemez hale getirilmesi durumu olan anonimleştirmeyi sağlamak, orijinal için anahtarını kullanan kullanıcıya gönderilir. Bu yöntem uçtan uca şifrele- veriler kullanılarak gerçekleştirilen model veya analizin kullanımına göre meye benzemektedir, şifresi çözülen mesaja yalnızca alıcı erişebilir. daha düşük seviyede doğruluk sunabilmektedir. Ancak verilerin korunması kapsamında diferansiyel mahremiyet yönteminin kullanılması ile, veri setine Örneğin, sağlık verileri gibi özel nitelikli kişisel veriler için mahremiyeti sağ- gürültü eklenmesi gibi yöntemlerle araştırmacılar gerçek verinin gürültü ek- lamak amacıyla, veri paylaşımını engelleyen gizlilik engellerini kaldırarak lenmiş halini kullanmaları sonucu gerçek veriye yaklaşık değerler elde etmiş veya mevcut hizmetlerin güvenliğini artırarak yeni hizmetleri etkinleştirmek olacaklardır. (Canbay ve Sağıroğlu,2020) için homomorfik şifreleme kullanılabilir. Bu kapsamda yapılan çalışmalarda, sağlık hizmetlerinde tahmine dayalı analitiğin tıbbi veri gizliliği endişeleri Konuyu örneklendirmek gerekir ise, gerçek kişilere ilişkin bilgileri içeren bir nedeniyle üçüncü taraf hizmet sağlayıcı aracılığıyla uygulanması sorun teşkil veri tabanından bilgi alındığında yanıt, veri tabanındaki kişiler hakkında bil- edebilmektedir. Ancak tahmine dayalı analitik hizmet sağlayıcısının gerçek gi alınmasını sağlayan, ancak belirli bireyler hakkında kesin ayrıntılar içer- veriler yerine şifreli veriler üzerinde çalışabilmesi durumunda, mahremiyete meyen, kasıtlı olarak oluşturulmuş “gürültü” içerecektir. Bu yöntemde veri ilişkin endişeler azalabilmektedir. Ayrıca bu yaklaşım ile, hizmet sağlayıcının kümesinin baskın eğilimleri veya özellikleri değişmeyecektir ve kişisel verile- sisteminin ele geçirilmesi durumunda verilerin güvende kalması sağlanacak- 438 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 439 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI tır (Bos, Lauter ve Naeherig, 2014). 10. Blokzinciri: Blokzinciri, verilerin bloklar halinde gruplanmasına dayanan, işlemleri güvenli, kurcalamaya karşı dayanıklı, dağıtık (yani merkezi bir oto- Konuya ilişkin mevcut gelişmeler takip edildiğinde, homomorfik şifreleme- rite olmadan) ve verimli bir şekilde düşük maliyetle kaydeden merkeziyetsiz nin sınırlamaları görülmesi sebebiyle, bu şifrelemeyi kullanan sistemlerin bir dijital hesap teknolojisidir (Tatar, Gökçe ve Nussbaum, 2020). Blokzinci- düşük verimlilik oranında çalışacağı anlamına gelmektedir. Ek güvenlik yön- rinde yer alan her düğüm, ağın bir kullanıcısını temsil ederek veritabanının temlerine ihtiyaç duymayan birçok işletme için kullanımı maliyetli ve düşük ayrılmaz bir kopyasını saklar ve veritabanını bağımsız olarak güncelleyebilir verimli olmakla beraber, özel nitelikli veriler barındıran sektörler için bu (EPRS, 2019). yöntem oldukça kullanışlı olabilmektedir. Bu kapsamda çözümler geliştiril- mesine yönelik aktif çalışmalar devam etmektedir. Zincirde yer alan kullanıcı kimlikleri metin olarak, hash değeri tutularak veya takma adlandırma kullanılarak kaydedilebilmektedir. Dolayısıyla, metin ve- 9. Transfer Öğrenme: Öğrenme süreçlerinde her zaman modelleri sıfırdan ge- rilerinin ilgili kişiler doğrudan belirlenebilmektedir. Hash fonksiyonlarının liştirmeye ihtiyaç duyulmamaktadır. Bir diğer yöntem olarak, benzer görev- kullanımıyla da kişilerin tanımlanabilirliğine ilişkin çeşitli görüşler olmakla leri çözen mevcut modelleri kullanmaktır. Transfer öğrenme kullanılarak, bir beraber; yaygın görüşte ilgili kişiyi doğrudan tanımlanın mümkün olmadığı makine öğrenimi modeli bir tür problem üzerinde eğitilir ve daha sonra yeni ancak çıktıların kıyaslanarak gerçek kişiyle ilişkilendirilebilir olması nede- görevini öğrenirken zaten sahip olduğu bilgiden yararlanarak farklı ancak niyle, bu fonksiyonların takma adlandırılan veriler kategorisi altında bu- ilgili bir problem üzerinde kullanılır. İşleme faaliyetini bu mevcut model- lunduğu kabul edilmektedir. (AEPD, 2019) Bu sebeple verilerin ilgili kişilerle lere dayandırarak, aynı sonuca daha az veri ile ve daha kısa sürede ulaşmak ilişkilendirilebilir olmasıyla zincirde yer alan veriler, kişisel veri kategorisine çoğu zaman mümkün olmaktadır. Bu yöntemin kullanım süreçlerinde, önce- girebilmektedir. den eğitilmiş modelleri içeren kütüphaneler kullanılmaktadır (Datatilsynet, 2022). Blokzincirinde yer alan veriler merkezi olmayan bir şekilde toplanır, sakla- nır ve işlenir. Blok olarak kaydedildikten sonra işlemler kronolojik olarak Pratik açıdan değerlendirildiğinde, yeni görevlerin öğrenilmesi için önceden sıralanarak değiştirilemez biçimde tutulmaktadır (Iansiti ve Lakhani, 2017). öğrenilen görevlerden bilgilerin yeniden kullanılması veya aktarılması, pekiş- Gerçekleşen tüm işlemlerin takma adlandırılmış, sahipliğini doğrulanabi- tirmeli öğrenme süreçlerinde verimliliği önemli ölçüde iyileştirme potansi- lir ve sürdürülebilir bir şekilde kaydederek belgeleyip, onaylamaktadır. Bazı yeline sahiptir (Karimpanal, Bouffanais ve Roland, 2019). Transfer öğrenme, görüşlerce takma adlandırma veri güvenliği açısından bir güvenlik önlemi ürün geliştiricilerin çok miktarda yeni veri ihtiyacını ortadan kaldırmasına olarak sayılmaktadır. Ancak belirtmek lazım ki, blok zincirler, verilerin ekle- olanak tanımaktadır. Etiketlenmiş eğitim verilerinin bulunduğu bir görev nebildiği, fakat yalnızca olağanüstü durumlarda kaldırılabildiği hesaplardır. üzerinde önceden eğitilmiş bir model, çok daha az veri ile yeni ve benzer bir görevi gerçekleştirebilecektir. Ayrıca önceden eğitilmiş bir model kullanmak Blok zinciri, Bitcoin ve diğer kripto para birimlerinin altında yatan teknolo- genellikle modelin yeni bir görevde eğitilmesi sürecini hızlandırır ve genel ji olmakla beraber Yapay Zekâ teknolojisiyle bir arada kullanımı ile, sağlık, olarak daha doğru ve etkili bir ürünle sonuçlanabilmektedir. finans, tedarik gibi birçok alanda oldukça etkin bir güvenlik mekanizması sağlamak mümkündür. Örneğin sağlık sektöründe blokzinciri sayesinde ol- Öte yandan, önemli karar verme uygulamalarında giderek daha fazla kulla- dukça kapsamlı ve çok miktarda verinin blokzinciri ile tutulması durumunda nılması sebebiyle, diğer küresel teknolojiler gibi derin öğrenme modelleri hastanın tedavisine ilişkin süreç birçok doktor tarafından takip edilebilecek, de, kötü niyetli kişilerin hedefi haline gelebilmektedir. Bu kapsamda, transfer istenmesi durumunda izne tabi olarak doktorlar tarafından düzenlenebile- öğrenme süreçlerinde taraflar arasında makine öğrenme süreçlerini hızlan- cektir. Şifrelenmiş blokzinciri sayesinde aynı zamanda verilerin güvenliği de dırmak üzere paylaşılan veriler üzerinde değişiklik yapılmasının önlenmesi sağlanmış olacaktır. Bu zincirde yer alan kayıtlarının paylaşımının, düzen- ve verilerin korunmasına ilişkin diferansiyel mahremiyet, homomorfik şif- lenmesinin izne tabi olması ise kullanıcıların kişisel verilerinin ne kadarını releme gibi yöntemlerden destek alınması gerekmektedir. paylaşacaklarına karar vermelerine olanak sağlamaktadır. Ayrıca, blokzinciri değiştirilemez yapısı gereği ilgili kişilere ilişkin bilgileri, kişilerin kararlarını 440 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 441 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI yansıtırken güvenilirlik ve şeffaflık sağlamaktadır. kilde açıklayabilen, YZ eylemlerinin dayandığı bilgileri ortaya koyabilen ve siste- mi kullanma konusunda güveni artıran bir yapay zekâ yaratmaktır. (Rieg,Frick, Öte yandan blokzincir teknolojisi tarafından kullanılan merkezi olmayan veri Baumgartl ve Buettner, 2020) Bu özellikler mevcut bilgiyi doğrulamayı, mevcut yönetişim modeli ve verilerin işlenmesine dahil olan çok sayıda taraf bulun- bilgiyi sorgulamayı ve yeni varsayımlar üretmeyi mümkün kılmaktadır. Bu yak- ması nedeniyle, dağıtık yapısı gereği bu sistemlerde veri sorumlusunu tayin laşıma yüksek doğruluk payının ve geri bildirimin önem taşıdığı savunma, sağlık etmek güçleşmektedir. Bu çerçevede veri sorumlusu belirlenirken, zincire ve hukuk gibi alanlarda daha belirgin ihtiyaç duyulmaktadır. yazma hakkına sahip olan ve madencilerin doğrulaması için veri göndermeye karar veren katılımcıların veri sorumlusu olarak kabul edilebileceğini görüşü Bu kapsamda önlemlerin YZ teknolojileri geliştiricileri, veri sorumluları ve/veya savunulmaktadır. (CNIL ,2018) dağıtım sürecinde yer alan taraflarca değerlendirilerek ihtiyaç duyulduğu du- rumlarda birbirlerini destekleyecek bir biçimde bir arada uygulanması öneril- Bu teknolojinin kullanımıyla ortaya çıkan bir diğer problem ise; dağıtık def- mektedir. terlerin, yeni veriler eklendikçe sürekli büyüyen, yalnızca ekleme yapılan veri tabanları olmasıdır. Bu durum hem veri minimizasyonu ilkesine uymamakta hem de ilgili kişilerin verilerinin silinmesini veya unutulmasını talep etmele- ri durumunda taleplerinin yerine getirilememesine sebep olmaktadır. (EPRS, 2019) Ayrıca bu teknolojinin yapısı gereği değiştirilemez olması sebebiyle zin- cire eklenen verilerin muhafaza süresi kısıtlanamamaktadır. Bu durum da sü- resiz olarak verilerin muhafazası durumuyla karşı karşıya kalınabilmektedir. 11. Açıklanabilir Makine Öğrenimi: Açıklanabilir Makine Öğrenimi alınan tüm otomatik kararların açıklanabilir olması gerektiği fikrine dayanmaktadır. Böylece şeffaflık ve hesap verebilirlik sağlanmaya çalışılmaktadır. Ayrıca bu öğrenme ile yapay zekâ destekli sistemleri kullanıcılara, zihinsel modelleri ge- liştirerek ve kavram yanılgılarını ortadan kaldırarak, daha etkili performans sunmayı hedeflemektedir (Alizadeh, 2021). Konuya ilişkin P. Jonathon Phillips vd. tarafından “Açıklanabilir Yapay Zekâ- nın Dört İlkesi Raporu”nda, insan-makine etkileşiminin araştırılabilmesi ve kullanıcıların sistem hakkında daha kapsamlı bilgiye sahip olmasının sağlan- ması ile daha güvenli bir ortam yaratılması adına 4 temel ilke tanımlamıştır. Bu ilkeler: » Sistemler, tüm çıktılar için kanıt veya sebep(ler) sunarak açıklama üret- meli, » Sistemler, kullanıcılar için anlaşılabilir açıklamalar sağlamalı, » Açıklama, sistemin çıktı üretme sürecini doğru bir şekilde yansıtmalı, » Sistemin yalnızca tasarlandığı koşullar altında veya sistem çıktısında ye- terli güvene ulaştığında çalışması ile bilgi sınırları tanımlanmalı. Açıklanabilir Makine Öğrenimi kullanımında amaç, kararlarını anlaşılır bir şe- 442 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 443 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ KAYNAKÇA Yapay Zekâ sistemlerinin kullanıldığı süreçlerin bütüncül olarak ele alınması ◊ AEPD. (2019) Introduction To The Hash Functıon As A Personal Data Pseu- gerekmektedir. Yenilikler meydana gelirken kişisel verilen korunmasına ilişkin donymisation Technique. https://edps.europa.eu/sites/default/files/publica- hukuki düzenlemelerin de bu teknolojinin dinamizmine ayak uyduracak bir bi- tion/19-10-30_aepd-edps_paper_hash_final_en.pdf adresinden 18.08.2022 çimde gerçekleştirilmesi elzemdir. Bu açıdan Yapay Zekâ teknolojilerinin geliş- tarihinde alınmıştır tirilmesinde temel hedef bireylere hizmet etmesi olmakla beraber, yeniliklerin kişilerin temel hak ve özgürlükleri çerçevesinde kişisel verilerin korunmasını is- ◊ Akyol, A. (2021). Yapay Zekânın Cezai Sorumluluğu. Editörler. Balcı, M. ve teme hakkı açısından yönetilmesi gerekmektedir. (Baldwin, Cave ve Lodge, 2011) Aydın, H. (Ed.), s.174. Ankara. Bu sebeple hukuki düzenlemelerin; şeffaf, etkin, teknolojik gelişmelerin artışını destekleyici, gelişmeleri kapsayacak ve çeşitli alanları düzenleyebilecek şekilde ◊ Alizadeh,F.(2021). I Don’t Know, Is AI Also Used in Airbags?: An Empirical esnek, meşru ve yeterli olması gerekmektedir. Aynı şekilde kişisel verilerin veri so- Study of Folk Concepts and People’s Expectations of Current and Future Ar- rumluları tarafından çeşitli teknik ve idari tedbirler ile korunması, adil bir şekilde tificial Intelligence, https://doi:10.1515/icom-2021-0009 kullanılması, kişiler için haksız veya olumsuz etkiler oluşturmayacak biçimde işlenmesi önemlidir. Bu kapsamda Yapay Zekâ Uygulamalarına yönelik çalışmalar ◊ Article 29 Data Protection Workıng Party. (2014). Opinion 05/2014 on Anony- gerçekleştirilirken mevcut yasal düzenlemeler takip edilerek, onlara uyum sağla- misation Techniques,. https://ec.europa.eu/justice/article-29/documentation/ narak rol ve sorumlulukların belirlenmesi önem arz etmektedir. opinion-recommendation/files/2014/wp216_en.pdf adresinden alınmıştır. Ancak vurgulamak gerekir ki güvenli yapay zekâ kullanım süreçleri için tüm pay- ◊ Baldwin, R., Cave, M., Lodge, M. (2011). Best Practices Setting Targets and daşlara görevler düşmektedir. Detecting Vulnerabilities, Policy Quarterly. 3(3), s. 26-31. » Yapay zekâ sistemlerini araştıran, tasarlayan ve/veya geliştiren ürün ge- ◊ Bos, J.W., Lauter K. ve Naehrig M. (2014). Private Predictive Analysis On Encr- liştiricileri ve üreticiler teknolojiyle uyumlu, dinamik, yeterli teknik ve ypted Medical Data. Journal of Biomedical Informatics 50, s. 234-243. idari önlemleri almalıdır. YZ sistemlerinin çok çeşitli olmaları gereği ta- sarım aşamasından itibaren şeffaf, açıklanabilir ve denetlenebilir olması ◊ Cavoukian, A. (2011). Privacy by Design The 7 Foundational Principles. ht- gerekmektedir. tps://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprincip- les.pdf adresinden alınmıştır. » Ürün ve hizmetleri kullanan kuruluşlar olan dağıtıcılar, kullandıkları sis- temlerin ve sundukları ürün ve hizmetlerin gereksinimleri karşılamasını ◊ CNIL. (2018). Solutions for a responsible use of the blockchain in the context sağlamalıdır. of personal data. https://www.cnil.fr/sites/default/files/atoms/files/blockc- hain_en.pdf adresinde 18.02.2022 tarihinde erişim gerçekleştirilmiştir. » YZ sistemlerini kullanan, sistemlerden doğrudan veya dolaylı olarak et- kilenen ve karar verme aşamasında beklenen davranışı göstermesini sağ- ◊ CoE. (2019). A study of the implications of advanced digital technologies laması için talimat veren kullanıcılar taraflarınca alınabilecek önlemler (including AI systems) for the concept of responsibility within a human ri- hakkında farkındalığa sahip olmalı, gereklilikler hakkında bilgilendiril- ghts framework.https://rm.coe.int/responsability-and-ai-en/168097d9c5 meli ve bunların yerine getirilmesini talep edebilmelidir. ◆ adresinden alınmıştır. ◊ Datatilsynet. (2018). Artificial Intelligence And Privacy., ss.27, https://www. datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf adresinden 24.04.2022 tarihinde alınmıştır. 444 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 445 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ European Parliament Legislative Observatory. (2015/2103(INL). Civil Laws NESNELERIN İNTERNETI (IOT) UYGULAMALARINDA for Robotics. https://oeil.secure.europarl.europa.eu/oeil/popups/printsum- KIŞISEL VERI GÜVENLIĞI VE MAHREMIYET mary.pdf?id=1473044&l=en&t=D adresinden alınmıştır. Büşra YILMAZ ◊ EPRS | European Parliamentary Research Service. (2019). Blockchain and the General Data Protection Regulation. Panel for the Future of Science and Kişisel Verileri Koruma Uzmanı Technology . https://www.europarl.europa.eu/stoa/en/document/EPRS_ STU(2019)634445 adresinden alınmıştır. Bu çalışma, 14.02.2023 tarihinde kabul edilen “IoT (Nesnelerin İnterneti) Uygula- malarında Kişisel Veri Güvenliği ve Mahremiyetin Korunması” başlıklı uzmanlık ◊ Erdoğan, Ö. Yapay Zekânın Cezai Sorumluluğu. Editörler. Balcı, M. ve Aydın, tezinden alınmıştır. H. (Ed.), s.133. Ankara. GİRİŞ ◊ Goodfellow, I.J. ve ark. (2014). Generative Adversarial Nets. Teknolojik gelişmelerle iletişim hep daha kolay, pratik ve hızlı hale getirilmeye ◊ Hoffmann-Riem, W. (2019). Artificial Intelligence as a Challenge for Law and çalışılmıştır. Endüstri 4.0 olarak bilinen Sanayi Devrimiyle birlikte artık nesneler Regulation, Regulating Artificial Intelligence, s.11 arasındaki iletişim de gündeme gelmiş olup “Nesnelerin İnterneti (internet of things/IoT)” kavramı ortaya çıkmıştır. ◊ Iansıtı M., Karim R. L. (2017).The Truth About Blockchain. Harvard Business Review. https://hbr.org/2017/01/the-truth-about-blockchain adresinden Nesnelerin interneti için birçok tanım yapılmış olup aslında temelde fiziksel obje 17.08.2022 tarihinde erişilmiştir. ve nesnelerden oluşan bir ağ olarak ifade edilebilir. Bu ağı oluşturan nesneler ise; bilgi toplayan sensörler, verinin kaynağını tanımlayan tanımlayıcılar, verileri ◊ Karimpanal, G., Thommen- Bouffanais, R.(2019) Self-organizing maps for sto- analiz etmek için yazılım ve iletişim sağlanması, bilgilendirme/uyarı yapılması rage and transfer of knowledge in reinforcement learning. Adaptive Behavior, için internet bağlantısı ile güçlendirilmiştir (Rayes ve Salam, 2022). Nesnelerin 27 (2), s. 111–126. interneti kavramı ilk kez Kevin Ashton tarafından 1999 yılında kullanılmış ve bu yeni teknolojiyle tedarik zincirinde RFID (Radio Frequency Identification/ ◊ Kişisel Verileri Koruma Kurumu. (2021). Yapay Zekâ Alanında Kişisel Veri- Radyo Frekansıyla Tanımlama) etiketlerinin ve sensörlerinin ürünler üzerinde lerin Korunmasına Dair Tavsiyeler, https://kvkk.gov.tr/SharedFolderServer/ kullanılması amaçlanmıştır. IoT günümüzde sadece sanayi için değil insanların CMSFiles/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf adresinden alınmıştır. günlük yaşantısında da kullanılmakta olan bir teknoloji haline gelmiştir. ◊ Tatar, Ü., Gokce, Y. Ve Nussbaum, B. (2020) Law versus technology: Blockcha- in, GDPR, and tough tradeoffs. Computer Law & Security Review, 38, s.1-11. ◊ Rieg, T. ve ark. (2020). Demonstration of the potential of white-box machine learning approaches to gain insights from cardiovascular disease electrocar- diograms. ◊ OVIC. (2019). Closer To The Machine. https://ovic.vic.gov.au/wp-content/ uploads/2019/08/closer-to-the-machine-web.pdf adresinden 10.04.2022 tarihinde alınmıştır. 446 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 447 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI İnternet, sadece bilgisayarlardan oluşan bir ağ olmayıp artık bilgisayarların ya- bilmesi için veri sorumlularının ve veri işleyenlerin işleme faaliyeti gerçekleştir- nında her boyuttan ve her türden cihazdan oluşan bir ağ olarak evrilmiştir. Gü- dikleri veriler üzerinde kontrolü sağlamaları ve gerekli teknik ve idari tedbirleri nümüzde internet ağı, nesnelerin internetiyle birlikte bilgisayar, akıllı telefon, almaları gerekmektedir. tablet, kameralar, binalar, ev aletleri, endüstriyel sistemler, araçlar, tıbbi cihazlar ve giyilebilir teknolojiler gibi çeşitli bileşenlerden oluşmaktadır. Bu kapsamda IoT NESNELERİN İNTERNETİ KAVRAMI teknolojileri tarımdan sağlık sektörüne, akıllı binalardan akıllı şehirlere, ener- jiden endüstriye gibi uygulama alanı bakımından geniş bir yelpazeye sahiptir. “Nesnelerin interneti” kavramına ait tek bir tanım bulunmamaktadır. İngilizce di- linde “Internet of Things (IoT)” olarak geçen kavram “internet” ve nesneler/şeyler IoT sistemlerinin insanların günlük yaşantısına girmesiyle ve kişisel amaçlarla anlamına gelen “things” kelimelerinden oluşmaktadır. Nesnelerin interneti; her kullanımlarının artmasıyla birlikte bu sistemler ile toplanan verilerin miktarı türlü nesnenin ve cihazın kablolu veya kablosuz internet üzerinden bağlı olduğu ve çeşitleri de günden güne artmaktadır. IoT cihazlarının ve sensörlerinin ken- bir sistem olarak tanımlanabilir (Tawalbeh, Muheidat, Tawalbeh ve Quwaider, di çevrelerinden topladığı verilerin ise kişisel veri içermesi oldukça kaçınılmaz 2020). Ortaya çıkan bu yeni teknolojiyle internete bağlanan nesnelerin başlangıç bir duruma gelmiştir. Özellikle, giyilebilir teknolojilerin kullanılması hassas ve olarak üretimde kullanılması amaçlansa da IoT, artık insanların günlük hayatında ayrımcılığa sebebiyet verebilecek verilerin, sağlık bilgisine, uyku düzenine, ger- pek çok yerde kullandığı bir teknoloji haline gelmiştir. çekleştirilen spor ve egzersiz aktivitelerine ilişkin verilerin toplanması anlamına gelirken, günlük hayatta kullanılan akıllı ev aletleri ve akıllı araçlar ile kişinin ru- Nesnelerin interneti; insanların farklı bilgisayar türleriyle, giyilebilir teknolojik tinine, alışkanlıklarına, davranışlarına ve sık gittiği yerlere ilişkin kişisel verilerin ürünlerle, akıllı hale getirilmiş sistemlerle internete bağlandığı, buna ek olarak toplanması ve işlenmesi anlamına gelmektedir. Akıllı şehirlerde kullanılabilen nesnelerin de internete bağlanıp nesnelerin birbirleriyle, insanlarla, insanların gürültü ölçer, güvenlik kamerası vb. gibi IoT cihazları ile ilgili kişinin görüntüsü kullandığı sistemlerle veri paylaşımı yapabildiği bir sistemdir (Yıldız, 2020). ve/veya sesi de işlenebilmektedir. Nesnelerin interneti, birbirleriyle ve başka sistemlerle iletişime geçebilen nesne- IoT teknolojileriyle bireylerin kişisel verileri ile mahremiyetlerine ilişkin veriler lerden oluşan ağda karşılıklı veri paylaşımının yapılabildiği ve akıllı bir şekilde toplanabilmektedir. Çok sayıda ve çok çeşitte gerçek zamanlı olarak toplanan bu davranış gösteren bir sistem olarak tanımlanabilir. Bu tanım biraz daha açılırsa; veriler ile de büyük veri olarak ifade ettiğimiz devasa boyuttaki veriler elde edil- otomatik düzenleme, bilgi, veri ve kaynaklarını paylaşabilme, ortaya çıkan yeni mektedir. Bilindiği üzere içerisinde kişisel verilerin de bulunduğu söz konusu durumlar, olaylar ve ortamdaki değişimler karşısında uygun şekilde tepki verme veriler IoT cihazları ve sistemleri üzerinden işlenerek siber dünyaya dahil olmak- ve hareket edebilme kapasitesine sahip açık ve kapsamlı bir akıllı nesne ağı olarak tadır. Siber teknolojiler her zaman getirmiş olduğu yeniliklerin yanında siber ifade edilebilir (Madakam, Ramaswamy ve Tripathi, 2015). tehditleri de beraberinde getirmektedir. Bu noktada, IoT sistemleri ve teknoloji- leri için de siber tehditlerin varlığı söz konusudur. IoT siber tehditleri nedeniyle 2023 yılı Ekim ayı itibariyle dünya çapındaki aktif internet kullanıcı sayısı bir yıl bireylere ait kişisel verilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin ihlal öncesine göre yaklaşık %3.7 artarak 5.30 milyara ulaşmıştır. (DataReportal, 2023). edilmesi riski bulunmaktadır. Kişisel veriler üzerinde risk oluşturan unsurlar Bu sayı her geçen gün artarak yeni kullanıcılar internete dâhil olmaktadır. İnter- da kullanılan sistem, uygulama ve cihaz vb. üzerindeki açıklık ve zafiyetler ola- netin başta iletişim olmak üzere çeşitli alanlarda kullanımının artmasıyla birlikte rak detaylandırılabilir. Mahremiyetin ihlaline sebebiyet veren hususlar ise temel nesnelerin internetinin hem popülerliği büyümekte hem de kullanım oranı da olarak profilleme yapılması, kimliğin belirlenmesi, izleme ve konum bazlı takip artmaktadır. Enerji yönetimi, sağlık, trafik yönetimi, ev aletleri ve uygulamaları, gerçekleştirilmesi, veriler arasında bağlantı kurulması, yaşam döngüsü geçişleri üretim, lojistik vb. gibi birçok alanda uygulama bulan nesnelerin interneti günü- ve envanter saldırıları şeklinde sıralanabilir. müz dünyasının kaçınılmaz teknolojisi haline gelmiştir. Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri Nesnelerin İnterneti Uygulama Alanları sorumlularının kişisel veri güvenliğinin sağlanmasına yönelik yükümlülüğü bu- lunmaktadır. Bu sebeple, IoT uygulamalarında kişisel veri güvenliğinin sağlana- Nesnelerin interneti, her şeyi her yerde ve her an kontrol edebildiğimiz ve her 448 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 449 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI şeyi birbirine bağlayabildiğimiz yeni bir paradigmadır (Sundareswaran, Mahesh, mobil uygulamalar üzerinden verilebilmektedir. Sıcaklığın kontrol edilmesi, Rajesh ve Salmon, 2018). Bu kapsamda, nesnelerin interneti teknolojisi uygulama elektronik cihazların kapatılıp açılması gibi eylemlerin uzaktan telefon ile tek alanı bakımından giderek hayatımızda daha da geniş bir yer edinmektedir. Akıl- bir dokunuşla yapılması mümkündür. lı şehir uygulamaları, akıllı ev uygulamaları, güvenlik uygulamaları, taşımacılık uygulamaları, sağlık uygulamaları, günlük kullanıma yönelik uygulamalar, enerji Bir diğer akıllı şehir örneği İspanya’da bulunan Santander şehridir. Avrupa’nın sektörüne yönelik uygulamalar, ticaret ve imalat uygulamaları gibi çeşitli alanlar- sensör başkenti unvanını 20.000 sensör ile kazanan bu şehirde sokak aydınlat- da nesnelerin interneti teknolojisiyle karşılaşabilmek mümkündür. maları, enerji sistemleri, çöp konteynerleri, otobüs vb. toplu taşıtlar gibi çeşitli nesneler sensörlerle donatılmıştır (Yıldız, 2020). IOT TEKNOLOJİLERİNİN GÜNÜMÜZDEKİ YERİ, ÖNEMİ VE GELECEĞİ Günlük hayatta kullanılan çeşitli giyilebilir cihazlar da aslında birer IoT cihazıdır. Ashton (2009), bilgisayarların; veriler için insana ihtiyaç duymadan veri elde Giyilebilir cihazlara; akıllı bileklik, akıllı saat, akıllı gözlük gibi teknolojiler örnek edebilmesi durumunda tıpkı internetin dünyada meydana getirdiği değişim gibi verilebilir. Bu cihazlarla insan vücudu üzerinden anlık olarak veri toplanmakta ve IoT teknolojisinin de birçok değişim meydana getireceğini düşünmektedir. Bu verilerin analiz edilmesiyle cihazların kullanım amacına göre veriler işlenmek- değişimler, artık insanların günlük yaşantılarına yansımaktadır. IoT teknolojile- tedir. Örneğin, ebeveynler tarafından güvenlik için çocuklarının konum takibi- rindeki gelişmelerle birlikte özellikle evlerimizde ve iş yerlerimizde akıllı cihaz nin yapılması amacıyla bileklik şeklindeki GPS takip cihazları kullanılmaktadır. kullanımı artmış ve günlük yaşama bu cihazlar dahil olmuştur ve olmaya da de- Kandaki nikotin miktarını ölçerek fitnes izleyici özelliğe sahip olan giyilebilir vam etmektedir. teknolojiler ile gün içerisinde ne kadar koşulduğu, yüründüğü ve uyunduğu, kalp atış hızı, stres seviyesi gibi çeşitli veriler toplanmaktadır. Bu veriler sensörler saye- Aktif olarak internet kullananların sayısı giderek artmakta ve buna bağlı olarak sinde bir mobil uygulamada toplanarak analiz edilebilir. Yapılan analizlere göre da nesnelerin internetinin yaygınlaşmasında gelişme yaşanmaktadır. Elektronik kullanıcıyı yönlendirebilir ya da kullanıcının belirlemiş olduğu otomasyon sis- cihazlar, taşıtlar, günlük ve iş hayatımızda kullandığımız aletler ve araçların da temini harekete geçirilebilir. Bir doğa yürüyüşçüsünün akıllı saat kullanmasıyla internete bağlanmasıyla mevcut nesnelerin interneti popülasyonu da artacaktır. hayatta kaldığı olay bu otomasyona örnek verilebilir. Doğa yürüyüşçüsünün sert İlerleyen zamanda internete bağlanan ve her bir cihazın kendi verisini üretti- bir şekilde düşmesiyle akıllı saati acil yardım numarasını aramasıyla düştüğü ği daha fazla sayıda akıllı cihaz ve elektrikli alet hayatımızda yer edinecek olup yerden kurtulmuştur. Aramadan önce kullanıcının onayını isteyen akıllı saat, eğer söz konusu cihazlarda devamlı olarak fazla miktarda veri iletilip toplanacaktır kullanıcı bir dakika içerisinde hareketsiz kalırsa otomatik olarak aramaktadır. (Alkan, Menteş ve İnceefe, 2021). 2021 yılı için 10 milyardan fazla IoT cihazının bulunduğu, bu sayının da 2030 yılında 25.4 milyarı aşacağı tahmin edilmektedir Akıllı mağazalarda insanların ürünleri sepetlerine koymalarıyla birlikte bu ürün- (Jovanovic, 2023). lerin fiyatları otomatik olarak kendi telefonlarıyla entegre edilen hesaplarından düşürülmesiyle insanlar kolay, hızlı bir şekilde kasa sırası beklemeden alışveriş Günümüzde artık nesnelerin internetinin kullanımına yönelik örneklerin yan- yapabileceklerdir. sımalarını daha fazla görmekteyiz. Örneğin, Güney Kore’de deniz doldurularak yapılan Songdo yeni yerleşimli bir kent olup bu kent baştan itibaren akıllı olacak Akıllı ulaşımı sağlamak adına nesnelerin interneti, trafik yoğunluğunun tespit şekilde geliştirilmiştir. 2009’da oturuma açılan Songdo şehri, akıllı şehirler için edilmesine, yol güvenliği durumunun takip edilmesine, kaza tespit eden sistem- ön koşul olarak kabul edilebilen nesnelerin interneti teknolojisini tam destekle- lere ve otomatik ücret ödeme sistemlerine çözüm olarak kullanılmaktadır. yen bir altyapıyla karşımıza çıkmaktadır. Apartmanlar, kamu tesisleri, endüstriyel binalar, kamuya dair her türlü nesnenin ortak bir ağa entegre edildiği ve şehirde Teknolojinin gelişmesiyle birlikte nesnelerin internetinin kullanım alanı gide- yaşayanların anlık olarak bu sistemler üzerinden veri ürettiği bir yaşam alanı rek çeşitlenmektedir. IoT teknolojisi, günlük basit işlerden kritik alanlara kadar ortaya çıkmıştır (Karma, 2021). Şehirdeki evlere yerleştirilen sensörler sayesinde oldukça geniş bir yelpazede kullanılabilmekte olup geleceğin önem arz eden ka- tüketilen enerji miktarı hakkında bilgi alınabilmektedir. Bununla birlikte vatan- çınılmaz teknolojilerinden biri haline gelmiştir. daşlara ısıtma, aydınlatma gibi işlemlerde enerji tasarrufuna yönelik tavsiyeler 450 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 451 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI IOT GÜVENLİĞİNİN KİŞİSEL VERİ GÜVENLİĞİ sında korku müziği çalınması, oturma odasında izlenen televizyon programına VE MAHREMİYET AÇISINDAN ÖNEMİ yorum yapılması, insanların tehdit ve taciz edilmesi gibi birçok olay yaşandığı, bu kapsamda davalar açıldığı ifade edilmektedir. Veri sorumlusu, bu tür ihlalle- Siber tehditlerin giderek arttığı süreçte IoT kullanıcılarının mahremiyeti ile kişi- ri önlemek adına kullanıcılara güçlü parola ve çift faktörlü kimlik doğrulaması sel verilerinin hem de IoT cihazlarının güvenliğini sağlamak için IoT sistemleri- kullanılmasını önermiştir. Bununla birlikte, Şirket tarafından da açıklıkların ka- nin güvenliğinin önemi de artmaktadır. Bu noktada güvenliğe yönelik tedbirler patılmasına yönelik tedbirler alındığı belirtilmiştir. hem teknik olarak hem de idari olarak alınması gerekmektedir. Akıllı kamera ve kapı zillerine ilişkin yaşanan olaylardan da anlaşılacağı üzere Nesnelerin interneti sistemlerinde veri akışı oldukça fazladır. Veri akışına dahil nesnelerin interneti uygulamalarında kişisel veri güvenliğinin sağlanması ve olan veriler, ilgili kişiler hakkında mahrem ve hassas bilgilerin de dahil olduğu mahremiyetin korunması adına IoT güvenliğinin sağlanması gerekmektedir. IoT kişisel verileri barındırabilmektedir. Bu sebeple, veri akışındaki verilerin bütün- güvenliği sağlanırken tedbirlerin tek taraflı olarak değil; kullanıcılar, veri sorum- lüğünün korunması, gizliliğinin sağlanması ve erişilebilirliğinin korunması ama- luları ve veri işleyenler ile diğer IoT paydaşları tarafından da alınması gerekmek- cıyla IoT siber güvenliği sağlanmalıdır. IoT siber güvenliğinin amacı IoT bileşen- tedir. lerinin ve mahremiyetin korunarak kuruluşlar ve kullanıcılar için siber güvenlik riskini azaltmaktır (Lee, 2020). IOT UYGULAMALARINDA VERİ GÜVENLİĞİNİN SAĞLANMASI VE MAHREMİYETİN KORUNMASI IoT uygulamalarında güvenliğin sağlanamaması sonucu ilgili kişilerin mahremi- yetleri ve kişisel verileri ihlale uğrayabilmektedir. Bu noktada, ihlaller sebebiyle 6698 sayılı Kanun kapsamında veri sorumlularının birtakım yükümlülükleri ilgili kişiler üzerinde maddi ve/veya manevi olmak üzere olumsuz sonuçlarla yerine getirmesi gerekmektedir. Bu yükümlülüklerden veri güvenliğine ilişkin karşılaşılabilmektedir. Söz konusu yaşanan veri ihlalleriyle de ilgili kişilerin veri yükümlülükler Kanunun 12 nci maddesinde düzenlenmiştir. Buna göre veri so- sorumlularına duymuş olduğu güven sarsılmakta ve veri sorumlularının itiba- rumlusu; rı zedelenmekte olup uzun vadede veri sorumluları için de kişisel veri ihlalleri olumsuz sonuçlar oluşturmaktadır. Bu sebeple 6698 sayılı Kanun kapsamındaki a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, veri güvenliğinin sağlanmasına yönelik yükümlülüklerin yerine getirilmesi nok- b. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, tasında hassas davranılması oldukça önemlidir. c. Kişisel verilerin muhafazasını sağlamak, 2016 yılında Mirai olarak bilinen saldırı ile IoT cihazları hedeflenmiştir. Global amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik olarak gerçekleştirilen DDoS saldırısından aralarında ülkemizin de bulunduğu ve idari tedbirleri almak zorundadır. IoT uygulamaları kapsamında da kişisel veri birçok ülke etkilenmiş olup bu ülkelerin etkilenen cihaz sayısına göre sırayla Tay- işleme faaliyetleri gerçekleştirildiğinden veri sorumluları tarafından veri güven- van, Vietnam, Çin, Brezilya, Türkiye, Rusya ve Hindistan olduğu belirtilmiştir liğine ilişkin yükümlülüklerin yerine getirilmesi gerekmektedir. (Holub, 2020). Veri Mülkiyeti ve Veri Koruma Yükümlülüğü Açısından Veri Sorumlusu - Yakın geçmişte yaşanan bir başka siber saldırıda, ilgili IoT cihazında güvenlik Veri İşleyen İlişkisi sağlanamadığından ilgili kişilerin olumsuz sonuçlarla karşılaşmasına neden olunmuştur. Bu kapsamda, IoT ev güvenlik cihazlarından biri olan akıllı kame- Kişisel verilerin korunmasına yönelik ulusal ve uluslararası mevzuatlarda veri raya siber saldırı gerçekleştirilmiştir. Ev içerisinde ebeveynler tarafından küçük sorumlusuna ve veri işleyene hükmedilen yükümlülüklerde farklılıklar bulunabil- çocukların kontrol edilmesi, kapı zillerinde güvenlik sağlanması amacıyla kulla- mektedir. Nesnelerin interneti teknolojisi; sensörler, çeşitli araçlar ve protokoller, nılan akıllı kameralar ile siber saldırganlar insanların mahremiyetlerine müdahil bluetooth, kablosuz, uydu ve hücresel gibi farklı iletişim teknolojileri ile heterojen olmuşlardır. The Guardian (Paul, 2020) tarafından yapılan habere göre siber sal- yapıya sahip olup IoT sistemlerindeki her bir cihazın amaç ve güvenlik açısından dırı kapsamında kameradaki karşılıklı konuşma özelliği aracılığıyla; çocuk oda- farklı gereksinimleri vardır. Bu gereksinimlerin kimler, yani hangi aktörler tara- 452 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 453 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI fından ele alınacağı ise belirsizlik oluşturmaktadır. IoT Uygulamaları ve Tehditler Siber dünyanın tehlikelerle dolu olduğu dikkate alındığında IoT sistemleri için Teknolojik gelişmelerin amacı insanlığa hizmet ederek insan hayatını daha kolay de gerekli önlemlerin alınması ve siber güvenliğin sağlanması gerekmektedir. ve pratik hale getirerek yaşam kalitesini artırmak olarak ifade edilebilir. Günden Özellikle günümüzde kişisel verilerin korunması daha fazla önem arz etmeye güne teknoloji alanında yapay zekâ, makine öğrenmesi, büyük veri, artırılmış ve başlayan bir konu olup IoT sistemlerinde de özel nitelikli kişisel veriler de dahil sanal gerçeklik, blokzincir gibi birçok gelişme ve inovasyonlara şahit olmaktayız. olmak üzere pek çok kişisel veri türü işlenmektedir. Söz konusu veri işleme faa- Nesnelerin interneti de insan hayatına büyük bir ivme ile giren teknolojilerden liyetleri ilgili ülkelerin kişisel verilerin korunması mevzuatlarına uygun şekilde biridir. Günümüzde akıllı şehirler gibi kompleks IoT uygulamalarına çok yaygın gerçekleştirilmelidir. olarak rastlanmasa da IoT cihazlarının sayısının 2030 yılına kadar 25.4 milyara ulaşacağı tahminleri göz önüne alındığında gelecekte akıllı şehirler gibi daha Eğer IoT sistemlerine yönelik gerekli tedbirler alınmazsa siber saldırganlar tara- büyük çapta olan IoT uygulamaları daha fazla hayat bulacaktır. fından nesnelerin zafiyetleri ve açıklıkları sömürülerek bu durumdan faydalanıla- bilir. IoT sistemindeki verilere erişen saldırganlar verilerde çarpıtma ve değişiklik Teknoloji alanındaki gelişmeler birbirlerini desteklemekte ve birbirlerinin ge- yapabileceği gibi küresel IoT ağı üzerinden sistemleri bozabilecektir (Lu ve Xu lişmelerini tetiklemektedir. Özellikle büyük veri, yapay zekâ gibi unsurlarla nes- 2019). Ayrıca hem ilgili kişiler hem de kuruluşlar açısından itibar kaybı ve mali nelerin interneti arasında ayrılmaz bir bağ bulunmaktadır. Büyük veri ile yapay kayıp olabileceği gibi ilgili kişilere ait kişisel verilerin, günlük yaşantılarına dair zekâ arasındaki iki yönlü ilişki aynı şekilde hem yapay zekâ ve nesnelerin interneti alışkanlıkların ve mahremiyetin ifşa edilmesi söz konusu olabilir. Bu kapsamda, (Dülger, 2019), hem de büyük veri ve nesnelerin interneti arasında mevcuttur. veri sorumluları tarafından kişisel veri güvenliğinin sağlanması adına gerekli tedbirler alınmalıdır. Ancak, birden fazla sayıda aktör IoT sistemini oluşturan Nesnelerin interneti uygulamaları; çeşitli nesnelerin çevresinden toplamış oldu- parçaların üretim ve geliştirme sürecine dahil olmaktadır. Bununla birlikte, veri ğu birtakım verileri istenilen bir zamanda istenilen yere bir ağ üzerinden iletmesi mülkiyeti/sahipliği veri sorumlusunda olabileceği gibi veri sorumlusu tarafından olarak tanımlanabilir. Bir diğer ifadeyle, IoT teknolojisi, cihazların birbirleriyle veriye sahip olunması şart değildir (Wright, 2019). Veri sorumlusu veri işleyen iletişime geçerek öngörülen veya yapılması gereken işleri yapmasıdır (Ülker, Can- arasında bir sözleşme ile ilgili faaliyetler yürütülebilmektedir. Article 29 Data bay ve Sağıroğlu, 2017). Bu kapsamda, IoT sistemindeki nesnelerin akıllı olması Protection Working Party - Madde 29 Çalışma Grubu’nun IoT alanındaki geliş- gerekmekte ve nesneler, birbirleriyle koordineli şekilde çalışma özelliğine sahip melere ilişkin görüşünde (2014a) IoT sistemlerindeki söz konusu aktörleri cihaz olmalıdır. üreticileri, sosyal platformlar, üçüncü taraf uygulamalar, IoT cihazını ödünç ve- renler veya kiralayanlar, veri komisyoncuları (data brokers) veya veri platformları Uygulama alanı açısından nesnelerin interneti ilk olarak endüstri alanında kul- şeklinde sınıflandırmıştır. Bu kapsamda örneğin; bir şirket tarafından tasarımı lanılması amacıyla ortaya çıkmıştır. Ancak, endüstri ve üretim amacının yanında yapılan IoT cihazının, başka bir şirket tarafından üretimi yapılabilmekte, yazılım enerji, tarım, akıllı ev ve binalar, akıllı şehirler, giyilebilir teknolojiler ve lojistik desteği sağlanabilmekte, bir başka şirket tarafından da cihazın dahil olduğu ağ gibi oldukça geniş bir yelpazede uygulama bulmaktadır. Yakın geçmişte yaşamış işletilebilmekte ve bir başka şirket tarafından da cihaz dağıtımının yapılabildiği olduğumuz ve az da olsa etkileri devam eden Covid-19 salgınıyla birlikte uzaktan bir süreç dikkate alındığında güvenliğe ilişkin alınacak kararların kimin sorum- erişim sağlama ve komut verme gibi temassız ve sosyalliği azaltan eylemlerin ve luluğunda olacağı (Restuccia, D’Oro, ve Melodia, 2018) ve veri sorumlusu-veri hizmetlerin önemi artmıştır. Özellikle sağlığın daha çok gündemde olduğu bu işleyen rollerinin kime veya kimlere ait olduğu belirsizlik içerisindedir. süreçte giyilebilir teknolojiler daha çok tercih edilmektedir. Giyilebilir tekno- lojiler olarak akıllı saat, bileklik vb. gibi çeşitli cihazlarla kalp atış hızı, glikoz Bu sebeple, IoT uygulamalarındaki karmaşık paydaş ağı, paydaşların IoT sistem- miktarı, kandaki oksijen miktarı ölçülebilmektedir. Anlık olarak vital değerleri lerine dahil oldukları ölçütte kişisel verilerin işlenmesine yönelik yasal yüküm- ölçen bu akıllı cihazlar tarafından toplanan veriler bir telefondaki uygulama ile lülüklerin hassas bir şekilde dağıtılmasını gerektirmektedir (Article 29 Data Pro- takip edilebilmektedir. Hastanın vital değerlerinde herhangi bir sorun olması tection Working Party, 2014a). durumunda telefon üzerinden ilgili sağlık kuruluşuna alarm verilebilir. Sağlık kuruluşu da gerekli görmesi halinde ambulans gibi acil yardım hizmet çağrısı 454 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 455 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI yapabilecektir. Bu derecede kritik veriler üzerinden de hizmet veren IoT uygula- IoT sistemlerinde hangi cihazların sisteme dahil olduğu hakkında bilgi sahibi malarının önemi giderek artmaktadır. Ancak bununla birlikte, IoT cihazlarının olunmalı, cihazlarda kimlik doğrulama ve yetkilendirme sistemleri kullanılmalı- bir ağ ortamında var olması güvenlik açısından riskleri de getirmektedir (Ülker, dır. Yazılım ve donanım yazılımlarında olası açıklık ve zafiyetlere karşı korunmak Canbay ve Sağıroğlu, 2017). Bu cihazlar üzerinden menfaat elde etmek ya da bi- için düzenli olarak güncellemelerin geciktirilmeden yapılması gerekmektedir. IoT reylere ya da kuruluşlara zarar vermek isteyen üçüncü kişiler tarafından IoT uygu- ağında ve iletişimdeki güvenlik sağlanmalı ve ağdaki verilerin açık metin şeklin- lamalarındaki ve cihazlarındaki açıklıkları kullanma, kurcalama vb. tehditler ile de kullanılmamasına dikkat edilmelidir. Kriptografik yöntemlerle şifrelemelerin verilere erişilmesi, elde edilmesi, ifşa edilmesi veya erişiminin engellenmesi söz tercih edilerek bu sistemlerdeki verilerin okunması engellenmelidir. konusudur. Kısaca gerçekleştirilen saldırılar verilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin ihlal edilmesiyle sonuçlanabilmektedir. Makine-insan, insan-makine, insan-insan ya da makine-makine iletişimlerin ol- duğu IoT ağlarında bağlantılar kablolu veya kablosuz çözümlerle yapılabilmekte- IoT uygulamalarına yönelik birçok tehdit aktörü bulunmakta olup günden güne dir. İletişimin ağa gömülü olduğu bu sistemler, siber saldırganlar tarafından ilgi de yeni tehditler ortaya çıkmaktadır. IoT sistemlerindeki yazılımların ve cihaz- odağı haline gelmiştir. Siber güvenliğin sağlanması adına gelişmiş protokoller lardaki açıklıklarının kullanılması ve siber saldırı gerçekleştirilmesi bunlardan ve yazılım/donanım gibi anomali tespiti yapan çözümlerin de kullanılmasında biridir. IoT ağının ortadaki adam saldırısı ile dinlenerek verilere ulaşılması, DoS/ fayda bulunmaktadır. DDoS saldırılarıyla IoT hizmetlerinin engellenmesi, zararlı yazılımlarla verilere erişilmesi, değiştirilmesi ve erişimin engellenmesi gibi birçok siber tehdit bulun- IoT cihazlarının günlük hayata dahil olmasıyla birlikte sağlık, akıllı ev, akıllı şehir, maktadır. İşlenen veriler üzerinden profilleme yapılarak ilgili kişiler hakkında akıllı üretim gibi birçok alanda bu teknolojiler kullanılmaktadır. IoT sistemlerin- mahremiyete yönelik bilgi elde edilebilir, kimlik belirleme yapılabilir, ilgili kişiler de sayısız akıllı cihaz birbirlerine bağlanarak veri toplamaktadır. Akıllı cihazların bu cihazlar üzerinden izlenebilir ve takip edilebilir. Bir diğer yöntemle ise işlenen toplamış oldukları veriler sebebiyle ilgili kişiler açısından mahremiyet ve güven- verilerin başka veri setleriyle eşleştirilerek ilgili kişiler hakkında diğer kişisel veri- lik riskleri söz konusu olup işlenen verilerin özel nitelikli kişisel veri içermesi ve lere ve mahremiyete yönelik bilgi elde edilebilmektedir. Yaşam döngüsü geçişleri bu verilerin ifşa edilmesi veya özensiz şekilde işleme faaliyetlerine maruz kalması olarak adlandırılan süreçte ilgili kişilerin artık kullanmadıkları IoT cihazlarını ilgili kişileri oldukça olumsuz etkileyebilecektir. Özellikle, büyük veri analitiği gibi atmaları, satışa çıkarmaları ya da kiralamaları gibi elden çıkarma yöntemlerinde veriler arasında bağ kuran teknolojilerin kullanımıyla IoT verileriyle ilgili kişilere de cihazı kullanan ilgili kişi hakkında birçok bilgi edinilebilmektedir. Envanter ilişkin detaylı bilgi çıkarımı, davranış analizi vb. yapılabilmektedir. 6698 sayılı saldırısı gerçekleştirilmesiyle ağ üzerinden sorgulanabilen cihazlarla ilgili kişile- Kanunda düzenlenen kişisel verilerin işlenmesine ilişkin şartların tamamının rin cihaz listesi çıkarılabilmekte ve eşya-envanter listesiyle ilgili kişiler hakkında ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi doğ- bilgi çıkarımı yapılabilmektedir. En basit örnek olarak spesifik bir alanda sağlık rultusunda veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. için (örneğin glikoz veya parkinson takibinin yapılması amacıyla) kullanılan bir Bu kapsamda ilgili kişilerin hassas verilerinin, özel nitelikli kişisel verilerinin IoT cihazının varlığının tespit edilmesi durumunda ilgili kişinin hangi hastalığa ve mahremiyetinin korunması adına işlenen veriler ile ilgili kişi arasındaki bağ sahip olduğu hakkında bilgi edinilebilmektedir. koparılarak anonimleştirme tekniklerinden faydalanılabilmekte olup (Ren ve ar- kadaşları, 2021) IoT sistemleriyle işlenen verilerde, anonimleştirme kullanılması IoT Uygulamalarında Mahremiyet ve Veri Koruma Yaklaşımlı Çözümler veri güvenliği ve mahremiyetin sağlanması için etkin yöntemlerden biridir. IoT uygulamalarında veri ihlallerinin yaşanmasını önlemek adına IoT paydaşla- Bir başka veri koruma temelli yöntem olan takma ad kullanımında; kişisel verilerin, rı ve kullanıcılar tarafından tedbirler alınması gerekmektedir. Bu noktada, IoT yapay tanımlayıcılar oluşturularak bu tanımlayıcılar ile ilgili kişilerin kimliğini be- cihazlarının bireylerin mahremiyeti dikkate alınarak tasarlanması gerekmekte lirleyen verilerin yer değiştirmesiyle veri mahremiyeti amaçlanmaktadır. Veri üze- olup tasarımdan itibaren mahremiyet ve varsayılan mahremiyet yaklaşımları te- rinde başarılı bir şekilde takma ad kullanımı veri mahremiyetini garantilemektedir mel alınmalıdır. Varsayılan mahremiyet ile IoT sistemlerinin ayarlarının ve varsa- (Voigt & von dem Bussche, 2017). Bununla birlikte, takma ad kullanma yöntemiyle yılan özelliklerinin mahremiyeti korumaya yönelik düzenlenmiş olması oldukça ilgili kişi ile kişisel verisinin ilişkilendirilememesi, IoT sistemlerinde profilleme ya- önem arz etmektedir. pılmasına karşı koruma sağlayacaktır (Vasilomanolakis ve arkadaşları, 2015). 456 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 457 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI İlgili kişilere ait bilgilerin takma adlarla yer değiştirilmesi sonucu veri ihlali ya- şitli şekillerde gerçekleştirilebilmektedir. Aynı şekilde siber saldırganlar tarafın- şansa bile ek bilgiler olmadan ilgili kişiye ait veriler ilgili kişinin kendisiyle iliş- dan IoT cihazlarının iç bileşenlerine, bağlantı noktalarına ve devrelere erişmek kilendirilemez. Ancak, ilgili kişi ile takma adlandırma uygulanan veri arasında için IoT cihazları fiziksel olarak açılabilir ve ardından tüm ağa bağlanılabilir. Bu ilişki kurulması ihtimali her zaman vardır. Bununla birlikte, anonimleştirilmiş kapsamda, veri sorumluları tarafından veri güvenliğinin sağlanması ve mahremi- veriler kişisel veri koruma düzenlemeleri kapsamına girmezken Madde 29 Çalış- yetin korunması adına fiziksel önlemlerin de alınması gerekmektedir. ma Grubu (2014b) tarafından belirtildiği üzere takma ad kullanma yöntemi ilgili kişinin belirlenmesi ihtimaline izin vermekte ve bu nedenle söz konusu kişisel Fiziksel güvenlik kapsamında, IoT cihazlarını geliştirme sürecinin sonunda veriler yasal anlamda veri koruma rejimi kapsamında kalmaktadır. Kişisel Verileri kullanılan fiziksel portlar ve bağlantı noktalarının kaldırılması gerekmektedir. Koruma Kurumu’nun “6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Bununla birlikte, IoT cihaz üreticileri tarafından cihazların varsayılan şifreleri, Doğru Bilinen Yanlışlar - 2” rehberinde de takma ad kullanma yöntemiyle, kişisel modeli, markası, üreticisi gibi çeşitli bilgiler içeren etiketler cihazların üstüne verilerin anonim hâle getirilmemiş olması sebebiyle, kişisel veri niteliğini haiz veya altına yapıştırılabilmektedir. Bu durum da kötü niyetli kişiler tarafından olan bu verilerin Kanuna tabi olduğu belirtilmiştir. kullanılarak cihazın açıklıklarının tespit edilerek sömürülmesine ve yetkisiz eri- şim gerçekleştirilmesine neden olabilir. Veri sorumluları tarafından kurcalama Veri mahremiyetinin sağlanması adına gerektiği kadar veri işlenmesine dikkat saldırısı vb. tehditlere karşı mümkünse cihazların üzerinde varsa bilgi içeren edilmeli ve veri minimizasyonu esas alınarak veri işleme faaliyetleri gerçekleşti- etiketlerin kaldırılması veya cihazların kasa ya da kutulara yerleştirilmesi gibi rilmelidir. Yaşanabilecek veri ihlallerindeki sızdırılan, yetkisiz erişilen, elde edilen önlemler alınmalıdır. verilerin sınırlandırılması önceden uygulanan veri minimizasyonu yöntemiyle mümkündür. Sezgisel olarak, akıllı cihazlar tarafından toplanacak, muhafaza İlgili kişilerin kullandıkları IoT cihazları, kullanım süreleri boyunca bireylere edilecek ve paylaşılacak veri ne kadar az olursa, ilgili kişilerin kişisel bilgilerinin ilişkin verileri ve etraflarındaki çeşitli verileri işleyebilmektedirler. İlgili kişiler, korunması da o kadar kolay olacaktır (Qu, Nosouhi, Cui ve Yu, 2019). Veri minimi- kullanıcılar tarafından kullanılan IoT cihazları artık kullanılmak istenmeyerek zasyonuyla, veriler üzerinden keşif yapılarak ilgili kişiler üzerinde olumsuz etki atılabilir, kiralanabilir veya satışa çıkarılabilir. Böyle bir durumda, söz konusu oluşturulması ihtimali en aza indirgenmiş olacaktır. Veri minimizasyonunun iç cihazlarla kullanım süresi boyunca toplanan verilerle kişilerin alışkanlıkları, ve dış tehditlere yönelik riskleri azaltan veri korumanın temel ilkelerinden birisi rutinleri, tercihleri belirlenebilir ve profil çıkarılması gibi bir sonuçla karşıla- olduğu (Alkan, Menteş ve İnceefe, 2021) göz önünde bulundurulduğunda IoT şılabilir. Bu gibi durumların önüne geçmek için cihaz mülkiyeti değişecekse IoT sistemlerinde de veri güvenliği açısından oldukça önemlidir. Güvenlik Kuruluşu (IoT Security Foundation-IoTSF)’na ait IoT Güvenlik Teminatı Çerçevesi’nde yer verilen hususlardan faydalanılabilir. Bununla birlikte, kişisel veri güvenliğinin sağlanması ve mahremiyetin korunma- sı için üretici ve hizmet sağlayıcılar tarafından mahremiyet etki değerlendirmesi ve risk değerlendirmelerinin yapılması oldukça önemlidir. Özellikle, IoT sistem- lerinin geliştirilmesinde fazla sayıda aktör rol almakta olup veri sorumlusu ve veri işleyenlerin netleştirilmesi, veri güvenliğinin sağlanması adına yükümlülüğü bulunan veri sorumlularının sorumluluğu üstüne alması ve uygun güvenlik düze- yini sağlaması gerekmektedir. Bu kapsamda, IoT cihaz ve sistemlerinde güvenliğe yönelik teknik ve idari tedbirler alınmalıdır. IoT sistemlerine yönelik tehditler sadece uygulama, yönetim hizmetleri ve ağ kat- manlarına yönelik tehditlerden oluşmamakta olup fiziksel katman olan sensör/ algılayıcı katmana yönelik tehditler de söz konusudur. Fiziksel katmana yapılan saldırılar cihazın güç bağlantısının kesilmesi, cihazın devre dışı hale getirilmesi, cihazın çalınması veya cihaza ait bir parçanın çıkarılması, değiştirilmesi gibi çe- 458 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 459 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Tablo 1. Sistemlerinde Veri Güvenliği ve Mahremiyetin Korunmasına Yönelik İlgili rinin alınması gerekmektedir. Bu noktada, ilgili kişiler tarafından dikkat edilmesi Kişiler Tarafından Alınabilecek Özet Tedbir Tablosu gereken hususlar (Tablo 1) bulunmaktadır. Ağ güvenliği, parola güvenliği, ağın segmente edilmesi gibi tedbirler alınmalı ve kullanılan IoT cihazlarının gizlilik İlgili Kişiler Tarafından Alınabilecek Tedbirler sözleşmeleri, kullanım koşulları ve aydınlatma metinleri gibi dokümanlar dik- katlice okunmalı ve hangi verilerin kim tarafından ne amaçla işlendiği, nerelere • Ağda kullanılan varsayılan kullanıcı adı ve parolalar değiştirilmelidir. aktarıldığı gibi konularda bilgi sahibi olunmalıdır. • Parolalar belirlenirken güçlü parola özellikleri tercih edilmeli, parola gü- NESNELERİN İNTERNETİNE YÖNELİK HUKUKİ venliği sağlanmalıdır. DÜZENLEMELER VE STANDARTLAR • Düzenli olarak yazılım ve donanım yazılımları güncellenmelidir. IoT sistemlerinin kullanımı giderek artmakta ve gelecekte de günlük hayatımızın birçok alanında kullanılacağı gerçeği kaçınılmazdır. Geleceğin teknolojisi olarak • IoT ağına erişirken halka açık Wi-Fi bağlantıları kullanılmamalıdır. kabul gören IoT teknolojisi etrafından ve bireylerden fazla miktarda ve çeşitte veri toplamasıyla mahremiyet ve kişisel veri güvenliği endişelerine yol açmak- • Misafirler ve ziyaretçiler için misafir ağı oluşturulmalıdır. tadır. Avrupa Veri Koruma Kurulu (2021), güvenlik kurallarının, politikalarının ve standartlarının siber güvenlik ve bilgi güvenliği yönetiminin bel kemiğinin • Wi-Fi üzerindeki iletişimlerin şifrelenmesine yönelik yönlendiricideki oluşturduğunun altını çizmiş olup, bu sebeple de nesnelerin interneti ve ilgili özellikler aktifleştirilmelidir. hizmetlerin siber güvenliğinin sağlanması için güvenlik kuralları oluşturma stra- tejisi kullanılmasını önermektedir. Aynı zamanda, bu endişeleri gidermek adına • Kullanılmayan süreçlerde; Wi-Fi ağı kapatılmalı veya IoT cihazı ağdan çı- IoT sistemlerine yönelik yasal çerçeveler getirilmesi birçok riski azaltacaktır. Bu- karılmalıdır. nunla birlikte IoT pazarındaki veri akışı ve birçok açıdan işleyiş de düzenlenmiş olacaktır. • IoT cihaz ve sistemlerine erişimlerde çok faktörlü kimlik doğrulama kul- lanılmalıdır. IoT teknolojilerindeki mahremiyet ve kişisel veri güvenliği endişeleri yakın dö- nemde ortaya çıktığından bazı ülkeler tarafından yasal düzenlemeler yapılmışken • Yeni nesil güvenlik duvarları kullanılmalıdır. bazıları tarafından henüz yapılmamıştır. IoT’ye yönelik güvenlik ve mahremiyete ilişkin standartların bir kısmı yayımlanmış olup bazı standartlar ise geliştirme • IoT cihazlarında ve yönlendiricilerde kullanılmayan özellik ve fonksiyon- aşamasındadır. Buna örnek olarak Uluslararası Standart Organizasyonu’nun ISO/ lar pasif hale getirilmelidir. IEC 27400 Siber Güvenlik – IoT Güvenliği ve Mahremiyeti (Cybersecurity — IoT security and privacy) standardı verilebilir. Tablo 2 ve Tablo 3’te bazı ilgili stan- • Fiziksel yetkisiz erişimleri önlemek adına IoT cihazlarında fiziksel güven- dartlara ve düzenlemelere yer verilmiştir. lik sağlanmalıdır. • Gizlilik politikaları, hizmet şartları, kullanım koşulları ve kullanıcı söz- leşmeleri dikkatli okunmalı, okunmadan kabul edilerek IoT uygulamaları kullanılmaya başlanmamalıdır. Kişisel veri güvenliği için sadece veri sorumluları ve veri işleyenler tarafından güvenlik tedbirlerinin alınmasıyla %100 veri güvenliğinin sağlandığı söylenemez. Siber saldırganlar, IoT cihazlarının geliştirilme sürecindeki açıklık ve zafiyetler dışında kullanıcıların zayıflıklarına da yönelmektedir. Bu kapsamda, kullanıcılar nezdinde de kullanılan ağ bağlantılarının güvenli hale getirilmesi, parola güven- liğinin ve cihaz güvenliğinin sağlanması gibi çeşitli yönlerden güvenlik önlemle- 460 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 461 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Tablo 2. IoT’ye Yönelik Bazı Yasal Düzenlemeler ENISA - The European Union Agency for Network and Information Security (2022) tarafından IoT operatörlerine, akıllı altyapı sektörünün ve IoT sektörleri- Ülkeler Düzenlemeler nin risk değerlendirmelerini yaparken rehber olması adına web tabanlı çevrimiçi bir araç geliştirilmiştir. Çalışmada, temel IoT güvenliği, akıllı hastaneler, akıllı ABD The IoT Cybersecurity Improvement şehirler, akıllı havalimanları, akıllı araçlar ve Endüstri 4.0 temelinde IoT sistemi Act of 2020 ele alınmıştır. ABD, Oregon Relating to security measures IoT’ye yönelik spesifik yasal düzenlemeler de (Tablo 2) bulunmakta olup Avrupa Avrupa Birliği required for devices that connect to Birliği’nde IoT cihazlarıyla toplanan veriler GVKT hükümlerine tabi olarak kabul Birleşik Arap Emirlikleri – the Internet edilmektedir. Bu kapsamda, IoT sistemlerinde herhangi bir veri güvenliği ihlali Telecommunication Regulatory gerçekleşmesi durumunda GVKT hükümlerinin uygulanması gerekmektedir. Authority The Cybersecurity Act (Regulation İngiltere (EU) 2019/881 of 17 April 2019) IoT teknolojileriyle kişisel verilerin işlenmesi söz konusu olduğundan ilgili sek- tördeki veri sorumluları ülkemizde 6698 sayılı Kanuna tabidir. Bununla birlik- Kaliforniya Regulatory Policy Internet of Things te, ülkemizde IoT teknolojisine yönelik spesifik bir düzenleme bulunmamakla (IoT) birlikte T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin yayımlamış olduğu Bilgi ve İletişim Güvenliği Rehberinde “Nesnelerin İnterneti (IoT) Cihazlarının DCMS Code of Practice for Güvenliği” başlığı altında cihaz güvenliğine yönelik tedbir listeleri ve denetim Consumer IoT Security (Rapor) sorularına da yer verilmiştir. SB-327 Information privacy: connected devices Tablo 2. IoT’ye Yönelik Bazı Standartlar Kurum/Kuruluş/Organizasyon Adı Standart International Telecommunication Open data application programming Union interface (API) for IoT data in smart cities and communities (ITU International Telecommunication Y.API4IOT) Union Data Processing and Management International Organization for Framework for IoT and Smart Cities Standardization (ISO) and Communities International Organization for ISO/IEC 27400 Standardization (ISO) Cybersecurity - IoT security and European Telecommunications privacy - Guidelines Standards Institute ISO/IEC TS 27570:2021 Privacy protection - Privacy guidelines for smart cities ETSI TS 103 645 - Cyber Security for Consumer Internet of Things 462 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 463 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ ması hususunda en azından belirlenen bir düzeyde güvence sağlayacaktır. Gü- nümüzde global olarak baktığımızda bazı ülkelerde IoT uygulamalarına yönelik Kullanıcılar verilerini toplayan, işleyen ve muhtemelen bilinmeyen üçüncü taraf- düzenlemeler mevcut olsa da bu alandaki düzenlemeler oldukça az sayıdadır. lara gönderen çok sayıda cihazlarla çevrilidir (Barati ve Rana, 2019). Söz konusu Aynı şekilde ülkemizde de konu özelinde henüz bir düzenleme bulunmamakta- IoT cihazları aracılığıyla operasyonel ve kişisel veriler ile birlikte kullanıcıların dır. Ancak, T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin yayımlamış olduğu rutini, davranışları, eylemlerine ilişkin veriler de işlenmektedir. Bu kapsamda, Bilgi ve İletişim Güvenliği Rehberindeki “Nesnelerin İnterneti (IoT) Cihazlarının IoT teknolojisinin getirmiş olduğu yenilikler ve avantajlar kişisel veri güvenliği Güvenliği” başlığı ile IoT alanında güvenliğe yönelik çalışmaların ilk adımları atıl- ve mahremiyet sorunlarını da beraberinde getirmektedir. mıştır. Bu kapsamda, IoT’ye yönelik olarak düzenlemeler yetersiz olduğundan sek- töre özgü düzenlemeler, tavsiye niteliğinde rehberler ve kılavuzlar hazırlanması Kullanıcıların bu yeni teknolojiye olan ilgisi sebebiyle IoT cihazlarının kullanımı için çalışmalar yapılmasının gerektiği ve/veya var olan ilgili düzenlemelerde de giderek artmakla birlikte cihazların bilinçsiz bir şekilde kullanılması söz konusu- IoT’ye yönelik değişiklikler yapılarak güncellenmesi gerektiği değerlendirilmek- dur. Bu nedenle, veri sorumluları için IoT sistemlerinde veri güvenliğine yönelik tedir. IoT özelinde veri sorumluları tarafından alınması gereken temel tedbirle- yeterli tedbirlerin yetkili makamlarca belirlenmesi, ilgili kişilerin alabilecekleri rin tanımlanması gerekmekte olup ulusal bir yasal altyapı ile desteklenmelidir. tedbirler hakkında bilgilendirilmesi ve IoT cihazlarında veri güvenliğinin öne- Oluşturulacak yasal alt yapıların, IoT teknolojisinin gelişmesini engellemeyecek mine yönelik farkındalıklarının artırılması sağlanmalıdır. şekilde geliştirilmesi konusunda hassas davranılarak veri koruma ile teknolojinin gelişmesi arasında uygun bir denge sağlanması gerektiği değerlendirilmektedir. ◆ Bilindiği üzere IoT sistemlerinde cihaz üreticileri, sosyal platformlar, üçüncü ta- raf uygulamalar ve geliştiricileri, IoT cihazını ödünç verenler veya kiralayanlar, veri komisyoncuları (data brokers) veya veri platformları gibi birden fazla aktör bulunmaktadır. IoT sistemlerinde veri güvenliğinin sağlanması adına ilk olarak yükümlülüğün kimde olduğuna karar verilmesi, veri sorumlusu-veri işleyen iliş- kilerinin netleştirilmesi ve daha sonra geliştirme aşamasına geçilmesi gerektiği düşünülmektedir. İlerleyen süreçlerde ise veri sorumlusu, veri işleyen ve üçün- cü taraflar arasındaki ilişkilerdeki değişikliklerin takip edilmesi, veri sorumlusu olmayan kişiliklerin veri sorumlusuna dönüşmesi durumunda veri işleme faa- liyetlerinin kişisel verilerin korunması mevzuatına uygun olarak yürütülmesi gerekmektedir. IoT teknolojisindeki kişisel verilere ve mahremiyete yönelik tehditleri bertaraf edebilmek adına tedbirler alınması gerektiği, bu noktada IoT donanım ve yazı- lımların geliştirilmesi aşamasında tasarımdan itibaren mahremiyet, varsayılan ayarlarla mahremiyet ilkeleriyle birlikte 6698 sayılı Kanun’da kişisel verilerin iş- lenmesinde uyulması zorunlu olan ilkelerin esas alınması gerektiği değerlendiril- mektedir. Geliştirilecek IoT uygulamaları için mahremiyet etki değerlendirmesi ve risk değerlendirmelerinin de yapılması oldukça önemlidir. Öte yandan, cihaz keşfi ve yönetimi, kimlik doğrulama ve yetkilendirme, anonimleştirme teknikle- rinden faydalanılması, yama yönetimi stratejisi geliştirilmesi ve güncellemelerin yapılması, ağ güvenliğinin sağlanması ve fiziksel önlemler gibi teknik tedbirler de alınmalıdır. IoT paydaşları tarafından alınması gereken tedbirlerin yasal bir altyapıya dayandırılması veri güvenliğinin sağlanması ve mahremiyetin korun- 464 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 465 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI KAYNAKÇA ◊ Karma, J. (2021). Songdo. https://www.aboutsmartcities.com/songdo-smart- city/ adresinden alınmıştır. ◊ Alkan, M., Menteş, T. ve İnceefe, M. A. (2021). Kişisel Verileri Koruma El Ki- tabı - Teknik Uygulama ve Uyumluluk. Ankara: Nobel Akademik Yayıncılık. ◊ Lee, I. (2020). Internet of Things (IoT) Cybersecurity: Literature Review and IoT Cyber Risk Management. Future Internet, 12(9), 157. DOI: 10.3390/ ◊ Article 29 Data Protection Working Party. (2014a). Opinion 05/2014 on fi12090157 Anonymisation Techniques. https://ec.europa.eu/justice/article-29/docu- mentation/opinion-recommendation/files/2014/wp216_en.pdf adresinden ◊ Lu, Y. ve Xu L. D. (2019). Internet Of Things (IoT) Cybersecurity Research: A alınmıştır. Review of Current Research Topics. IEEE Internet of Things Journal, 6(2), 2103-2115. DOI: 10.1109/JIOT.2018.2869847 ◊ Article 29 Data Protection Working Party. (2014b). Opinion 8/2014 on the on Recent Developments on the Internet of Things. https://ec.europa.eu/ ◊ Madakam, S., Ramaswamy, R. ve Tripathi, S. (2015) Internet of Things (IoT): justice/article-29/documentation/opinion-recommendation/files/2014/ A Literature Review. Journal of Computer and Communications, 3, 164-173. wp223_en.pdf adresinden alınmıştır. DOI: 10.4236/jcc.2015.35021. ◊ Ashton, K. (2009). That ‘Internet of Things’ Thing. RFID Journal. http:// ◊ Paul, K. (2020). Dozens sue Amazon’s Ring after camera hack leads to thre- www.itrco.jp/libraries/RFIDjournal-That%20Internet%20of%20Things%20 ats and racial slurs. The Guardian. https://www.theguardian.com/techno- Thing.pdf adresinden alınmıştır. logy/2020/dec/23/amazon-ring-camera-hack-lawsuit-threats adresinden alınmıştır. ◊ Avrupa Veri Koruma Kurulu. (2021). Opinion 5/2021 on the Cybersecu- rity Strategy and the NIS 2.0 Directive. https://edps.europa.eu/system/fi- ◊ Qu, Y., Nosouhi, M. R., Cui, L. ve Yu, S. (2019). Chapter 6 - Privacy Preservation les/2021-03/21-03-11_edps_nis2-opinion_en.pdf adresinden alınmıştır. in Smart Cities, Rawat, D. B. ve Ghafoor, Z. K. (Der.), Smart Cities Cybersecu- rity and Privacy, (85), Amsterdam: Elsevier. ◊ Barati M., Rana, O. (2019). Barati, M., & Rana, O.F. (2019). Enhancing User Pri- vacy in IoT: Integration of GDPR and Blockchain. International Conference ◊ Rayes, A. Salam, S. (2022). Internet of things (IoT) overview. Internet of Things on Blockchain and Trustworthy Systems. Singapur: Springer, 322-335. DOI: from Hype to Reality, Springer, Cham, 1-34. DOI:10.1007/978-3-030-90158- 10.1007/978-981-15-2777-7_26 5_1 ◊ DataReportal. (2023). Digital Around the World, https://datareportal.com/ ◊ Ren, W., Tong, X., Du, J., Wang, N., Li, S., Min, G., ve Zhao, Z. (2021). Privacy reports/digital-2023-october-global-statshot adresinden alınmıştır. Enhancing Techniques in the Internet of Things Using Data Anonymisation. Information Systems Frontiers. DOI:10.1007/s10796-021-10116-w ◊ Dülger, M. V. (2019). Kişisel Verilerin Korunması Hukuku, İstanbul: Hukuk Akademisi. ◊ Restuccia, F., D’Oro, S. ve Melodia, T. (2018). Securing the Internet of Things in the Age of Machine Learning and Software-Defined Networking. IEEE In- ◊ Holub, A. (2020). The Future is Here – Assaulting the Internet with Mirai. ternet Of Things Journal, 5(6), 4829-4842. DOI: 10.1109/JIOT.2018.2846040 https://umbrella.cisco.com/blog/future-assaulting-internet-mirai adresin- den alınmıştır. ◊ Sundareswaran, V., Mahesh K., Rajesh M. ve Salmon, S. (2018). The Survey on Smart Agriculture Using IoT. International Journal of Innovative Research in ◊ Jovanovic, B. (2023). Internet of Things statistics for 2023 - Taking Things Engineering and Management (IJIREM), 5(2), 63-66. Apart. https://dataprot.net/statistics/iot-statistics/ adresinden alınmıştır. 466 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 467 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Sundareswaran, V., Mahesh, K., Rajesh, M. ve Salmon, S. (2018). The Survey on BULUT BİLİŞİM ORTAMLARINDA KİŞİSEL VERİ Smart Agriculture Using IoT, International Journal of Innovative Research in GÜVENLİĞİ TEDBİRLERİ Engineering and Management (IJIREM), 5(2), 63-66. Sefer AKTAŞ ◊ Tawalbeh, L., Muheidat, F., Tawalbeh, M. ve Quwaider, M. (2020). IoT Privacy and Security: Challenges and Solutions, Applied Sciences, 10(12), 4102. http:// Kişisel Verileri Koruma Uzmanı dx.doi.org/10.3390/app10124102 adresinden alınmıştır. Bu çalışma, 14.02.2023 tarihinde kabul edilen “Bulut Bilişim Ortamlarında Mah- ◊ The European Union Agency for Cybersecurity. (2022). Good practices for remiyet Sorunları ve Çözüm Önerileri” başlıklı uzmanlık tezinden alınmıştır. IoT and Smart Infrastructures Tool. https://www.enisa.europa.eu/topics/ iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrast- GİRİŞ ructures-tool adresinden alınmıştır. Verilerin elektronik ortamlarda işlenebilir hale gelmesi, hayatımıza birçok ko- ◊ Ülker, M., Canbay, Y. ve Sağıroğlu, Ş. (2017). Nesnelerin İnternetinin Kişisel, laylıklar sağlamakla birlikte bazı sorunları da beraberinde getirmiştir. Bu sorun- Kurumsal ve Ulusal Bilgi Güvenliği Açısından İncelenmesi. Türkiye Bilişim lardan bir tanesi sanal ortamda işlem yaparken güvenliğin nasıl sağlanacağıyla Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, 10(2), 28-41. https://dergi- ilgilidir. park.org.tr/tr/pub/tbbmd/issue/33390/335496 adresinden alınmıştır. Bilgi ve iletişim teknolojilerindeki gelişmeler ile birlikte özellikle internetin kul- ◊ Vasilomanolakis, E., Daubert, J., Luthra, M., Gazis, V., Wiesmaier, A., ve Kikiras, lanımında verilerin bulutta depolanması ihtiyacı doğmuştur. İnternetle bera- P. (2015). On the Security and Privacy of Internet of Things Architectures and ber hayatımıza giren bulut bilişim ortamını kullanmak yürütmekte olduğumuz Systems. 2015 International Workshop on Secure Internet of Things (SIoT), işlerimizi kolaylaştırsa da internetin dinamik ve dağıtık yapısı sebebiyle kişisel 49-57. DOI:10.1109/siot.2015.9 verilerimizi korumak daha da zorlaşmıştır. (BTK, Kişisel Veriler ve Kişisel Bilgi Güvenliği, 2021) Her ne kadar kişisel veriler kanunlarla ve uluslararası sözleşme- ◊ Voigt, P., ve von dem Bussche, A. (2017). The EU General Data Protection Regula- lerle korunuyor olsa da içerik paylaşımının artarak devam ettiği internet üzerinde tion (GDPR). Cham: Springer International Publishing, 16. DOI:10.1007/978- kişinin temel güvenliğini ve gizliliğini öncelikle kendisi sağlamalıdır. 3-319-57959-7 Günümüzde işletmeler ve kullanıcılar tarafından kişisel verilerin sanal ortamda ◊ Wright, S. A. (2019). Privacy in IoT Blockchains: with Big Data comes Big depolanması ve paylaşılmasındaki artış mahremiyetin ve güvenliğin sağlanması- Responsibility. IEEE International Conference on Big Data (Big Data), Los na yönelik endişeleri de beraberinde getirmektedir. Bu sebeple bir bulut sağlayı- Angeles. DOI: 10.1109/BigData47090.2019.9006341 ◊ Yıldız, M. (2020). E-Devlet Alanının Geleceği, Yıldız, M. ve Okur, M. R. (Haz.), Bilgi Toplumu ve E-devlet (136-267). Eskişehir: Anadolu Üniversitesi Yayınları. 468 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 469 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI cısından hizmet alındığında güvenliğin sağlanması açısından belirli gereksinim- Platform Servisi (PaaS), bulut sağlayıcılarının internet üzerinden kullanıcılara leri karşılaması beklenmektedir. Söz konusu gereksinimler arasında; anonimlik, donanım ve yazılım araçları sağladığı bir bulut bilişim modelidir. PaaS modeli, yetkilendirme, kullanılabilirlik, gizlilik, bütünlük ve süreklilik bulunmaktadır. uygulama geliştiricilerini yeni bir uygulama geliştirmek veya uygulamaları çalış- tırmak için kurum içi donanım ve yazılım yükleme zorunluluğundan kurtarır. Bulut bilişim, bir ağ üzerinde hizmet olarak sunulan bilgi işlem kaynaklarının PaaS sağlayıcılarına örnek olarak: AWS Elastic Beanstalk, Cloud Foundry, Force. kullanımı olarak kısaca tanımlanabilir. Son yıllarda kullanımı artarak devam com, OrangeScape verilebilir. Altyapı Servisi, bulut aracılığıyla işletmelere ve bi- eden bilgisayar teknolojilerinden birisi olarak görülen bulut bilişim ile birlikte reylere talep üzerine kaynaklar sunan, neredeyse sonsuz ölçeklenebilir bilgi işlem verilerin, dünyanın herhangi bir noktasında işlenebilir hale gelmesi sonucu ilgili kaynaklarının isteğe bağlı olarak kullanılabilirliğini sağlayan bir bulut bilişim ser- kişilerin güvenliğinin ne şekilde sağlanması gerektiği sorusunu akıllara getirmek- vis modelidir. IaaS servis modeli; bireysel sunuculardan özel ağlara, mesajlaşma tedir. Bulut bilişim teknolojisi; düşük maliyeti, yüksek performansı, esnekliği ve sistemlerinden alan adı sunucularına, e-posta sunucularından çeşitli depolama kullanım kolaylığı ile kullanıcılara birtakım avantajlar sağlamaktadır. Söz konusu aygıtlarına kadar çok geniş çapta araç ve özelliği kapsayabilir. IaaS sağlayıcılarına avantajların yanı sıra bazı dezavantajları da bulunmaktadır. Bunlar arasında; bu- örnek olarak Amazon Cloud Formation, Amazon EC2, Microsoft Azure, Google lut hizmetinin genelde internet aracılığıyla erişilebilir olması, internet bağlantısı Cloud verilebilir. hızı, siber saldırılara açık olması gibi bazı dezavantajları bulunmaktadır. Bulut Bilişim Dağıtım Modelleri; Diğer taraftan veri güvenliği, verilerin yetkisiz kişilerce erişilmesine karşı ko- runması olarak kısaca tanımlanmakla birlikte kötü niyetli saldırıları ve verilerin Bulutun kullanım şekli kuruluşların yapısına ve büyüklüğüne göre değişim göster- kötüye kullanılmasını önlemek için her türlü teknik ve idari tedbirleri almayı mektedir. Her kuruluşun bir bulutta hangi hizmetlere erişmek istediği ve ortam hedeflemektedir. Alınan güvenlik tedbirleri sayesinde verilerin doğru, güvenilir üzerinde ne kadar kontrol sahibi olmak istediği konusunda kendi gereksinimleri ve yetkili kişilerce erişilebilir olması sağlanmaktadır. (Berqnet, 2021) vardır. Genel, özel, topluluk ve karma bulut modellerinden oluşur. BULUT BİLİŞİM VE GENEL YAPISI Genel Bulut (Public Cloud), genel olarak her kesimden kullanıcıya açık, verile- ri iletmek için yüksek bant genişliğine sahip ağ bağlantısına dayanan tamamen NIST (ABD Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından ifade edilen bu- sanallaştırılmış bir ortam olmakla birlikte; sanal makineler, uygulamalar veya lut bilişim tanımına göre; “Bulut bilişim, yapılandırılabilir bilişim kaynakların- depolama gibi kaynakları kullanıcılara uzaktan sunan standart bir bulut bilişim dan oluşan ortak bir havuza, uygun koşullarda ve isteğe bağlı olarak her zaman, dağıtım modelidir. her yerden erişime imkân veren bir modeldir.” (BTK, Bulut Bilişim, 2013) Belirti- len tanımın yanı sıra kısaca bulut bilişim, farklı kaynakların internet üzerinden Özel Bulut (Private Cloud), yalnızca bir kuruluş için işletilen, kuruluş veya üçüncü sunulması olarak ifade edilebilir. Söz konusu kaynaklar; veri depolama, sunucular, bir tarafça yönetilen ve şirket içinde veya şirket dışında var olan bir bulut altyapısı veri tabanları, ağ iletişimi, yazılım gibi araçları ve uygulamaları içerirler. olarak tanımlanır. Özel bulutlar kullanımı açısından genel bulutlardan farklıdır. Çünkü özel bir bulutla ilişkili altyapı genellikle tek bir kuruluşa tahsis edilirken Bulut Bilişim Servis Modelleri;  başka hiçbir kuruluşla paylaşılmaz. Yazılım Servisi (SaaS), bir bulut sağlayıcısının uygulamaları barındırdığı ve bun- Topluluk Bulutu (Community Cloud), Kavramsal olarak özel bulut ile genel bulut ları internet üzerinden son kullanıcıların kullanımına sunduğu bir bulut bilişim arasında bir yerde bulunan topluluk bulutu, birden fazla şirket tarafından kulla- servis modelidir. Bu servis modelinde bulut kullanıcıları, uygulamanın üzerinde nılan ve paylaşılan bir altyapıyı tanımlamaktadır. çalıştığı bulut altyapısını ve platformu yönetemezler. Kurulum gerektirmediğin- den bir internet tarayıcısı ve bir ağ bağlantısı yazılım servisini kullanmak için Karma Bulut (Hybrid Cloud), şirket içi bir veri merkezini (özel bulut) bir genel yeterlidir. Yazılım servis sağlayıcılarına örnek olarak: Microsoft Office365, Google bulutla birleştiren, verilerin ve uygulamaların aralarında paylaşılmasına izin ve- Apps, GT Nexus, Marketo, TradeCard Onlive ve Netflix verilebilir. ren bir bilgi işlem ortamıdır. 470 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 471 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI BULUT SİSTEMLERİNDE KİŞİSEL VERİ GÜVENLİĞİ İÇİN şıldığında ilerde meydana gelecek sorunların üstesinden gelmek daha kolay hale DİKKAT EDİLMESİ GEREKEN UNSURLAR gelecektir. Bulut sağlayıcısının güvenliğinin uygun olup olmadığı konusunda veri sorumlusunun bilinçli bir seçim yapabilmek için söz konusu değerlendirmenin Doğru Bulut Hizmetini ve Bulut Sağlayıcısını Seçme yeterince ayrıntılı olması gerekir. Ayrıntılı bir değerlendirme raporu veri so- rumlusunun veya bulut kullanıcısının veri koruma yükümlülüklerine uymasına Bulut kullanıcılarının ihtiyaçlarını gidermek için çok çeşitli bulut hizmetleri mev- yardımcı olacaktır. Aynı zamanda bahse konu değerlendirme içerisinde mevcut cuttur. Kullanıcıların çeşitli bulut hizmetlerini kullandıklarında birtakım riskler fiziksel, teknik ve idari güvenlik önlemlerinin yanı sıra planlanan ilave tedbirlere ortaya çıkmaktadır. Kullanıcının uyum sağlaması gereken bir bulut hizmetini ilişkin bilgilendirmeler de yer almalıdır. (Investopedia, Cloud Computing, 2021) kullanmak yerine belirli işlem için tasarlanmış kullanıcının ihtiyacına uygun bir bulut hizmeti kullanmak daha makul olabilir. Doğru bulut sağlayıcısını seçmek; Ayrıca bulut sağlayıcısı veri sorumlularına uygun güvenlik önlemlerini uygu- bulut sağlayıcısı yönünden, sahip olduğu kişisel veri güvenliğine verdiği öneme lanmaya devam ettiğini gösteren düzenli güncellemeler ve geri bildirimler sağ- dair bir değerlendirme olacaktır. Değerlendirme neticesinde veri sorumlusunun layabilmelidir. Veri sorumlusu da elde ettiği geri bildirimler neticesinde bulut kişisel veri güvenliğine verdiği önem ortaya çıkacak ve bulut sağlayıcılarının sıkı sağlayıcısının sağladığı kullanılabilirlik, gizlilik ve bütünlük garantilerini gözden tedbirler alması gerektiği konusunda bulut sağlayıcılarında farkındalık oluşacağı geçirmeli ve takibini sağlamalıdır. (Azure, 2021) için sunulan hizmetin kalitesi de artacaktır. (Keskin, 2020) Sözleşmeler Bulut sağlayıcıları, hizmetlerinin geliştirilmesi konusunda farklı yöntemler kul- lanarak belirli pazar sektörlerini de hedefleyebilmektedirler. Örneğin, bazı bulut Bulut hizmeti satın alırken bulut sağlayıcısı ile yapılan sözleşme maddelerine hizmetleri genel tüketicilere yönelikken, bazıları ise belirli kuruluşların talebi dikkat etmek gerekir. Yazılı bir sözleşmenin mevcudiyeti, bulut sağlayıcısı tara- üzerine oluşturulmuş özel hizmetler şeklinde olabilmektedir. (Keskin, 2020) fından kullanıcı bilgisi ve onayı olmadan sözleşmenin süresi boyunca veri işleme şartlarını değiştiremeyeceği anlamına gelmektedir. Veri sorumlularının, bulut hizmeti ile ilgili uygulamaya koyduğu düzenlemeler hakkında son kullanıcılarını bilgilendirmek için uygun adımları atması gerekir. Veri sorumluları, bir bulut sağlayıcının pazarlık fırsatı olmadan “kullan veya kul- Veri sorumlusu oluşturmuş olduğu bilgilendirme mekanizması ile söz konusu lanma” koşulları sunması durumunda dikkatli olmalıdır. Sözleşmelerin zoraki konuya ilişkin son kullanıcılara yönelik mümkün olduğunca açık bir şekilde bilgi kullanım şartlarıyla hazırlanması, veri sorumlularının veya kullanıcıların veri vermelidir. (EDPS, 2021) koruma yükümlülüklerini yerine getirmek için veriler üzerinde yeterli kontrolü elinde tutmasına izin vermeyebilmektedir. Bu nedenle; veri sorumluları, oluşa- Bulut Sağlayıcısı Güvenliği Değerlendirme bilecek riskleri göz önünde bulundurarak bir bulut sağlayıcısının sunabileceği hizmet şartlarını dikkatli bir şekilde kontrol etmesi gerekmektedir. (EDPS, 2021) Genellikle bir veri işleyen tarafından kullanılan güvenlik önlemlerini değerlendir- menin en etkili yollarından biri, veri sorulusunun veri işleyen tesislerini yerinde Bulut hizmeti alt hizmet sağlayıcıları aracılığıyla da alınabilmektedir. Alt hizmet incelemek olacaktır. ICO (Information Commissioner’s Office), özellikle genel sağlayıcılarının aracı olduğu durumda bulut sağlayıcısı ile alt hizmet sağlayıcıları bulut ortamı için denetlemenin çeşitli lojistik nedenlerle uygulanabilir olma ih- arasındaki sorumluluk ilişkisinin belirlenmesi gerekmektedir. Bulut hizmeti veri- timalinin düşük olduğunu ifade etmektedir. Ayrıca bir bulut sağlayıcısının, olası lirken sistemin yavaşlaması, arızalanması veya herhangi bir sebeple veri kaybına ve mevcut müşterilerinin her birinin bir denetim yapmak üzere tesislerine gir- sebep olma durumu gibi riskler göz önünde bulundurulmalıdır. Söz konusu prob- mesine izin vermesi de mümkün gözükmemektedir. (EDPS, 2021) lemlerle karşılaşıldığında sorumluluğun kime ait olduğuna ilişkin hükümlere dikkat etmek gerekmektedir. (EDPS, 2021) Bulut sağlayıcıları verdikleri hizmetin güvenlik denetimini yürütmesi için bir kontrol mekanizması oluşturulmalı ve üçüncü bir tarafça bir değerlendirmeden Veri merkezlerine verilerin aktarılması ve verilerin işlenmesi gibi hususların söz- geçirilmelidir. Daha sonra değerlendirmenin sonucu veri sorumluları ile payla- leşme metni içerisinde ayrıntılı olarak değerlendirilmesi ve ele alınması gerek- 472 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 473 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI mektedir. Verilerin ve verilerin tutulduğu sistemdeki alanın sözleşme bitiminden bulut sağlayıcısı kişisel verileri toplarken belirli güvenceler vermiş olsa da kullanı- sonra ne gibi işlemlerden geçirileceği konusu gizlilik şartları açısından önem arz cılar buluta aktaracağı kişisel verilerin daha sonra ortaya çıkabilecek olumsuzluk- etmektedir. Verinin saklandığı ve yedeklendiği yerler, bulut sağlayıcının bulun- ları da göz önünde bulundurarak önem durumunu kendileri belirlemeli ve ona duğu yerler, kullanıcıların ikamet ettiği yerler farklı ülkelerde olması sebebiyle göre işlem yapmalıdır. (EDPS, 2021) Aksi takdirde oluşabilecek herhangi olumsuz uygulanacak mevzuatın kararlaştırılması da ayrıca önem arz etmektedir. (Star- bir durum kullanıcıların kişisel veri güvenliğini olumsuz yönde etkileyebilecektir. tuphukuku, 2021) Çoğu zaman üzerinde durulması gereken şey, kişisel verilerin buluta yerleşti- Buluta geçiş yapmayı düşünen herhangi bir işletme, uygun bir bulut sağlayıcı rilmesi gerekip gerekmediği değil, veri koruma risklerinin neler olduğu ve bu kullandığından emin olmak için ihtiyaçlarını ve yükümlülüklerini net bir şekilde risklerin azaltılıp azaltılamayacağı şeklinde olması önem arz etmektedir. Bulut ortaya koymalıdır. Ayrıca veri sorumlusunun yapacağı sözleşmede geçen yüküm- kullanıcısı, buluta taşımayı planladığı veri kategorileri hakkında net bir kayıt lülüklere hâkim olarak ileride meydana gelecek istenmeyen durumlara karşı da oluşturmalıdır. (Kyoceradocumentsolutions, 2022) önceden önlemini alması gerekir. (Cora, 2022)Veri sorumlusu, bulut sağlayıcısı ile yapılan sözleşmeye özen göstermeli, aksi takdirde ortaya çıkacak olan olumsuz Bulut kullanıcısı, bulut hizmetlerini kullanırken daha fazla kişisel verinin top- durumlardan dolayı sorumlu tutulacağı unutulmamalıdır. lanmasına yol açabileceğini de unutmamalıdır. Örneğin, kullanıcıların kullanım istatistikleri veya işlem geçmişleri kaydedilebilmektedir. Söz konusu meta veriler, Riskleri Değerlendirme belirli durumlarda kişisel veriler de olabilmektedirler. Böyle bir durum söz konu- su olursa, bulut kullanıcısı hangi verilerin toplandığını bilmeli, toplanan verilerin Veri sorumlusu, kendisi için hangi bulut hizmetinin veya bulut sağlayıcısının uy- gerekli olup olmadığını belirlemeli ve kendilerine bu konuda bir gizlilik politikası gun olduğunu belirlemeden önce, bulut sağlayıcısının kişisel verileri bulutta nasıl aracılığıyla yeterli bilgi verilip verilmediğini kontrol etmelidir. (Cora, 2022) işleyeceğini göz önünde bulundurmalıdır. Veri sorumlusu elinde tuttuğu kişisel verileri bulutta nasıl işlemesi gerektiğini planladığını netleştirdiğinde riskleri Veri Kullanılabilirliği değerlendirebilir durumda olur ve daha sonra söz konusu riskleri azaltmak için uygun adımları atabilir. (EDPS, 2021) Veri merkezinde meydana gelebilecek su baskını, yangın, sabit disk veya ağda oluşabilecek arızalar gibi beklenmedik durumlarla karşılaşılabilir. Bulut hizmet Büyük veya karmaşık bulut hizmetlerinde kişisel verileri işlemek isteyen veri sağlayıcısının beklenmedik durumlara karşı almış olduğu önlemler doğrultusun- sorumluları veya bulut kullanıcıları, herhangi bir gizlilik endişesini değerlen- da son kullanıcının verilerine ulaşabilmesi ve verilerini doğrulayabilmesi verinin dirmek, belirlemek ve bunları erken bir aşamada ele almak için bir gizlilik etki kullanılabilirliğine etki etmektedir. değerlendirmesi yaparak bundan fayda sağlayabilir. Gizlilik etki değerlendirmesi; yeni bir ürün, hizmet veya teknoloji geliştirirken ortaya çıkacak olan olumsuzluk- Sınır ötesinde bulunan sunucular üzerinde veri depolama sorunu kullanıcılar için lara karşı olası gizlilik sorunlarını belirlemek ve sorunlar ortaya çıkmadan önce ciddi bir endişe kaynağı olmaktadır. Bulut hizmeti sağlayıcısının verileri hangi ülke- gerekli önlemleri almak için bir kılavuzdur. (Takçı & Pelin, 2017) de işlediğine bakılmaksızın verinin güvenliğini, gizliliğini ve bütünlüğünü sağlama- sı gerekmektedir. Kafalarda oluşabilecek tüm endişeleri kullanıcılarıyla paylaşmalı Buluta Taşınacak Verilerin Seçimi ve bu bağlamda güven ilişkisi kurmalıdır. Ayrıca, veri güvenliği için garanti sağla- malı ve müşterilere bulunduğu yerin yasalarına ilişkin uyması gereken kurallar Bir bulut kullanıcısının veya veri sorumlusunun tüm verilerini buluta veya aynı hakkında açıklamada bulunarak şeffaf olmalıdır. Son kullanıcının kendisine ait bulut hizmetine taşımaması gerektiğini bilmesi gerekir. Bireylerin belirli türde- verilere istediği zaman ulaşabilmesini sağlamak ve verilere erişimdeki karmaşıklığı ki kişisel verilerinin işlenmesi, kişilerin güvenlik ve mahremiyeti üzerinde daha ortadan kaldırmak kullanıcıların buluta olan güvenlerini artırmaktadır. (Sun, 2014) büyük bir etkiye sahip olabilmektedir. Söz konusu durumu göz önünde bulundur- ması gereken bulut kullanıcısı, işlediği kişisel verileri gözden geçirmeli ve buluta Bulutta depolama işlemi kullanıcılar için bulutun karmaşıklığını azaltabilen konulmaması gereken herhangi bir veri olup olmadığını belirlemelidir. Çünkü şeffaf depolama hizmeti sağlasa da aynı zamanda kullanıcıların veri depolama 474 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 475 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI üzerindeki kontrol yeteneğini de azaltmaktadır. (Mindcentric, Keeping Cloud Yetkilendirme Computing Confidential, 2022) Genel olarak sabit sürücüler bulut sisteminde ana depolama ortamı olarak kullanılırlar. Bulut sisteminde her ne kadar fiziksel Yetkilendirme, veriye erişimi denetlemek için kullanılan bir erişim politikası sabit sürücüler kullanılsa da bu sabit sürücüler veri merkezlerinde ölçeklenebi- tanımlama işlemi olmakla birlikte bir sistemin, kimliği doğrulanmış belirli bir lirliği sağlamak ve maliyet tasarrufu sağlamak amacıyla sanal sabit sürücülere kullanıcının sistem tarafından denetlenen kaynakları güvence altına almak için ayrılmaktadır. Birden fazla fiziksel sabit sürücünün bulunduğu sistem tek bir hangi erişim düzeyine sahip olması gerektiğini belirleyen bir mekanizmadır. fiziksel sabit sürücüymüş gibi ayarlanarak daha sonra birden fazla sanal sabit (Economictimes, 2021) sürücüye ayrılabilmektedir. Sanal olarak oluşturulan sabit sürücüler kullanıcı- lara tahsil edildiğinde kullanıcılar birden fazla fiziksel sabit sürücünün belirli Yetkilendirme, bulut ortamındaki çok sayıda varlık ve erişim noktası sayesinde, bir depolama alanını kullanıyor olmaktadır. Bu sebeple, kullanıcı verileri sadece yalnızca yetkili varlıkların verilerle etkileşim kurabilmesini sağlamak için çok bir fiziksel sürücüyü kullanmadıkları için sabit disklerin güvenilirliği ve yedekli önemlidir. Veri sorumluları izleme mekanizmaları ile yetkisiz erişimi önleyerek olması bulut depolamanın temelini oluşturmaktadır. Sabit sürücülerin yazılımsal veri bütünlüğünü korumada daha fazla güven sağlayabilirler. Söz konusu izleme ve donanımsal hataları bulut sağlayıcısı tarafından göz önünde bulundurulmalı mekanizmaları, verilerin veya sistem bilgilerinin kimler veya neler tarafından ve beklenmedik arızalar gerçekleştiğinde kullanıcının depolamış olduğu verilerde değiştirilmiş olabileceğini belirlemede açıklık getirdiğinden veri bütünlüğünü kayıp olmayacak şekilde önlemler alması gerekmektedir. (Sun, 2014) potansiyel olarak etkilemektedir. Bulut bilişim sağlayıcıları veri bütünlüğünü ve doğruluğunu koruduklarını ifade ettiklerinde veri sorumluları tarafından farklı Veri Bütünlüğünün Korunması kontrol mekanizmalarına başvurulmadan sağlayıcılar güvenilir kabul edilebil- mektedir. Ancak, kullanıcılar ve bulut hizmeti sağlayıcılarının almış olduğu gü- Veri bütünlüğü, herhangi bir bilgi sistemindeki en kritik unsurlardan biridir. venlik önlemlerinin yanı sıra üçüncü taraf denetim mekanizmasını da oluştur- Verilerin yetkisiz olarak silinmesini, değiştirilmesini veya korunmasını önleme- mak yetkilendirmenin sağlıklı işletilebilmesi için gereklidir. (Sun, 2014) yi amaçlamaktadır. Tüzel kişiliğin belirli kurumsal kaynaklara sahip haklarını yöneterek değerli olarak görülen verilerin ve hizmetlerin kötüye kullanılmasını Uyumluluk Gereksinimi ve Veri İşleme veya çalınmasını önler. (Talend, 2021) Bulut bilişim kullanımı, çevrimiçi uygulama kurallarında ifade edilen kişisel ve- Bulut sistemindeki veri bütünlüğü, bilgi bütünlüğünün korunarak yetkisiz kul- rilerin toplanması, saklanması ve kullanılmasıyla ilgili sorumluluklara ek olarak, lanıcılar tarafından erişilemez veya değiştirilmez durumunu ifade etmektedir. bir veri sorumlusunun daha önce karşılaşmamış olabileceği bazı uyumluluk ge- Bulut sistemlerinde veri bütünlüğünü sağlamak; SaaS, PaaS ve IaaS gibi bulut bi- reksinimlerini beraberinde getirebilmektedir. (EPDS, 2021) lişim hizmetlerinin sağlıklı işleyebilmesi için bulut güvenliğinin temelini oluş- turmaktadır. Bulut bilişim sistemleri, büyük ölçekli verileri depolamasının yanı Bulut bilişim, herkese uyan tek bir çeşit ürün olmamakla birlikte çoğu durumda sıra, genellikle söz konusu verileri işleme hizmetini de sağlamaktadır. bir kurum veya kuruluşun özel ihtiyaçlarına göre uyarlanabilmektedir. Uyarlama sırasında ortaya çıkabilecek uyumluluk sorunları, bulut hizmetinin türüne bağlı Bulut sistemlerinde veri bütünlüğü RAID benzeri stratejiler ve dijital imza gibi olarak değişkenlik gösterebilir. (Cora, 2022) tekniklerle de elde edilmektedir. (Digitalguardian, 2021) RAID, tek bir sürücünün performansını artırmak için birden çok sabit sürücüyü birleştiren, onu bir veya Kişisel Verileri Koruma Kanunu’nun 4. maddesine göre kişisel verilerin işlenme- daha fazla mantıksal birimde adreslenebilir hale getiren ve böylece veri depola- sinde; hukuka ve dürüstlük kurallarına uygunluğu, doğru ve gerektiğinde güncel manın güvenilirliğini ve işlevselliğini artıran bir sanallaştırma teknolojisidir. (Tur- olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, host, 2022) Dijital imza ise; elektronik ortamdaki bir belgeyle, bahse konu belgeyi sınırlı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerek- imzalayanı güvenilir bir şekilde ilişkilendiren kimlik doğrulama metodudur. Belge li olan süre kadar muhafaza edilmesinin zorunluluğu belirtilmiştir. (KVKK, 2016) veya mesaja eklenen ıslak imzalara benzer şekilde söz konusu belge ve mesajlara elektronik ortamda eklenen bir kod olarak düşünülebilir. (Innova, 2022) Bahse konu Kanuna göre bulut hizmeti alan veri sorumluları, bulut sağlayıcısının 476 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 477 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI kişisel verileri yalnızca belirtilen amaçlar doğrultusunda işlemesini sağlamakla Kimlik Yönetimi yükümlüdür. Bir şirket veya kuruluş, işlediği kişisel verileri barındırmak ve ge- rekirse buna göre hareket etmek için bir bulut hizmeti sağlayıcısıyla anlaşma Kişisel veriler, bilgisayar ağları içerisinde kontrolsüz şekilde erişilebilir olduğun- yapabilir. Bu durumda bulut hizmeti sağlayıcısı, yalnızca barındırma hizmetleri da güvenlik endişelerini de artırmaktadır. Uygun ve yeterli koruma mekanizmala- sağladığı, kendi adına herhangi bir kişisel veri işlemediği ve veri denetleyicisi- rının eksikliği durumunda, veriler üçüncü kişiler tarafından erişilebilir hale gele- nin talimatlarına uygun hareket ettiği için veri işleyen olarak hareket edecektir. bilir. Kimlik yönetimi, kullanıcılarla ilgili bilgilerin kontrolü işini yürütmektedir. (KVKK, 2016) Kullanıcının kimlik onayı, erişim durumu, yürütmeye yetkili olduğu işlemler, kullanıcının tanımlayıcı bilgisi, söz konusu bilgiye kimin, nasıl erişebileceği veya Hizmetin Kötüye Kullanılması değiştirebileceği bilgisini içerdiği için kişisel veri güvenliği endişelerini en aza indirmeyi sağlar. (E.Burr, 2017) Hizmetin kötüye kullanımı, saldırganların bulut hizmetini kötüye kullanarak ve- rileri ele geçirebileceği veya kullanıcıların çıkarlarını yok edebileceği anlamına Kullanıcıların kişisel verilerini nasıl bir şekilde yöneteceklerinin kararını verme- gelmektedir. Bunun yanı sıra sadece saldırganlar tarafından değil diğer kullanı- lerine yardımcı olmak önemli bir konu haline gelmiştir. Kullanıcıların işlerini cılar tarafından veya hizmet sağlayıcısı çalışanlarınca da hizmetin kötüye kulla- kolaylaştırmak için bulut sağlayıcıları, bulut yapısı içerisinde kimlik yönetimi sis- nılabilme durumu söz konusudur. (Sun, 2014) temini sıkı bir şekilde kullanırlar. Söz konusu sistem, kullanıcıların servis tabanlı hizmetler yoluyla kimliklerini doğrulayarak, kullanıcıya kendi kişisel verilerine Bulut hizmet sağlayıcıları bulutta depolama işlemlerini gerçekleştirirken tekil- erişme izni vermektedir. (ICO, 2021) leştirme teknolojisini kullanabilirler. Tekilleştirme teknolojisi (Deduplication Technology) bulut depolama alanında yaygın olarak kullanılmakla birlikte veri- Performans İzleme ve Erişim Kontrolü lerin genellikle bir kez depolandığı ancak birden fazla farklı kullanıcı tarafından paylaşıldığı anlamına gelir. Söz konusu teknoloji, depolama alanında tasarruf Bir bulut sağlayıcısını seçtikten sonra işlemin sona ermeyeceğinin farkında olmak sağlayarak bulut hizmeti sağlayıcılarının harcama maliyetini azaltır. Ancak te- veri sorumlusunun dikkat etmesi gereken durumları arasındadır. Bulut hizmeti- killeştirme teknolojisi kullanıldığında saldırganların depolanan dosyaların hash nin beklenen şekilde ve sözleşmeye dayalı anlaşmanın şart koştuğu şekilde çalış- kodunu öğrenerek verilere erişebilme ihtimalleri göz önünde bulundurulduğun- tığından emin olmak için sürekli bir izleme, inceleme ve değerlendirme döngü- da buluttaki hassas verileri sızdırmak mümkün hale gelebilir. (Sun, 2014) Bu ne- sünde bulunması gerekmektedir. (ICO, 2021) Bulut sağlayıcısı katmanlı hizmetler denle, bulut kullanıcılarının kimlik doğrulamasını kontrol etmek için Sahiplik söz konusu olduğunda, bulut hizmetinin sağlanması sırasında meydana gelen alt Kanıtı Yaklaşımı (Proof of Ownership) önerilmektedir. (Dave, 2021) Sahiplik Ka- işleyen zincirindeki değişiklikler hakkında bulut müşterisini bilgilendirmelidir. nıtı Yaklaşımı (PoW), bulut depolama sunucularına istemcilerin yalnızca sahip (STM, 2022) oldukları dosyaları yüklemelerini ve indirmelerini garanti etme olanağı sağlaya- rak depolama gereksinimlerini azaltmaya yönelik etkili bir tekilleştirme tekniği Bulut hizmetinin faydalarından biri, verilere herhangi bir yerden erişebilme ye- olarak düşünülmektedir. (Gonzalez-Manzano, 2016) teneğine sahip olmamızı sağlamasıdır. Söz konusu erişim, bulut kullanıcılarının internet erişimi olduğu sürece verilerine herhangi bir yerden farklı cihazlarla Ayrıca bulut hizmeti sağlayıcısının sistemi yöneten ve teknik işlemlerini yapan çalı- ulaşması anlamına gelir. Ancak veri sorumlusunun verilere yetkisiz erişimi ön- şanları arasındaki gereksiz yetkilendirmeler kullanıcıların kişisel veri güvenliği için lemek için yeteri kadar önlem alındığından emin olması gerekir. Örneğin, bulut risk oluşturabilmektedir. Özellikle yönetici konumunda olanların, altında çalışan hizmeti, kullanıcı adı ve parola sistemi kullanarak kimlik doğrulama süreci su- teknik personelden ayrıcalıklı sistem yönetim haklar istemesi durumunda kullanıcı nuyorsa, bulut kullanıcılarının her birinin kendisine ait tekil hesapları olmalıdır. verilerine yetkisiz erişim hakkına sahip olmasına neden olmaktadır. Bu durumun Ayrıca, kullanıcı hesapları oluşturmak, güncellemek, askıya almak veya silmek, önüne geçebilmek için, her ne kadar güvenilir personel çalıştırıldığı düşünülse işletmeden ayrılan çalışanların erişimini kaldırmak veya unutulan, kaybolan, de sistemdeki hareketlerin takip ve kontrolünün düzenli bir şekilde yapılması ve çalınan kimlik bilgilerini sıfırlamak için bir sistemin de mevcut olması gerekir. mümkünse farklı personel tarafından izlenmesi ve rapor edilmesi gerekir. (Investopedia, Cloud Computing, 2021) 478 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 479 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Verilerin Şifreli Korunması Büyük ölçekli bulut sağlayıcıları tarafından veri kopyalama işlemi yapılırken ge- nellikle fiziksel sunucularda ve farklı bölgelerde bulunan üç kopya tercih edilir. Şifreleme; veri sorumlularının sorumlu olduğu kişisel verilere yalnızca doğru Bahse konu tercih edilen yöntem farklı bölgelerdeki kullanıcılara daha hızlı ve anahtara sahip yetkili taraflarca erişilebilmesini sağlamasına olanak tanıdığı için daha dağıtık hizmetler sunduğu için yaygın olarak kullanılmaktadır. Bulut hiz- bulut bilişim güvenliğinde önemli bir kavramdır. Öncelikle verilerin aktarımı met sağlayıcısı tarafından veri kopyalama (replikasyon) stratejisine göre veriler sırasında uç noktalar arasında iletişim güvenli olmalı ve müdahaleye karşı korun- güncellenirken güncelleme işleminin diğer kopyalara nasıl ve ne zaman yansı- malıdır. Uçtan noktalar arasındaki iletişimi koruma şifreli bir protokol yöntemi yacağı veri sorumlusu ile paylaşılmalıdır. Bulut sağlayıcısının planladığı büyük kullanılarak gerçekleştirilir. İletişimde kullanılan söz konusu şifreleme algoritma- ölçekli bir güncelleme söz konusu olduğunda, güncelleme işlemi sırasında farklı sı rastgele değil tanınan endüstri standartlarını karşılaması gerekir. (ICO, 2021) bir sunucudaki verilerin bir kopyasına erişmeye çalışan bir kullanıcı için iyi bir Bulut sağlayıcısı iletişimi sağlarken, bulut hizmetinde coğrafi olarak ayrılabilen yöntem oluşturulmalıdır. (ICO, 2021) veri merkezleri arasında aktarılan verilerin uygun şekilde güvenli olarak aktarıl- dığına dair güvence verebilmelidir. (Investopedia, Cloud Computing, 2021) Veri sorumlusu, bulut sağlayıcısının kendi silme planına uygun bir zaman ölçeği içinde kişisel verilerin tüm kopyalarını silebilmesini sağlamalı ve gelecekte bulut Veri sorumlusu, bulut hizmeti içinde depolanan veriler için de şifreleme kul- sağlayıcısı bulut hizmetinden herhangi bir sebeple çekilmeye karar verirse kul- lanmanın uygun olup olmadığını da değerlendirmelidir. Şifrelemenin kullanım lanıcıların kişisel verilerine ne olacağı veya ne gibi işlemler yapılacağı hakkında durumu, kişisel verilerin niteliğine ve bulutta gerçekleştirilen işleme türüne göre bilgi sahibi olmalı ve söz konusu çekilme sonrası yapılacağı beyan edilen işlem- değişiklik gösterebilir. Özellikle özel nitelikli kişisel veriler işlenirken hem ile- lerin sözleşmede yer aldığından emin olması gerekir. Aynı şekilde veri sorumlusu tişimde hem de depolamada şifreleme kullanmak veri güvenliğinin korunması bulut sağlayıcısı ile arasındaki sözleşme süresi sona erdiğinde veya sözleşme fes- açısından önemli bir husus olarak değerlendirilmektedir. (ICO, 2021) hedildiğinde yapılacak işlemlerin sözleşmede yer almasını ve sonrasında takibini sağlaması gerekir. (Beyondtrust, 2022) Kişisel veri güvenliğinin ve gizliliğin korunmasını sağlamak için teknik bir ön- lem olarak şifreleme kullanılıyorsa, şifreleme için kullanılan anahtarın güven- Sağlayıcı Erişimi ve Personel Eğitimi liğinin de ayrıç sağlanması gerekir. Bu bağlamda, sağlam bir anahtar yönetimi düzenlemesi, şifrelemenin sunabileceği koruma düzeyini sürdürebilmek için çok Bulut sağlayıcısı, bilgi işlem kaynaklarını veri sorumlusu veya bulut kullanıcısı önemlidir. Aksi takdirde anahtara sahip olan üçüncü kişilerin verilere erişim hak- adına yönettiğinden dolayı verilere ve verilerin kopyalarına erişmesi muhtemel- kına sahip olacağı ve bir şifreleme anahtarının kaybı verileri işe yaramaz hale dir. Destek hizmetlerinin sağlanması gibi eylemler için de sistem erişiminde yetki getirebileceğinden kişisel verilerin yanlışlıkla imha edilmesi anlamına gelecektir. sahibi olabilmektedir. Ancak kendisine verilen yönetim yetkisiyle yetkisiz erişime (Forcepoint, 2022) neden olursa kişisel verilerin uygun olmayan şekilde ifşa edilmesine, silinmesine veya değiştirilmesine yol açabilir. (Checkpoint, 2022) Veri Saklama, Kopyalama ve Silme Bulut sağlayıcısının işlediği kişisel verilere erişebileceği koşulları belirlemek için Veriler temel depolama ortamlarından silindiğinde bazı ek işlemler yapılmadık- yürürlükte olan açık politikalar ve prosedürler olmalıdır. Söz konusu politika ça nadiren tam olarak kaldırılırlar. Ayrıca bir bulut sağlayıcının daha güvenilir ve prosedürler; yetkisiz erişim, silme veya değişiklik meydana geldiğinde neler bir hizmet sağlamak amacıyla birden çok yerde depolanan verilerin birden çok yapılacağına ilişkin bulut müşterisini uyarmalı ve yapılacak işlemlere ilişkin bil- kopyasına sahip olması da olasılık dâhilindedir. Söz konusu verilerin depolandığı gilendirme sağlamalıdır. (ICO, 2021) yerler, yedekleme bantları veya doğrudan buluta bağlı olmayan diğer depolama ortamları olabilir. Bir bulut hizmetinde saklanan kişisel verilerin kopyaları ve- Veri sorumlusu, bulut bilişim hizmeti alırken istekleri doğrultusunda yeni bir rilerin aynısı gibi değil de farklı uzantılarla veya farklı dizin yapıları gibi başka dizi veri koruma riskine yol açabileceğini de göz ardı etmemelidir. Bulut sağ- biçimlerde de saklanabilir. (Investopedia, Cloud Computing, 2021) layıcısı, veri sorumlusunun almış olduğu bulut hizmetinin güvenlik ayarlarını yapılandırması için denetim mekanizması oluşturabilir. Veri sorumlusunun söz 480 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 481 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI konusu güvenliği sürdürebilmek için uygun eğitime ve prosedürlere sahip olması SONUÇ gerekir. (ICO, 2021) Bulut bilişimin; kullanım kolaylığı, esnekliği, uygun maliyeti, verilere hızlı ve is- Çoklu Kiracılı Ortam tenilen yerden erişim imkânı sağlaması sayesinde günümüzde kullanımı artarak devam eden bir teknoloji olarak kabul edilmektedir. Söz konusu kullanım artışıyla Bir bulut sağlayıcısı, birçok veri sorumlusu için bir veri işleyen görevinde olabil- birlikte kişisel verilerin güvenliğine gösterilen hassasiyetin artması da kullanıcılar mektedir. Söz konusu bulut sağlayıcısının veri sorumlusuna hizmet sunan bir veri tarafından önem arz eden bir konu haline gelmiştir. Verilerin depolandığı sunu- işleyen olmasının yanı sıra çok sayıda bulut kullanıcısına da hizmet verebilmekte- cular için alınan güvenlik önlemleri ve sunucuların hangi ülkede bulunduğu gibi dir. Bulut bilişimin sunmuş olduğu bu çeşitli yapı ile bilgi işlem kaynaklarının ve- konularda kullanıcılar kontrol sağlayamadıkları için birtakım endişelere sahip rimli kullanımı bulut sağlayıcısı açısından maliyet tasarrufunu ortaya çıkarmak- olmaktadırlar. Söz konusu endişeleri ortadan kaldırmak için kullanıcıların, alı- tadır. Ancak bulut sağlayıcılarının söz konusu maliyete yönelik tasarruflu çalışma nan güvenlik önlemleri hakkında, verilerin işlenmesi ve aktarımı gibi konularda durumu sebebiyle veri sorumluları ve kullanıcıları, kendi verilerinin diğer bulut bilgilendirilmeye ihtiyaçları vardır. Bu sebeple veri sorumluları bulut hizmetini sağlayıcılarının müşterilerinin verileriyle aynı sistemlerde işlenmesi durumuyla satın alırken; çalışanlar, müşteriler, kullanıcılar ve diğer üçüncü kişiler açısından karşılaşabilir. Bulut sağlayıcısı, bir bulut müşterisinin diğer bulut müşterisinin bu gibi hususlara dikkat etmeleri gerekmektedir. kişisel verilerine erişme olasılığına karşı koruma sağlamak için sağlam bir dizi güvenlik önlemine sahip olmalı ve bir bulut müşterisinin faaliyetinin diğerlerinin Veri sorumlusunun kişisel verilerin kötüye kullanılmasından dolayı sorumlu faaliyetlerini etkilememesi için tedbirler alması gerekecektir. (IBM, 2022) tutulacağı için sözleşme yaptığı bulut sağlayıcısının ve bağlı alt sağlayıcılarının uygun güvenlik hizmetini sunabildiğine emin olmalıdır. Verilerin güvenliği konu- Güvenilirlik, Dayanıklılık ve İlgili Kişi Hakları sunda yeterli bilgi vermeyen ve güvence sağlayamayan herhangi bir bulut hizmet sağlayıcısı tercih edilmemelidir. Veri sorumlusu riskleri değerlendirmek ve belirli Veri sorumlusu, hizmet aldığı bulut sağlayıcısı tarafından çevrimdışına alınarak bir bulut sağlayıcısına güvenilip güvenilmeyeceğine karar vermek zorunda oldu- büyük bir kesintiye maruz kalması durumunda meydana gelecek sonuçları dikka- ğu için almış olduğu kararlardan dolayı da sorumlu tutulacağını unutmamalıdır. te almalıdır. Kendini kanıtlamış bir bulut sağlayıcısının seçilmesi, daha güvenilir Bulut hizmet sağlayıcılarının, bulut bilişim hizmetlerine olan güveni artırmak ve dayanıklı bir hizmet sağlayacağı için hizmet kesintilerine karşı da ciddi önlem- için araştırmalara, standardizasyon ve belgelendirme programlarına, yasal ve ler almış olacağından önem arz etmektedir. Ayrıca veri sorumlusunun, kesintinin düzenleyici çerçeve çalışmalarının uyarlamalarına daha fazla önem göstermesi etkisini en aza indirebilmek için verilerinin bir kopyasını alternatif bir yerde gerekir. Veri sorumluları, gerekirse güvenilir üçüncü tarafların yardımıyla, bulut depolaması uygun olacaktır. (ICO, 2021) bilişim sistemini kullanmadan önce uygun risk değerlendirmelerini ve gizlilik etki değerlendirmelerini yapmalıdır. Bulut bilişim sistemlerine yapılan saldırı- Veri sorumlusu, bir bulut hizmetine geçmeden önce bulut sağlayıcısının ilgili larla verilerin üçüncü kişilerin eline geçmemesi için yukarıda belirtilen gerekli kişilerin haklarını kullanmasına izin verdiğinden emin olmalıdır. Örnek olarak; güvenlik önlemlerinin alınması ve verilerin şifrelenmiş bir şekilde bulutta sak- ilgili kişiler kişisel verilerine erişim hakkına ve kişisel verilerinin belirli amaçlar lanması önerilmektedir. Verileri şifrelemek, güvenlik ve gizlilik söz konusu oldu- dışında işlenmesine itiraz etme hakkına sahip olması verilebilir. (Netser, 2022) ğunda atılması gereken en önemli adımlardan biridir. Bulut bilişimde şifrelemeye yönelik konu Kişisel Verileri Koruma Kurulu tarafından yayınlanan kılavuzlarda açıkça ele alınmaktadır. ◆ 482 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 483 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI KAYNAKÇA ◊ Economictimes. (2021, 12 21). What is ‘Authorization’. https://economictimes. indiatimes.com: https://economictimes.indiatimes.com/definition/authori- ◊ Azure. (2021, 12 06). Top benefits of cloud computing. https://azure. microsoft. zation adresinden alınmıştır. com: https://azure. microsoft.com/en-us/overview/what-is-cloud-computin- g/#cloud-deployment-types adresinden alınmıştır. ◊ EDPS. (2021, 11 01). Guidelines on the use of cloud computing services by the European institutions and bodies. https://edps.europa.eu: https://edps.euro- ◊ Berqnet. (2021, 06 11). Veri Güvenliği Nedir? İşletmeler Nasıl Önlem Alabilir? pa.eu/sites/default/files/publication/18-03-16_cloud_computing_guideli- https://berqnet.com: https://berqnet.com/blog/veri-guvenligi-nedir adre- nes_en.pdf adresinden alınmıştır. sinden alınmıştır. ◊ EPDS. (2021, 11 01). Guidelines on the use of cloud computing services by the ◊ Beyondtrust. (2022, 03 20). Effective Privilege Management for the Cloud: The European institutions and bodies. https://edps.europa.eu: https://edps.euro- 3 Keys. https://www.beyondtrust.com: https://www.beyondtrust.com/blog/ pa.eu/sites/default/files/publication/18-03-16_cloud_computing_guideli- entry/effective-privilege-management-for-the-cloud-the-3-keys adresinden nes_en.pdf adresinden alınmıştır. alınmıştır. ◊ Forcepoint. (2022, 01 20). Bulut Güvenliği nedir? https://www.forcepoint. ◊ BTK. (2013). Bulut Bilişim. Ankara: BTK. com: https://www.forcepoint. com/tr/cyber-edu/cloud-security adresinden alınmıştır. ◊ BTK. (2021, 02 11). Kişisel Veriler ve Kişisel Bilgi Güvenliği. https://internet. btk.gov.tr: https://internet.btk.gov.tr/kisisel-veriler-ve-kisisel-bilgi-guvenligi ◊ Gonzalez-Manzano, L. (2016). ase-PoW: A Proof of Ownership Mechanism for adresinden alınmıştır. Cloud Deduplication in Hierarchical Environments. L. Gonzalez-Manzano içinde, Security and Privacy in Communication Networks (s. 412-418). ◊ Checkpoint. (2022, 01 13). What is Cloud Security? https://www.checkpoint. com: https://www.checkpoint. com/cyber-hub/cloud-security/what-is-c- ◊ IBM. (2022, 03 12). Çok Kiracılı Ortamlar. https://www.ibm.com: https:// loud-security/ adresinden alınmıştır. www.ibm.com/docs/tr/cognos-analytics/11.0.0?topic=guide-multite- nant-environments adresinden alınmıştır. ◊ Cora. (2022, 04 09). Understanding the Determinants of Cloud Computing Adoption for High Performance Computing. https://cora.ucc.ie: https://cora. ◊ ICO. (2021, 12 18). Guidance on the use of cloud computing. https://ico.org.uk: ucc.ie/bitstream/handle/10468/5269/paper0490.pdf?sequence=1&isAl- https://ico.org.uk/media/for-organisations/documents/1540/cloud_com- lowed=y adresinden alınmıştır. puting_guidance_for_organisations.pdf adresinden alınmıştır. ◊ Dave, J. (2021, 11 22). Secure and Efficient Proof of Ownership for Deduplicated ◊ Innova. (2022, 04 14). Dijital İmza nedir, nasıl kullanılır? https://www.in- Cloud Storage. https://www.researchgate.net: https://www.researchgate.net/ nova.com.tr: https://www.innova.com.tr/tr/blog/dijital-donusum-blog/di- publication/320075845_Secure_and_Efficient_Proof_of_Ownership_for_ jital-imza-nedir-nasil-kullanilir adresinden alınmıştır. Deduplicated_Cloud_Storage adresinden alınmıştır. ◊ Investopedia. (2021, 01 12). Cloud Computing. https://www.investopedia. ◊ Digitalguardian. (2021, 11 12). A Definition Of Data Integrity. https://digital- com: https://www.investopedia.com/terms/c/cloud-computing.asp#toc-w- guardian.com/: https://digitalguardian.com/blog/what-data-integrity-da- hat-is-cloud-computing adresinden alınmıştır. ta-protection-101 adresinden alınmıştır. ◊ E.Burr, W. (2017). Information security. NIST (s. 31-37). 484 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 485 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Investopedia. (2021, 12 12). Cloud Computing. https://www.investopedia. ◊ STM. (2022, 02 01). Bulut Bilişim Güvenliği. https://thinktech.stm.com.tr: ht- com: https://www.investopedia.com/terms/c/cloud-computing.asp#toc-w- tps://thinktech.stm.com.tr/uploads//docs/1646651618_stmbulutbilisimgu- hat-is-cloud-computing adresinden alınmıştır. venligi.pdf? adresinden alınmıştır. ◊ Investopedia. (2022, 02 05). Cloud Computing. https://www.investopedia. ◊ Sun, Y. (2014). Data Security and Privacy in Cloud Computing. International com: https://www.investopedia.com/terms/c/ cloud-computing.asp adre- Journal of Distributed Sensor Networks, 1-8. sinden alınmıştır. ◊ Takçı, H., & Pelin, C. (2017). Kişisel verilerin korunmasında öznitelik tabanlı ◊ Keskin, N. (2020). Çok Ölçütlü Karar Verme Yöntemleri İle Bulut Bilişim Hiz- gizlilik etki değerlendirmesi yöntemi. Mühendislik Mimarlık Fakültesi Der- met Sağlayıcısı Seçimi. Uluslararası Yönetim Bilişim Sistemleri ve Bilgisayar gisi, 1301-1310. Bilimleri Dergisi, 52-73. ◊ Talend. (2021, 04 28). What is data integrity? https://www.talend.com: ht- ◊ KVKK. (2016, 03 24). 6698 Sayılı Kişisel Verilerin Korunması Kanunu. 6698 tps://www.talend.com/resources/what-is-data-integrity/ adresinden alın- Sayılı Kişisel Verilerin Korunması Kanunu. Resmi Gazete. mıştır. ◊ Kyoceradocumentsolutions. (2022, 03 12). Veriler buluta nasıl taşınır? ht- ◊ Turhost. (2022, 04 14). Raid Nedir? https://www.turhost.com: https://www. tps://www.kyoceradocumentsolutions.com.tr: https://www.kyoceradocu- turhost.com/blog/raid-nedir/ adresinden alınmıştır. mentsolutions.com.tr/tr/smarter-workspaces/business-challenges/the-c- loud/cloud-data-migration-guide.html adresinden alınmıştır. ◊ Mindcentric. (2022, 04 28). Keeping Cloud Computing Confidential. https:// www.mindcentric.com: https://www.mindcentric.com/blog/data-securit- y-in-cloud-computing#:~:text=Data%20availability%20is%20a%20term,ran- ging%20from%20normal%20to%20disastrous adresinden alınmıştır. ◊ Mindcentric. (2022, 04 28). Keeping Cloud Computing Confidential. https:// www.mindcentric.com: https://www.mindcentric.com/blog/data-securit- y-in-cloud-computing#:~:text=Data%20availability%20is%20a%20term,- ranging%20from%20normal%20to%20disastrous. adresinden alınmıştır. ◊ Netser. (2022, 03 12). Bulut İletişim Çözümleri. https://www.netser.com.tr: https://www.netser.com.tr/tr/cozumlerimiz/bulut-iletisim-cozumleri, ad- resinden alınmıştır. ◊ Startuphukuku. (2021, 10 16). https://startuphukuku.com. Bulut Bilişimin Hukuki Boyutu ve Bulut Bilişim Sözleşmesi: https://startuphukuku.com/ bulut-bilisim-sozlesmesi-hukuki-boyutlar/ adresinden alınmıştır. KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 487 UZMANLIK TEZLERI DERLEME ÇALIŞMASI VERI KORUMA HUKUKU AÇISINDAN BLOK ZINCIR TEKNOLOJISINE BAKIŞ Hande ÖZTÜRK Kişisel Verileri Koruma Uzmanı Bu çalışma, 14.02.2023 tarihinde kabul edilen “KVKK Kapsamında Blok zincir Tek- nolojisi” başlıklı uzmanlık tezinden alınmıştır. GİRİŞ Merkezi bir otorite ihtiyacını ortadan kaldırarak eşlerin birbirleriyle doğrudan işlem yapmalarını sağlayan eşler arası bir defter sistemi olarak tanımlanan blok zincirinin hem veri depolama hem de bilgisayar kodlarının çalıştırılması için kullanılabilen genel amaçlı bir teknoloji olma özelliği, farklı bağlamlarda farklı hedeflere ulaşmak için çeşitli aktörlerin şu anda bu teknolojiyi neden denemek- te olduğunu açıklamaktadır. Blok zincir teknolojisinin merkezi olmayan, şeffaf ve güven odaklı olma özellikleri nedeniyle günümüz teknoloji faaliyetlerindeki kaygılara bir çözüm olarak sunulabileceği öngörülmektedir (Diri, 2022). Çalışmanın ilk kısmında blok zincir teknolojisi genel anlamda teorik olarak ele alınmış olup tanımı ve tarihçesi ile başlanarak teknolojinin karakteristik özellik- leri, türleri, yönetim yapısı ile teknolojide kullanılan şifreleme yöntemlerine de- ğinilmiş olup alışmanın ikinci kısmında ise blok zincir teknolojisi kullanımında söz konusu olabilecek kişisel veri işlemelerin veri koruma hukuku kapsamında nasıl ele alındığı konusu detaylandırılmıştır. Bu kapsamda ilk olarak blok zincir ağında tutulabilecek kişisel veri türleri ele alındıktan sonra ilgili teknolojide veri sorumlusu ve veri işleyen tanımını karşılayacak aktörlerin kimler olabileceği ko- 488 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 489 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI nusu irdelenmiştir. Sonrasında blok zincir teknolojisinin veri koruma hukuku mesi, verinin nerelerde saklanacağına dair seçenek sunmaması gibi nedenlerden kapsamında ilişkilendirilebileceği kişisel veri işleme şartlarına yer verilmiş olup dolayı, kurumsal veya mahremiyet içeren kişisel veriler için güvenli bir depola- burada blok zincir ağında gerçekleştirilebilecek veri işleme faaliyetlerinin veri iş- ma çözümü değildir. Bu yaklaşım ile Distributed Ledger Systems (“Dağıtık Kayıt leme şartlarına göre işlenebilme durumu ele alınmıştır. Daha sonra ise blok zincir Defterleri”) adı verilen çözümler ortaya çıkmıştır ve blok zincir teknolojisi de bu teknolojisinde kişisel veri işlenmesine dair diğer önemli kavramlar arasında veri çözümün farklı bir uygulaması olarak değerlendirilebilir (Usta ve Doğantekin, minimizasyonu ilkesi, saklama süreleri, yurt dışına kişisel veri aktarımı ve ilgili 2019). kişi haklarına yer verilmiştir. Çalışma dahilinde ilgili konu başlıkları altında ve ayrıca sonuç kısmında blok zinciri teknolojisinin veri koruma hukuku ile ilişki- Değerin İnterneti, bugün bilginin hareket ettiği hızda değerin değiş tokuşunun sine dair görüş ve öneriler de yer almaktadır. gerçekleştirildiği bir dünyayı temsil etmektedir. İnternet şu anda da bu yeni tek- nolojilerin işlem gördüğü temel platform olma özelliğini taşımaktadır. Kripto BLOK ZİNCİR TEKNOLOJİSİ paraların, anahtarların, şifrelerin ve diğer blok zincir özelliklerinin yönetimine yardımcı olmak adına yeni Web 3.0 tarayıcıları yapım aşamasındadır. Tanım ve Tarihçe İnternetin yarattığı gibi bir etkiye sahip olabilecek blok zincir teknolojisini an- Blok zincir merkezi bir otorite ihtiyacını ortadan kaldırarak eşlerin birbirleriyle lamaya da aşina olduğumuz bir örnekle başlanılabilir. Bir e-postaya bir Word doğrudan işlem yapmalarını sağlayan eşler arası bir defter sistemidir. Özünde belgesi, Excel sayfası veya PDF dosyası gibi bir belge eklediğimizde orijinali gön- blok zinciri; bir işleme ilişkin bilgileri, değiştirilmesini zorlaştıran veya imkânsız derilmez. Aslında alıcıya bir kopyası gönderilir ve bu bilginin dolaşımı açısından hale getiren, merkezi olmayan yeni bir yolla kaydetme sistemidir. Bu işlemler, ağın iyi bir yol olarak karşımıza çıkar. Ancak konu para, hisse senetleri ve tahviller, katılımcıları arasında paylaşılan bir dijital defterdeki sayfalarda veya bloklarda sadakat puanları, fikri mülkiyet, bir oyun veya konser biletleri olduğunda o za- saklanır. İşlemler üzerindeki fikir birliği eşler arası ağı anlaşmaya (mutabakata) man bu belgelerin bir kopyasının gönderilmesi birdenbire kötü bir fikir halini vardırır. Üzerinde anlaşmaya varılan işlem blokları değişmez deftere kaydedildi- almaktadır. Örneğin, birine bir konser bileti gönderdiğimizde o kişiye bu biletin ğinde “güven” kavramı sistemin temel bileşeni haline gelir. kopyasını göndermememiz önemlidir. O kişi artık biletin orijinaline sahip ol- malıdır ve biz artık bu bileti kullanamamalı veya satamamalıyızdır. Aynı şekilde Müzik paylaşım siteleri uçtan uca ağ oluşturma hakkında ilk ışığı yakmıştır. Telif birine bir para gönderdiğimizde bu paraya artık biz sahip olmamalıyız veya bir ihlali bir yana bırakıldığında müzik paylaşım şirketlerinin ana hedefi dosya bü- başkasına gönderememeliyiz. Bu iki örnek de “çifte harcama problemi’ ne (Diji- tünlüğünün sağlanması idi. tal para birimi kavramıyla ortaya çıkan teknik bir sorun, birisinin dijital parayı çoğaltma ve aynı anda iki veya daha fazla yerde harcama yeteneğidir. Bu ‘çifte 2000’lerin başında birbirinden bağımsız iki proje olan eDonkey ve BitTorrent, harcama’ sorunu, Bitcoin gibi blok zinciri tabanlı kripto para birimlerinde, Eme- tam olarak internet üzerinde hiç tanımadığımız ama iletişime geçebileceğimiz ğin İspatı (PoW) olarak bilinen bir mutabakat mekanizması kullanılarak önlenir. diğer kişiler, daha doğrusu makineler üzerinden verinin paylaşılması için gelişti- Emeğin İspatı, yalnızca blok zincirinin defterindeki geçmiş işlemlerin doğruluğu- rilmiş, uçtan uca “Peer to Peer- P2P” olarak isimlendirilen bir tür veri depolama nu güvence altına almakla kalmayıp aynı zamanda çifte harcamayı tespit eden ve çözümü olarak karşımıza çıkmışlardır. Bu sistemlerde veri, tek bir merkezde değil önleyen merkezi olmayan bir “madenciler” ağı tarafından gerçekleştirilir.) işaret sayısı milyonları bulabilecek makineler üzerinde dağıtılmış veya paylaşılmış şekil- eder ve blok zincir teknolojisi ile bu duruma çözüm getirilebilir (“How Does Block de bulunur. Bu makinelerden bazıları verinin tamamını, bazıları ise kısmen belli Chain Prevent Doublespending Bitcoins”, 2022). Bu teknoloji ile biletten paraya bir parçasını içerebilir. Ulaşmak istediğinizde sistem size bu veriyi, sunulabilecek ve müziğe kadar her türlü varlık, aracı olmaksızın saklanabilir, taşınabilir, takas en hızlı düzenlemeyle, farklı makinelerden çekecek şekilde yönlendirir. Siz veriyi edilebilir ve işlem görebilir. Her yerde insanlar, iş birliği ve kriptografi kullanarak kendi bilgisayarınıza çekerken, aldığınız veri karşılığında aynı zamanda diğer kul- eşler arası işlem yapabilir ve birbirlerine güvenebilir. Bu güven ve iş birliğine nasıl lanıcılara bir veri kaynağı olarak hizmet edersiniz. Sistemin kullanıcıları, sisteme gelindiği noktasında ise gerçek kimliği hala bilinmeyen Satoshi Nakamoto’nun verdikleri destek süreci ile doğru orantılı olarak sistemden faydalanabilirler. Bu 2008’de yayınladığı Bitcoin olarak bilinen elektronik paranın eşler arası versi- platformlar, bulutun ötesinde bir çözüm sunmakla birlikte, içeriğin şifrelenme- yonunu tanıttığı teknik incelemesine işaret edilir (Nakamoto, 2008). Bununla 490 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 491 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI birlikte blok zincir teknolojisine ait kavramsal temel ve bileşenler sadece Satoshi bilgisayarda defterin özdeş bir kopyasının bulunması nedeniyle ağ merkezi değil- Nakamoto’nun makalesine özgü değildir. Bu bileşenler, ilk olarak 90’lı yıllarda dir. Nakamoto’nun teknik incelemesinin yayınlanmasıyla Bitcoin, halka açık bir kaleme alınan üç farklı makale ile karşımıza çıkmaktadır. Stuart Haber ve W. blok zinciri defterine ilk varlık transferini kaydederek blok zincir teknolojisinden Scott Stornetta tarafından hazırlanan 1991 yılına ait makalede, belgelerin zaman yararlanan ilk uygulama olmuştur. damgası ile birlikte kripto imzalarla nasıl kullanılacağı anlatılmaktadır (Haber ve Stornetta,1991). Ross Anderson’ın hazırladığı 1996 yılına ait bir makalede ise, Merkezi olmayan bir defter, farklı konumlar ve kişilerin merkezi bir otoriteye kaydedilen güncellemelerin silinemeyeceği, merkezi olmayan bir veri depolama olan ihtiyacı ortadan kaldıran merkezi olmayan ağı tarafından desteklenen her- sistemi tanımlanır (Anderson, 1996). Bruce Schneier ve John Kelsey tarafından hangi işlemler veya sözleşmelerin defteri olarak tanımlanabilir. Bir kayıt yapıl- hazırlanan 1998 yılına ait bir makale (Schneier ve Kelsey, 1998) ise, güvenilmeyen dığında, her katılımcı bu kayıttan haberdar edilir. Katılımcılar, artık o ağdaki makineler üzerinde tutulan günlük dosyalarının içerdiği hassas bilgilerin korun- diğer tüm düğümlerle aynı olacak şekilde işlemlerin kaydının özdeş bir kopyasına ması için şifrelemenin nasıl kullanılacağını açıklar (Usta ve Doğantekin, 2019). sahiptirler. Blok zincir, sürekli büyüyen dijital bir veri kayıtları listesidir. Bu liste, kronolojik Şekil 1. Dağıtık ağ sıraya göre düzenlenmiş ve kriptografik kanıtlarla bağlanmış ve güvence altına alınmış birçok veri bloğundan oluşur. Haber ve Stornetta’nın çalışmaları Dave Uçtan uca (Eşler arası) Ağ Yapısı Bayer, Hal Finney ve diğer birçok bilgisayar bilimci ve kriptografi meraklısının ça- lışmalarına ilham vermiştir ve bu da ilk merkezi olmayan elektronik nakit sistemi Defter, uçlardan oluşan bir ağ tarafından depolanır, güncellenir ve korunur. Dü- (ya da sadece ilk kripto para birimi) olarak Bitcoin’in yaratılmasına yol açmıştır ğümler; bir blok zinciri ağının altyapısını oluşturur, bir blok zincirinin varlığını ve nihayetinde Bitcoin hakkındaki resmi rapor da 2008 yılında Satoshi Nakamoto sağlamak üzere blok zinciri verilerini depolar, yayar ve korurlar. Bir ağdaki tüm takma adı altında yayınlanmıştır (“Blockchain”, 2022). düğümler aynı işlem kurallarını veya protokolleri takip eder ancak düğümlerin farklı rolleri vardır. Tam bir düğüm, blok zinciri protokolünün bir kopyasını ve Blok zincir tarihçesi esasında muhasebenin tarihçesi ile sıkı sıkıya bağlıdır. Üçlü blok zincirinin işlem geçmişini içerir, ayrıca blok zincirinin bakımına yardımcı kayıt sistemi, dış tarafların da dahil olduğu tüm muhasebe girişlerinin üçüncü olur. Kullanıcı düğümü, defter ile etkileşime girer. Blok zinciri teknolojisi ile bir bir giriş tarafından kriptografik olarak kapatılarak bu şekilde geleneksel çift kayıt merkezi otoritenin eksikliği eşler arası bir ağ yapısı ile değiştirilmiş olur. sistemine yapılan bir iyileştirmedir. Borç ve alacak kaydına ek olarak tüm geçmiş borç ve alacaklara bir bağlantı da bulunur. Üçlü kayıt sistemi defteri Nakamo- Çok Taraflılık (Aracının Kaldırılması) to’nun 2008 yılındaki teknik incelemesinde karşımıza çıkar. Blok zinciri, bir işlem bağlamında deftere kaydedilen bir varlığımızın olduğu üçlü kayıt sisteminin ilk Geleneksel merkezi defter sistemlerinin bazı zayıf tarafları vardır. Örneğin doğ- uygulamasıdır. Üçlü kayıt sistemindeki üçüncü giriş, defterde kalıcı ve değişmez ruluk, merkezi defterin detaylarını değiştirebilen aracılara bağlıdır. Defterden bir şekilde saklanan işlemin kriptografik bir hesabına sahip olmamızı sağlayan elde edilen veriler ayrı yere alınarak kötü amaçlı olarak kullanılabilir. Merkezi kriptografidir. olmayan dağıtık defterler, verileri manipüle edebilecek olan aracılara bağımlı Blok zincir Teknolojisinin Özellikleri Dağıtık Defter Yapısı Bir defter, varlıkların değil işlemlerin bir koleksiyonudur. Varlıklar işlemin bir parçasıdır, ancak defter işlemi kaydeder. Dijital olarak dağıtılmış bir defter veya blok zincirinde, defterin bir sahibi olmaz. Defter, hepsi aynı blok zinciri proto- kollerini çalıştıran ağdaki katılımcılar arasında dağıtılır. Ağdaki her düğümde/ 492 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 493 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI değildir. Veriler güvenli ve müdahaleye karşı dayanıklıdır. Uzun süre Emeğin İspatı mutabakat modelini kullanmıştır. Buterin, Bitcoin ko- dunu “çatalladığı” veya kopyaladığı, iyileştirmeler yaptığı ve Etheryum blok zin- Konsensus (Mutabakat) cirini yarattığı zaman ikinci en büyük kripto para birimini hayal etmiştir. Bu yeni blok zinciri sadece bir para birimi değişim sistemi değil, aynı zamanda Etheryum Blok zinciri eşler arasında paylaşılan, senkronize bir geçmiş defteri olarak tasar- Sanal Makinesi ile birlikte programcılar tarafından geliştirilmeye açık, birbirine lanmıştır, resmi kayda neyin dahil edilip edilmeyeceği konusunda bir noktada bağlı, Turing tamlığına sahip bir bilgisayardır. Akıllı sözleşmelerin yürütülebile- nihai bir karar verilmesi gerekir. Blok zinciri merkezi olmadığından, bir blok ceği ve üzerine uygulamaların oluşturulabileceği bir platform oluşturur. Ether- zinciri bloğunun içeriğini onaylayacak ve son haline getirecek bir “üst otorite” yum her zaman Emeğin İspatı mutabakat mekanizmasından uzaklaşmayı plan- yoktur. (“Blockchain Consensus and Fault Tolerance In a Nutshell”, TY) Satoshi lamıştır ve nitekim 2022’de “Birleşme” (“The Merge”) olarak adlandırılan olayda, Nakamoto, kimsenin aynı Bitcoin’i iki kez harcamamasını sağlamak için Bitco- Etheryum tüm ağını değişim ve iyileştirme vaatleriyle birlikte gelen Sahipliğin in ağı için PoW-Proof of Work (“Emeğin İspatı”) adlı fikir birliği algoritmasını İspatı mekanizmasına geçirmeyi planlamıştır. “Birleşme”, Sahipliğin İspatı’na ge- oluşturmuştur. O zamandan sonra, farklı kullanım durumlarına uyacak şekilde çişte ilk adım olup tamamen Sahipliğin İspatı tabanlı bir ağ olarak işlemlerine birkaç başka mutabakat algoritması da icat edilmiştir. Bunlara PoS-Proof of Stake devam edebilmesi için önünde başarılı bir şekilde gerçekleşmesi gereken sırasıyla (“Sahipliğin İspatı”), DPoS-Delegated Proof of Stake (“Yetkilendirilmiş Sahipliğin “Surge” (Kaynaştırma), “Verge” (Sınırlandırma), “Purge” (Temizleme) ve “Splurge” İspatı”), PBHT (“Pratik Bizans Hata Toleransı”) ve PoET-Proof of Elapsed Time (Tamamlanma) adımları bulunmaktadır (Kurt, 2022). (“Geçen Süre İspatı”) dahil edilebilir. En yaygın kullanılan mutabakat algoritma- ları Emeğin İspatı ve PoS-Proof of Stake (“Sahipliğin İspatı”) olarak bilinmektedir. Şifreleme (Kriptoloji) Emeğin İspatı’nda, blok zinciri ağındaki bir sonraki bloğu oluşturmak isteyen Şifreleme (kriptografi), blok zincirindeki bilgilerin güvenilir olmasını sağlamak kullanıcılar olan madenciler bir blok madenciliği hakkını kazanmak için “zor” için blok zincir teknolojisi ile birleştirilir. Daha önce verdiğimiz gerçek dünyadan bir kriptografik probleme kabul edilebilir bir çözüm bulmak için yarışırlar (“Blo- örneğimizdeki müzik paylaşım şirketleri yalnızca telif hakkı ihlalinden kaynakla- ckchain Consensus and Fault Tolerance in a Nutshell”, TY). Emeğin İspatı muta- nan yasal sorunlar yaşamakla kalmayıp aynı zamanda veri bütünlüğü sorununu bakatının güvenliği, hiç kimsenin bir blok zincirin madencilik ağının hesaplama da çözememişlerdir. Bu platformlardan indirilen müzik, ancak onu saklayan ve kaynaklarının yarısından fazlasını kontrol etmediği varsayımına dayanmaktadır. gönderen anonim kişi kadar güvenilir olmuştur. Verilerin bütünlüğü yoktu. Krip- Madencilik çabasının %51’ini bir kuruluş kontrol ediyorsa, mutabakatı o kontrol tografi ve blok zinciri, bir şeyin doğru olduğunu kanıtlamanın güvenli bir yolunu eder. Kontrolü ele geçirmek; ekipman ve enerjiye, sistemi dolandırmaktan elde sunar. Burada üçüncü taraflara güvenmek yerine, verilen bir onayın kaynağını ve edilecek olandan daha büyük bir yatırım gerektirecektir. gerçekliğini kanıtlayan kriptografik algoritmalara güven duyulur. Sahipliğin İspatı, Emeğin İspatı sistemlerine bir dizi iyileştirme getirir. Daha az Blok zincir Teknolojisinde Kullanılan Şifreleme Türleri enerji gerektirir ve blok oluşturmak için özel bir donanım gerekmediğinden daha düşük giriş engeline sahiptir. Sahipliğin İspatı, bir sonraki bloğu oluşturan düğü- Açık Anahtar Şifreleme mün seçildiği blok zincirini doğrulamak ve blok eklemek için kullanılan başka bir yöntemdir (“Proof of stake versus proof of work”, 2022). Bu mutabakat mo- Açık anahtar kriptografisi, farklı görevleri gerçekleştirmek için bir açık anahtar delinde bir düğüm sistemde ne kadar hisseye sahip olduğuna dayanarak blokları ve bir özel anahtar çifti kullanır. Açık anahtarlar yaygın şekilde dağıtılırken, özel ekler ve doğrular. Böylece, sahiplik(mülkiyet) aktörlerin dürüst davranmasına yol anahtarlar gizli tutulur. Bir kişinin açık anahtarını kullanarak bir mesajı şifre- açacaktır, aksi takdirde dürüst olmayan davranışlarda bulunurlarsa hisselerini lemek mümkündür, böylece yalnızca özel anahtara sahip kişi şifresini çözebilir kaybedeceklerdir (Faber, Michelet, Weidmann, Mukkamala ve Vatrapu, 2019). ve okuyabilir. Özel anahtar kullanılarak dijital imza oluşturulabilir, böylece ilgili açık anahtara sahip olan herkes mesajın özel anahtarın sahibi tarafından oluştu- Etheryum Toronto’dan bir Rus-Kanadalı girişimci ve programcı olan Vitaly Dmit- rulduğunu ve o zamandan beri değiştirilmediğini doğrulayabilir. riyevich “Vitalik” Buterin’in teknik incelemesinde tanıtılmıştır (Buterin, 2014). 494 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 495 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Sıfır Bilgi Kanıtları sözleşmeleri” sunar. Bitcoin blok zincirini finansal işlemleri kaydeden bir hesap makinesi olarak düşünürsek bu blok zincirleri de bilgisayarlar olarak düşünebi- Sıfır bilgi kanıtları (ZKP), özel bilgilerin çevrimiçi ortamda yaygın olarak iletilme- liriz. Bu blok zincirlerden ilki olan Etheryum, dijital anlaşmalar veya akıllı söz- sine gerek kalmadan tarafların kimliklerini doğrular. ZKP, bir tarafın (kanıtlayıcı) leşmeleri uygulama yeteneğine sahip olan EVM’yi (Etheryum Sanal Makinesi’ni) başka bir tarafa (doğrulayıcı) herhangi bir ek bilgi iletmeden belirli bir ifadenin çalıştırır. Akıllı sözleşme, sözleşmeye dayalı anlaşmaları uygulayabilen bir blok doğru olduğunu kanıtlamasına olanak tanıyan bir kriptografik yöntemdir. zinciri üzerinde çalışan bir programdır. Tipik olarak, belirli bir dizi kuralı uygula- yan dijital anlaşmalar olarak çalışırlar. Bu kurallar, tüm ağ düğümleri tarafından Özet Değer Fonksiyonları çoğaltılan ve çalıştırılan bilgisayar kodu tarafından önceden tanımlanmıştır. Blok zincir akıllı sözleşmeleri, güvenilir olmayan protokollerin oluşturulmasına izin Bu şifreleme türü anahtar kullanmaz. Sabit uzunlukta bir özet değeri oluştur- verir. Bu, iki tarafın birbirini tanımak veya güvenmek zorunda kalmadan blok mak için bir şifre kullanır. Fonksiyon, boyutu önemli olmayan düz bir metni zinciri aracılığıyla taahhütlerde bulunabileceği anlamına gelir. Şartlar yerine ge- sabit boyutlu bir özet değere dönüştürür. Düz metnin içeriğinin şifreli metinden tirilmezse sözleşmenin uygulanmayacağından emin olabilirler. Bunun dışında bulunması neredeyse imkansızdır. Bunu bir parmak izinden bir insanı yeniden akıllı sözleşmelerin kullanılması, aracılara olan ihtiyacı ortadan kaldırarak işlem yaratmaya çalışmak gibi düşünürsek, bir parmak izi, insanın boyutu ne olursa maliyetleri önemli ölçüde azaltabilir. olsun bir insanı benzersiz bir şekilde temsil eder ve insanı yeniden yaratmak için bir parmak izini tersine mühendislik yapılamaz. Blok Zincir Türleri Merkle Ağaçları Genel ve İzinsiz Blok zincirler Blok zincirlerini depolamak için verileri sıkıştıran veya paketleyen müdahaleye Halka açık blok zincirleri, ağ üzerinde kimsenin kontrol sahibi olmadığı mer- karşı dayanıklı bir bileşene sahip bir veri depolama tekniğidir. Merkle ağaçları, kezi olmayan blok zincirlerdir. Bu değişmez ve sansüre dirençli ağlar, birbirine müdahaleye dayanıklı bir veri depolama modeli oluşturmak için her bir özet de- güvenmeyen, ancak yine de bir ağda etkileşime giren ve fikir birliğine katılan ğerin bir sonraki özet değerin bir parçası haline geldiği özet değer ilkeleri üzerine katılımcılar için idealdir. Halka açık blok zincirler izinsizdir. Herhangi biri etkin inşa edilmiştir. bir şekilde blok zincir ağına katılabilir. Kimsenin katılması yasak değildir. Bitcoin ve Etheryum, halka açık ve izinsiz blok zincirlerinin örnekleridir. Şeffaflık ve Değişmezlik Özel ve İzinli Blok zincirler Merkezi sistemlerde şeffaflık yoktur, deftere ait bilgiler tek bir otorite tarafından kontrol edilir. Bir blok zincirinde, paylaşılan veya dağıtık defterde gerçekleşen Özel blok zincirler, bir kullanıcının kabul edilmeden önceki ağ üzerindeki hak- tüm işlemler görülebilir. Bir blok zinciri, ilk transferden bu yana gerçekleşen her larını tanımlar. Deftere kimlerin yazabileceği ve hangi işlemlere katılabilecekleri işlemin ayrıntılarını saklar. Blok zinciri, tüm geçmişi görünür ve değiştirilemez gibi faaliyetlere kısıtlamalar getirilir. İzinli bir blok zincirinde, katılıma bir kuru- olacak şekilde tasarlanmıştır. Blok zincirindeki işlemler oluşturulduktan sonra luş veya bir kuruluşlar konsorsiyumu tarafından izin verilir. Bu yetkilendirilmiş değiştirilemez ve tüm geçmişleri herkese açık olarak görülebilir. Bu, blok zinci- kurum, ağ üzerindeki belirli işlemlere ve mutabakata kimlerin katılabileceğini rinin bütünlüğünün herhangi bir kullanıcı tarafından kolayca doğrulanabilir tanımlar. olması gibi faydalı bir özelliğe sahip olan tamamen şeffaf bir veri yapısı olduğu anlamına gelir. Hyperledger ve Corda blok zincirleri özel ve izinli blok zincirlerine örnektir. Programlanabilir Olma Bazı blok zincirler, sisteme mantık kavramını aşılayan ek bir özellik olarak “akıllı 496 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 497 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Blok Zincirde Yönetim Hyperledger’da Yönetim Bitcoin’de Yönetim Hyperledger, Linux Vakfı tarafından onaylanan açık kaynaklı bir blok zinciri projesi olarak tanıtılmıştır. (“Hyperledger”, 2016) Brian Behlendorf tarafından Bitcoin, madencileri ağa blok eklemeye teşvik etmek için Emeğin İspatı mode- yönetilen projenin misyonu, dağıtılmış defter teknolojisini kurumsal düzeyde lini kullanır. Bu, blok zincirinin işlemlerini yönetir. Ancak değişiklik yapılması teşvik etmek için topluma araçlar ve eğitim sağlamaktır. Hyperledger çerçeveleri, gerektiğinde ne olur? Bunlar nasıl uygulamaya konur? Bitcoin topluluğu üç ana Hyperledger ortamına ilişkin teknik kararlar almak için “Açık Yönetim” modelini oyuncudan oluşur: geliştiriciler, madenciler ve kullanıcılar. Bu katılımcıların hiç- kullanır. biri beklenmedik durumlar ortaya çıktığında acil durum kararları alma yetene- ğine sahip değildir. Bitcoin, kararların geliştiriciler, madenciler ve kullanıcılar Hyperledger Teknik Yönlendirme Komitesi (The Hyperledger Technical Steering tarafından dengelendiği zincir dışı yönetim modelini kullanır. Blok zincirinde, Committee-TSC) (“Leadership”, 2022) Hyperledger’daki teknik kararlar için ni- geliştiriciler blok zincirini değiştirmek için kodu yazmalıdır. Madencilerin ve hai otoritedir. TSC her yıl Hyperledger ortamının aktif katkıda bulunanları ve kullanıcıların onayı olmadan, geliştiricilerin değişikliği uygulamak için hiçbir uygulayıcıları arasından seçilir. Katkıda bulunanlar ve uygulayıcılar kendilerini yolu yoktur. Madenciler ve kullanıcılar yeni yazılım değişikliklerini uygulamayı on beş kontenjan için potansiyel aday olarak sunabilir ve kontenjanlar aynı grup seçmelidir. tarafından yapılan oylamaya göre doldurulur. Bu model, Hyperledger geliştirme topluluğunda aktif bir role sahip olanların, bu topluluğun nasıl yönetileceği ko- Etheryum’da Yönetim nusunda söz sahibi olmalarını sağlamak üzere tasarlanmıştır. Bitcoin gibi, Etheryum’un üç ana oyuncusu (geliştiriciler, madenciler ve kullanı- Corda’da Yönetim cılar) işlevselliği geliştirmek için kodu güncellemelidir. Ethereum Improvement Proposals (EIPs), Etheryum için potansiyel yeni özellikleri veya süreçleri belirten Corda iş dünyası için tasarlanmış açık kaynaklı bir blok zinciri projesidir (“Cor- standartlardır (“EIP’s”, 2023). EIP’ler önerilen değişiklikler için teknik özellikler da”, 2022). Kurumsal bir blok zincir yazılım firması olan R3 tarafından 200’den içerir ve topluluk için gerçeğin kaynağı (“source of truth”) olarak hareket eder. fazla teknoloji ve endüstri ortağı ile iş birliği içinde geliştirilmiştir. Corda platfor- Etheryum Yorum Talebi ERC-20 (“Ethereum Request for Comment”), Etheryum mu 2017 yılının Eylül ayında başlatılmıştır. Corda ayrıca blok zincirinin gelece- protokollerine dayalı olarak blok zincirinde yardımcı program belirteçleri (“uti- ğine ilişkin teknik kararlar almak için bir “Açık Yönetim” modeli kullanmaktadır. lity token”) yayınlama standartlarını tanıtmıştır (“ERC-20.”,2023). The Beacon “Corda Ağı Yönetim Kurulu”, Corda ağındaki tüm kullanıcıların çıkarlarını temsil Chain (“The Beacon Chain”, 2023), Sahipliğin İspatı mutabakat modelini ve par- etmek üzere seçilmiştir (Linux Foundation, 2022). çalama (“sharding”) kavramını tanıtmıştır. Parçalama, ağdaki tıkanıklığı hafiflet- mek için paralel yan zincirler çalıştırma kavramıdır. The Berlin Hard Fork (“The KİŞİSEL VERİLERİN KORUNMASI AÇISINDAN BLOK ZİNCİR TEKNOLOJİSİ Berlin Hard Fork”, 2021) ve The London Fork (“The London Fork.”, 2019) maden- cilere ödenen ücretleri stabilize etmek için yapılan iyileştirmelerdir, böylece bu Blok zinciri ve veri koruma hukuku arasındaki gerilim noktalarının çoğu iki ücretler Ether fiyatı ile dalgalanmaz. ana faktörden kaynaklanmaktadır. Birincisi, veri koruma hukuku, her bir kişisel veri noktasıyla ilgili olarak, ilgili kişilerin ilgili veri koruma yasası kapsamındaki Nihayetinde Etheryum, blok zinciri yönetiminin “ömür boyu hayırsever diktatör haklarını kullanmak için başvurabilecekleri en az bir gerçek veya tüzel kişi veri modeli”ni kullanır. Etheryum için kullanıcı girdileri ve geliştirme ekibinden gelen sorumlusu olduğu varsayımına dayanmaktadır. Bu veri sorumluları ilgili yasala- girdiler memnuniyetle karşılanırken, Vitalik Buterin Etheryum yol haritasına rın yükümlülüklerine uymak zorundadır. Ancak blok zincirleri, genellikle tek bir ilişkin kararlarda nihai yetkilidir. aktörün yerine birçok farklı oyuncuyu koyarak ademi merkeziyetçiliği sağlamaya çalışan dağıtık veri tabanlarıdır. Veri sorumluluğunun (ortak veya değil) nasıl tanımlanması gerektiği konusunda fikir birliği olmaması, sorumluluk ve hesap verebilirliğin tahsisini engellemektedir (Avrupa Parlamentosu Araştırma Dairesi 498 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 499 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI [EPRS], 2019). İkinci olarak, veri koruma hukuku yasal gerekliliklere uymak için sahibi olmalarını sağlayan erişim hakkı (Bkz. GVKT Madde 15) veya veri taşınabi- gerekli olduğunda verilerin değiştirilebileceği veya silinebileceği varsayımına lirliği hakkı (Bkz. GVKT Madde 20) gibi ilgili kişi hakları temelinde gözetilebilir. dayanmaktadır. Ancak blok zincirleri, veri bütünlüğünü sağlamak ve ağa olan güveni artırmak adına verilerin tek taraflı olarak değiştirilmesini bilinçli olarak Blokların kendileri, blokta yer alan tüm işlemlerin bir özet değerini (‘parmak zor hale getirmektedir. Bunun yanında blok zincirleri, veri ekonomisinin mev- izi’), bir zaman damgasını ve sıralı blok zincirini oluşturan önceki bloğun bir cut biçiminde veri minimizasyonu ve amaç sınırlaması gerekliliklerine uymanın özet değerini içeren farklı veri türlerinden oluşur (Antonopoulos, 2017, s. 25). Bu zorluklarının altını çizmektedir. verilerin bazıları veri koruma yasasının amaçları doğrultusunda kişisel veriler olarak nitelendirilir. Bloklar sürekli olarak eklendiği ancak asla kaldırılmadığı EPRS’in bu konudaki çalışması Avrupa veri koruma çerçevesini incelemekte ve için bir blok zinciri yalnızca eklenebilir veri yapısı olarak değerlendirilir. Kriptog- bu gerilimleri belgelemek amacıyla blok zinciri teknolojilerine uygulamaktadır. rafik özet zincirleme logu, şeffaflığı ve hesap verebilirliği arttıracak şekilde “mü- Ayrıca blok zincirinin veri koruma yasasının bazı hedeflerinin ilerletilmesine dahaleye karşı korumalı” (tamper-evident) hale getirir (Felten, 2018). Gerçekten yardımcı olabileceği gerçeğini de vurgulamaktadır. Bu analiz temelinde somut de bir bloğu diğerine bağlayan özet değer nedeniyle bir bloktaki değişiklikler o politika seçenekleri geliştirilmektedir (EPRS, 2019). bloğun yanı sıra sonraki tüm blokların özet değerini de değiştirir. Dağıtık defter teknolojilerinin (“DDT”) yalnızca ekleme özellikli yapıları nedeniyle, veri koruma Dağıtık defterler ve veri koruma hukuku arasındaki uyumluluk, ilgili blok zin- yasalarının gereklerinden olan verilerin değiştirilmesi ve silinmesi hususları bazı cir olayının özel teknik tasarımı ve yönetişim kurulumunu dikkate alan ancak koşullar altında doğrudan uygulanamayacaktır. Blok zinciri ağları kopyalayarak detaylı bir olay bazlı analiz temelinde değerlendirilebilir. Sonuç olarak öğretide çoğaltma yoluyla dayanıklılık(direnç) elde eder. Defterin verileri aynı anda birçok blok zincirlerin tamamı ile veri koruma hukuku ile uyumlu veya uyumsuz olduğu düğümde depolandığı için dayanıklıdır, böylece bir veya birkaç düğüm başarısız şeklinde genel bir sonuca varmanın mümkün olamayacağı, bu şekilde bir sonu- olsa bile veriler etkilenmez. Bu tür bir kopyalama, donanım düzeyinde merkezi ca varılabilmesi için daha ziyade teknolojinin her kullanımının kendi esasları bir arıza veya saldırı noktası olmamasını sağlar. Bloklarda depolanan kopyalan- dahilinde incelenmesi gerektiği ifade edilmiştir. Bununla birlikte, özel ve izinli mış veriler, merkezi bir kontrol noktasının yokluğunda dağıtık ağın defterin mev- blok zincirlerini AB veri koruma yasasıyla uyumlu bir şekilde tasarlamak, genel cut durumu üzerinde anlaşmaya varmasını sağlayan bir mutabakat protokolü ve izinsiz ağlara göre daha kolaydır. Bunun nedeni, izinli ağlardaki katılımcıların aracılığıyla senkronize edilir. Bu süreç ile veriler, sıradaki blokları değiştirmeden birbirleri tarafından biliniyor olması ve bu sayede örneğin sorumluluğun uygun verileri değiştirmeyi zorlaştıracak bir şekilde kronolojik olarak sıralanır. bir şekilde dağıtılmasını sağlayan sözleşmeye dayalı ilişkilerin tanımlanabilmesi- dir. Ayrıca, bu ağlar, genel ve izinsiz ağların aksine, ağ üzerinde kontrol sağlayacak Blok zincirleri yalnızca veri depolarken, bu veriler temsil ettiğine inandığımız ve şekilde tasarlanmış ve hangi aktörlerin verilere erişebileceği üzerinde bir kontrol kabul ettiğimiz her şeyi temsil edebilir. Bitcoin esasında değerli olan bir veridir söz konusudur (EPRS, 2019). çünkü insanlar böyle olduğuna inanmaya başlamıştır. Benzer şekilde, zaman için- de bir mal, hizmet veya hakkı temsil etmek üzere alınan ham veriler olan diğer Blok zincirleri, güvenilir bir merkezi aracıya ihtiyaç duymadan veri paylaşımını dijital varlık biçimleri ortaya çıkmıştır. Blok zinciri tabanlı varlıklar tamamen mümkün kılacak şekilde tasarlanabilir, verilere kimin eriştiğine dair şeffaflık su- zincir içi değere sahip olabilir (Bitcoin’de olduğu gibi) ya da gerçek dünyadaki nar ve ayrıca blok zinciri tabanlı akıllı sözleşmeler veri paylaşımını otomatikleşti- bir varlığın bir avatarı olabilir, ister bir mal (örneğin bir bisikleti temsil eden bir rerek işlem maliyetlerini de azaltabilir. Bu özellikler, örneğin kurumlar arası veri token), bir hizmet (saç kesimi için bir kupon gibi) veya bir hak (yasal bir hak gibi) paylaşımını kolaylaştırarak veri pazarlarını desteklemek, ki bu da yapay zekanın (Cortese, 2016). 2018 yılında Avrupa Parlamentosu tarafından yapılan bir araş- gelişimini destekleyecektir, çağdaş veri ekonomisine daha geniş çapta fayda sağla- tırmaya göre 2035 yılına kadar vergi raporlaması, e-kimlik veri tabanları, oylama yabilir. İlgili kişilerin kendilerini doğrudan veya dolaylı olarak ilgilendiren kişisel planları blok zinciri veya başka bir DDT biçimi üzerinde çalışabilir. verileri üzerinde daha fazla kontrol sahibi olması gibi veri koruma yasalarının ulaşmaya çalıştığı bazı amaçlarını desteklemesi adına bu teknolojilere güvenilebi- Blok zincirleri, merkezi olmayan bir şekilde güncellenen kopyalanmış bir veri lir. Bu gerekçe, ilgili kişilere kişisel verileri ile ilgili diğer kişilerin ne yaptıkları ve tabanı (örneğin kripto varlıklardaki işlemleri kaydetmek veya bilgileri kaydetmek kendi kişisel verileri ile ilgili olarak kendilerinin ne yapabileceği üzerinde kontrol için kullanılabilen) ve aynı zamanda yazılımın merkezi olmayan bir şekilde ça- 500 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 501 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI lıştırılması için bir altyapı sunar. Örnekler arasında akıllı sözleşmeler veya ‘mer- İşlemsel Veriler kezi olmayan uygulamalar’ (altta yatan ağın merkezi olmayan yapısını yansıtan uygulamalar) yer almaktadır. Bu uygulamalar çok çeşitli şekillerde olabilir ve çok ‘İşlemsel veriler’, blok zincirlerinde kullanılabilecek ancak açık anahtar olmayan çeşitli kullanım durumları sunabilir. Buna ek olarak, merkezi olmayan uygula- diğer veri kategorileri için kullanılan terminolojidir. Fransa Veri Koruma Otori- maların oluşturulması ve sürdürülmesi için kendi protokollerini hayata geçiren tesi CNIL’e göre bu, bir diploma veya mülk tapusu gibi bir işlem dahilindeki veri- merkezi olmayan uygulama çerçeveleri gibi ara katmanlar da olabilir. Verilen bir leri ifade eder (Commission Nationale de l’Informatique et des Libertés, [CNIL], blok zincirin GVKT ile uyumluluğu değerlendirileceği zaman, örneğin bu çeşitli 2018). Örneğin, işlemsel kişisel veriler belirli bir işlemin yükünde (payload) bu- katmanlarda farklı veri sorumluları yer alabileceğinden bu çok katmanlı yapı lunan ad, adres veya doğum tarihi olabilir. akılda tutulmalıdır (Avrupa Parlamentosu [AP], 2018a). İşlemsel verilerin GVKT’nin kişisel veri tanımını karşılayıp karşılamadığını belir- Teknolojinin yıkıcı doğasına ilişkin tahminlere rağmen, şu anda bu konuda çok lemek için olay bazında bir analiz yapılmalıdır. Bazı durumlarda, işlemsel veriler az somut uygulama bulunmaktadır ve blok zinciri teknolojisinin gelecekte pra- açık bir şekilde kişisel veri olarak nitelendirilemez. Örneğin, blok zincirlerinin tik bir etkiye sahip olup olmayacağını, nerede ve ne şekilde olacağını tahmin veri paylaşımı için kullanılan bir veri altyapısı olarak hizmet verdiği durumlarda etmek zordur. Şu anda blok zincirleri ciddi teknik ve prosedürel sınırlamalardan katılımcılar arasında uzaydan gelen iklim sensörü verileri, kişisel veri olmayabi- mustarip oldukları için olgunlaşmamış durumdadır. Bu eksiklikler arasında en lir. Ayrıca, A’dan B’ye aktarılan bir kripto varlığın satın alınan ürün veya hizme- belirgin olanı, geniş çaplı kullanım için gerekli olan ölçeklenebilirlik eksikliğidir. ti tanımlayan ek bilgilerle birleştirilerek kimliğin belirlenmesine yol açabildiği Blok zincirlerinin, her tam düğümün her işlemi işlemesi ve tüm mevcut durumun durumlar haricinde kişisel veri olarak nitelendirilmesi olası değildir (Bacon, Mi- bir kopyasını tutması gerektiğinden tasarım olarak verimsizdir. Bu süreç tek hata chels, Millard ve Singh, 2017). Ancak örneğin, bir grup bankanın “Müşterinizi noktasını ortadan kaldırıp güvenlik avantajları sunsa da verimi düşürmekte ve Tanıyın” (KYC) verilerini paylaşmak için DDT kullandığı durum gibi bazı diğer işlemleri yavaşlatmaktadır. Bu sorunun dağıtık defterlerin boyutu büyüdükçe de durumlarda, bu tür veriler kişisel veri olarak nitelendirilebilir. artması muhtemeldir. Ölçeklenebilirlik, her yeni işlemin ağın büyümesine neden olduğu, sadece ekleme yapılabilen ve dolayısıyla sürekli büyüyen bir veri tabanın- CNIL’e göre bir blok zinciri aşağıda sıralanan iki kategoride kişisel veri içerebilir: da önemli bir endişe kaynağı oluşturmaktadır (EPRS, 2019). katılımcıların ve madencilerin tanımlayıcıları ile ek veriler (yük). Her katılım- cının bir dizi alfa numerik karakterden oluşan bir tanımlayıcısı vardır. Bunlar Blok zincirde Tutulan Kişisel Veri Örnekleri rastgeledir ve katılımcının hesabının açık anahtarını oluşturur. Bu açık anahtar yalnızca katılımcı tarafından bilinen bir özel anahtarla bağlantılıdır. Blok zincir- Açık Anahtarlar leri mimarisinde bu tanımlayıcılar her zaman görünürdür, çünkü bunlar onun düzgün şekilde işlemesi için gereklidir. Bu nedenle CNIL, bu verilerin daha fazla Blok zinciri bağlamında, açık anahtarlar GVKT’nin 30’uncu maddesi kapsamın- minimize edilemeyeceği ve bunların saklama sürelerinin özleri itibariyle blok da bahsedilen türden tanımlayıcılar olarak hizmet vermektedir. Blok zincirleri zincirinin yaşam süresiyle uyumlu olduğu kanaatindedir. Katılımcıların tanım- asimetrik şifreleme ile iki aşamalı bir doğrulama sürecine dayanır. Her kullanıcı, layıcılarının yanı sıra, blok zincirinde depolanan ek veriler, potansiyel olarak kullanıcıyı temsil eden harf ve rakamlardan oluşan bir dizi şeklinde bir genel katılımcılar ve madenciler dışındaki bireylerle ilgili olabilecek kişisel veriler içe- anahtara sahiptir. Bu anahtar işlemleri yapmak için başkalarıyla paylaşılan bir rebilir. Tasarımda mahremiyet ilkesi (Bkz. GVKT Madde 25.), veri sorumlusunun hesap numarası olarak düşünülebilir. Buna ek olarak, her kullanıcı yine harf ve bireylerin hak ve özgürlükleri üzerinde en az etkiye sahip formatı seçmesini ge- rakamlardan oluşan bir dizi olan bir özel anahtara sahiptir. Bu da başkalarıyla rektirir. asla paylaşılmaması gereken bir şifre olarak düşünülebilir. İki anahtar arasında da özel anahtarın genel anahtar tarafından şifrelenmiş verilerin şifresini çözebildiği CNIL, kişisel verilerin tercihen bir taahhüt şeklinde blok zincirine kaydedilmesi matematiksel bir ilişki vardır. gerektiğini düşünmektedir. Burada “taahhüt”, bir kişinin verileri, her iki taraf için de ek bilgilerle neyin dondurulduğunu kanıtlamanın ve sadece bu “taahhüt” kullanılarak bu verileri bulmanın veya tanımanın imkânsız olduğu bir şekilde 502 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 503 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI “dondurulmasını” sağlayan kriptografik bir mekanizmadır. Bu mümkün değilse, kendi amaçları için kullanan ve dolayısıyla DDT’nin yeni kişisel veriler işlemesine veriler bir anahtar ile bir özet değer fonksiyonu kullanılarak oluşturulan bir özet yol açan şirketlerin her biri de ortak veri sorumlusu olarak nitelendirilebilecektir. değer şeklinde veya en azından yüksek düzeyde gizlilik öngören bir şifreleme Bir grup katılımcı ortak bir amaçla veri işleme faaliyetlerini gerçekleştirmeye şeklinde kaydedilebilir. Bu çözümlerden bazılarının altında yatan ortak özellik, karar verdiğinde, veri sorumlusunun önceden belirlenmesi tavsiye edilmektedir. herhangi bir veriyi blok zincirinin dışında açık metin olarak saklamak (örneğin, Örneğin katılımcılar dernek veya ekonomik çıkar grubu şeklinde bir tüzel kişilik veri sorumlusunun bilgi sistemi gibi) ve blok zincirinde yalnızca verilerin varlı- oluşturabilir. Ayrıca, grup adına karar verecek bir katılımcı belirlemeyi ve söz ğına dair bir kanıt saklamaktır (örn. taahhüt, özet değer anahtarlı bir özet değer konusu katılımcıyı veri sorumlusu olarak atamayı da seçebilirler (EPRS, 2019). fonksiyonundan üretilen bir özet değer, vb.). İşleme amacı tarafından gerekçelen- diriliyorsa ve bir Veri Koruma Etki Değerlendirmesi (DPIA) kalan risklerin kabul Akıllı sözleşmelere ilişkin olarak, herhangi bir yazılımda olduğu gibi, algoritma edilebilir olduğunu kanıtlamışsa, kişisel veriler istisnai olarak blok zincirinde, geliştiricisi sadece bir çözüm sağlayıcısı olabilir veya söz konusu algoritma geliş- geleneksel bir parmak izi şeklinde (anahtarsız) veya hatta açık metin olarak sak- tiricisi işlemeye katıldığında, işlemenin amaçlarını belirlemedeki rolüne bağlı lanabilir. Esasında, bazı veri sorumlularının bazı bilgileri saklama süresi olmak- olarak bir veri işleyen veya veri sorumlusu olarak nitelendirilebilir. sızın kamuya açık ve erişilebilir yapmak için yasal yükümlülüğü olabilir: bu özel durumda, kişisel verilerin halka açık bir blok zincirinde depolanması, DPIA’nın Halka Açık ve İzinsiz Blok Zincirlerinde ilgili kişilere yönelik risklerin asgari düzeyde olduğu sonucuna varması koşuluyla öngörülebilir. Veri sorumlusunun kimliğinin benimsenen bakış açısına bağlı olduğunu vurgu- lamak önemlidir. Makro düzeyde bakıldığında, işlemenin amacı ‘ilgili hizmeti Blok zincir Tabanlı Kişisel Veri İşlemede Veri Sorumluları ve Veri İşleyenler sağlamak’ (Bitcoin işlemi gibi) iken ‘araçlar’ düğümler ve madenciler tarafından kullanılan yazılımla ilgilidir. Mikro açıdan bakıldığında (bireysel işlem açısından) Özel ve/veya İzinli Blok Zincirlerinde işlemenin amacı ‘belirli bir işlemi blok zincirine kaydetmek’ iken araçlar ‘blok zinciri platformunun seçimine’ atıfta bulunmaktadır. Veri koruma hukuku be- Özel ve/veya izinli DDT’de, kişisel veri işleme araçlarını ve çoğu durumda amaç- lirli kişisel veri öğeleriyle ilgilendiğinden, mikro düzey daha uygun bir yaklaşım larını da belirleyen genellikle belirli bir tüzel kişilik (örneğin bir şirket veya kon- olarak değerlendirilebilir (Bacon ve diğerleri, 2017). CNIL’ e göre, zincir üzerine sorsiyum) bulunur. Bu durumda, bu kuruluş veri sorumlusu olarak nitelendirilir. yazma hakkına sahip olan katılımcılar ve madenciler tarafından doğrulanmak Ancak bu tür durumlarda ortak veri sorumluları da olabilir. Wirtschaftsakademie üzere veri göndermeye karar verenler veri sorumlusu olarak kabul edilebilecek- Schleswig Holstein davası ile uyumlu olarak, bu tür bir altyapıyı kendi amaçları lerdir. Esasında, blok zinciri katılımcıları işleme amaçlarını ve işleme araçlarını için kullananların ortak veri sorumlusu oldukları iddia edilebilir. Wirtschaft- (veri formatı, blok zinciri teknolojisinin kullanımı, vb.) tanımlar. Daha açık bir sakademie Schleswig-Holstein davasında özel bir eğitim kurumu Facebook’u ifadeyle, katılımcının gerçek bir kişi olması ve kişisel veri işleme faaliyetinin kullanarak sözde bir hayran sayfası oluşturmuştur (Wirtschaftsakademie Sch- profesyonel veya ticari bir faaliyete ilişkin olması (faaliyet kesinlikle kişisel ol- leswig-Holstein, 2018). Kullanıcılar bu sayfayı ziyaret ettiklerinde, Facebook veya madığında) ile katılımcının tüzel kişi olması ve kişisel verileri bir blok zincirine okul tarafından bu konuda bilgilendirilmeksizin bilgisayarlarına bir çerez yerleş- kaydetmesi durumlarında veri sorumlusu olabileceği değerlendirilmektedir. tirilmiştir. Sonuç olarak, yerel veri koruma otoritesi, okula hayran sayfasını devre dışı bırakması talimatını vermiştir. Mahkeme, kararında ilgili kişilerin etkili ve Örneğin, bir noter müşterisinin mülk tapusunu bir blok zincirinde kaydederse, eksiksiz bir şekilde korunmasını sağlamak adına ortak veri sorumluluğunun geniş söz konusu noter bir veri sorumlusudur. Buna ek olarak, eğer bir banka müşteri bir şekilde yorumlanmasının önemini vurgulamıştır (Wirtschaftsakademie Sch- yönetimi işlemlerinin bir parçası olarak bir blok zincirine müşterisinin verileri- leswig-Holstein, 2018). Buna bir örnek, aynı tedarik zincirinin parçası olan birçok nin girişini yapıyorsa bir veri sorumlusudur. aktör arasında kurulan bir konsorsiyum blok zinciri olabilir. Konsorsiyum tara- fından oluşturulan tüzel kişiliğin, veri işleme amaç ve araçları üzerinde önemli Madenciler protokolü çalıştırır, paylaşılan deftere veri ekleyebilir ve defterin (ge- bir kontrole sahip olduğu göz önünde bulundurulduğunda bir veri sorumlusu nellikle tam) bir kopyasını makinelerinde saklayabilir. Madencilerin etkilerinin olacağı açıktır. Bununla birlikte, konsorsiyuma katılan ve daha sonra altyapıyı işlemenin ‘amaç ve araçlarını’ belirleyecek kadar ileri gidip gitmediği konusunda 504 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 505 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI bir tartışma vardır. Madenciler, protokolün hangi versiyonunun çalıştırılacağını mesinde sınırlı bir rolü vardır ve genellikle belirli bir kişisel veri işleme faaliyeti- seçerek araçlar üzerinde önemli bir kontrol uygulamaktadır. Ancak, araç krite- nin amaçları üzerinde hiçbir etkiye sahip değildir. Çünkü yalnızca başkalarının rinin ‘amaç’ kriterine göre ikincil konumda olması ve madencilerin belirli bir kendi amaçlarını gerçekleştirmek için kullanabilecekleri bir altyapıyı kullanıma işlemin amaçlarını belirlemediği düşünüldüğünde, veri sorumlusu olarak nite- sunmaktadırlar. Belirli bir kullanım durumuna ait özel koşullar bu varsayımları lendirilmeleri olası değildir. Bu konuda CNIL görüşüne baktığımızda, madenciler değiştirmediği sürece, yazılım geliştiricilerin veri koruma hukuku kapsamında yalnızca katılımcılar tarafından gönderilen işlemleri onaylar ve bu işlemlere dahil (ortak) veri sorumlusu olarak nitelendirilmesi mümkün görünmemektedir. olmazlar. Bu nedenle, işleme faaliyetinin amaçlarını ve araçlarını tanımlamazlar. Ayrıca, “tamamen kişisel veya hane halkı faaliyeti “ olan faaliyetleri hariç tutan DDT kullanıcılarının en azından bazı durumlarda GVKT kapsamında veri sorumlu- GVKT Madde 2’ye uygun olacak şekilde, blok zincirine mesleki veya ticari bir su olarak kabul edileceği konusunda geniş bir fikir birliği vardır. Bu bağlamda CNIL faaliyete işaret etmeyen kişisel verileri giren gerçek kişiler veri sorumlusu kabul görüşüne göre iki senaryo ayırt edilmelidir. Bir kullanıcının başkalarının verilerini edilmeyecektir (CNIL, 2017). mi yoksa kendi verilerini işlediği hususlarına bakılması gerekir (EPRS, 2019). Örneğin, kendi adına Bitcoin alan veya satan bir gerçek kişi veri sorumlusu de- DDT’ ye dayanan bir operasyondaki belirli bir kişisel veri işlemeye ilişkin olarak ğildir. Ancak, bu işlemlerin diğer gerçek kişiler adına profesyonel veya ticari bir bir veri işleyen olup olmadığını tespit etmek için ayrıntılı bir olay bazında değer- faaliyetin parçası olarak gerçekleştirilmesi halinde söz konusu kişi bir veri so- lendirme yapılmalıdır. Bazı senaryolarda, örneğin harici bir hizmet sağlayıcının rumlusu olarak kabul edilebilecektir. blok zinciri altyapısını kullanan bir şirketin veya kamu kurumunun olması du- rumunda, bir veri işleyenin varlığı muhtemeldir. Bu alt yapı eğer işleme amaç ve Düğümler bir blok zincirinin tam ya da kısmi bir kopyasını saklayan ve yeni aracını belirleyen bir veri sorumlusunun isteklerine uygun olarak kullanılıyorsa blokların doğrulanmasına katılan bilgisayarlardır. Düğümlerin belirli bir blok bu durumda harici sağlayıcının yalnızca bir veri işleyen olduğundan bahsedile- zinciri ağını seçmede (veya başlatmada) eşit etki ve özgürlüğe sahip oldukları göz bilir (AP, 2018b). Ayrıca, kullanıcılar “deftere yükledikleri kişisel veriler” için veri önünde bulundurulduğunda ortak veri sorumluları olarak değerlendirilebilirler sorumlusu olarak kabul edilebilecekken “kendi bilgisayarlarında defterin tam bir ve örneğin gerekli çoğunluk ile bir Fork(“Çatal”) aracılığıyla kuralları değiştire- kopyasını saklamak” suretiyle de veri işleyen sayılabileceklerdir. bilmeleri de ortak kontrolün bir işaretidir (Wirth ve Kolain, 2018). Veri işleyenlere örnek olarak dış kaynak kullanan kurumların veri ambarları, bu- KVKK Madde 3(1)(1)’de “veri sorumlusu” kişisel verilerin işleme amaçlarını ve lut hizmet sağlayıcıları veya hizmet olarak yazılım, platform veya altyapı sağla- vasıtalarını belirleyen ve buna ek olarak veri kayıt sisteminin kurulmasından ve yanları verilebilir (‘SaaS’, ‘PaaS’ veya ‘IaaS’). Barındırma(“hosting”) hizmetleri sağ- yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmaktadır. layan internet hizmet sağlayıcıları(“ISP”) da veri işleyen olarak kabul edilir. Ancak Fakat blok zincir ağının kurulması ve yönetilmesi tek bir elde gerçekleşmemekte, ISP’ler bu tür kişisel verileri kendi amaçları doğrultusunda daha fazla işlemeleri dağıtık bir ağ yapısından söz edilmektedir. Diğer taraftan KVKK dahilinde hali durumunda bir veri sorumlusu haline gelecektir (Madde 29 Veri Koruma Çalışma hazırda GVKT’de bulunan “ortak veri sorumlusu” kavramı bulunmadığı için tüm Grubu, 2010). Dolayısıyla buradan, bir hizmet olarak blok zincirini (‘BaaS’) sunan katılımcıları ortak veri sorumlusu olarak nitelendirmek de mümkün olamayacak- şirketlerin de veri işleyen olarak nitelendirilebileceği çıkarımı yapılabilecektir. tır (Çekin, 2019). Öte yandan olay bazında yapılan değerlendirmeler sonucunda birden fazla veri sorumlusu tayin etmenin önünde herhangi bir engel bulunma- Veri sorumlusu-veri işleyen konusuna ilişkin olarak EU Observatory and Fo- dığı gibi bu durumu destekleyecek şekilde Kişisel Verileri Koruma Kurumu tara- rum’un ilgili raporunda da veri sorumlularının ve veri işleyenlerinin tanımlana- fından yayınlanan bir karar da bulunmaktadır (Kişisel Verileri Koruma Kurulu bildiği ve yükümlülüklerine uyabildiği birçok durum olsa da özellikle blok zinciri (KVKK), 2021). işlemleri ilgili kişilerin kendileri tarafından yazıldığında, bir veri sorumlusunu tanımlamanın zor ve belki de imkânsız olduğu durumların da olduğu ifade edil- Yazılım güncellemeleri söz konusu blok zincirinin madenciler, düğümler veya miştir (EU Blockchain Observatory and Forum, 2018). sikke (“coin”) sahipleri gibi diğer aktörleri tarafından kararlaştırılan yönetişim yapısına bağlıdır. Buna göre yazılım geliştiricilerin işleme araçlarının belirlen- CNIL’e göre ise GVKT kapsamında veri işleyenler şunlar olabilir: Veri sorumlusu 506 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 507 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI katılımcı adına kişisel verileri işleyen akıllı sözleşme geliştiricisi ve bir blok zinci- yerine getirmesinin zorunlu olduğu’ durumlarda da gerçekleşebilir. Bu durum rinde kişisel veri içeren işlemi doğrulayan madenciler. Halka açık blok zincirleri GVKT (6)(1)(c) ve KVKK Madde 5(2)(ç) bentlerinde düzenlenmektedir. ‘Örneğin, konusuna ilişkin olarak ise CNIL’in derinlemesine bir inceleme yürütmekte ol- KYC ve Kara Para Aklamayı Önleme (AML) gereklilikleri ile uyumlu olma adına duğu katılımcılar/veri sorumluları ile madenciler arasındaki sözleşmeye dayalı kişisel veriler düzenli olarak işlenmektedir. Blok zinciri bağlamında da bu durum ilişkileri ele alacak çözümlerin geliştirilmesini teşvik etmekte olduğu bilinmek- örneğin AML ve KYC gereklerine uyum gerektiren kripto varlık işlemleri veya tedir (CNIL, 2018). alternatif olarak vergi hukukuna uygunluk için belirli kişisel veri türlerinin işlen- mesinin gerekliliği söz konusu olduğunda karşımıza çıkabilecektir (EPRS, 2019). Blok Zincirde Gerçekleşebilecek Kişisel Veri İşleme Faaliyetlerinin Kişisel Veri İşleme Şartları Dahilinde Ele Alınması KVKK Madde 5(2)(f) ye göre veri işlemenin dayandırılabileceği şartlardan biri olan meşru menfaat kavramı da Kanunda “ilgili kişinin temel hak ve özgürlükleri- KVKK “Tanımlar” başlığı altında Madde 3(1)(a)’ya göre açık rıza kavramı, “belirli ne zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlen- bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı mesinin zorunlu olması” şeklinde yer almaktadır. Blok zincir teknolojisindeki kişi- ifade etmektedir. Burada ilgili kişinin yeterince bilgilendirilmesi ve bilgilendirme sel veriler, onlara ihtiyaç duyulmasa da sistemde kayıtlı kalmaya devam edecektir. sırasında kişisel verilerin hangi amaçlarla işleneceği, kimlerle paylaşılacağı gibi Yapılan işlemlerin tarafı olmayan kişisel verilerin dahi sistemde sürekli şekilde hususların somut şekilde belirtilmesi gerekmektedir. Blok zincir ağında ise kim- kayıtlı kalmaya devam etmesi durumunun veri sorumlusunun meşru menfaatiyle lerin veri işlediği bilinmemektedir. Özünde dağıtık defter teknolojisinin amacı bağdaşır yanı görülemediğinden ilgili işleme şartının bu teknoloji kapsamında internette anonim kalmak olduğundan verinin kimler tarafından işlendiği ve kullanılmasının mümkün olmadığı değerlendirilmektedir. kimlere aktarılacağı gibi bilgilere ulaşmak, blok zincir teknolojisinde imkânsız görünmektedir. Bununla birlikte, gelecekte ağa katılacak kişilerin belirsiz oluşu Kişisel Veri İşlenmesine İlişkin Diğer Tespitler ve katılımcıların farklı hukuk düzenlerine tabi olması durumu da mümkündür. Dolayısıyla söz konusu belirsizlikler sebebiyle ilgili kişilerden belirli bir konuya Kişisel verilerin işlenmesinde uyulması gereken genel ilkeler arasında KVKK ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan bir açık rıza alınması Madde (4)(1)(ç)’de, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü yoluna gidilmesi mümkün görünmemektedir. Açık rızanın geri alınması halinde şekilde işlenebileceği ifade edilmiştir. Bu, veri minimizasyonu ilkesi gereği veri ağda mevcut olan kişisel verilerin silinmesi de blok zincirin yapısal özelliği gereği sorumlusunun yalnızca amacı için gerekli olan kadar veriyi işlemesi gerektiği işlemlerde geçmişe dönük değişiklik yapılamadığı için mümkün görünmemek- anlamına gelmektedir. Blok zincirlerinin iki yapısal özelliği veri minimizasyonu tedir (Çekin, 2019). açısından bir endişe kaynağı oluşturabilir. Bunlardan ilki bu tür veri tabanları- nın sürekli büyüyen yapısıdır. Dağıtık ağ yapılarında veriler yalnızca olağanüstü Açık rıza haricinde veri işlemenin dayanabileceği şartlardan biri de KVKK Mad- durumlarda değiştirilebilir veya kaldırılabilir ve eski veriler kaldırılamaz. İkinci de(5)(2)(c) ’de belirtilen “bir sözleşmenin kurulması veya ifasıyla doğrudan olarak ise, bu gibi dağıtık ağlarda her bir düğümde tüm veri tabanının bir kop- doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin iş- yasının tutuluyor oluşu nedeniyle verilerin çoğaltılmış yapısının mevcut oluşu lenmesinin gerekli olması” hükmüdür. Bu noktada “akıllı sözleşmeler” kapsa- ilgili kişisel verilerin birçok kopyasının oluşmasına yol açmaktadır (EPRS, 2019). mında işlenen kişisel verilerin bu işleme şartı bağlamında değerlendirilebileceği KVKK Madde 4(2)(d)’de kişisel verilerin işlenmesinde “ilgili mevzuatta öngörülen mümkün görünmektedir. Ancak ilgili hüküm uyarınca işlenebilecek kişisel veriler veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesine yalnızca sözleşmenin taraflarına ait kişisel verilerdir. Ancak blok zincir ağında ki- de yer verilmektedir. GVKT Madde (5)(1)(e)’ de de aynı doğrultuda “eski” verile- şisel veriler sadece sözleşmeye taraf olan düğümlerce değil tüm düğümler ve veri rin silinmesinin zorunlu tutulduğu görülmektedir. Kişisel verilerin gerekenden madencilerince işlenmektedir nedenle, akıllı sözleşmeler için bu işleme şartına daha uzun süre tutulmaları için veri sorumluları tarafından silme veya periyo- dayanılabilmesi için bu hükmün geniş yorumlanarak kişisel verilerin, yalnızca dik gözden geçirme için zaman sınırlarının belirlenmesi gerekmektedir. Burada sözleşmenin taraflarına ait olanlarla kısıtlanmaması gerekecektir. amaç sınırlaması doğrultusunda verilerin ne zaman “eski” hale geleceği konusu gündeme gelmektedir. Bu ilgili işlemin tamamlandığı zamana işaret edebilir ya Kişisel veri işleme aynı zamanda ‘veri sorumlusunun hukuki yükümlülüğünü da bu işlem sonrasında dahi ilgili mutabakat protokolü kapsamında söz konu- 508 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 509 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI su verilerin sıradaki işlem için de gerekli olması durumu ve bu noktada devam doğrulayan öğe) ve taahhüt edilen değerin silinmesi taahhüdü artık kişisel veri eden bir saklamanın var olduğu da iddia edilebilir. Veriler yalnızca en olağanüstü olarak kabul edilemeyecek şekilde anonim hale getirmek için yeterlidir.) doğ- durumlarda blok zincirlerden çıkarılabilir bu da bu tür ortamlarda saklama sü- rulanmasını sağlayan unsurların silinmesinin ardından, hangi bilginin taahhüt resi sınırlamasına uyulacağı konusunu soru işaretinde bırakmaktadır. Bu konuya edildiğini kanıtlamanın veya doğrulamanın artık mümkün olmayacağını garanti ilişkin olarak, verilere artık ihtiyaç duyulmadığında blok zincirlerden verilerin edebilir. Dolayısıyla taahhüdün kendisi gizlilik açısından artık herhangi bir risk kaldırılabilmesi amacıyla geliştiriciler budama(“pruning”) teknikleri üzerinde oluşturmayacaktır. Bilginin işlenmek üzere saklandığı diğer sistemlerde de silin- çalışmaktadır. Bu çalışma genellikle zincirin boyutunu azaltarak performansı- mesi gerekecektir. Başka bir örnek olarak, anahtarlı özet değer fonksiyonunun nı arttırma fikri doğrultusunda yapılmaktadır (EU Blockchain Observatory and gizli anahtarının silinmesi de benzer etkilere sahip olacaktır. Hangi bilginin özet- Forum, 2018). lendiğini kanıtlamak ya da doğrulamak artık mümkün olmayacaktır. Uygulama- da, özet değer bir gizlilik riski oluşturmayacaktır. Aynı şekilde, bilginin işlenmek Yurt dışına kişisel verilerin aktarılması konusu GVKT ’da 44 ila 50’nci maddeler- üzere depolandığı diğer sistemlerde de silinmesi gerekecektir. Yine silme hakkı de, KVKK ’da ise 9’uncu madde altında hükme bağlanmıştır. Bir blok zincir ağında kapsamında veri koruma hukuku gerekliliklerine uyulabilmesi adına yukarıda katılımcılar AB dışında da bulunabileceğinden AB dışına yapılabilecek kişisel veri sözü edilen budama(“pruning”) işlemi de uygulanabilecek yöntemler arasında aktarımlarında GVKT ve KVKK’ ya uyum konuları gündeme gelecektir. Kapalı yer almaktadır. ve izin gerektiren blok zincir ağlarında veri aktarımına ilişkin olarak bağlayıcı şirket kuralları ve veri işleme davranış kuralları gibi uygun güvenlik önemlerinin Ek olarak Blockchain Observatory and Forum’un girişimciler ve yenilikçilere sun- alınması mümkün olabilecekken halka açık ve izin gerektirmeyen blok zincir duğu blok zincir ve kişisel veri ilişkisine yönelik önerileri şu şekilde olmuştur: ağlarında veri sorumlusu madencilerin kontrolünü etkin şekilde yapamayacağın- i) Büyük resimle başlanılmalıdır. Kullanıcı değerinin nasıl yaratılacağı, verinin dan söz konusu önlemlerin alınabilmesi bu ağlarda mümkün görünmemektedir. nasıl kullanıldığı ve gerçekten blok zincirine ihtiyaç olup olmadığı sorularına Bu konu kapsamında verilerin hangi üçüncü ülkeye aktarımının yapıldığı ve bu cevap verilmelidir. ii) Kişisel verileri blok zincirinde saklamaktan kaçınılmalıdır. ülkelerde yeterli korumanın sağlandığının nasıl tespit edileceği sorularına çözüm Verileri anonimleştirmek için veri gizleme, şifreleme ve birleştirme tekniklerini aranması gerekmektedir. kullanılmalıdır (Blockchain Türkiye, 2022). iii) Kişisel veriler zincir dışında veya blok zincirinden kaçınılamıyorsa özel ve izinli blok zincir ağları üzerinde toplan- Söz konusu teknoloji kapsamında bazı ilgili kişi haklarının etkili bir şekilde kul- malıdır. iv) Yenilik üretmeye devam edilmelidir ve kullanıcılarla mümkün olabil- lanılması sorunlu görünmese de silme hakkı, düzeltme hakkı ve itiraz hakkının diğince açık ve şeffaf olunmalıdır (EU Blockchain Observatory and Forum, 2018). bir blok zincirine uygulanması daha derinlemesine bir analiz yapmayı gerektir- mektedir. İlgili kişilerin bilgi edinme hakkı konusunda veri sorumlusu kişisel verileri doğrulama için madencilere göndermeden önce ilgili kişilere veri sahibi için kolay erişilebilir ve açık terimlerle formüle edilmiş özlü bilgiler sağlamalıdır. Aynı durum erişim hakkı ve taşınabilirlik hakkı için de geçerlidir. CNIL tara- fından bu hakların kullanımının blok zincirlerinin teknik özellikleriyle uyumlu olduğu görüşü savunulmaktadır. Veriler bir blok zincirine kaydedildiğinde bir ilgili kişi tarafından yapılan silme talebini yerine getirmenin teknik olarak im- kânsız olduğunu belirtilmektedir (CNIL, 2018). Ancak, blok zincirine kaydedilen veriler bir taahhüt, anahtarlı bir özet değer fonksiyonu tarafından üretilen bir özet değer veya son teknoloji algoritmalar ve anahtarlar vasıtasıyla elde edilen bir şifreli metin olduğunda, veri sorumlusu verileri pratik olarak erişilemez hale getirebilir ve dolayısıyla veri silme etkilerine yaklaşılmış olur. Örneğin, bazı ta- ahhüt şemalarının matematiksel özellikleri (Bir taahhüt şeması mükemmel bir şekilde gizlendiğinde, şahidin (belirli bir değerin belirli bir taahhüte bağlandığını 510 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 511 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ veri sorumluları yer alabileceğinden blok zinciri teknolojisinin bu çok katmanlı yapısı da akılda tutulmalıdır. Blok zincirleri, güvenilir bir merkezi aracıya ihtiyaç duymadan veri paylaşımı- nı mümkün kılacak şekilde tasarlanabilir, verilere kimin eriştiğine dair şeffaflık Şu anda blok zincirleri ‘ciddi teknik ve prosedürel sınırlamalar’ sebebiyle tam sunar ve ayrıca blok zinciri tabanlı akıllı sözleşmeler veri paylaşımını otoma- olarak olgunlaşmamış durumda görülmektedir. Bu eksiklikler arasında en belir- tikleştirerek işlem maliyetlerini de azaltabilir. Bu özellikler, örneğin kurumlar gin olanı, geniş çaplı kullanım için gerekli olan ölçeklenebilirlik eksikliğidir. Blok arası veri paylaşımını kolaylaştırmak suretiyle veri pazarlarını destekleyerek çağ- zincirlerinin, her tam düğümün her işlemi işlemesi ve tüm mevcut durumun bir daş veri ekonomisine daha geniş çapta fayda sağlayabilir. 2018 yılında Avrupa kopyasını tutması gerektiğinden bu tasarımları verimsiz bulunmaktadır. Bu sü- Parlamentosu tarafından yapılan bir araştırmaya göre 2035 yılına kadar vergi reç tek hata noktasını ortadan kaldırmak suretiyle güvenlik avantajları sunsa da raporlaması, e-kimlik veri tabanları ve oylama planları gibi uygulamaların blok verimi düşürmekte ve işlemleri yavaşlatmaktadır. Bu sorunun dağıtık defterlerin zinciri veya başka bir dağıtık defter teknolojisi biçimi üzerinde çalışabileceği öne boyutu büyüdükçe de artması muhtemeldir. Ölçeklenebilirlik, her yeni işlemin sürülmüştür. Özel sektörde DDT, çeşitli dijital para türleri (Bitcoin gibi) ve mo- ağın büyümesine neden olduğu, sadece ekleme yapılabilen ve dolayısıyla sürekli bil bankacılığı biçimlerine olanak tanımak, uluslararası ticarette malları takip büyüyen bir veri tabanında önemli bir endişe kaynağı oluşturmaktadır. etmek, yazılım lisanslarını yönetmek, makineden makineye elektrik piyasalarını güçlendirmek ve merkezi paylaşım ekonomisi platformlarını değiştirmek için Öğretide yer alan ve tarafımca da katıldığım görüşlere göre, veri koruma yasaları- denenmiştir. Kamu sektörü de aynı şekilde teknolojiyi denemektedir. Ek olarak, nın yorumlanması ve uygulanması sırasında yenilikçi bir yaklaşım ortaya konma- AB tarafından uluslar üstü bir blok zinciri altyapısı geliştirme seçeneğinin araş- lı, amaçsal yorum ilkesi olabildiğince benimsenerek blok zinciri modeline yeterli tırıldığı bir Avrupa Komisyonu çalışmasının da bulunduğu görülmüştür. bir hareket alanı bırakılmalıdır. Blok zinciri modelinin, kişisel verilerin korun- masına ilişkin potansiyelini gerçekleştirip gerçekleştiremeyeceği ancak bu şekil- Dağıtık defter teknolojileri geleneksel olarak “genel ve izinsiz” ve “özel ve izinli” de görülebilecektir (Özer, 2019). Ayrıca günümüze kadar kabul görmüş hukuk olmak üzere iki kategoride gruplandırılır. Öğretide özel ve izinli blok zincirlerini uygulamaların dikkate alınarak teknolojik, sosyolojik ve ekonomik menfaatlerin veri koruma yasalarıyla uyumlu bir şekilde tasarlamanın genel ve izinsiz ağlara iyi analiz edilerek hukuk düzenimizin şekillendirilmesi isabetli olacaktır (Çekin, göre daha kolay olduğu görüşü savunulmaktadır. Bunun nedeni, izinli ağlardaki 2019). Bu çalışma kapsamında yapılan inceleme ve değerlendirmeler ışığında blok katılımcıların birbirleri tarafından biliniyor olması ve bu sayede sorumluluğun zincir teknolojisinin veri koruma hukuku kapsamında değerlendirilebileceği dü- uygun bir şekilde dağıtılmasını sağlayan sözleşmeye dayalı ilişkilerin tanımlana- şünülen hususlar dahilinde kişisel verilerin korunması mevzuatına uyumu anla- bilmesidir. Ayrıca, bu ağlar, genel ve izinsiz ağların aksine, ağ üzerinde kontrol mında olumsuz yanların bulunduğu gözlemlenmiş olsa da veri koruma yasaları sağlayacak şekilde tasarlanmış ve hangi aktörlerin verilere erişebileceği üzerinde ile tamamen uyumlu veya uyumsuz olduğu şeklinde genel bir sonuca varmanın bir kontrol söz konusudur. Genel ve izinsiz ağlar için ise bu hususlarda farklı doğru olmayacağı daha ziyade teknolojinin her kullanıldığı durumun ilgili teknik görüşlerin ortaya konulabildiği gözlemlenmiştir. ve bağlamsal faktörleri (yönetişim çerçevesi gibi) dikkate alınarak kendi esasları dahilinde (olay özelinde) incelenmesi gerektiği öngörülmektedir. ◆ Blok zincirleri, merkezi olmayan bir şekilde güncellenen kopyalanmış bir veri tabanı (örneğin kripto varlıklardaki işlemleri kaydetmek veya bilgileri kaydetmek için kullanılabilen) ve aynı zamanda yazılımın merkezi olmayan bir şekilde çalış- tırılmasına yönelik bir altyapı sunar. Örnekler arasında yer alan akıllı sözleşmeler veya ‘merkezi olmayan uygulamalar’ (tabandaki ağın merkezi olmayan yapısını yansıtan uygulamalar) çok çeşitli şekillerde olup çok çeşitli kullanım durumları sunabilir. Ek olarak merkezi olmayan uygulamaların oluşturulması ve sürdürül- mesi için kendi protokollerini hayata geçiren merkezi olmayan uygulama çerçe- veleri gibi ara katmanlar da olabilir. Verilen bir blok zincirin veri koruma yasaları ile uyumluluğu değerlendirileceği zaman, örneğin bu çeşitli katmanlarda farklı 512 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 513 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI KAYNAKÇA ◊ Buterin, V. (2014), Ethereum: A Next-Generation Smart Contract and Decent- ralized Application Platform. https://ethereum.org/669c9e2e2027310b- ◊ Anderson, R.J. (1996). The Eternity Service, Pragocrypt. 6b3cdce6e1c52962/Ethereum_Whitepaper_-_Buterin_2014.pdf adresinden alınmıştır. ◊ Antonopoulos, A.M. (2017), Mastering Bitcoin, O’Reilly ◊ Commission Nationale de l’Informatique et des Libertés (CNIL) (2018), Blo- ◊ Avrupa Parlamentosu (AP) (2018a), 2035’e Doğru Küresel Trendler-E- ckchain and the GDPR: Solutions For A Responsible Use Of The Blockchain konomi ve Toplum. https://www.europarl.europa.eu/RegData/etudes/ İn The Context Of Personal Data STUD/2018/627126/EPRS_STU(2018)627126_EN.pdf adresinden alınmıştır. ◊ Corda. (2022). https://www.corda.net/ adresinden alınmıştır. ◊ Avrupa Parlamentosu Araştırma Dairesi (EPRS). (2019), Blockchain and the GDPR- Can distributed ledgers be squared with European data prptection law?, ◊ Cortese, A. (2016). Blockchain Technology Ushers in The Internet of Value. https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/ Cisco EPRS_STU(2019)634445_EN.pdf adresinden alınmıştır. ◊ Çekin, M.S. (2019), Borçlar Hukuku ile Veri Koruma Hukuku Açısından Blo- ◊ Avrupa Parlamentosu (AP) (2018b), Report on Blockchain: a forward-lo- ckchain Teknolojisi ve Akıllı Sözleşmeler: Hukuk Düzenimizde Bir Paradigma oking trade policy. https://www.europarl.europa.eu/doceo/docu- Değişimine Gerek Var Mı? İstanbul Hukuk Mecmuası, 315-341. ment/A-8-2018-0407_EN.html adresinden alınmıştır. ◊ Diri, N. (2022). Blok zincir Uygulamasında Kişisel Verilerin Tutulması (Yük- ◊ Bacon, J., Michels, J.D., Millard, C. ve Singh, J. (2017), Blockchain Demystified: sek Lisans Tezi). Marmara Üniversitesi, İstanbul. A Technical and Legal Introduction to Distributed and Centralised Ledgers. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3091218 adresinden ◊ EIP’s (2023). https://ethereum.org/en/eips adresinden alınmıştır. alınmıştır. ◊ ERC-20 (2023). https://ethereum.org/en/developers/docs/standards/to- ◊ BitFury Group (2022), Proof of stake versus proof of work, http://bitfury. kens/erc-20/ adresinden alınmıştır. com/content/5-white-papers-research/pos-vs-pow-1. 0.2.pdf adresinden alınmıştır. ◊ EU Blockchain Observatory and Forum (2018), Blokchain and the GDPR Tematik Raporu. https://www.eublockchainforum.eu/sites/default/files/ ◊ Blockchain (2022). https://academy.binance.com/tr/glossary/blockcha- reports/20181016_report_gdpr.pdf adresinden alınmıştır. in?utm_campaign=googleadsxacademy&utm_source=googleadwords_ int&utm_medium=cpc&gclid=CjwKCAjw9LSSBhBsEiwAKtf0n1jHlofSxtr- ◊ Faber, B., Michelet, G., Weidmann, N., Mukkamala R. R. ve Vatrapu, R., BP- 3mO89mlQUjlZ2vVEuWdT7ZJ2NI3g1BXXRzvRIwzyaSBoC-KIQAvD_BwE DIMS: A Blockchain-based Personal Data and Identity Management System. adresinden alınmıştır. https://www.researchgate.net/publication/332085440_BPDIMSA_Blockc- hain-based_Personal_Data_and_Identity_Management_System adresinden ◊ Blockchain Türkiye (2022), Kişisel Verilerin Korunması Hukuku ve Blok zin- alınmıştır. ciri Teknolojisi Raporu. https://bctr.org/bctr-rapor-kisisel-verilerin-korun- masi-hukuku-ve-blokzinciri-teknolojisi-raporu-27977/ adresinden alınmıştır. ◊ Felten, E. (2018), Blockchain:What is it good for?. https://freedom-to-tinker. com/2018/02/26/blockchain-what-is-it-good-for/ adresinden alınmıştır. 514 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 515 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Haber, S. ve Stornetta, W.S. (1991). How to Time-Stamp a Digital Document, ◊ Schneier, B ve Kelsey, J. (1998), Cryptographic Support for Secure Logs on Unt- In Advances in Cryptology – Crypto ’90 Lecture Notes in Computer Science rusted Machines. https://www.schneier.com/wp-content/uploads/2016/02/ v 537, Springer-Verlag, 437–455. paper-secure-logs.pdf adresinden alınmıştır. ◊ How Does Block Chain Prevent Doublespending Bitcoins (2022) https:// ◊ The Beacon Chain (2023). https://ethereum.org/en/upgrades/beacon-cha- www.investopedia.com/ask/answers/061915/how-does-block-chain-pre- in/ adresinden alınmıştır. vent-doublespending-bitcoins.asp adresinden alınmıştır. ◊ The Berlin Hard Fork. (2021). https://www.coindesk.com/tech/2021/04/15/ ◊ Hyperledger. (2016). https://www.hyperledger.org/ adresinden alınmıştır. berlin-hard-fork-is-now-live-on-ethereum/ adresinden alınmıştır. ◊ Kişisel Verileri Koruma Kurumu (KVKK) (2021), Araç Kiralama Programları ◊ The Linux Foundation (2022), Blockchain Understanding Its Uses and Imp- Yazılımcısı ve Satıcısı Firmalar Tarafından, İlgili Kişilerin Verilerinin İşlenme- lications. https://learning.edx.org/course/course-v1:LinuxFoundationX+L- si Ve Bu Verilerin Araç Kiralama Firmaları Arasında Paylaşılmasını Sağlayan FS170x+2T2021/block- v1: LinuxFoundationX+LFS170x+2T2021+type@sequ- Bir Kara Liste Programı Oluşturulması” Hakkında Kişisel Verileri Koruma ential+block@4ee4f8bc0dad4e09ad99b376b061b0c9/ adresinden alınmıştır. Kurulunun 23/12/2021 Tarihli Ve 2021/1303 Sayılı Karar Özeti. https://www. kvkk.gov.tr/Icerik/7288/2021-1303 adresinden alınmıştır. ◊ The London Fork. (2019). https://eips.ethereum.org/EIPS/eip-1559 adresin- den alınmıştır. ◊ Kurt, C.A. (2022), Ethereum Merge Gerçekleşti, https://www.btchaber.com/ son-dakika-ethereum-merge-gerceklesti/ adresinden alınmıştır. ◊ Usta, A. ve Doğantekin, S. (2018). Blockchain 101 v.2, 18. https://bkm.com.tr/ wp-content/uploads/2019/08/15082019_kitap.pdf adresinden alınmıştır. ◊ Leadership. (2022). https://www.hyperledger.org/about/leadership adresin- den alınmıştır. ◊ Wirth, C., Kolain, M. (2018), Privacy by Blockchain Design: A Blockchain-e- nabled GDPR-compliant Approach for Handling Personal Data, https:// ◊ Madde 29 Veri Koruma Çalışma Grubu (2010), Opinion 1/2010 on the con- dl.eusset.eu/bitstream/20.500.12015/3159/1/blockchain2018_03.pdf adre- cepts of “controller” and “processor”, https://ec.europa.eu/justice/article-29/ sinden alınmıştır. documentation/opinion-recommendation/files/2010/wp169_en.pdf adre- sinden alınmıştır. ◊ Wirtschafsakademie Schleswig-Holstein,No. C-210/16 C-210/16 [2018] EU:C: 2017:796, para.16 ◊ Massessi, D. (TY), Blockchain Consensus and Fault Tolerance In a Nutshell. https://medium.com/coinmonks/blockchain-consensus-and-fault-toleran- ce-in-a-nutshell-765de83b8d03 adresinden alınmıştır. ◊ Nakamoto, S. (2008), Bitcoin: A Peer-to-Peer Electronic Cash System. https:// bitcoin.org/bitcoin.pdf adresinden alınmıştır. ◊ ÖZER, Y.M. (2019). Kişisel Verilerin Korunmasında Blok zinciri Modeli (Yük- sek Lisans Tezi). İstanbul Bilgi Üniversitesi, İstanbul. KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 517 UZMANLIK TEZLERI DERLEME ÇALIŞMASI KIŞISEL VERILERIN KORUNMASI AÇISINDAN DIJITAL PARMAK İZI Şükran KOÇAK Kişisel Verileri Koruma Uzmanı Bu çalışma, 14.02.2023 tarihinde kabul edilen “Kişisel Verilerin Korunması Açısın- dan Dijital Parmak İzi” başlıklı uzmanlık tezinden alınmıştır. GİRİŞ Tarayıcıların cihaz bağımsız olarak çalışabilmesi; kullanıcı deneyimini iyileştir- me, zengin içerik görüntüleme fırsatları sunma açısından olumlu etkileri olsa da bu işlevleri gerçekleştirme amacıyla tarayıcılara eklenen özellikler, kullanıcının web üzerinde anonim kalabilmesini zor bir hale getirmiş ve kişinin çevrim içi takibine imkân tanımıştır. Tarayıcıların, bir web takip teknolojisi olarak sınıf- landırılan çerezlere karşı daha sıkı önlemler almasıyla beraber, çevrim içi hizmet sunumunda çerezlere alternatif teknoloji arayışı başlamış ve dijital parmak izi kullanımı ortaya çıkmıştır (Madde 29 Veri Koruma Çalışma Grubu, 2014c). Avrupa Birliği Hukukunda çerez ve benzeri teknolojiler, “2009/136 sayılı Direk- tif ” ile “2002/58/AT sayılı Direktifi”nin (“E-Gizlilik Direktifi”) bazı maddelerinde yapılan değişiklik ile özel olarak düzenlenmekle beraber “Avrupa Birliği Genel Veri Koruma Tüzüğü”nde de düzenleme alanı bulmaktadır. “E-Gizlilik Direktifi”- nin 24’üncü maddesinde ajan yazılımlar, web açıkları, gizli tanımlayıcılar ve diğer benzer teknolojiler olarak bahsedilen web takip teknolojileri; mevcut “E-Gizli- lik Tüzüğü Taslağı”nın 20’nci maddesinde daha açık bir şekilde yer almaktadır. Söz konusu Tüzük’ün 20’nci maddesi hükmünde; ajan yazılımlar, web açıkları 518 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 519 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI (“bugs”), gizli tanımlayıcılar, takip çerezleri veya diğer istenmeyen takip araçları olup bu sınıflandırmaya göre; dijital parmak izi yüksek riskli olarak nitelendiril- kullanıcı cihazı bilgisine erişme veya gizli bilgi depolama ve aktivitelerinin taki- miştir (Johnston ve Culnane, 2020). Dijital parmak izi; birçok veri noktasının, bi amacıyla kullanıcı cihazına erişebildiği, kullanıcı cihazına ilişkin bilginin ise özellikle IP adresi gibi benzersiz tanımlayıcılarla birleştirilmesinde ve işlemenin tanımlama ve takip amacıyla uzaktan toplanabildiği, cihaz parmak izi gibi bu tür amacı; kişiyi zaman içinde farklı web siteleri üzerinden tanımlamak olduğunda tekniklerin genellikle kullanıcının bilgisi dahilinde yapılmadığı ve son kullanıcı- (örneğin davranışsal reklamcılık gibi), bu tür bir faaliyet kişisel veri işlenmesini ların mahremiyetini ciddi bir şekilde ihlal edebildiği belirtilmektedir. Böylelikle gerektirdiğinden veri koruma kanunlarıyla uyum sağlanması gerektiği değerlen- cihaz parmak izi yani dijital parmak izi bizzat taslak halde olan “E-Gizlilik Tüzü- dirilmektedir. Kullanıcının farkındalık düzeyi ve dijital parmak izi kullanımının ğü”nde ele alınmış bulunmaktadır. tespit etme güçlüğü dikkate alındığında, dijital parmak izi çevrim içi davranış takibinde oldukça görünmez bir teknik olarak değerlendirilebilecektir. Çevrim Literatürde cihaz parmak iziyle ilişkili olarak tarayıcı parmak izi, dijital parmak içi bir hizmetin kullanılması esnasında web sunucusuna gönderilen bilgilerin izi olarak farklı terimler kullanılmakta olup bu terimler teknik anlamda birbiriyle ne amaçla toplandığı ve hangi kişisel veri işleme şartı dahilinde işlenmesi gerek- yakından ilişkilidir. “Cihaz parmak izi”, genellikle uzak bir bilgi işlem cihazından tiği hususları ile hukuka aykırı kişisel veri işlenip işlenmediğinin tespiti de zor toplanan yazılım veya donanım ayarlarının kompakt bir özeti olarak tanımlanır- olacaktır. ken “tarayıcı parmak izi” sunucuya gönderilen her bir HTTP talebindeki bilgilerin birleşimini ifade etmektedir. Bu çalışmada, cihaz parmak izi veya tarayıcı parmak Çalışmanın birinci bölümünde dijital parmak izi ve diğer takip teknolojileri ele izini ifade eden geniş anlamıyla “dijital parmak izi” terimi kullanılacaktır. Diji- alınacak olup ikinci bölümünde dijital parmak izinin hukuksal açıdan değerlen- tal parmak izi çıkarma, “bir sitenin ziyaretçi kullanıcıyı, kullanıcının kullandığı dirilebilmesini teminen, dijital parmak izi teknolojisinin teknik boyutu açıklana- tarayıcı veya cihazı, yapılandırma tercihleri veya diğer gözlemlenebilir özellikleri caktır. Üçüncü bölümde dijital parmak izinin hangi amaçlarla kullanılabileceği aracılığıyla tanımlama veya tekrar tanımlama kabiliyeti” olarak tanımlanabile- hususuna değinilecektir. Dördüncü bölümde AB ve Türk Hukukunda dijital par- cektir (“Mitigating Browser Fingerprinting in Web Specifications”, 2019). Dijital mak izine ilişkin düzenlemeler hakkında bilgi verilerek beşinci bölümde; dijital parmak izi çıkarma, durumsuz (“stateless”) bir çevrim içi takip yöntemi olarak parmak izi çıkarılmasının oluşturduğu mahremiyet riskleri ortaya konulacak karşımıza çıkmaktadır. Durumsuz takip, doğası gereği kullanıcının terminal ciha- ve bunlara yönelik olarak ilgili kişi tarafından alınabilecek önlemler ile veri so- zında bir tanımlayıcı depolayan durum bilgisi tutan yani denetlemeli (“stateful”) rumluları, geliştirici ve üreticiler için Kanun’a uyum konusunda çözüm önerileri takip yöntemlerine göre daha az gözlemlenebilirdir. sunulacaktır. İlk olarak 1994 yılında kullanıldığı bilinen çerezler o dönemlerde mahremiyet DİJİTAL PARMAK İZİ VE ÇEVRİM İÇİ DİĞER TAKİP TEKNOLOJİLERİ istilacısı olarak adlandırılmıştı (Acar, Eubank, Englehardt, Juarez, Narayanan ve Diaz, 2014). Tarayıcıların çerezler gibi durum bilgisi tutan tanımlama yöntemleri- Kişinin çevrim içi takibini mümkün kılan çoğu teknoloji aslında kişinin benzer- ne karşı gittikçe daha sıkı önlemler almasıyla beraber çevrim içi takip yöntemleri siz bir tanımlayıcı aracılığıyla zaman içinde kullanıcının tanımlanması esasına kullanıcılar ve araştırmacılar için daha az gözlemlenebilir ve hatta görünmez bir dayanmaktadır. Özellikle reklam endüstrisi, kişi hakkında detaylı profiller oluş- hal almaya başlamıştır. Edward Felten’in 2009 tarihli “Eğer Beni Takip Edeceksen turulabilmek ve davranışsal olarak kişilere reklam sunabilmek amacıyla kişilerin Lütfen Çerez Kullan” isimli yazısında çerezlerin kontrol edilebilir olduğu, tara- çevrim içi olarak ayırt edilebilmesini sağlayan bazı teknolojiler kullanmaktadır. yıcıların sınırlı kapasitede ve sınırlı sayıda çerez muhafaza edebildiği, çerezleri Bu teknolojilerin kullanımı yalnızca reklamcılık amacıyla sınırlı değildir. Çevrim görüntüleme, engelleme ve kaldırma araçlarının mükemmel olmadığı, ancak en içi izlemenin oluşturduğu en ciddi risk, bireylerin gözetimi için küresel bir araç azından mevcut olduğu ve diğer izleme yöntemlerinin, kullanıcıları neredeyse haline gelmesi olup bu gözetimin amacı; güvenlik, politik veya ticari olabilmekte- savunmasız bıraktığı belirtilerek çerezden farklı izleme teknolojilerin varlığına dir. Çevrim içi takip edilen bireyler hakkında profilleme yapılması bireylere hiz- dikkat çekmiştir (Felten, 2009) met verilmesinde ayrımcılığa neden olmaktadır. Profilleme faaliyetinin sonucu olarak ürün veya hizmetin kişiye özel fiyatlandırılması (örneğin profiline uygun Bir araştırma raporunda; web takip teknolojilerinin risk oranları gözlemlenebil- beğenebileceğin ürünün sana daha yüksek fiyattan sunulması) ya da yalnızca me, sıfırlanabilme ve engellenebilme olmak üzere üç kritere göre sınıflandırılmış kişinin profiline göre kişisel içerikler sunulması nedeniyle bireyler, çevrim içi içe- 520 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 521 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI rik bakımından bir fanus içinde sınırlı bilgiye erişmek durumunda kalmaktadır ması sürecidir.” (Cooper ve diğerleri, 2013). Tarayıcı veya cihaz parmak izi çıkar- (European Network and Information Security Agency, 2012). Cambridge Analyti- ma birbiriyle ilişkili kullanılan iki tekniktir. Tarayıcı parmak izi çıkarma; her bir ca skandalı, bizlere çevrim içi takibin bireyler üzerindeki etkisinin hangi boyuta web tarayıcısının sağladığı bilgilere dayalı olarak bir web tarayıcısını tanımlama ulaşabileceği hakkında bir öngörü yeteneği kazandırmıştır. Bu dava sürecinde yöntemidir. Mark Zuckerberg’e Facebook’un üyesi olmayanlar hakkında profil oluşturup oluşturmadığı sorulduğunda, Zuckerberg gölge profillerin (“shadow profiles”) Cihaz parmak izi çıkarma; kullanılan cihazın (masa üstü bilgisayarı, diz üstü bil- kendisine tanıdık bildik bir şey olarak gelmediği, ancak Facebook kullanıcıların gisayarı veya mobil cihazı) özelliklerine dayalı olarak cihazın tanımlanmasıdır. güvenliği için üye olmayanların da bazı bilgilerinin toplandığını itiraf etmiştir Cihaz parmak izi, kullanıcı farklı tarayıcılar kullanması halinde dahi takibi müm- (Molitorisz, Meese ve Hagedorn, 2021). kün kılmaktadır (Nottingham, 2020). Dünya Çapında Ağ Birliği (The World Wide Web Consortium ya da kısaca W3C), tarayıcı parmak izi çıkarma kavramını; “bir Kullanıcının çevrim içi takip edilmesi amacıyla herhangi bir yöntem ile veri top- sitenin ziyaretçi kullanıcıyı, kullanıcının kullandığı tarayıcı veya cihazı, yapılan- lanması, verilerin birleştirilmesi veya analiz edilmesi kişisel veri işlenmesini de dırma tercihleri veya diğer gözlemlenebilir özellikleri aracılığıyla tanımlama veya gerektirecektir. Bununla birlikte, takip teknolojilerinin gözlemlenebilme ve en- tekrar tanımlama kabiliyeti” olarak tanımlanmıştır (“Mitigating Browser Fingerp- gellenebilme gibi özellikleri göz önünde bulundurulduğunda mahremiyet açısın- rinting in Web Specifications”, 2019). Tarayıcı veya cihaz parmak izi çıkarma her dan her zaman aynı riski ihtiva etmeyecektir. Web’de takip teknolojileri; durum ne kadar birbiri yerine geçecek şekilde kullanılsa da cihaz parmak izi çıkarma, denetlemeli takip (stateful tracking) ve durumsuz takip (stateless tracking) olmak cihazın yapılandırma tercihlerine dayalı olması ve daha az değişkenlik göstermesi üzere iki kategoride tasnif edilmektedir. Durum denetlemeli takip yaklaşımı; bir nedeniyle kullanıcıyı tanımlamak için tarayıcı parmak izine göre daha stabil bir tanımlayıcının kullanıcı tarayıcısının veya cihazının herhangi bir yerinde depo- yöntemdir. Bu çalışmada her iki tekniği kapsar biçimde “dijital parmak izi” terimi lanması ve daha sonra bu tanımlayıcının geri çağırılması suretiyle kullanıcının kullanılacaktır. web oturumları sırasında takip edilmesine dayanmaktadır. Gizli form alanları, çerezler, web beacon (piksel etiketleri), yerel paylaşılan nesneler (local shared ob- Günümüzde 4 milyar bilgisayar, akıllı telefon ve diğer terminallerin olduğu tah- jects veya diğer adıyla Flash çerezler), yerel depolama, tarayıcı önbelleği, cihaz min edilmekle birlikte, bu cihazlara dair yeterli düzeyde ayırt edici veri kümesi tanımlayıcıları, eTag ve son değiştirilme tarihleri (last modified date), açık web sayesinde dijital parmak izi çıkarmak suretiyle herhangi bir internet sitesine bağ- yetkilendirme gibi teknolojiler durum denetlemeli takipte kullanılmaktadır (Jo- lanan terminal cihazını sunucuda sonsuza kadar benzersiz olarak tanımlamak hnston ve Culnane, 2020). mümkündür (Agencia Española Protecciòn Datos (AEPD), 2019). Ancak bir dizi özellik kümesine göre çıkarılan parmak izinin, cihazı veya tarayıcıyı benzersiz Durumsuz takip teknolojileri ise belirli bir tanımlayıcının kullanıcı tarayıcısında olarak tanımlamasının bir derecesi bulunmaktadır. Bir cihazı veya tarayıcıyı veya cihazında depolanmasına dayalı değildir. Durumsuz takipte, çevrim içi takip benzersiz olarak tanımlamanın derecesi, Bilgi Teorisinde yer alan entropi ile öl- için gerekli tanımlayıcı değerini oluşturan kullanıcı cihazı veya kullanıcının dav- çülmektedir. Entropi, rasgele bir olayın bit olarak belirsizlik derecesi veya bilgi ranışlarıdır. Ancak çevrim içi takip teknolojilerinin dayandığı temel prensip olan miktarıdır. Bilgi miktarı arttıkça bireyleri benzersiz tanımlama riski artacaktır kişiyi benzersiz olarak tanımlayacak bir değer oluşturulması, durumsuz takip (Madde 29 Veri Koruma Çalışma Grubu, 2014c). Bir kişi hakkında yeni bir ger- teknolojileri de geçerlidir. Bu ihtiyaç duyulan değer ise kişinin veya kullandığı çek öğrendiğimizde bu gerçek, kişinin kimliğinin belirlenmesi için gerekli olan cihazın veya uygulama örneğinin özelliklerine dayalı olarak oluşturulmaktadır. entropi miktarını belirli bir miktarda azaltmaktadır. Durumsuz takip teknolojileri arasında yer alan dijital parmak izi RFC 6973’te; “Bir DİJİTAL PARMAK İZİ VE BENZERSİZ OLARAK TANIMLAMASI parmak izi (fingerprint); bir cihazı veya uygulama örneğini tanımlayan bilgi öğeleri kümesi” olarak tanımlanmaktadır (Cooper, Tschofenig, Aboba, Morris, Hansen Günümüze kadar dijital parmak izinin araştırılması hakkında geniş çapta üç bü- ve Smith, 2013). Parmak izi çıkarma (fingerprinting); “gözlemci veya saldırgana yük çalışma gerçekleştirilmiştir. Pierre Laperdrix ve arkadaşlarının 2019 yılında iletilen birçok bilgi öğesine dayalı olarak bir gözlemci veya saldırganın bir cihazı yayımladığı bir raporda; dijital parmak izi alanında yapılan üç büyük çalışmada veya uygulama örneğini benzersiz (yeterli bir yüksek olasılıkla) olarak tanımlan- toplanan parmak izlerinin kaçının benzersiz olduğuna ilişkin bir karşılaştırma 522 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 523 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI yapılmıştır (Laperdrix, Bielova, Baudry ve Avoine, 2020). 2010 yılında Peter Ec- DİJİTAL PARMAK İZİNİN KARARLILIĞI kersley tarafından gerçekleştirilen Panopticlick projesinde (Mevcut internet adre- si olan https://coveryourtracks.eff.org/ (eskiden panopticlick.eff.org) sitesinden Dijital parmak izi, kullanıcının cihazının ve ortamının doğrudan bir yansıması proje için oluşturulan web sayfasına ulaşılabilmekte olup benzersiz bir dijital olduğundan, sistem bileşenleri değiştirildiğinde, yapılandırıldığında veya gün- parmak iziniz olup olmadığı test edilebilmektedir.) mahremiyet farkındalığı or- cellendiğinde değişebilmektedir. Tarayıcı veya eklentisinin güncellenmesi, yeni talama düzeyde olan kullanıcı grubu üzerinden yapılan ölçüm aracılığıyla 470.161 bir yazı tipi eklenmesi veya harici bir monitör bağlanması sonucu ekran çözü- adet parmak izinin %94,2’sinin kişiyi benzersiz olarak tanımlayabildiği tespit nürlüğünün değişmesi gibi nedenlerden dolayı dijital parmak izi değişebilmek- edilmiştir (Eckersley, 2010). tedir. Dijital hakları savunma amacıyla kurulan sivil toplum kuruluşu olan Ele- ctric Frontier Foundation (EFF) tarafından yürütülen ve 2010 yılında başlatılan 2016 yılında Laperdrix ve arkadaşları tarafından gerçekleştirilen AmIUnique (ht- “Panopticlick” projesi kapsamında test amaçlı oluşturulan bir internet sitesinde tps://amiunique.org/ sitesinden proje için oluşturulan web sayfasına ulaşılabil- modern tarayıcıların dijital parmak izi çıkarmaya maruz kalma derecesi araş- mekte olup benzersiz bir dijital parmak iziniz olup olmadığı test edilebilmekte- tırılmıştır. Panopticlick projesi için 2010 yılında hazırlanan raporda; çerezleri dir.) projesinde ise masaüstü bilgisayar kullanan kişilerden 105.829 adet parmak kabul eden kullanıcılar arasında dijital parmak izinin değişim oranı %37,4 gibi izi toplanmış olup bunların %89,4 kullanıcıları benzersiz olarak tanımladığı, mo- bir oranla yüksek olduğu değerlendirilmiştir. Kullanıcının belirli bir çerez ile bil tarayıcılardan toplanan parmak izlerinin ise %81’inin kişiyi benzersiz olarak iki ziyareti arasında yaklaşık 5 gün olması halinde parmak izindeki değişim %50 tanımladığı tespit edilmiştir (Laperdrix, Rudametkin ve Baudry, 2016) üzerine çıkmaktadır (Eckersley, 2010). Uzun vadeli izlemeyi mümkün kılmayı amaçlayan bir kişinin, bu değişiklikleri anlama ve tahmin etme becerisine sahip 2018 yılında Gómez-Boix ve arkadaşları tarafından gerçekleştirilen Hiding In The olması gerekmektedir (Laperdrix ve arkadaşları, 2020). Crowd projesinde veriler, en çok ziyaret edilen Fransız web siteleri arasında ilk 15’te yer alan daha küresel bir kitleyi hedefleyen bir ticari platformda toplanmış- EFF tarafından yeterli düzeyde mahremiyet farkındalığı olan kullanıcı örneklemi tır. Anılan diğer iki çalışmada, mahremiyet farkındalığı olan veya ortalama bir ve 40,671 tarayıcı üzerinden yürütülen ölçümde; tarayıcı uzayının %83,6’sının kullanıcıdan daha temkinli olabilen ziyaretçileri açıkça hedefleyen web sitelerin- benzersiz parmak izine sahip olduğu, Adobe Flash veya Java Sanal Makinesi aktif de toplanmıştır. Hiding In The Crowd projesinde toplanan parmak izi sayısı diğer olan tarayıcılarda bu oranın %94,2’ye çıktığı, parmak izlerinin hızlı değişen doğa- iki çalışmaya göre daha fazladır, benzersiz tanımlama oranı ise daha düşüktür sı gereği yeni parmak izinin atası olan parmak izinin tahmini için oluşturdukları (Gómez-Boix, Laperdrix ve Baudry, 2018). algoritma ile parmak izi aracılığıyla takibin stabil hale getirildiği belirtilmiştir. Peter E. tarafından 2010 yılında hazırlanan söz konusu projenin dönemsel sonuç- Araştırmacıların farklı sonuçlar elde etmesinin nedeni, tespit yöntemleri ve larını değerlendirdiği raporda “Panopticlick” projesi kapsamında tarayıcı parmak kriterleri, araştırma grubunun farklı olması şeklinde yorumlanabilecektir. Gó- izlerinin kararlığı için bir algoritma oluşturulduğundan bahsedilmektedir. Bu mez-Boix ve arkadaşlarının da (2018) dile getirdiği gibi ölçüm için hedeflenen algoritma ile Adobe Flash ve Java kurulu olmayan sistemleri hariç tutmak üze- kitlenin demografik yapısı dijital parmak izinin etkinliğinde büyük değişkenlik re, çeşitli sebeplerden dolayı değişen parmak izinin atasını tespit etmek için iki oluşturmaktadır. Ayrıca daha eğitimli ve tarayıcı ayarlarını yapılandırmayı bilen parmak izi arasındaki benzerlik analizi yapılmış ve benzerliğin belirli bir eşik kullanıcılardan oluşan bir örneklem üzerinde daha çok sayıda benzersiz dijital değeri üzerinde olması halinde iki parmak izi arasında bağlantı sağlanabildiği parmak izinin varlığı hususuna kendi araştırması kapsamında cevap bulamamış, değerlendirilmiştir (Eckersley, 2010). ölçüm için farklı yönlerin göz önünde bulundurulmasının dijital parmak izinin takip ve tanımlamadaki gerçek etkinliği anlamada önemli olduğu ifade edilmiştir DİJİTAL PARMAK İZİ ÇIKARMA TEKNİKLERİNİN SINIFLANDIRILMASI (Gómez-Boix ve diğerleri, 2018). Dijital parmak izi aracılığıyla kullanıcı tanımlanma sürecinde pasif ve aktif par- mak izi yöntemlerinin birlikte kullanılması söz konusu olmaktadır (Englehardt ve Narayanan, 2016). 524 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 525 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Pasif Olarak Dijital Parmak İzi Çıkarma Aktif Olarak Dijital Parmak izi Çıkarma Pasif olarak dijital parmak izi çıkarma yönteminde, web taleplerindeki gözlem- İstemci tarafında çalışan Javascript kodları aracılığıyla elde edilen bilgiye dayan- lenebilir özelliklerden faydalanılmaktadır. Aktif parmak izinden ayıran temel maktadır. Tarayıcılardan Javascript kullanımı kısıtlanabildiğinden pasif parmak özelliği, istemci tarafı herhangi bir kod çalıştırılmamasıdır (“Mitigating Browser izine göre önlenmesi daha kolay olsa da bu kısıtlama kullanılabilirlik bakımından Fingerprinting in Web Specifications”, 2019). Pasif parmak izi çıkarmada çerez olumsuz etki doğurmaktadır. Dijital parmak izi çıkarma amacıyla yaygın olarak tanımlayıcıları, HTTP taleplerinde yer alan HTTP talep başlık bilgisi, IP adresi ve kullanılan Uygulama Programlama Ara Yüzleri (API); ses bağlamında API (Audio diğer ağ seviyesinde bilgiler kullanılmaktadır (“Mitigating Browser Fingerprin- Context API), Web RTC API, Batarya Durumu API, Canvas API, WebGL API’dir. ting in Web Specifications”, 2019). Kullanıcı aracısı dizesi, bir HTTP talebinin başlığında yer almakta olup tarayıcı, renderer, versiyon ve işletim sistemi bilgisini HTML 5 kütüphanelerinden olan “Audiocontext”, ses sinyalini işleme süreci için içermektedir. Aktif parmak izi çıkarma sürecinde; istemci tarafında çalışan Ja- kullanılmaktadır. Sistemin donanım veya yazılım özelliğine göre ses sinyali işle- vascript kodları kullanıldığından pasif parmak izine göre tespit edilebilirliği daha mede küçük farklar ortaya çıkabilmekte olup, işleme sürecindeki bu farklılıklar kolaydır. Şekil 1’de örnek bir HTTP talebinde yer alan başlık bilgileri gösterilmekte dijital parmak izi çıkarımına katkı sağlamaktadır. Ses bağlamında parmak izinin olup, accept, accept encoding, dil bilgisi, çerezlerin bilgisi, referer başlık bilgisi, işleyişi, canvas parmak izine benzerlik göstermekle beraber ses bağlamında par- kullanılan kullanıcı aracısı gibi bilgiler sunucuya gönderilmektedir. mak izinde, canvas’tan farklı olarak görsellerden öte sesin işlenmesindeki farklı- lıklara dayalı olarak dijital parmak izi oluşturulmaktadır. Şekil 1. Web talebi başlık bilgisi örneği (“An Easy Guide to Get HTTP Request Header List for Beginners – Python Web Crawler Tutorial”, 2019) Web Gerçek Zamanlı İletişim (Web Real-Time Communication, kısaca Web RTC), tarayıcılar ve mobil uygulamalarda uçlar arası (P2P) multimedya iletişimleri için Bir özelliğin tasarlanması için en makul yöntem olmadığı sürece, yani bir özellik kullanılan bir teknolojidir. Web RTC herhangi bir eklenti olmaksızın sesli arama, başka bir makul bir yöntem ile tasarlanamadığı sürece pasif parmak izi çıkarmaya video görüşme ve uçlar arası dosya paylaşımı sağlayan ve 2011 yılında Google ta- katkı sağlayan durumlardan kaçınılması gereklidir. Zira daha önce de bahsedildi- rafından geliştirilen bir teknolojidir. Günümüzde Chrome, Firefox ve Safari gibi ği üzere, pasif parmak izi ile kullanıcıyı tanımlamak daha kolaydır ve bu yöntem tarayıcılar WebRTC’yi desteklemektedir. oldukça ulaşılabilir bir yöntemdir, bunun yanı sıra pasif parmak izi kullanımını tespit etmek üzere eklenti gibi harici algılama ve kontrol sistemlerini kullanma WebRTC ile iletişim sağlanırken, cihazlar arası en iyi rotayı belirleme amacıyla fırsatı da bulunmamaktadır (“Mitigating Browser Fingerprinting in Web Speci- yereldeki IP adresleri ve dış IP dahil olmak üzere toplanan bilgiler uygulamaya fications”, 2019). erişilebilir kılınmaktadır (Englehardt ve diğerleri, 2016). Kullanıcının yerel IP adresinin uygulamaya erişilebilir kılınması ile öğrenilen yerel IP adresi ve dış IP adresi, kullanıcı cihazını tanımlamak üzere tutarlı bir tanımlama faktörü olarak karşımıza çıkmaktadır. Steven Englehardt ve Arvind Narayanan’ın (2016) 2016’da 1 milyon internet sitesi üzerinden yaptıkları ölçüm çalışmasında, WebRTC ile “createDataChannel” ve “createOffer” metotlarının çağrılması ve “onicecandida- te” olay işleyicisine (event handler) erişilmesi durumunda yerel IP adreslerinin (0 yanlış pozitif değerle) getirildiği manuel olarak tespit edilmiş, bununla beraber diğer parmak izi çıkarma tekniklerinin de bulunması halinde kullanılan Javasc- ript kodunun takip yaptığı kabul edilmiştir. Bu çalışmadaki sonuçlar; 1 milyon siteden 715 sitenin kullanıcı etkileşimi olmaksı- zın yerel IP adreslerinin keşfedildiği ve bu kod parçacıklarının 99 ayrı konumdan olmak üzere 659’unun ziyaret edilen site dışı kaynaklı script olduğu ve 625’inin 526 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 527 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI takip için kullanıldığı tespit edilmiş ve gözlemlenen bu sciptlerin URL’leri de ça- Li ve Erik Wijmans’ın tarayıcılar arası dijital parmak izi oluşturulmasına yönelik lışma kapsamında yayımlanmıştır (Englehardt ve diğerleri, 2016). yapmış oldukları çalışmada, cihazın donanımsal ve işletim sistemleri özellikleri- ne yönelik bilgi toplamak için ağırlıklı olarak WebGL API’ye dayanan bir parmak İspanya Veri Koruma Otoritesi tarafından yapılan 2018 tarihli bir çalışmada ise, izi çıkarma tekniği uygulamışlardır. Bu çalışmada 1.903 cihaz üzerinden yürü- yine 2016’da yapılan çalışmada yararlanılan araç olan OpenWPM ile web sitele- tülen bu çalışmada tek tarayıcı kullanıldığında %99,24 oranla, tarayıcılar arası rine dair gözlem çalışması yürütülerek 2.503 adet alan adına tekabül eden 5.006 %91,44 kararlıkla %83,24 benzersiz olarak tanımlama gerçekleştirilmiştir (Cao, adet URL analiz edilmiş olup, bu çalışmaya göre; %10,1 oran ile parmak izi çıkar- Li ve Wijmans, 2017). Söz konusu API kullanımı ile cihaz özelliklerine dayalı ola- mada en çok kullanılan teknik olarak ikinci sırada WebRTC yer almıştır (https:// rak dijital parmak izi çıkarıldığından, daha tutarlı bir tanımlama mekanizması browserleaks.com/webrtc adresinden tarayıcınızın, WebRTC kaynaklı olarak ka- olduğu değerlendirilmektedir. mera ve mikrofona izin verdiğiniz ya da vermediğiniz durumda hangi verilerinize erişilebilir kıldığı kontrol edilebilmektedir.) (AEPD, 2019.). Çerez Benzeri Dijital Parmak İzi Çıkarma Bununla birlikte web siteleri, Batarya Durumu API’si sayesinde, bataryaya sahip Bu teknik aslında durum denetlemeli ve durumsuz takip teknolojilerin kesişim bir mobil cihazın veya bir diz üstü bilgisayarın batarya durumuna erişebilmek- noktadır. Zombi (kendini yenileyen) çerezler silinse de çeşitli web depolama alan- tedir. Söz konusu API aracılığıyla cihazın batarya seviyesi bilgisi, enerji tasarrufu ları aracılığıyla kendini yenileyebilmektedir (“Mitigating Browser Fingerprinting veya yüksek performans modunda olduğu bilgisi kullanıcının izni ve bilgisi ol- in Web Specifications”, 2019). Öte yandan dijital parmak izi aracılığıyla kişinin madan işlenebilmektedir. Navigator.getBattery yöntemini çağıran bir Javascript takibinde kararlılık sorunu ortaya çıkabilse de herhangi bir depolama alanına kodunun yer aldığı bir web sitesi; bataryanın seviyesi, dolum zamanı veya batarya gerek duyulmaksızın benzersiz parmak izi oluşturma imkânının bulunmaması boşalma zamanı gibi özelliklerine erişebilmektedir. Bu sayede hem birinci taraf ve dijital parmak izi kullanımının kişi tarafından kolayca engellenememesi hu- hem de üçüncü taraflar bu bilgiye erişim sağlayabilecektir (Olejnik, Acar, Castel- susları takip için bir avantaj olarak karşımıza çıkmaktadır. Durum denetlemeli ta- luccia ve Diaz, 2016). Cihazların benzer nitelikleri ve IP adreslerini paylaştığı kip teknolojisi olarak yer alan çerez teknolojisinde ise; kullanıcı tarafından çerez kurumsal bir ağda, batarya bilgisi NAT arkasında olan cihazları ayırt etmek ama- silindiği ve çerezin oluşturulmasında kullanılan diğer web depolama alanlarını cıyla kullanılabilmektedir (Olejnik ve diğerleri, 2016). temizlendiği takdirde, çevrim içi takibin devamı için çerezin yeniden oluşturul- ması ihtiyacı doğmaktadır (Fouad, Santos, Legout ve Bielova 2021). Canvas API aracılığıyla dijital parmak izi çıkarımında ise bu kütüphanenin kul- lanılması sonucunda oluşan görselin işlenmesindeki farklılıklarından faydala- Çerez benzeri dijital parmak izi çıkarma ile söz konusu iki teknoloji birleştirilerek nılmaktadır. Canvas kütüphanesi kullanılarak oluşturulan metin veya grafiklerin birbirinin avantajlarından faydalanılmaktadır. Şekil 2’de gösterildiği üzere, takip işlenmesinde işletim sistemi, yazı kütüphaneleri, cihazın grafik kartı, grafik sü- yapan taraf, dijital parmak izi çıkarma tekniğiyle ilk önce bir tanımlayıcı oluş- rücüsü veya tarayıcısına dayalı olarak bazı farklılıklar meydana gelebilmektedir. turabilecek ve bu tanımlayıcı değerini bir çerezde saklayabilecektir. Kişi çerezi Dijital parmak izi çıkaran Javascriptler Canvas kütüphaneleri aracılığıyla; canvas temizlese dahi, tanımlayıcı değeri dijital parmak izi aracılığıyla tekrar oluşturu- elementinin genelde “toDataURL” yöntemi aracılığıyla Base64 karşılığını almak ve labilecektir. Diğer taraftan, dijital parmak izi zaman içinde değişse bile çerezde bir hash fonksiyonu aracılığıyla özet değerini çıkarmak suretiyle dijital parmak saklanan tanımlayıcı sayesinde, eski parmak iziyle kullanıcının yeni parmak izi- izi oluşturmaktadır. Daha önce de belirtildiği üzere Canvas API aracılığıyla elde nin eşleşmesi sağlanabilecek ve çevrim içi takip söz konusu iki teknik aracılığıyla edilen parmak izi diğer tekniklerle elde edilen entropi ile birleştirilebilmektedir daha uzun vadede gerçekleştirilebilecektir. (Acar ve diğerleri, 2014). Web GL API sayesinde tarayıcılar ile interaktif üç boyutlu nesneler görüntüle- nebilmekte ve Javascript aracılığıyla değiştirilebilmektedir. Bu işleme süreci ci- hazların donanımdaki ve yazımlarındaki farklılıklar nedeniyle aynı değildir. Bu farklılara dayalı olarak dijital parmak izi çıkarılabilmektedir. Yinzhi Cao, Song 528 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 529 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Şekil 2. Dijital parmak izinin çerez teknolojisi ile birlikte kullanımına bir örnek “…Bir işleme faaliyetinin ilgili kişilerin davranışlarını gözetlenmesi olarak (Fouad ve diğerleri, 2021) değerlendirilip değerlendirilemeyeceğini belirlemek için, özellikle onu ilgilen- diren kararlar alınması veya tercihlerinin, davranışlarının ve bakış açısının DİJİTAL PARMAK İZİNİN KULLANIM AMAÇLARI tahmini ve analizi amacıyla kişinin profillemesini içeren kişisel veri işleme faaliyeti tekniklerinin potansiyel sonraki kullanımı dahil gerçek kişinin in- Dijital parmak izi, web takip teknolojisi olarak değerlendirilmesine rağmen uy- ternette takip edilip edilmediğinin (tracking) belirlenmesi gereklidir.” ifadesi gulamada birçok amaçla kullanılabilmektedir kullanım amaçları negatif ve yıkıcı yer almaktadır. ile pozitif ve yapıcı olarak sınıflandırabilmektedir (Lapedrix ve diğerleri, 2019): Bireyin “gözetimi” konusunda, veri sorumlusunun bir bireyin davranışına ilişkin Negatif ve yıkıcı amaçlar: ilgili verileri toplama ve daha sonra yeniden kullanma amacında olması gerek- » Kullanıcının açık rızası olmaksızın takibi, mektedir (European Data Protection Board, 2019a). Düzenli ve sistematik gö- » Bilinen bir zafiyeti tespit ederek kullanıcı cihazına saldırmak zetim faaliyetlerine; bir telekomünikasyon ağının işletilmesi, telekomünikasyon hizmetinin sağlanması, e-posta yeniden hedefleme (Yeniden hedefleme; bir tara- Pozitif ve yapıcı amaçlar: yıcının veya cihazın herhangi bir bağlı olmayan web etki alanı veya uygulamasın- » Kullanıcıların, cihazlarının güncel olmaması durumunda belirli güncelle- daki etkinliği hakkında veri toplama veya bu verilerin bir reklamın farklı, bağlan- tılı olmayan bir web etki alanında veya uygulamada veya ayrı bir cihaz üzerinde melerin önerilmesi özelleştirme amacıyla kullanılmasıdır (Network Advertising Initiative, 2021)), » Kullanıcı ara yüzü uyumlaştırma veri-güdümlü pazarlama faaliyetleri, risk değerlendirmesi amacıyla profilleme ve » Web sitesi performansının iyileştirilmesi puanlandırma (örneğin; kredi puanlandırma, sigorta primlerinin belirlenmesi, » Çevrimiçi hizmetlerin güvenliği, bir cihazın orijinal olduğunu ve sistem dolandırıcılığın önlenmesi, kara para aklamanın tespiti), konum takibi (örneğin mobil uygulamalar aracılığıyla), sadakat kartları, davranışsal reklamcılık, giyile- tarafından bilindiğini doğrulama yoluyla da güçlendirme (Anomali tespiti, bilir cihazlar aracılığıyla zindelik, fitness ve sağlık verilerinin izlenmesi, kapalı kullanıcı kimlik yönetimi) devre kamera (CCTV), bağlı cihazlar (örneğin akıllı sayaçlar, akıllı arabalar, ev otomasyonu vb.) örnek verilebilir (Madde 29 Veri Koruma Çalışma Grubu, 2017a). Çevrim içi takip (tracking); davranışların gözetimi (monitoring) kavramıyla iliş- Takip faaliyetlerinin oluşturduğu en büyük risk küresel gözetim mekanizması kili ele alınmaktadır. Avrupa Veri Koruma Kurulu (EDPB) tarafından, Genel Veri olarak kullanılmasıdır. Gözetim faaliyetleri güvenlik ya da politik sebeplerle hü- Koruma Tüzüğü’nün (GVKT) bölgesel kapsam maddesinde yer alan AB’dekilerin kümetler tarafından gerçekleştirilebileceği gibi ticari amaçlarla şirketler tara- davranışlarının gözetimi hususunun değerlendirilmesinde, gözetim kavramının fından da gerçekleştirilebilmektedir. Gözetim faaliyetleri kimi zaman ekonomik GVKT’de açık bir tanımı olmadığından 24’üncü gerekçe maddesi göz önünde fayda getirse de kişisel verilerin korunması açısından riskleri de beraberinde ge- bulundurulmaktadır (European Data Protection Board, 2019a). Anılan gerekçe tirmektedir (European Union Agency For Cybersecurity (ENISA), 2012). Dijital maddesinde: parmak izi aracılığıyla gözetimin amaçları arasında; konum takibi, davranışsal reklamcılık, dolandırıcılığın önlenmesi gibi amaçlar yer almaktadır. Konum Takibi Konum tabanlı servisler iç mekân ve dış mekân olmak üzere ikiye ayrılmaktadır. Dış mekânda kullanılan konum tabanlı servis yöntemi genellikle yüksek doğruluk ve kapsayıcılık nedeniyle Küresel Konumlandırma Sistemi (“Global Positioning System”, GPS)’dir. Öte yandan dış mekânda olduğu gibi iç mekânda yüksek doğru- lukla GPS ile konum takibi yapılamamaktadır. İç mekânda duvarlar, mobilyalar 530 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 531 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ya da elektromanyetik dalga yayınımı engelleyecek diğer faktörler nedeniyle GPS Davranışsal Reklamcılık sinyali gücü ciddi bir şekilde düşmektedir. Davranışsal reklamcılık, bireylerin davranışlarının zaman içinde gözlemlenmesi- Konum parmak izi olarak adlandırılan yöntem ile konum tespiti, iki aşamalı ne dayalı olarak yürütülen bir reklamcılık modelidir. Bu modelde; kişi hakkında olarak gerçekleştirilmektedir. İlk aşama olan eğitim aşaması ya da kalibrasyon belirli bir profil oluşturmak ve kişiye özel reklamları sağlamak amacıyla kişilerin aşaması, diğer aşama ise konum tespiti aşamasıdır (Kim,S., Yoo ve Kim, J. (2017). hareketleri (site ziyaretleri, etkileşimleri, kullandıkları arama kelimeleri, çevrim Kalibrasyon aşamasında, parmak izi için haritalar ya ölçüm işlemlerinde deney- içi içerik üretimi gibi) aracılığıyla davranış özellikleri araştırılmaktadır (Madde sel olarak kurulmakta ya da analitik olarak hesaplanmaktadır (Farid, Nordin 29 Veri Koruma Çalışma Grubu, 2010b). Davranışsal reklamcılıkta, kişilerin gö- ve İsmail, 2013). Sinyal parmak izleri olarak adlandırılan RSS (“Received Signal rüntüledikleri web sayfaları ve görüntüleme süreleri, makaleleri veya diğer öğe- Strength”, RSS), sinyal açıları, sinyal yayılma süresi gibi çeşitli radyo sinyali özel- leri ne kadar süreyle hangi sırayla görüntüledikleri vb. hususlarda reklamcılara likleri ile belirli koordinatlar kalibrasyon aşamasında eşleştirilerek bir veri tabanı bilgi sağlanarak kişinin çevrim içi yaşamının çok ayrıntılı bir resmi oluşturul- oluşturulmaktadır. İkinci aşama olan konum tespiti aşamasında, kullanıcı cihazı maya çalışılmaktadır. bilinmeyen noktadaki sinyal özelliklerini ölçerek bir sunucuya iletir ve mevcut ölçülen sinyal gücü değerleri, bir veri tabanı diğer bir tabir ile radyo haritası ile Çevrim içi davranışsal reklamcılıkta tüm ekosistem, çevrim içi tanımlayıcıların karşılaştırılarak en uyumlu sinyal parmak iziyle eşleşme sağlandığında bilinme- kullanımı üzerine kuruludur. FTC Tüketici Koruma Birimi yöneticisi Jessica Rich yen noktanın koordinatları için bir çıkarım sağlanmaktadır (Kim ve diğerleri, (2015) tarafından, dijital parmak izinin başlangıçta yasa dışı kopyalama ve sahte- 2017). Google Haritalar Android API konumlama sistemi, üçü iç ortamlar ve biri karlık önleme amacıyla geliştirildiği, ancak daha sonrasında şirketlerin internete dış ortamlar için olmak üzere dört farklı konum belirleme yöntemine dayan- bağlı cihazları benzersiz olarak tanımlamak ve bunları kullanan bireyler hak- makta olup iç mekân konumlandırma için parmak izi konumlandırma yöntemi kında detaylı profiller oluşturmak amacıyla kullanmaya başladığı belirtilmiştir. kullanılmıştır (Farid ve diğerleri, 2013). Örneğin, giyilebilir cihazların ilgili kişi- Bu profiller, üçüncü taraf çevrim dışı kaynaklar ile desteklenerek daha detaylı ve lere yakın mesafede olması, ilgili kişinin konum takibine izin veren bir parmak kişisel hale getirilmektedir (Rich, 2015). izi oluşturulmasında yararlı olan diğer cihazların MAC adresi gibi birtakım ta- nımlayıcılara ulaşılmasına neden olmaktadır. Birçok sensör cihazın MAC adre- ICO’nun 2018-2021 Teknoloji Stratejisinde; gizli kişiselleştirme, büyük veri, sinin toplanması benzersiz parmak izleri ve IoT paydaşlarının belirli bireylerle nesnelerin interneti, görünmez işleme gibi risklere dikkat çekilmiştir. Strateji- ilişkilendirilebildiği daha stabil tanımlayıcılar oluşturacaktır. Bu parmak izleri de; bir dizi alternatif çevrim içi izleme yönteminin (örneğin cihaz parmak izi, ve tanımlayıcılar konum analitiği veya kişilerin ve kitlenin hareket kalıplarının tarayıcı parmak izi ve canvas parmak izinin) ortaya çıkması ve bunların daha analizi dahil birtakım amaçlar için kullanılabilmektedir (Madde 29 Veri Koruma yaygınlaşmasının çerez kullanımını azaltmadığı belirtilmiştir. Ayrıca, teknoloji Çalışma Grubu, 2014b). stratejisinde daha fazla cihazın internete bağlanmaya ve bireylerin çevrim içi aktivitelerinde daha çok cihazı kullanmaya devam etmesinin olası olduğu; cihaz İç mekân konumlandırma sistemlerinde; eğer kullanıcı kaydı gerekiyorsa servis parmak izi, tarayıcı parmak izi ve canvas parmak izinin yaygınlaştığı ve çevrim sağlayıcısı kullanıcıları, kullanıcı kimlikleri aracılığıyla tanımlayabilmektedir. Ka- içi davranışsal reklamcılık dahil, sistematik izleme ve bireylerin takibinde daha yıt gerekmediği durumlarda ise kullanıcılar, akıllı telefonlardaki benzersiz tanım- fazla risk oluşturduğu ifade edilerek bu teknolojilerin beraber kullanımındaki layıcılar (IMEI, IMSI, MAC adresi) sayesinde ayırt edilebilmektedir. Bu çerçevede, müdahalecilik stratejik öncelik olarak ele alınmıştır (Information Commissio- belirli bir kullanıcının davranış desenlerini belirleme amacıyla veriler bir araya ner’s Office (ICO), 2019.). getirebilmektedir. Örneğin belirli MAC adresine sahip kullanıcı A mağazasını bu hafta içinde 5 kez ziyaret etti (Kim ve diğerleri, 2017). Şunu da hatırlatmak Bot ve Dolandırıcılık Önleme gerekir ki, GVKT çerçevesinde bir güvenlik önlemi olarak MAC adreslerinin özet değerleri muhafaza edilse dahi söz konusu özet değerler de GVKT uyarınca kişisel Günümüzde evlerden şehirlere kadar geniş bir kullanım alanına sahip olan IoT veri olarak kabul edilmektedir (Madde 29 Veri Koruma Çalışma Grubu, 2017b). cihazlar, Mirai (Kelime anlamı olarak Japoncada gelecek adına anlamına gelen Mirai, bir tür zararlı yazılımdır.) gibi ciddi siber saldırıların da hedefi haline 532 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 533 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI gelmiştir. Ağa bağlı cihazlarda herhangi bir kötücül amaçlı bir cihazın bulunup olarak hedeflerine saldırabilmektedir. Kötü amaçlı reklamcılık nedeniyle meşru bulunmadığını tespit etmek birçok durumda ağ güvenliği ve kişisel veri ihlali web sitelerini ziyaret eden masum kullanıcıları kötü amaçlı yazılımlara maruz yaşanmaması adına önemli olabilecektir. Bu konuda önlem alınabilmesi amacıyla kalabilmektedir. Kötü amaçlı yazılımın hedefe yüklenmesi için bir reklamı tıkla- IoT cihazlarda anomali tespiti yapılması gerekecektir. IoT anomali tespiti, ağa bağ- mak gibi kullanıcı etkileşimine gerek duyulmamaktadır. Siber suçlular, parmak lı cihazların tanımlanması sayesinde yapılabilmektedir. Yeni tanıtılan bir cihaz izi tekniğini kullanarak hangi bilgisayarlara kod parçacığını gönderebilecekle- benzersiz bir şekilde tanımlanabiliyorsa, mevcut IoT cihaz profilleriyle karşılaş- rini belirleyebilmektedir. Kötü amaçlı yazılımları tespit etmek için kurulan bal tırılabilecek, ardından cihaz normal, güvenliği ihlal edilmiş, yetkisiz veya arızalı küpleri veya reklam denetimi doğrulaması gerçekleştiren güvenlik şirketleri gibi olarak tanımlanabilecektir. IoT ağ trafiğinin analiz edilmesiyle ağa yeni bağlanan uygun olmayan hedefler bu şekilde hızla elenebilmekte bunlara sıradan reklamlar cihazlar olmak üzere tüm cihazların parmak izinin çıkarılması, anomali tespitin- gösterilmekte ancak daha savunmasız hedefler suçluların hedefi olabilmektedir de önemlidir (Falola, 2020). (Malwarebytes ve GeoEdge, t.y.). Mobil uygulama mağazaları ve web hizmetleri sahte yüklemeler, sahte incele- Kullanıcı Kimlik Yönetimi meler, spam yorumlar, kazıma istekleri ve diğer sentetik etkileşimler için meşru müşteri kılığına giren saldırganların otomatik kötüye kullanımıyla karşı karşı- Dijital parmak izi kullanıcı kimlik yönetiminde kullanılabilmektedir. Kullanıcı yadır. Çevrim içi hizmetler sunanlar hizmete talep yapanın bot mu yoksa ger- adı ve şifre girmek suretiyle kimliği doğrulamanın yanı sıra dijital parmak izi; çekten insan mı olduğunu anlama amacıyla çok yaygın olarak Captcha (Captcha kimlik doğrulamada ikinci bir faktör olarak kullanılabilmektedir (Madde 29 Veri kelimesinin açılımı “Completely Automated Public Turing test to tell Computers Koruma Çalışma Grubu, 2014c). Örneğin, bir dijital parmak izi alma sistemi, ek and Humans Apart” olarak ifade edilmekte olup Türkçe karşılığı Bilgisayarları bir kimlik doğrulama faktörü sağlayarak cihaza dair parmak izini oluşturabil- ve İnsanları Ayırmak için Tamamen Otomatik Halka Açık Turing testidir.) sis- mekte ve bu parmak izine daha önce rastlanıp rastlanmadığını tespit edebilmek- temlerini kullanmaktadır. En fazla kullanılan ise Google’ın Recaptcha sistemidir. tedir. Kullanılan kimlik doğrulama sistemi, bu parmak izi daha önce görüldüyse Bu sistem dijital parmak izi doğrulamasını kullanmaktadır. “Ben robot değilim” eğer ek kimlik doğrulama faktörünün başarılı olduğunu belirten bir kimlik doğ- olarak işaretlendiğinde eğer sistem, parmak izine dayalı olarak kullanıcının gü- rulama jetonu göndermektedir. Eğer parmak izi daha önce görülmediyse kimlik venilir olduğunu tespit edebilirse ekstra güvenlik önlemi olan istenilen öğenin doğrulama sistemi ek faktör olarak tek seferlik bir şifre doğrulaması yapmaktadır. yer aldığı resim seçme işlemini uygulamamaktadır (Segers, 2021). Söz konusu doğrulama sağlanırsa, bu cihaza dair parmak izi, ek bir faktör olarak gelecekteki kimlik doğrulaması için kullanıcı cihazıyla ilişkili olarak saklanmak- Kimliği doğrulanmış bir kullanıcı için yalnızca çerezin veya çerezle birlikte IP tadır (Grajek, Liu, Quach ve Lo, 2018). adresinin ilişkili olarak muhafaza edilmesi, oturum çalma saldırılarında veya özellikle hareketli ortamdaki mobil networklerde dinamik IP’lerin sık değişimi Web Analitiği hem kullanıcıya iyi bir deneyim sunmayacak hem de saldırganın meşru bir kul- lanıcıyla aynı IP adresine sahip olduğu durumlarda saldırı tespitini de zorlaştı- Dijital Analitik Birliği’nin (eski adıyla Web Analitiği Birliği) resmî tanımına göre racaktır (Segers, 2021). Bu tür durumlar göz önünde alındığında dijital parmak web analitiği; ölçüm elde etme, analiz etme ve web deneyimini anlama ve iyileş- izi dolandırıcılığın önlenmesinde risk bazlı bir doğrulama yöntemi olarak kulla- tirme amacıyla internetten toplanan verinin raporlanmasını ifade etmektedir nılmaktadır (Segers, 2021). (Bekavac ve Praničević, 2015). Ölçüm; sayılar, oranlar ve anahtar performans göstergeleri (key performance indicator-KPI) şeklinde ifade edilir (Web Analytics Siber Saldırı Amaçlı Olarak İstihbarat Toplama Association, 2010). Herhangi bir kuruluşun KPI göstergesi web iş modeline göre değişkenlik gösterecektir. İş modeli; belirli bir kuruluşa gelir oluşturan ürün veya Kötücül reklamcılık (malvertising) tekniği aracılığıyla kötücül bir yazılımın hedef hizmete yeni bir değer katan yöntem olarak tanımlanmaktadır. Temel Web iş cihazlara dağıtımı yapılabilmektedir. Bir reklam bandının sayfaya yüklenmesi modelleri; (1) Simsarlık (brokerage), (2) Reklam modeli (3) Bilgi temsilcisi mo- sessiz sayfa yönlendirmeleri ile kötücül yazılım yüklenmesine neden olabilmekte- deli, (4) Ticari model, (5) Üretim modeli, (6) Bağlı kuruluş/ortak çalışma modeli, dir. Saldırganlar reklam ağlarını bu şekilde istismar ederek sahte reklam verenler (7) Sanal topluluk modeli, (8) Abonelik modeli ve (9) Yardımcı/fayda hizmetler 534 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 535 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI olarak sıralanmaktadır (Bekavac ve diğerleri, 2015). Her ne kadar bazı analitik araçlar mahremiyet odaklı olarak çalıştığında, kulla- nıcıyı tanımlama süresi bakımından bir sınırlılıkla hareket etse de performans Web analitiği hakkında yapılan bir araştırma kapsamında 570 katılımcının “Kuru- odaklı analitik araçları kullanmayı hedefleyen bir kuruluşun daha doğru bilgi luşunuzda bir işlev olarak web analitiğinin amacı nedir? (Birden fazla yanıt verile- elde etme amacıyla kullanıcıları daha uzun süre benzersiz olarak tanımlamayı bilmekteydi.)” sorusuna vermiş olduğu cevaplar neticesinde ortaya çıkan sonuçlar; talep etmesi işletmenin performans hedefinin doğal bir sonuç olarak karşımıza çıkabilecektir. Dijital parmak izi de özelliği bakımından sürekli bir tanımlayıcı » Web sitesi işlevselliğini ve dönüşümünü optimize etme (yüzde 79,7), olabildiği ve farklı tarayıcılar arası takibi mümkün kıldığı göz önünde bulundu- » Geçmiş performansın analizi (yüzde 73,7), rulduğunda, analitik amaçlı olarak kullanılmasının performansı arttırması bek- » Pazarlama kampanyalarının performansını ve dönüşümlerini optimize etme lenebilir. Bazı çevrim içi hizmetler tarafından, AB hukuku kapsamında çerezlerin analitik ölçüm amaçlı olarak kullanımında rıza almaktan kaçınmak için çerezlere (yüzde 67,3), alternatif olarak dijital parmak izi çıkarma yönteminin kullanılması önerilmiştir » A/B ve çok değişkenli testler yoluyla en iyi yaratıcı uygulamaları belirleme (Madde 29 Veri Koruma Çalışma Grubu, 2014c). Bu durum, çerez kullanımında rıza almaktan kurtulmak ve dijital parmak izi kullanarak görünmez bir şekilde (yüzde 49,8), amacın gerçekleştirilmesi olarak yorumlanabilecektir. » Sitenin yeniden tasarımı için temel bilgiler (yüzde 48,6), » Gelecekteki pazarlama kampanyalarını geliştirmek için tahmine dayalı met- Güncelleme rikler (yüzde 41), Cihazlarda gerekli güncellemelerin yapılması için dijital parmak izi teknoloji- » Yaklaşan iş hedefleri için bütçeleme ve planlama (yüzde 32,7), si kullanılabilmektedir. Bu yöntem sayesinde, basit bir güvenlik taramasıyla, ağ » Diğer (yüzde 5,6) üzerinde binlerce farklı konfigürasyonu idare eden sistem yöneticileri, kolaylıkla eski bileşenlere sahip cihazları tanımlayarak düzeltmeleri ve güncellemeleri çok olarak sıralanmıştır (Web Analytics Association, 2011). hızlı bir şekilde ilgili cihazlara uygulayabilecektir (Laperdrix ve diğerleri, 2020). Web analitiğinde, bir sunucunun log dosyaları analizi veya web sayfalarının Örneğin, finansal kuruluşlar çevrim içi işlemlerin güvenliğini sağlamak üzere, javascript komut dosyaları aracılığıyla etiketlenmesi sonucunda veri elde edile- sunucu güvenliği için ciddi anlamda güvenlik önlemi almaktadır. Bunun yanı bilmekte olup bu yöntemlerden ikincisi daha popüler olarak kullanılmaktadır sıra kullanıcı cihazının güvenliğini de göz önünde bulundurmak amacıyla alı- (Bekavac ve diğerleri, 2015). nan önlemler kapsamında dijital parmak izi kullanılabilmektedir. Örneğin; artık desteklenmeyen IOS işletim sistemine sahip bir cihaz, ortaya çıkan zafiyetler için Profesyoneller tarafından yaygın olarak kullanılan web analitik araçlarının ilk güncelleme alamayacaktır. Bu durumda kurumlar dijital parmak izi aracılığıyla dokuzunda sırasıyla, Google Analitik, Mixpanel, Kissmetrics, Adobe Analitik, güncel olmayan sistemlerin tespitini yaparak kullanıcıları bu konuda bilgilen- Matomo, Open Wn Analytics, Woopra, Hotjar, HubSpot araçlarının yer aldığı direbilecek veya işlem güvenliği için bu cihazlarda uygulamaların kullanımını görülmüştür (“Top 12+ web analytics tools to improve your site and grow your kısıtlayabilecektir (Segers, 2021). business”, 2023). Web Analitiği Derneği Görünüm Raporunda tüm web analitiği endüstrisinin yüz yüze geldiği sorunlar arasında 4. sırada “mahremiyet” yer al- Kullanıcı Ara Yüzü Kontrolü maktadır (Web Analytics Association, 2011). Mahremiyet odaklı analitik araçla- rın özellikleri arasında; açık kaynak kodlu olması, bir günlük bir süre diliminde Dijital parmak izi, masa üstü bir bilgisayardaki web tarayıcısının yapılandırma kullanıcıyı benzersiz olarak tanımlaması gibi özellikler sayılabilmektedir. Anali- ayarlarıyla sınırlı değildir. Ayrıca, bu teknoloji belirli bir protokole bağlı olmayıp tik ölçümde, örneğin IP bilgisinin, kullanıcı aracısı bilgisinin ve günlük olarak mobil cihazlar, akıllı televizyonlar, oyun konsolları, e-kitap okuyucular, internet oluşturulan bir salt değerinin toplu olarak özet fonksiyonundan geçirilmesi gibi radyoları, araç içi sistemler, akıllı sayaçlar gibi birçok çeşitte internete bağlı ci- benzeri yöntemlerle her bir kullanıcının bir önceki günkü tanımlayıcısı arasında bağlantı kurulmasının önlenmesi, IP bilgisi veya kullanıcı aracı bilgisinin loglar dahilinde, veri tabanında veya diskte saklanmaması gibi önlemlerle mahremiye- tin korunması amaçlanabilir (Plausible, t.y.). 536 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 537 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI hazda dijital parmak izi kullanımı mümkündür (Madde 29 Veri Koruma Çalışma Somut olayda tanımlayıcıların, tanımlama durumu değişken olabilmektedir. Ör- Grubu, 2014c). neğin; çok sık rastlanan bir soyadı bir ülke içinde kişiyi tanımlamak için yeterli olmaz iken bir sınıf içerisinde tanımlamak için yeterli olabilmektedir. Trafik ışık- Çoğu durumda web sitesinde yer alan içeriklerin cihazın teknik özelliğine göre larında bekleyen siyah takım giymiş adam tabiri dahi trafik ışıklarında bekleyen uyumlulaştırılması gerekmektedir. Örneğin; bir web sitesi içeriğine bir tablet veya adamı tanımlamak için kullanılabilir. Bu yüzden kişiyle ilişkili bilginin bir kişiyi bir akıllı TV aracılığıyla ulaşılması durumuna göre web sitesinin görüntüleneceği tanımlayıp tanımlamaması durumu somut olayda değişkenlik göstermektedir ekran boyutu birbirinden farklı olacaktır. Bir web sitesi veya bu web sitesinde yer (Madde 29 Veri Koruma Çalışma Grubu, 2007). alan içerikler nedeniyle ziyaret edilen web sitesi operatörü dışındaki bir taraf, kullanıcı cihazının teknik özelliklerini sorgulayabilmektedir (Madde 29 Veri Ko- 2011 yılında www.youronlinechoices.eu adresindeki internet sitesinde çoğu du- ruma Çalışma Grubu, 2014c). Bu teknik özellikler, aynı zamanda dijital parmak izi rumda, reklam gösterimi amacıyla toplanan bilginin kişisel veri olmadığı, söz çıkarılmasında kullanılan nitelikler, veri noktaları olarak da karşımıza çıkabile- konusu bilginin kişiyi tanımlamadığı iddia edilmiş olsa da Madde 29 Çalışma Gu- cektir. Bu öz niteliklerin takip amaçlı kullanılıp kullanılmadığının tespitinde, elde rubu’nun 02/2010 sayılı Görüşünde, davranışsal reklamcılığın, çerez veya cihaz edilen veri noktalarının sayısı ve elde edilen veri noktalarının kullanım amacıyla parmak izi gibi benzersiz tanımlayıcıların işlenmesini kapsadığı ifade edilmiştir bağlantılı ve ölçülü olup olmadığı değerlendirilebilecektir. (Madde 29 Veri Koruma Çalışma Grubu 2010b). Bu tür benzersiz tanımlayıcılar, IP adresi silinse veya anonim hale getirilse dahi kullanıcıların takibine imkân KARŞILAŞTIRMALI HUKUKTA DİJİTAL PARMAK İZİNE tanımakta, yani bu tanımlayıcılar aracılığıyla davranış takibi amacıyla kullanı- İLİŞKİN ÇEŞİTLİ DÜZENLEMELER cı tekilleştirilmektedir, dolayısıyla benzersiz tanımlayıcılar kişisel veri olarak nitelendirilmektedir (Madde 29 Veri Koruma Çalışma Grubu, 2011). Benzersiz Dijital Parmak İzinin Kişisel Veri Niteliği tanımlayıcıların kişinin kimliğini belirlemediği iddiaları veri koruma kuralları kapsamından çıkmak amacıyla üretilse de başarıya ulaşamamıştır. Dijital parmak izinin kişisel veri olarak değerlendirilmesi açısından bazı belir- sizlikler gündeme gelebilecektir. Reklam ekosistemindeki taraflar dijital parmak www.youronlinechoices.eu isimli sitenin Birleşik Krallık için hazırlanan güncel izi gibi çevrim içi tanımlayıcıların kişisel veri kapsamı içinde yer almadığı iddia durumuna ulaştığımızda, çerez veya dijital parmak izi gibi benzeri teknolojiler edebilir, ancak çoğu ülke; mevzuatında, emsal kararlarında veya rehberlerinde aracılığıyla davranışsal reklam sunulmasında, kişisel veri işlenmediği yönünde cihaz tanımlayıcılarını açık olarak kişisel veri olarak tanımaktadır (Sallinger Pri- herhangi bir açıklamanın yer almadığı gözlemlenmektedir. Ancak aynı sitenin vacy, 2020). Dijital parmak izi çıkarılmasını kapsayan işleme faaliyetlerine kişisel Türkiye için hazırlanan versiyonuna ulaştığımızda, davranışsal reklamcılık için veri koruma kurallarının uygulanması bakımından, bu merkez unsurun analizi “kişisel bilgilerin toplanmadığı, isim, adres veya e-posta adresi gibi hiçbir bilgi kul- önem arz etmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Ka- lanılmadığı ve gerçek dünyadaki kimliğiniz tespit edilmediği, sistemde web tarama nun) temel aldığı 95/46/AT sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı aktivitenize ilişkin veriler anonim olarak toplandığı ve analiz edildiği” ifadelerine Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Bir- rastlanmaktadır. liği Konseyi Direktifi’nin (Direktif) ikinci maddesinin (a) bendinde kişisel veri tanımlanmaktadır. Direktif ’te yer alan kişisel veri tanımında; (i) Kişisel verinin Madde 29 Veri Koruma Çalışma Grubunun 2/2010 sayılı “Çevrim İçi Davranış- kimliği belirli veya belirlenebilir gerçek kişiye ilişkin herhangi bir bilgi olduğu, sal Reklamcılık Hakkında Görüşü”nde; davranışsal reklamcılık yöntemlerinin, IP (ii) Kimliği belirlenebilir gerçek kişinin doğrudan veya dolaylı olarak kimliğinin adreslerinin toplanmasını ve benzersiz tanımlayıcıların, örneğin dijital parmak belirlenebileceği, (iii) Özellikle kimlik numarasıyla veya onun fiziksel, psikolojik, izinin, işlenmesini gerektirdiği ifade edilmiştir (Madde 29 Veri Koruma Çalışma ruhsal, ekonomik, kültürel veya sosyal kimliğine özgü bir veya birden fazla etmen Grubu, 2010b). Ancak, IP adresleri dinamik olarak zaman içinde değiştiği için ile kimliğinin belirlenebileceği ifade edilir. Bir kişi ismi ile direkt veya telefon kullanıcı takibinde benzersiz tanımlayıcılardan faydalanılarak yapılan çevrim içi numarası araba plakası, sosyal güvenlik numarası, pasaport numarası aracılığıy- takip daha stabil hale getirilmektedir. Söz konusu görüşte; ilgili kişilerin gerçek la dolaylı olarak tanımlanarak veya dâhil olduğu gruptaki insanlar yaş, mesleği, ismi bilinmese dahi, benzersiz tanımlayıcılar aracılığıyla bireylerin “tekil hale ikametgâhı gibi verilerle daraltılmasını sağlayan bir kritere göre tanımlanabilir. getirildiği” ifade edilmiştir (Madde 29 Veri Koruma Çalışma Grubu, 2010b). 538 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 539 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI 95/46/AT sayılı Direktif ’in kişisel veri tanımı içerisinde doğrudan çevrim içi- gerekmektedir. GVKT’nin çevrim içi tanımlayıcılar hakkındaki 30’uncu gerekçe tanımlayıcılar yer almasa da Madde 29 Çalışma Grubunun cihaz parmak izine maddesinde ise; kişiler cihazları, uygulamaları, araçları ve protokolleri tarafın- 2002/58/AT sayılı Direktif ’in uygulanmasına ilişkin görüşünde; cihaz parmak dan sağlanan çevrim içi tanımlayıcılar aracılığıyla kişilerle (IP adresleri, çerez izinin kişisel veri olabileceği, örneğin birkaç bilgi öğesi, özellikle IP adresi gibi tanımlayıcıları gibi diğer tanımlayıcılar) ilişkilendirilebildiği ifade edilmektedir. benzersiz tanımlayıcılar birleştirildiğinde ve işlemenin amacı kullanıcıları zaman GVKT’nin 30’uncu gerekçe maddesinin devamında; bu durumun özellikle sunu- içinde ve siteler arası tanımlamak olduğunda (örneğin; davranışsal reklamcılık) culara iletilen benzersiz tanımlayıcılar ve diğer bilgilerle birleştirildiğinde, gerçek veri koruma kurallarına uyum sağlanması gerektiği açıkça ifade edilmiştir (Mad- kişilerin profillerini oluşturmak ve onların kimliğini belirleme kullanılabilecek de 29 Veri Koruma Çalışma Grubu, 2014c). izler bırakabildiği belirtilmektedir. Ayrıca, davranışsal reklamcılık kapsamında elde edilen bilgi, bir kişi hakkında oldu- Dijital ekonominin gerçekleri, kimliği belirlenebilir bireyin mahremiyetine zarar ğundan kişiyle içerik kriteri bakımından ilişkilendirilmektedir. Zira bu kapsamda verileceği varsayımına meydan okumaktadır. Bir kitle içinde belirlenenler, kimliği elde edilen bilgi belirli bir kişinin özellikleri ve davranışlarıdır. Ayrıca elde edilen bilinmese veya bilinebilir olmasa dâhi birey düzeyinde çevrim içi olarak takip bu bilgi belirli bir kişiyi etkilemek amacıyla kullanılarak amaç kriteri bakımından edilmekte, profillenmekte, hedeflenmekte, iletişim kurulmakta veya kişi üzerinde ilgili kişiyle ilişkilendirilmektedir (Madde 29 Veri Koruma Çalışma Grubu 2010b). etkileri olan bir karara ya da davranışa maruz bırakılmaktadır (Johnston, 2020). GVKT’nin açıklayıcı maddelerinde (resitallerinde) tekil hale getirme kavramına Öte yandan, herhangi bir zamanda ilgili kişi tarafından sağlanan doğrudan ta- yer verilmesi veya kişisel veri tanımı kapsamında çevrim içi tanımlayıcı kavramı- nımlayıcı bilgi ile kullanıcı profillerinin ilişkilendirilme olasılığı da bulunmak- na yer verilmesinin kişinin kimliğinin belirlenebilir olmasının dar yorumlanma- tadır. Örneğin dijital parmak izi aracılığıyla kullanıcıyı çevrim içi takip eden bir ması gerektiğinin bir göstergesi olduğu anlaşılmaktadır. sosyal ağda kişi bir üyelik hesabı oluşturduğunda veya mevcut üyelik hesabına giriş yaptığı durumda kişinin kimliğinin belirlenmesi söz konusu olacaktır. Ki- 2018 tarihli Birleşik Krallık Veri Koruma Kanunu’nun (DPA) 3’üncü maddesinin şinin kimliğinin belirlenme olasılığı yalnızca bununla sınırlı değildir; şirket bir- ikinci fıkrasında kişisel veri; kimliği belirli veya belirlenebilir yaşayan bir bireye leşmeleri, veri ihlali sonucu oluşan veri kayıpları, internete açık kişisel veriye ilişkin bilgi olarak tanımlanmaktadır. Aynı maddenin üçüncü fıkrası uyarınca, ulaşılabilirliğin artması gibi nedenler de sayılabilecektir (Madde 29 Veri Koruma ilgili kişi; “(a) bir isim, kimlik numarası, konum verisi veya çevrimiçi tanımlayıcıyı Çalışma Grubu 2010b). veya (b) bireyin sosyal, kültürel, ekonomik, ruhsal, genetik, psikolojik, fiziksel kimliğine özgü bir veya birden fazla etmen”i referans alarak direkt veya dolaylı AB Genel Veri Koruma Tüzüğü (GVKT) kişisel veri kavramını 4’üncü maddesinin olarak kimliği belirlenebilir yaşayan bir birey olarak tanımlanmıştır. Bu tanım birinci fıkrasında tanımlanmış olup, Direktif ve GVKT’de yer alan kişisel veri ta- GVKT’nin kişisel veri tanımıyla uyuşmakla beraber, GVKT’de gerçek kişi kullanı- nımına baktığımızda; Direktif ’ten farklı olarak GVKT’de konum verisi, çevrim içi lırken DPA 2018’de kişisel veri tanımında yaşayan birey kavramına yer verilmiştir. tanımlayıcı aracılığıyla ve genetik olarak gerçek kişinin kimliğinin belirlenebile- ceği ifade edilmektedir. GVKT’nin 26’ncı resitaline göre; gerçek kişinin kimliğinin Birleşik Krallık Veri Koruma Ofisi ICO tarafından çerez benzeri teknolojiler ara- belirlenebilir olup olmadığını belirlemek örneğin tekil hale getirme (single out) sında sayılan dijital parmak izi; belirli bir cihazı benzersiz şekilde tanımlamak (Bir kişiyi bir grup insan içinden seçip ayırmak, tekilleştirmek GVKT’de “single amacıyla bir dizi bilgi öğesini birleştirmeyi içeren bir teknik olarak tanımlamak- out” terimi ile karşımıza çıkarken aynı anlamda “individuation” terimi de kul- tadır (Information Commissioner’s Office, t.y.b). Bir cihazın konfigürasyonundan lanılabilmektedir.), yani bir kişiyi bir grup insan içinden kişiyi direkt veya do- elde edilen veriler, belirli ağ protokollerinin kullanımıyla açığa çıkan veriler, CSS laylı olarak belirlemek, amacıyla veri sorumlusu veya başka bir kişi tarafından bilgisi, Javascript nesneleri, HTTP başlık bilgisi, saat bilgisi, TCP yığın varyasyonu, kullanılabilecek makul muhtemel tüm araçlar göz önünde bulundurulmalıdır. yüklü yazı tipleri, tarayıcıda yüklü eklentiler, herhangi bir API’nin kullanımı gibi Söz konusu araçların kişiyi tanımlamak amacıyla kullanılmasının makul olarak veri noktalarıyla sınırlı olmamak üzere bu veri noktalarından veri türetilerek muhtemel olup olmadığını belirlemek için işlemenin gerçekleştiği sıradaki ula- oluşturulan dijital parmak izi; kişiyi, tarayıcı veya cihazı tekilleştirmede, ilişkilen- şılabilir teknoloji ve teknolojik gelişmeler ile kimlik belirleme için ihtiyaç du- dirmede, çıkarım yapmada kullanılabilmektedir (Madde 29 Veri Koruma Çalışma yulan zaman ve maliyet gibi tüm objektif etmenlerin birlikte değerlendirilmesi Grubu, 2014c), (Information Commissioner’s Office, t.y.b). 540 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 541 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Dijital parmak izi çıkarımında toplanan bilgi öğelerini daha önce de ele aldığımız Bununla birlikte, kişisel verilerin işlenmesinde farklı tarafların iş birliği yapması, gibi IP adresleri veya çerezler vb. diğer bilgilerle birleştirmek de mümkündür. ICO her durumda ortak veri sorumlusu oldukları anlamına gelmemektedir. Ortak da GVKT’nin 30’uncu gerekçe maddesinde açıklanan çevrim içi tanımlayıcıları bir amaç veya araç paylaşmadan iki taraf arasındaki veri alışverişi vuku bulma- göz önünde bulundurarak DPA 2018’i uygulamaktadır. Dijital parmak izi çevrim sı, yalnızca ayrı veri sorumluları arasında bir veri aktarımı olarak düşünülmesi içi tanımlayıcılar arasında yer almakta olup kişisel veri olduğu belirli durumlar- gerekmektedir. da veri koruma kuralları uygulanmaktadır. Örneğin kullanıcının hesabına giriş yaptığı bir durumda kimlik doğrulanması amacıyla dijital parmak izi kullanıldığı Ortak veri sorumluluğu için içtihat oluşturan önemli kararlardan birisi de Avru- takdirde, dijital parmak izi aracılığıyla kişisel veri işlenmesi gündeme gelebilecek- pa Adalet Divanı tarafından verilen Fashion ID Kararıdır. Fashion ID kararındaki tir. Çevrim içi tanımlayıcıların tek başına veya mevcut olabilecek diğer verilerle taraflar arasında yer alan Fashion ID GmbH & Co. KG, moda ürünleri satan bir birlikte bir kullanıcıyı diğerinden ayırt etmek için kullanılıp kullanılamayacağı- çevrim içi perakendeci olup web sitesine Facebook beğen butonunu yerleştir- nın hususunda değerlendirme yapmak suretiyle kişinin kimliğinin belirlenebilir miştir. Bir kullanıcı Fashion ID’nin web sitesine girdiğinde, o kullanıcı hakkında olup olmadığının kontrol edilmesi tavsiye edilmektedir. (Information Commis- IP adresi ve tarayıcı dizisi bilgileri (Yüksek Mahkeme IP ve tarayıcı dizesinin tek sioner’s Office, t.y.a). başına veya birlikte mi kişisel veri olup olmadığını tartışmamış, bu değerlendir- meyi ulusal mahkemeye bırakmıştır.) Facebook’a aktarılır. Bu aktarım, kullanı- Dijital parmak izi için elde edilen veri noktalarının sayısı ve entropi miktarının cının “Beğen” düğmesini tıklayıp tıklamadığına ve bir Facebook hesabına sahip kullanıcıyı benzersiz olarak tanımlamak açısından önemli olduğunu dile getir- olup olmadığına bakılmaksızın Fashion ID’nin web sitesi yüklendiğinde otomatik miştik. Bir çevrim içi hizmetin alınması esnasında, veri sorumlusuna açıklanan olarak gerçekleşmektedir (Avrupa Birliği Adalet Divanı (ABAD), 2018). veri kümesi sayesinde dijital parmak izi çıkarılabilecektir. Dijital parmak izi ara- cılığıyla kişi, çevrim içi olarak tekilleştirilerek kişiyle oluşturulan tanımlayıcı de- Fashion ID’nin web sitesine “beğen” butonu yerleştirmesindeki amaç Facebook ğeri kişiyle ilişkilendirilebilecek veya kişi hakkında çıkarım yapılması söz konusu sosyal ağı aracılığıyla ürünlerinin görünürlüğünü arttırmaktı. Veri, sonraki kendi olabileceğinden, kişisel veri işlenmesi gündeme gelecektir. ticari amaçları için Facebook İrlanda’ya aktarılmıştır (ABAD, 2018). Bu yüzden Fashion ID, üçüncü taraf eklentiyi internet sitesine yerleştirmek suretiyle kullanı- Veri Sorumlusu – Veri İşleyen cının kişisel verini toplanmasına ve iletilmesine neden olmuş ve veri sorumlusu olarak değerlendirilmiştir. Öte yandan bu veri sorumlusunun (ortak) sorumlu- 95/46/AT sayılı Direktif ’te veri sorumlusu; kişisel verilerin işlenmesinin amaçlarını luğu kişisel verilerin işlenme amacı ve yöntemini etkin bir şekilde birlikte karar ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, verildiği faaliyetler için sınırlıdır. Rıza ve bilgilendirme yükümlülükleri, Fashion kamu otoritesi, kurum veya diğer herhangi bir organ olduğu ifade edilmektedir. ID’nin dahil olmadığı ve mantıksal olarak herhangi bir araç veya amaç belirleme- diği veri işlemenin sonraki aşamalarını kapsamamaktadır (ABAD, 2018). Kişisel verilerin işleme amacını ve vasıtasını tek başına veya birlikte belirleyen tüzel veya gerçek kişilerin veri sorumlusu olabilmesinin belirtilmesi 95/46/AT Aktif dijital parmak izi çıkarılması yöntemi kapsamında bir internet sitesine veya sayılı Direktif döneminde de ortak veri sorumluluğunun kabul edildiği anlamına uygulamaya yerleştirilen bir javascript kodu aracılığıyla veya HTTP paketi kapsa- gelmektedir. Direktif döneminde Madde 29 Çalışma Grubunun veri sorumlusu mında kullanıcı cihazı veya uygulama örneğinin belirli özelliklerini üçüncü bir ve veri işleyen hakkında görüşünde; Direktif ’te yer alan veri sorumlusunun or- tarafa iletilmesi yoluyla benzersiz bir tanımlayıcı oluşturulması ile bu tanımla- tak olarak kişisel veri işleme amaç ve yöntemlerini belirlenmesine ilişkin olarak; yıcı sayesinde kişinin belirlenmesi, bu yöntemlerle kişinin cihazı hakkında bilgi sorumluluğun eşit olarak paylaşılmasına gerek olmadığı, işlemenin tüm amaç toplanması kişisel veri işleme faaliyeti olarak değerlendirilebilecektir. Burada ve yöntemlerinin belirlenmesinde çok yakın bir ilişki olabileceği gibi örneğin, verilerin iletilmesi noktasında reklam geliri gibi ekonomik fayda gören web si- yalnızca amaçları veya araçları veya bunların bir kısmını paylaşmak gibi daha sıkı tesi yayımcısının verilerin üçüncü tarafa iletilmesi konusunda veri sorumlusu olmayan bir ilişki içerisinde olabileceği ifade edilmiştir (Madde 29 Veri Koruma olabileceği değerlendirilebilecektir. Bu noktada, bu kod parçacığı aracılığıyla Çalışma Grubu, 2010a). reklam ağına iletilen veri işlenmeye devam edecek olup reklam ağı sahibi de veri sorumlusu olabilecektir. Söz konusu işleme faaliyetleri “ortak bir amaç” olarak 542 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 543 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI davranışsal reklamcılık ve “ortak bir araç olarak” ise dijital parmak kullandığı • Kullanıcılar, terminal ekipmanlarında bir çerez veya benzeri bir aracın sak- çıkarımı yapılabileceği değerlendirilmektedir. İki tarafın da bu konuda iş birliği lanmasını reddetme fırsatına sahip olması gerektiği, gerektiğinden, ortak veri sorumluluğu gündeme gelecektir. Bununla birlikte web sitesi operatörünün hizmet satın alması ile işlemenin temel amaç ve yöntemleri- • Kullanıcının terminal ekipmanına kurulacak çeşitli cihazların aynı bağlantı ne tek başına karar verdiği durumda, veri sorumlusu olarak web sitesi operatörü- sırasında kullanımı için ve ayrıca bu cihazların sonraki bağlantılarda daha nün bir veri işleyenden hizmet satın alımı yapıldığı değerlendirilebilecektir. Böyle sonraki kullanımlarını da kapsayacak şekilde bilgi ve reddetme hakkının bir bir senaryo, bir web sitesi tarafından analitik ölçüm hizmetlerinin kullanılması kez sunulabileceği, halinde söz konusu olabilecektir. • Bilgi verme, reddetme hakkı sunma veya izin isteme yöntemleri mümkün İşleme Şartları ve Genel İlkeler olduğunca kullanıcı dostu olması gerektiği, Çevrim içi takip teknolojilerinin kullanılması söz konusu olduğunda, AB huku- belirtilmektedir. kunda öncelikle elektronik haberleşme hizmetlerinde kişisel verilerin korunma- sına ilişkin düzenleme olan 2002/58/AT sayılı Direktif, GVKT öncesinde 95/46/ Direktif ’in işleme şartlarıyla ilgili olan maddesi olan 5’inci maddesinin üçüncü AT sayılı Veri Koruma Direktifi, mevcutta ise Genel Veri Koruma Tüzüğü’ne uyum- fıkrası uyarınca; luluk gözetilmelidir. AB üyeleri ülkeler, 2002/58/AT sayılı Direktifi, iç hukukla- rında ilgili veri koruma kanunlarına kapsamında veya ayrı özel bir kanun olarak • Elektronik iletişim ağı üzerinden bir iletişimin gerçekleştirilmesi ya da ko- uygulamaya koymaktadır. laylaştırılması veya 2002/58/AT sayılı E-Gizlilik Direktifi’nin 24’üncü giriş hükmünde; • Abone veya kullanıcı tarafından açıkça talep edilen bir bilgi toplumu hizme- tini sağlamak için kesinlikle gerekli olan herhangi bir teknik depolama veya • Ajan yazılımlar, web bugs, gizli tanımlayıcılar veya diğer araçların; bilgiye erişim hariç olmak üzere, diğer depolama ve erişim faaliyetleri için veri so- erişmek, bilgi depolanması veya kullanıcının hareketlerinin izlenmesi amaç- rumlusu tarafından işleme amaçları ve söz konusu işlemeye itiraz etme hakkı larıyla kullanıcının terminal cihazına kullanıcının bilgisi dışında giriş yapa- tanınarak 95/46/AT sayılı Direktif ile uyumlu olarak yalnızca ilgili abone veya bileceği ve kullanıcının mahremiyetine ciddi bir şekilde zarar verebileceği, kullanıcıya açık ve kapsamlı bilgi sağlanması koşuluyla kullanıcı veya abone tarafından izin verilmesi durumunda gerçekleştirilebileceği, • Bu tür araçların kullanımına ilgili kullanıcıların bilgisi dahilinde, yalnızca meşru amaçlarla izin verileceği, belirtilmektedir. düzenlenmiştir. 2002/58 sayılı E-Gizlilik Direktifi’nin 25’inci giriş hükmünde ise; 2002/58/AT sayılı Direktif ’in 5’inci maddesinin üçüncü maddesi ile elektronik haberleşme şebekesinin kullanımı, kullanıcının terminal cihazına bilgi depo- • Örneğin “çerezler” olarak adlandırılan bu tür araçların, örneğin web sitesi lamak veya depolanan bilgiye erişimi belirli şartlar altında kullanıcı rızası ol- tasarımının ve reklamın etkinliğinin analiz edilmesinde ve çevrim içi işlem- maksızın gerçekleştirilebilmektedir. Bu durumlar haricinde kullanıcının rızası lerde bulunan kullanıcıların kimliğinin doğrulanmasında meşru ve faydalı zorunlu kılınmıştır. Madde 29 Veri Koruma Çalışma Grubu’nun dijital parmak izi bir araç olabileceği, çıkarımı hakkındaki görüşü (2014c) ile söz konusu maddenin dijital parmak izine uygulanması benimsenmiştir. Ancak dijital parmak izi çıkarımı, doğrudan kulla- • Bu tür araçların, bilgi toplumu hizmetlerinin sağlanmasını kolaylaştırmak nıcı cihazına erişerek bilgi toplanması suretiyle gerçekleşebildiği için aslında bir gibi meşru bir amaç için tasarlandığı durumlarda, 95/46/AT sayılı Direktif depolama faaliyeti, buna bağlı olarak depolanan bilgiye erişimi gerektirmemek- uyarınca kullanıcılara açık ve kesin bilgiler sağlanması koşuluyla kullanım- tedir. Dijital parmak izi tekniğinin bu özelliği göz önünde bulundurulduğunda, larına izin verilmesi gerektiği, E-Gizlilik Direktifi’nin 5’inci maddesinin üçüncü fıkrasının bu açıdan yeniden ele 544 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 545 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI alınması gerektiği değerlendirilmektedir. Madde 29 Veri Koruma Çalışma Grubu ğında, web sitesi bağlamında dijital parmak izi kullanımının amaçları hakkında tarafından dijital parmak izi kullanımının öncelikle 2002/58/AT sayılı Direktif ’in bilgi verilmeksizin rıza alınması durumunun ortaya çıkmasına neden olacaktır uygulama alanına girdiği hususuna açıklık getirilmiştir (Madde 29 Veri Koruma (Madde 29 Veri Koruma Çalışma Grubu, 2010b). Çalışma Grubu, 2014c). Örneğin dijital parmak izi çıkarımı yapan web sitesi ya- yımcısı bakımından da E-Gizlilik Direktifi kişisel veri işlenmesine bakılmaksızın Taslak durumda olan Elektronik Haberleşmede Özel Hayata Saygı ve Kişisel Ve- geçerli olacaktır. Bu Direktif ’in 5’inci maddesinin üçüncü fıkrasında belirtilen rilerin Korunması ile İlgili ve 2002/58/AT Sayılı Direktifi Yürürlükten Kaldıran istisnalar dışında kalan dijital parmak izi kullanımları için de kullanıcının açık Taslak Tüzük’ün 8’inci maddesinin birinci fıkrası ile; rızası gerekli olacaktır. Eğer dijital parmak izi aracılığıyla kullanıcı cihazında bilgi depolama veya buna erişim gerçekleşmesi sonucunda toplanan bilgi kişisel veri “Terminal cihazın işleme ve depolama yeteneklerinin kullanımı, yazılım olarak değerlendiriliyorsa, Direktif ’in 5’inci maddesinin üçüncü fıkrasına ek ola- ve donanım da dahil olmak üzere son kullanıcıların terminal cihazından rak GVKT de uygulama alanı bulacaktır. ilgili son kullanıcı dışında bilgi toplanması, aşağıdaki durumlar hariç ol- mak üzere yasaklanmıştır: E-Gizlilik Direktifi’nin 17’nci giriş hükmünde; bu Direktif ’in amaçları doğrultu- sunda, kullanıcı veya abonenin rızasının, 95/46/AT sayılı Direktif ’te tanımlandığı a. elektronik bir iletişimin bir elektronik iletişim ağı üzerinden iletiminin ger- ve ayrıca belirtildiği şekilde ilgili kişinin rızası ile aynı olduğu ifade edilmekte- çekleştirilmesi amacıyla gerekli olması veya dir. Kullanıcı bir internet sitesine girdiği zaman dijital parmak izi oluşturulması amacıyla bilgiye erişim mevcutsa, E-Gizlilik Direktifi uyarınca, söz konusu Di- b. son kullanıcının rıza vermesi veya rektif ’in 5’inci maddesinin üçüncü fıkrasında belirtilen istisna hallerdeki kul- c. son kullanıcı tarafından talep edilen bir bilgi toplumu hizmetinin sağlan- lanımlar dışında, kullanıcının veya abonenin rızasının özgürce ve bilinçli bir şekilde alınması gereklidir. Örneğin, benzersiz dijital parmak izi çıkarımına katkı ması için gerekli olması, veya sağlayan bazı niteliklere web sitesi yayımcısı veya alt şirketleri tarafından kimlik d. Son kullanıcı tarafından talep edilen bilgi toplumu hizmetinin sağlayıcısı doğrulama amacıyla erişim sağlandığı takdirde, bu kullanım E-Gizlilik Direktifi kapsamında sayılan istisna haller içinde yer alabileceğinden, kullanıcının rızası tarafından bu ölçümün yapılması şartıyla, web izleyici ölçümü için gerekli olmaksızın dijital parmak izi çıkarımı yapılması uygun olabilecektir. Diğer taraf- olması halinde.” tan, davranışsal reklamcılık amacıyla dijital parmak izi kullanımı söz konusu ise henüz dijital parmak izine katkı sağlayan erişim işlemleri gerçekleştirilmeden düzenlenmiştir. Taslak durumda bulunan Tüzük’te yer alan madde hükmünün önce E-Gizlilik Direktifi kapsamında kullanıcının rızasının alınmasının gerekli yukarıda yer verildiği şekilde kabulü halinde, söz konusu hüküm dijital parmak olduğu değerlendirilmektedir. izi çıkarma tekniğine uygun hale getirilmiş olacaktır. E-Gizlilik Tüzüğü Taslağı’nın 20’nci gerekçe maddesinde ise; Alınacak rızanın özgürce verilmesi, belirli bir konuda olması ve kullanıcının neye rıza gösterdiği hakkında bilgilendirilmiş olması gerekli olup verilen rızanın geri “- Son kullanıcının cihazıyla ilgili bilgiler, genellikle son kullanıcının bilgisi alınabilir olması da sağlanmalıdır. Bu anlamda tarayıcı ayarlarından verilen rıza olmadan, ‘cihaz parmak izi çıkarma’ gibi teknikler kullanılarak, tanımla- ise geçerli bir rıza olarak değerlendirilmemektedir. En sık kullanılan tarayıcılarda ma ve izleme amacıyla uzaktan da toplanabilir ve bu bilgiler, genellikle son dijital parmak izi kullanımı için bir önlem sayılabilecek “beni takip etme” seçene- kullanıcının bilgisi olmadan, kullanıcının mahremiyetine ciddi bir şekilde ği varsayılan olarak pasif gelmektedir. Tarayıcı ayarlarından ortalama bir kullanı- zarar verici nitelikte kullanılabilirliği, kullanıcıların hareketlerinin gözetimi cının bu seçeneği bulup işaretlemesi ve bunun farkında olmasını beklemek makul gerçekleştirilebildiği, değildir (Madde 29 Veri Koruma Çalışma Grubu, 2010b). Ayrıca tarayıcılarda yer - Çevrim içi davranışlarının izlenmesi veya cihazın konumunun takibi veya ter- alan “beni takip etme” seçeneğinin seçilmesi halinde bile web sitesi operatörleri minal cihazın işleyişini bozması son kullanıcılarına mahremiyetini tehdit ettiği” iş birliği içinde olmaksızın parmak izi çıkarmaya devam edebilecektir. Bununla birlikte, tarayıcı ayarlarıyla verilen rızanın toplu bir rıza olduğu dikkate alındı- ifade edilmiştir. “E-Gizlilik Tüzüğü Taslağı”nın 20’nci gerekçe maddesi ile doğru- dan dijital parmak izine atıf yapılarak bu tekniğin tanımlama ve gözetim amacıyla kullanılmasının mahremiyet açısından risk oluşturduğu vurgulanmıştır. 546 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 547 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI E-Gizlilik Direktifi’nin AB’de özel hayata saygının ve haberleşme gizliliğinin ko- 95/46/AT sayılı Direktif ’e dayalı olarak hazırlanmış olup kişisel veri kapsamı ol- runmasının verimliliği etki analizi ile değerlendirilmiştir. Etkinlik ve verimlilik dukça geniş tutulmuştur. Kişisel veri kavramının yorumlanması açısından kanun adına bu Direktif ’in hedefleri tamamıyla karşılamadığı sonucuna varılmıştır. Di- koyucunun iradesini anlamak amacıyla incelenen Adalet Komisyonu Raporunda; rektif ’te bazı hükümlerin net bir şekilde yazımı ve yasal kavramlardaki belirsiz- kişisel veri kavramının kapsamı itibarıyla çok geniş bir alanda tezahür ettiği be- lik, uyumlaştırmayı tehlikeye atmış, bu yüzden şirketlerin sınır ötesi faaliyetinde lirtilmektedir. Kanun’un ana unsuru olan kişisel verinin kapsamını yorumlarken güçlükler ortaya çıkmıştır. Direktif ’teki rıza kuralı ile son kullanıcıların ne olduğu teknolojinin değişen gerçeklerini göz önünde bulundurarak Kanun koyucunun hakkında bir fikir sahibi olmaksızın izleme çerezlerini kabulünün talep edildiği, iradesinin zamana göre yorumlanması doğru olacaktır. Bireyleri dijital ortamda hatta bazı hallerde kullanıcı rızası olmaksızın çerezlerin terminal cihazda oluş- takip etmek amacıyla kullanılan benzersiz bir tanımlayıcının eğer onlar üzerin- turulması gibi nedenlerle Direktif ’in amacına ulaşamadığı değerlendirilmiştir. de bir etkisi varsa kişiselleştirilmiş içerik sunuluyorsa, birey için ortaya çıkan Rıza alınmasının gerektiği durumlarda, mahremiyetle ilgisiz uygulamaların da herhangi bir etkisi varsa ya da muhtemelse ya da birey bakımından herhangi kapsama dahil edilmesi nedeniyle rıza alma kapsamının geniş olduğu ve cihaz- bir sonuca yol açıyorsa bu tanımlayıcının ve bu tanımlayıcı ile ilişkili toplanan da erişim veya depolamaya gerek duyulmayan takip tekniklerinin (örnek olarak; bilgilerin kişisel veri olarak ele alınması gerektiği değerlendirilmektedir. dijital parmak izi çıkarma) Direktif ’te açıkça yer almaması bakımından eksik olduğu değerlendirilmiştir (Ayrıca bkz. https://eur-lex.europa.eu/legal-content/ Davranışsal reklamcılık, satış veya pazarlama veya analitik amacıyla izleme, gü- EN/TXT/HTML/?uri=CELEX:52017PC0010&from=EN). venlik, kimlik doğrulama vb. amaçlarıyla dijital parmak izi çıkarımında kullanı- cının belirli bir kesinlik derecesiyle benzersiz olarak tanımlanması gereklidir. Öte yandan, E-Gizlilik Direktifi’nden farklı olarak taslak durumda olan E-Gizlilik Kişinin dijital parmak izi aracılığıyla bir kitle içinde tekil hale getirilmesi ile kişi Tüzüğü’nün 8’inci maddesinin birinci fıkrası ile, son kullanıcı tarafından talep hakkında çıkarım yapılması ya da kişiye belirli bir şekilde davranılması kişisel veri edilen bilgi toplumu hizmetinin sağlayıcısı tarafından bu ölçümün yapılması işlenmesini de gerektirecektir. Dijital parmak izi aracılığıyla toplanan bilgiler, şartıyla, analitik ölçüm amaçlı olarak dijital parmak izi kullanımını da rıza ge- kişi bakımından sonuç doğurabilecek veya içerik bakımından bu kişi hakkında rektirmeyen istisna haller kapsamına alınması öngörülmektedir. E-Gizlilik Di- olabilecektir. Hatta dijital parmak izi aracılığıyla takip edilen kişi hakkında elde rektifi’nde ise böyle bir istisna duruma cevaz verilmemektedir. Taslak Tüzük’e edilen bilgiler kişinin kimliğinin belirlenmesine yol açabilecektir. Benzersiz di- ise web ölçümü ayrıca bir istisna hükmünün eklemesi öngörülmektedir. Taslak jital parmak izleri ile kişinin tekilleştirilmesi, kişi hakkında bilgi toplanması ve Tüzük çerçevesinde analitik amaçlı olarak bilgi toplumu hizmeti sağlayıcı tara- hakkında çıkarım yapılmasının, Kanun kapsamında kişisel veri işlenmesini ge- fından dijital parmak izi kullanımı mevcut ise kullanıcı rızasına gerek olmadığı rektireceği yönünde değerlendirilmesi yanlış olmayacaktır. savunabilecektir. Halen uygulamada olan 2002/58/AT sayılı Direktif ’in yerine geçmesi beklenen E-Gizlilik Tüzüğü hakkında ise henüz mutabık kalınamamıştır. Veri Sorumlusu – Veri İşleyen Dijital parmak izi kullanımında toplanan benzersiz dijital parmak izlerinin kişisel Web hizmetlerinin verilmesi esnasında üçüncü taraf içeriklerin bulunması ne- veri niteliği göz önünde bulundurulduğunda, GVKT de uygulama alanı bulacaktır. deniyle kişinin profil bilgilerine göre reklamların gösterimi amacıyla çevrim içi Bu çerçevede, konum takibi tabanlı reklamcılık veya davranışsal reklamcılık, pro- takibe imkân veren web sitesi yayımcısı, web hizmetini kullanan ilgili kişinin filleme faaliyetleri için dijital parmak izi kullanımı varsa hem 2002/58/AT sayılı kişisel verilerini üçüncü tarafa aktarmaktadır. Üçüncü taraf diğer sitelerde kul- Direktif hem de GVKT açısından rıza alınmasının gerekli olduğu anlaşılmaktadır. lanıcıyı takip ederek elde ettiği verileri, çevrim dışı elde ettiği diğer veriler ile birleştirebilmektedir. Bu sayede kişiye profiline göre içerik gösterilebilmektedir. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU Bu türlü bir gözetimin farklı amaçları olabilecektir. Web hizmetlerinin sunumu esnasında tarafların birlikte yakınsak kararlar verdiği sürece ortak veri sorum- Kişisel Veri luluğu meydana gelebilecektir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri; “kimliği belirli “Kurulun 23.12.2021 tarihli ve 2021/1304 sayılı Kararı”nda (2021); yazılım olarak veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi”dir. Kanun büyük ölçüde bulut servisi veren araç kiralama için yazılım sunan şirket ile araç kiralama hiz- 548 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 549 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI meti veren şirketlerin ortak veri sorumlusu olduğu değerlendirilmiştir. Karara genel ilkelere ilişkin olarak doğru tespit yapma imkânı sağlayacaktır. Bu konuda- konu olayda araç kiralama yazılımı hizmeti sunan firma teknik destek ve yazılı- ki görüşlerden birisi EHK’nin öncelikli olarak ele alınması gerektiği, ancak Ka- mın bakımı konularında araç kiralama şirketlerine destek vermektedir. Araç kira- nun’un getirdiği yükümlülüklerin de uygulanmaya devam edilmesi gerektiğidir lama şirketlerinin yalnızca içerik yani veri girişi yapma ve kaydetme bakımından (Çekin, 2019). denetim yetkisine sahip olduğu ve araç kiralama yazılımı sunan şirketin bu elde ettiği verileri işleyerek diğer araç kiralama firmalarına aktarabildiği ve “kara liste” EHK’nin 51’inci maddesine baktığımızda; “(3) Elektronik haberleşme şebekeleri, mekanizması aracılığıyla verinin işleme amacında araç kiralama şirketlerinin haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazların- ve yazılım firmasının sonucundan her iki tarafın da fayda gördüğü veri işleme da bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler süreciyle ilgili kararlar aldığı ve iş birliği içinde hareket ettiği göz önünde bu- tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık lundurulduğunda taraflar ortak veri sorumlusu olarak yorumlanmıştır. Kararda, ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kulla- araç kiralama şirketlerince kullanılan söz konusu programa veri girişi yapıldığı nılabilir. (…)” şeklinde düzenlendiği görülmektedir. Söz konusu madde E-Gizlilik ve yazılım şirketinin “kara liste” oluşturulmasında araç kiralama şirketlerinin Direktifi’nin 5’inci maddesinin üçüncü fıkrası ile kısmen uyumlu olsa da mad- girmiş olduğu bu verilerden faydalandığı, “kara liste” uygulamasından programı denin uygulama alanının işletmecilerle sınırlandığı ve web sitesi yayımcılarının satın alan tüm şirketlerin faydalanabildiği hususu açıklanmıştır. kapsam dışında bırakıldığı anlaşılmaktadır. Davranışsal reklamcılıkta reklam gösterimi amacıyla dijital parmak izi kullanımı Bununla birlikte, EHK’nin işletmeciler için özel kanun niteliğinde olması nede- söz konusu olduğunda, web hizmetini sunan web sitesi yayımcısı tarafından ilgili niyle işletmeciler tarafından dijital parmak izi kullanımı söz konusu olduğunda, kişi verileri üçüncü tarafa iletilecektir. Böyle bir durumda, web sitesi yayımcısının öncellikli olarak EHK’nin uygulanabileceği düşünülmekle beraber, kişisel veri üçüncü tarafa aktarılan kişisel veriler bakımından üçüncü tarafla birlikte hareket işlenmesi noktasında ise Kanun’un uygulanarak kişisel veri işleme şartları bakı- etmesi söz konusu olacağı için üçüncü tarafla birlikte ortak veri sorumlusu olması mından, gündeme gelebilecektir. Web sitesi yayımcısının bu sorumluluğunun, kişisel veri- lerin işlenme amacı ve yöntemini etkin bir şekilde birlikte karar verdiği faaliyetler • Açık rıza veya için sınırlı olduğu değerlendirilmektedir. • Veri sorumlusunun dijital parmak izi aracılığıyla kişisel veri işleme faaliyeti Teknik destek amacıyla bir hizmet sağlayıcıdan dijital parmak izi çıkarımı yapan için Kanun’un 5’inci ve 6’ncı maddelerinde sayılan diğer veri işleme şartla- ürünler satın alınabilmektedir. Örneğin bankacılık hizmeti veren bir şirketin sa- rının tın aldığı güvenlik çözümünde dijital parmak izi doğrulama mekanizması kulla- nılmaktadır. Bu güvenlik çözümünü sağlayan şirket, sadece teknik destek verdiği göz önünde bulundurulmasının uygun olacağı değerlendirilmektedir. Haberleş- ve hizmet sağladığı işletmelerden aldığı verileri kendi amaçları doğrultusunda menin sağlanması noktasında işletmeci tarafından dijital parmak izi aracılığıy- kullanmadığı ve üçüncü taraflarla paylaşmadığı sürece veri işleyen olması gün- la kişisel veri işlendiği durumda, Kanun’un 5’inci maddesinin ikinci fıkrasında deme gelebilecektir. yer alan “Kanunlarda açıkça öngörülmesi” işleme şartı dahilinde kişisel verilerin işlenmesi gündeme gelebilecektir. Ancak, Kanun’un 4’üncü maddesi dahilinde İşleme Şartları “amaçla bağlantılı, sınırlı ve ölçülü” ve “hukuka ve dürüstlük kuralına uygun” ve “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar Dijital parmak izi kullanımıyla ilişkili olarak 5809 sayılı Elektronik Haberleşme muhafaza edilme” ilkelerine uygunluk gözetilmelidir. Örneğin; dijital parmak izi Kanunu (EHK) yer almakta olup 2002/58/AT sayılı Direktif ’in 5’inci maddesinin aracılığıyla konum verilerinin toplanması gibi bir durumda elektronik haberleş- üçüncü fıkrası ile EHK’nin 5’inci maddesinin üçüncü fıkrası arasında kısmi bir me mevzuatındaki saklama sürelerine uygunluk gözetilmelidir. uyum gözetildiği değerlendirilmektedir. Çerezde olduğu gibi dijital parmak izi kullanımında da EHK kapsamında bazı yükümlülükler doğabilecektir. Bu yüzden Web hizmetleri söz konusu olduğunda hizmet sağlayıcı tarafından bir web site- Kanun ile EHK arasındaki ilişkinin ortaya konulması, kişisel veri işleme şartı ve sinde/uygulamasında birçok hizmetin bir arada verilmesi sık rastlanan bir du- rumdur. Kişi tarafından açıkça talep edilen bir çevrim içi hizmetin sunulması için 550 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 551 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI kesinlikle gerekli olarak dijital parmak izi çıkarımı söz konusu olduğunda, kişisel internet tarama alışkanlarının izlenmesi yoluyla elde edilen bilgiler, çevrim içi verilerin sözleşmenin (örneğin üyelik sözleşmesi veya satış sözleşmesi) kurulması veya çevrim dışı olarak başka verilerle birleştirilebilmektedir. Veri komisyoncu- veya ifası için taraflara ait kişisel verilerin işlenmesinin zorunlu olması işleme ları, kişisel verileri toplayarak ve verilerin ticaretini yaparak veri setlerinin bir- şartı dahilinde işlenmesi gündeme gelebilecektir. leştirilmesinde rol oynamaktadır. KİŞİSEL VERİLERİN KORUNMASI AÇISINDAN RİSKLER VE ÖNLEMLER Tomasz Bujlow ve ark. tarafından kişinin çevrim içi olarak takibinin değerli oldu- ğu, bu oluşturulan dijital kimliğin kişinin adı soy adı, sosyal güvenlik numarası Web’in kuruluş fikirlerinden birisi de herhangi birinin, cihazdan bağımsız olarak gibi bilgilerle eşleştirilmesi sonucunda takip edilen bir kişinin kimliğinin belir- büyük çaptaki makineler ağına erişebilmesiydi. Makinelerin birbirileri arasında lenmesinin ise daha kârlı olduğu belirtilmiştir (Bujlow, Carela-Español, Solé-Pa- iletişim kurmasının evrensel bir yoluna ihtiyaç duyulmasından kaynaklı olarak reta, ve Barlet-Ro, 2017). Toplanan veriler birçok yolla başka verilerle birleştirile- 1990’ların başında HTTP ve HTML standartları ortaya çıkmış, bunun akabinde rek satış ve pazarlama dahil olmak üzere çeşitli amaçlarla kullanılabilmektedir. bu standartları destekleyen tarayıcılar geliştirilmiştir. Bu süreçte platformlar ve Bunlar arasında üçüncü taraf servisler, üçüncü taraf sitelere bilgi sızıntısı, veri tarayıcılar, yeni eklenen özelliklerin tümünü desteklemediler. Ortaya çıkan uyum- ihlalleri, şirket birleşmeleri olarak sıralanabilmektedir. luluk sorunlarını önlemek amacıyla ise HTTP protokolüne kullanıcı-aracısı-başlı- ğı (user-agent-header) eklenmiştir. Kullanıcı aracısı başlığı, geliştiricilerin tarayıcı Google, Facebook, Youtube gibi dijital platformlara üyelik bulunması halinde, di- sınırlamalarını dikkate almasını sağlayan cihazlar arasındaki farklılıkları belirten jital platformun tutmuş olduğu veriler ile çevrim içi diğer tanımlayıcı ile toplanan ilk bilgi parçası olarak kabul edilebilir. 90’lı yılların ortalarında web sayfalarını bilgiler birleştirilebilmektedir. Dijital platforma henüz hesabına girişi olmayan daha dinamik yapmak amacıyla JavaScript olarak adlandırılan script program- bir kullanıcı için dijital platform tanımlayıcısı dışında herhangi bir tanımlayıcı lama dili kullanılmaya başlandı. Böylelikle örneğin tarayıcı, doğrudan kullanıcı ile kullanıcıyı takip ettiğini ve onun hakkında bilgi topladığını düşünelim, kul- cihazının işletim sisteminin zaman dilimi bilgisine ulaşabildi. Tarayıcılar birçok lanıcı daha sonrasında dijital platformdaki hesabına giriş yaptığında ise bu ta- modern API’nin kullanılmasıyla beraber, multimedya içerikleri de uyumlu bir nımlayıcı aralığıyla halihazırda toplanan bilgiler ile dijital platform nezdinde var şekilde görüntülemeye başlamışlardır (Laperdrix ve diğerleri, 2020). olan bilgiler birleştirilebilecektir. Tarayıcıların cihaz bağımsız olarak çalışabilmesi, kullanıcı deneyiminin iyileşti- Öte yandan, bir internet sitesinde bulunan üçüncü taraf reklamlar, analitik ser- rilmesi, zengin içerik görüntüleme fırsatlarını sunabilmesi kullanım açısından visler gibi gömülü içerikler aracılığıyla HTTP başlıkta (HTTP header) yer alan olumlu olsa da eklenen özelliklerin kullanıcı mahremiyetini etkilediği ve kullanı- referans alanı (referrer field) (Mevcut istek yapılan siteye hangi siteden yönlendi- cının Web’te anonim kalabilmesini zor bir hale getirdiği söylenebilecektir. İşlev- rildiği bilgisini içerir.) için tanımlanan politika sebebiyle üçüncü taraflara kişisel sellik ve mahremiyet arasındaki dengenin kurulabilmesi kullanıcının mahremi- veri sızıntısı olabilmektedir. Bir kişi A internet sitesinde bulunan bir bağlantı ara- yetinin korunması açısından önemlidir. Dijital parmak izi çıkarımının, kişi için cılığıyla B internet sitesine ulaştığında, B internet sitesinde bulunan analitik ser- görünmez ve anlaşılması zor bir teknik olduğu açıktır. Bu yüzden, dijital parmak vis, referans alanı için tanımlanan politika sebebiyle referans alanı bilgisine sahip izi aracılığıyla kişisel verilerin işlenmesi hususunda farkındalığın oluşturulması olabilmektedir. İnternet sayfasında gömülü olan üçüncü taraftan alınan resim, ve kişisel veri güvenliğinin sağlanması açısından önlemler konusunda kişilerin iframe (Bir internet sayfasına doküman, video ve interaktif medya yerleştirmenizi bilgilendirilmesi gerekmektedir. Bu konudaki mevcut risklerin somut bir şekilde sağlar. Örneğin Youtube’da bir videoyu internet sitesine yerleştirmeniz halinde, ortaya koyularak bu risklere karşı alınabilecek önlemlerin tartışılmasının veri Youtube bu videoyu size iframe öğesi içinde sağlar ve bu öğeyi sitenizin uygun sorumluları, ilgili kişiler, teknoloji geliştiriciler ve üreticileri, politika yapıcılar bölümüne gömebilirsiniz.) veya javascriptler nedeniyle ve referans politikasına adına faydalı olacağı değerlendirilmektedir. bağlı olarak web talepleri ile beraber referans alanı bilgisi üçüncü taraf sunucu- ya iletilebilmektedir. A sitesine bulunan kişiye özel hedefli bir reklam nedeniyle Dijital Parmak İzi Teknolojisi Bakımından Kişisel Veri Koruma Riskleri ilgili reklam sunucusundan reklam alanında yer alan nesnenin getirilmesi için talep oluşturulduğunda, Şekil 3’te görüldüğü gibi kullanıcı e-postası da referans Aktif veya pasif dijital parmak izi aracılığıyla kullanıcının tekil hale getirilerek alanıyla beraber üçüncü taraf olan reklam sunucusuna iletilebilecektir. 552 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 553 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Şekil 3. Bir internet sitesinde bulunan hedefli reklam için reklam sunucuna Şekil 4. Referans alanında bilgi sızıntılarına örnekler (“Referer and Referrer-Pol- yapılan web talebinin başlığı (“HTTP referer explanation”, t.y.) icy best practices”, 2021.) Şekil 4 ile referans alanında yer alan URL ile ne tür bilgi sızıntıları olabileceğine Referans alanı politikaları arasında “referans bilgisi yok (no-referrer)”, “düşük örnekler verilmiş olup bunlar; ne tür müzik dinlendiğin, ilgi alanların, hastalık- gizlilikte referans bilgisi yok (no-referrer-when-downgrade)”, “aynı kaynak (sa- ların, kullanıcı adın, e-posta adresin veya parola sıfırlama bağlantın olabilecektir. me-origin)”, “origin (kök)”, “sıkı kök (strict-origin)”, “çapraz kök olduğunda kök (origin when cross origin)”, “çapraz kök olduğunda sıkı kök (strict origin when cross origin)”, “güvensiz adres (unsafe url)” bulunmaktadır (“Mitigating Browser Fingerprinting in Web Specifications”, 2019). Politika “referans bilgisi yok” olarak tanımlanırsa referans alanında bilgi gönderilmez, “same-origin” olarak tanım- lanırsa, yalnızca kaynağı aynı taleplerde (kaynağın bağlantı tipi ile aynı olması lazım) URL bilgisinin tamamı gönderilir. Diğer bir risk ise birinci tarafların, üçüncü taraflara bilgi satması olacaktır. Ör- neğin bir reklam verisi sağlayıcısı olan Datalogix isimli şirket, pazarlama ku- ruluşlarından tüketicilerin isimleri, posta kodları, e-postaları ve demografik ve davranışsal bilgilerini içeren bilgilerini satın alarak profil çıkarma amacıyla kullanmıştır (Bujlow ve diğerleri, 2017). Datalogix’in topladığı bilgiler arasında IP adresi, tarayıcı çeşidi, servis edilen reklamlar ve bunların tarihlerinin de bu- lunduğu açıklanmıştır (Bujlow ve diğerleri, 2017), (Torres, Jonker ve Mauw, t.y.). Bir diğer davada ise FTC tarafından, “LeapLab” isimli veri simsarının mali açıdan sıkıntılı tüketicilerin adları, adresleri, telefon numarası, işverenin yanı sıra sosyal güvenlik ve banka hesap numaraları dahil olmak üzere yüzbinlerce tüketicinin hassas bilgisini satın aldığı, daha sonra bu hassas bilgileri meşru bir amacını olmadığı bildiği pazarlamacılara sattığı iddia edilmiştir. Davaya konu alıcılar ara- sında tüketicilere e-posta, kısa mesaj veya telefon görüşmesi yoluyla istenmeyen satış teklifleri yapan pazarlamacılar ve tüketicilerin hesaplarından izinsiz olarak milyonlarca dolar çekmek için kullanan internet tüccarları olduğu ifade edilmek- tedir (Fedaral Trade Commission, 2016). 554 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 555 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Cihaza dayalı özellikler sayesinde dijital parmak izi aracılığıyla kişinin farklı site- dijital parmak izi yüzeyinin artmasına neden olacağından takip amaçlı olarak ler arası takibi söz konusu olabilecektir. Dijital parmak izi, kişinin cihazının her- kullanılmasına olanak sağlayabilmektedir (“Mitigating Browser Fingerprinting in hangi bir veya birden fazla depolama alanındaki tanımlayıcıyı silmesi sonucunda Web Specifications”, 2019). Herhangi bir fonksiyonellik devreye alınırken dijital kurtulabileceği bir tanımlayıcı özelliği göstermemektedir. Dijital parmak izi ile parmak izi yüzeyine katkı sağlayıp sağlamadığı ile işlevsellik yönünden ne kadar takip yapan tarafların engellenebilmesi için daha fazla çaba gerekmektedir. Kişi- önemli olduğu hususunun değerlendirilerek tasarımdan itibaren mahremiyetin nin dijital parmak izi aracılığıyla stabil şekilde benzersiz olarak tanımlanmasının korunması önemlidir. Özellikle, pasif cihaz parmak izi çıkarılmasına katkı sağ- sağlanması halinde, farklı tarayıcılar kullanılsa bile takibin engellenememesi ve layan özelliklerden kaçınılması mahremiyetin korunması açısından önemlidir. kişinin farklı tarayıcılar arası internet tarama kullanım bilgilerini ilişkilendiri- Daha önce de bahsedildiği üzere, pasif olarak dijital parmak izinin çıkarımının lebilmesi söz konusudur. tespit ve kontrol fırsatı yoktur diyebiliriz. Pasif olarak dijital parmak izi çıkarı- mına katkı sağlayan bir özellik başka bir şekilde tasarlanamayacaksa eğer, bunun Hem araştırmacılar hem de kullanıcılar, dijital parmak izi çıkarımının şeffaf devreye alınması yani son yöntem olarak ele alınması tavsiye edilmektedir. Dijital olmayan bir şekilde yapılması sebebiyle kullanımını tespit etmekte güçlük çek- parmak izi çıkarımına katkı sağlayan özelliklerin kod tarafında işaretlenmesi ve mektedir. Araştırmacılar aktif olarak dijital parmak izi çıkarılıp çıkarılmadığının alınabilecek önlemlerin belirtilmesi iyi bir uygulama örneği olabilecektir. tespiti için bir web sayfasının kaynak kodunda yer alan scriptleri sınıflandırma yoluna gitmişlerdir. Scriptler benzer içerikte olsa dahi iki scriptin kullanım amacı Veri minimizasyonu ilkesiyle API tasarlanması belirli bir işlevsellik için gerekli değişebilmektedir. Bu yüzden, bir scriptin, dijital parmak izi çıkarma amacıyla entropi miktarına erişim sağlayabilecektir. Örneğin, Tor Browser, bir “browser. mı, yoksa başka bir amaç için mi kullanıldığının ayrımının yapılmasında güçlük display.max_font_attempts” tercihiyle sorgulanabilecek yazı tipi sayısını sınırla- çekilmektedir. Yapılan bir araştırmada bir scriptin dijital parmak izi çıkarımında maktadır. Entropiyi azaltmak amacıyla talep sonucu döndürülen bilginin ayrın- kullanıldığının göstergeleri arasında; belirli fonksiyonlara erişim durumu, eri- tı düzeyi veya kesinliği en aza indirilebilecektir. Örneğin, Pil Durumu API’sinin şilen bilgi miktarının fazla olması, belirli API’lerin kullanımı ve belirli API fonk- kullanılmasında, mevcut pil seviyesinin yüksek hassasiyetli (çift hassasiyetli veya siyonlarına erişim ve erişim sırası, farklı parametreler ile değer döndürme, bir 15-17 anlamlı basamak) okumalarına izin verilmesi farklı web siteleri arasında scriptin döndürdüğü değerlerin tek bir nesnede saklanması, özet fonksiyonları (kökenler arasında) ilişkilendirilen kısa dönemli bir tanımlayıcı sağlayacaktır. aracılığıyla değer üretimi, scriptin cihazdaki herhangi bir depolama alanında Bu değerin yuvarlanması ise işlevsellik üzerinde olumsuz etki oluşturmazken tanımlayıcı değerleri oluşturması, kod gizleme ve minimizasyonu yapılması sa- entropi miktarını azaltarak parmak izi çıkarılmasında önleyici bir tedbir olarak yılmaktadır (Laaperdrix ve diğerleri, 2019). yer alacaktır. Mevcut Risklere Karşı Alınabilecek Önlem Önerileri Pasif olarak dijital parmak izi çıkarımı için kullanılan kullanıcı aracısı dizesi başlığını tamamen kaldırmak yakın vadede pek mümkün görünmese de işlenen Üreticiler ve geliştiriciler, ilgili kişiler, veri sorumluları ve düzenleyici kurum- bilginin amacının tespitine yarayan yöntemler benimsenebilmektedir. Eğer web lar tarafından mevcut risklere karşı çeşitli teknik önlemler ve politika önlem- siteleri, HTTP başlıklarında bilgi göndermeden önce bilgiye erişim için bir istekte leri alınabilecektir. Mevcut riskler karşısında dijital parmak izinin mahremiyet bulunursa, pasif parmak izi çıkarmada kullanılan HTTP başlıkları ile gönderi- odaklı ve meşru kullanılabilmesi için teknoloji üreticileri ve geliştiricilerine de len bilginin kapsamının ne olduğu anlaşılabileceğinden, pasif dijital parmak izi bazı sorumluluklar düşmektedir. Teknoloji üreticileri tarafından dijital parmak çıkarımının tespiti de kolaylaşacaktır. Kullanıcı aracı dizesinde tüm bilgilerin izi çıkarılan yüzeyin dengelenmesi, tespit edilebilirliğin sağlanması, standar- toplu bir şekilde gönderilmesi yerine proaktif talep ile aşamalı bilgi gönderimi dizasyon sağlanarak homojen parmak izlerinin oluşturulması, bütüncül silme pasif olarak dijital parmak izi çıkarmada işlenen veri noktalarının ne olduğu imkânının sağlanması gibi önlemler çerçevesinde web teknolojilerinin mahre- hususunda bir şeffaflık oluşturacaktır. miyet odaklı şekilde tasarlanması ve üretilmesi gereklidir. Web spesifikasyonu yazarları, düzenli olarak yeni işlevsellik ve dijital parmak izi yüzeyi arasında bir Tarayıcıların, dijital parmak izine katkı sağlayan nitelikleri standart bir değer denge kurmaya çalışır. Örneğin sürüm veya versiyon numaralandırması hata oluşturarak sunuculara göndermesi dijital parmak izi çıkarımına katkı sağlayan ayıklama açısından her ne kadar katkı sağlasa da ayrıntılı numaralandırmalar ayırt edici niteliklerin ortadan kaldırılmasına yardımcı olabilecektir (“Mitiga- 556 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 557 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ting Browser Fingerprinting in Web Specifications”, 2019). TOR tarayıcısı, dijital lan tarayıcılarda sitelere göre JavaScript kullanımı için seçim yapabilme imkâ- parmak izine yüksek katkı sağlayan API’lerden olan WebGL API ve Canvas API nı tanınmaktadır. Javascript işlevsellik için hemen her sitede kullanılmaktadır. kullanımını tamamen ortadan kaldırıp yazı tipi listesini standartlaştırmaktadır. Javascript kullanımının bir web sitesi için tamamen engellenmesi işlevsellikte Bunun yanı sıra HTTP başlık bilgisini değiştirerek kullanılan işletim sistemini bozulmalara neden olabilecekken dijital parmak izi çıkarımında kullanıcı için standart Windows olarak ayarlamaktadır. Ancak hala TOR kullanıcılarını ayırt önleyici bir tedbir olarak yer almaktadır. edebilecek nitelikler mevcuttur. Kullanıcı, ekran boyutunu TOR’un varsayılan ola- rak ayarladığı boyuttan farklı bir boyutta kullandığında, bu tanımlamaya katkı Dijital parmak izi durumsuz bir takip teknolojisi olarak karşımıza çıkmaktadır. sağlayan bir nitelik olarak karşımıza çıkacaktır. Eğer TOR’un varsayılan ayarlarına Yani, kullanıcının terminal cihazında bir tanımlayıcı depolayan durum denetle- bağlı kalınırsa, söz konusu tarayıcı dijital parmak izi çıkarımına güçlü bir koruma meli takip teknolojilerine göre kullanıcı için daha görünmez olması nedeniyle sağlarken bu özelliklerden ayrılan kullanıcılar diğer tarayıcıları kullananlardan çevrim içi mahremiyete zarar verici nitelikte kullanabilmektedir. Herhangi bir daha fazla takip edilebilir hale gelebilmektedir (Laperdrix ve diğerleri, 2020). kullanıcının herhangi bir aydınlatma metninde bu konuda bilgi verilmeksizin dijital parmak izi kullanımını tespit etmesi için kod analizi yapması gerekecektir. Dijital parmak izi çıkarma yöntemlerinde bahsettiğimiz çerez benzeri dijital par- Sıradan bir kullanıcının kod analizi yapamayacağı hususu açıktır. Kod analizi mak izi çıkarımında, çerez ve dijital parmak izinin farklı avantajlarından yarar- yaparak dijital parmak izi kullanımını tespit etmek özel bir uzmanlık gerektir- lanılarak iki teknik birleştirilmektedir. Bu tarz bir parmak izi çıkarmaya yönelik mektedir. Kod geliştiricileri için manuel olarak tespit yapmak, kullanılan kod- olarak kullanıcının terminal cihazında kalıcı olarak tanımlayıcı depolayan di- larda gizleme ve minimizasyon yapılmasının vermiş olduğu karmaşıklığı da göz zayn şeklinden kaçınılması önerilmektedir (“Mitigating Browser Fingerprinting önünde bulundurduğumuzda zaman bakımından oldukça maliyetli olacaktır. Bu in Web Specifications”, 2019). Ayrıca kullanıcıya terminal cihazında depolama yüzden dijital parmak izi kullanımının tespiti için makine öğrenmesi yöntemleri alanı olarak kullanılabilecek tüm alanları çok fazla uğraş gerektirmeden silebilme kullanan çözümler geliştirilmiştir. imkânı sağlanmalıdır. Kendini yenileyen çerez uygulamasının kullanıcıyı yanıl- tan ve şeffaf bir uygulama örneği olmaması nedeniyle kullanılmaması gerektiği Fp-Block, her yeni etki alanı için yeni bir dijital parmak izi oluşturmaktadır (Tor- değerlendirilmektedir. res ve diğerleri, t.y.). Farklı etki alanları için farklı parmak izlerinin sağlanması ile çapraz izlemenin önüne geçilmesi amaçlanmaktadır. FP-Block’un yaklaşımı, Do Not Track (DNT), kullanıcıların opt out olarak ziyaret etmediğiniz tüm inter- üçüncü tarafların gömülü oldukları her sitede farklı parmak izleri görmesi ve net siteleri (analitik hizmetler, reklam ağları, sosyal platformlar dahil) tarafından böylece izlemenin engellenmesidir. takipten çıkılmasına imkân veren W3C tarafından önerilen bir mekanizmadır. Bu seçenek varsayılan olarak seçili gelmediği için kullanıcının bunu aktif bir şe- Pouneh Nikkhah Bahrami, Umar Iqbal ve Zubair Shafiq’in bir çalışmasında FP-Ra- kilde tarayıcıdan etkinleştirmesi gerekmektedir. DNT başlığın uygun bir şekilde dar çözümü ile son 10 yıldaki en sık kullanılan 100 bin web sitesinde üzerinden takip konusunda iş birliği yapan web siteleri olabilecektir. Ancak bazı web siteleri bir ölçüm gerçekleştirilmiştir. FP-Radar ile API kullanım desenlerine göre dijital kullanıcının bu talebine uygun davranmayabilir. Hatta kullanıcının DNT talebini parmak izi kullanımının tespiti yapılmıştır (Bahrami, Iqbal ve Shafiq, 2021). benzersiz tanımlama amacıyla kullanılabilecektir. İspanyol Veri Koruma Otoritesi (AEPD) web sitelerinin kullanıcıların DNT talebine uygun davranıp davranma- Umar Iqbal, Steven Englehardt ve Zubair Shafig tarafından dijital parmak izi kul- dığına ilişkin yaptığı araştırmada; DNT seçeneği etkin olmasına rağmen araş- lanımının tespiti üzerine yapılan çalışmada; kullanılan API, erişilen özellik ad tırma grubunda yer alan üçüncü taraf web sitelerinin %96,12’sinin Canvas API ve erişilen yöntem adı, parametreler, bir özelliğin değeri veya döndürülen değe- aracılığıyla, %72,18’sının WebRTC API, %64,29’u ise AudioContext API aracılığıyla ri, API çağırma zamanı OpenWPM adı verilen bir araç ile kayıt altına alınmıştır. fonksiyon çağrısı yaparak dijital parmak izi çıkarma işlemine devam ettiği tespit (Iqbal, Englehardt ve Shafiq, 2021). FP-Inspector olarak adlandırılan çözüm ile edilmiştir (AEPD, 2019). makine öğrenmesine dayalı olarak dijital parmak izi kullanan scriptleri tespit etmişlerdir. Bu çözüm ile dijital parmak izi kullanımını engelleme seçeneği de Tarayıcı ayarlarından JavaScript kullanımı kısıtlanabilmekte, böylelikle dijital sunulmaktadır. parmak izi çıkarımına katkı sağlayan bilgi miktarı azaltılmaktadır. Sık kullanı- 558 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 559 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI İspanya Veri Koruma Otoritesinin yapmış olduğu araştırma raporunda; açık işlenen süreçlerin de göz önünde bulundurulması gereklidir. Dijital parmak izi kaynak kodlu uBlock Origin ve Ghostery eklentilerinin, belirli şartlar altında çıkarılması amacıyla yurt dışına veri aktarılması gerekebilir, genellikle toplanan (üçüncü taraf çerezlerin kabul edilmediği, Flash eklentisinin aktif olmadığı ve verilerden sunucu tarafında benzersiz dijital parmak izleri oluşturulsa da kullanı- DNT başlığının gönderildiği durumda) dijital parmak izi çıkarımının önemli öl- cıdan toplanan verilerin de kişisel veri olarak ele alınması ve yurt dışına aktarım çüde azalttığı tespit edilmiştir (AEPD, 2019.). Kullanıcıları şu iki konuda uyarmak hükümlerinin göz önünde bulundurulması gerektiği değerlendirilmektedir. gereklidir: (i) Tarayıcıların özel mod ile kullanılması veya (ii) VPN kullanılması dijital parmak izi çıkarımını engellememektedir. Öte yandan, sahte reklam verenler tarafından kötücül reklamcılık için dijital par- mak izi çıkarımına katkı sağlayan niteliklerin sorgulanmasının meşru bir zemini Her ne kadar cihaz parmak izi gözlenmesi zor olsa da çeşitli analiz araçları sa- bulunmamaktadır. Bu tür kötücül kullanımlar için yayımcıların reklam ağları yesinde günümüzde tespiti yapılabilmektedir. Örneğin, web sitesi yayımcıları hakkında bilgi edinerek reklam dağıtımı yolları ve güvenlik önlemleri hakkında tarafından reklamcılık amacıyla web sitesine konulan gömülü içerik nedeniyle bilgi sahibi olması gerekmektedir. Reklam öğeleri davranışlarını keşfetmek kötü- dijital parmak izinin çıkarımı yapılıp yapılmadığının teyit edilmesi gerektiği de- cül kullanımları engellemek için Web Application Firewall kullanımı ve mümkün- ğerlendirilmektir. Web sitesi yayımcılarının reklam dağıtım yolları hakkında bilgi se reklam gösterimi için reklam alanı içinde herhangi bir JavaScript veya benzeri sahibi olması ve mahremiyet odaklı kuruluşlarla iş birliği yapması önerilmekte- kodun çalıştırılmasına izin verilmemesi tercih edilebilecektir (Malvertising, t.y.). dir. Özellikle küçük işletmeler hem web sitesi yayımcısı olarak hem de reklam verenler olarak reklamcılık ekosisteminden ekonomik olarak fayda görmektedir- ler. Bu işletmeler için reklam ekosisteminde yer alan aracı kurumlarla müzakere etmesi kimi zaman zor olabilse de dijital ekonomide güvenin oluşturulmasının işletmeye olumlu etkisi olacağından, mahremiyet odaklı kuruluşlar ile iş birliği yapılması tavsiye edilmektedir. Reklam ağlarının veya web sitesi yayımcılarının dijital parmak izi kullanması ha- linde, açık rızanın unsurlarını karşılamasa da bir önlem olarak tarayıcılarda veya işletim sistemlerinde yer alan “beni takip etme” seçeneğine uygun olarak hareket etmesi gerektiği değerlendirilmektedir. Diğer işleme şartlarına gidilemediği du- rumlarda uygun açık rıza alınması ve Kanun’un 10’uncu maddesi uyarınca aydın- latma yükümlülüğünü yerine getirmesi gerekmektedir. Ortak veri sorumluluğu gündeme geldiğinde, dijital parmak izi kullanımına katkı sağlayan taraflar aydın- latma ve açık rıza alınması bakımından sorumluluk sınırlarını belirleyebilecektir. Genel ilkelerin gözetilerek amaçla bağlantılı, sınırlı ve ölçülü olarak kişisel veri işlenmesi, açık rıza alınan amaçtan farklı olarak amaç değiştiğinde tekrar açık rıza alınması gereklidir. Mevzuatta öngörülen veya işlendikleri amaç için gerekli süre bakımından değerlendirildiğinde özellikle işlendiği amaç için gerekli süre kadar benzersiz dijital parmak izi ve bununla bağlantılı kişisel veriler muhafa- za edilmelidir. İşlenmesini gerektiren sebeplerin ortadan kalkması durumunda Kanun 7’inci maddesi ve ilgili yönetmeliğe uygun olarak silinmeli, yok edilmeli veya anonim hale getirilmelidir. Kanun’un 11’nci maddesinden sayılan hakların kullanılabilmesinin sağlanması gereklidir. Envanter ve Sicile kayıt ve bildirim yükümlülüğü olması halinde dijital parmak izi kullanımına dayalı kişisel veri 560 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 561 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ len kişinin çevrim içi oluşturulan dijital kimliğinin; adı soy adı, sosyal güvenlik numarası gibi bilgilerle eşleştirilerek kimliğinin belirlenmesinin ise daha riskli Kullanıcının çevrim içi takibini kılan birçok takip teknolojisi bulunmakta olup bu bir durumdur. Toplanan veriler birçok yolla başka verilerle birleştirilerek satış ve teknolojiler kullanıcılar açısından her zaman aynı veri koruma risklerine neden pazarlama dahil olmak üzere çeşitli amaçlarla kullanılabilmektedir. Kişiye ilişkin olmamaktadır. Bazı teknolojiler yalnızca oturum boyunca kullanılabilmekteyken toplanan bilgilerin birleştirilmesi üçüncü taraf servisler, üçüncü taraf sitelere diğerleri daha uzun süreler için kullanıcının çevrim içi takibini mümkün kılmak- bilgi sızıntısı, veri ihlalleri, şirket birleşmeleri nedeniyle kişinin kimliğinin be- tadır. Dijital parmak izi çıkarımı mahremiyet açısından yüksek riskli bir takip lirlenmesinin nedenleri arasında sayılabilir. teknolojisidir. Özellikle pasif yöntemle dijital parmak izi çıkarımında şeffaflık eksikliği, kontrolünün ve tespit edilebilirliğin zor olması, farklı tarayıcılar arası Dijital parmak izinin ortaya çıkardığı diğer bir risk ise kişinin dijital parmak izi izlemenin mümkün olması bireyler açısından mahremiyet riski oluşturmaktadır. aracılığıyla stabil şekilde benzersiz olarak tanımlanmasının sağlanması halinde, farklı tarayıcılar kullanılsa bile takibin engellenememesi ve farklı tarayıcılar arası Davranışsal reklamcılık, satış veya pazarlama veya analitik amacıyla izleme, gü- internet tarama kullanım bilgilerini ilişkilendirilebilmesidir. Bununla birlikte venlik, kimlik doğrulama vb. amaçlarıyla dijital parmak izi çıkarımında kullanı- hem araştırmacılar hem de kullanıcılar dijital parmak izi çıkarımının şeffaf olma- cının belirli bir kesinlik derecesiyle benzersiz olarak tanımlanması gereklidir. yan bir şekilde yapılması sebebiyle kullanımını tespit etmekte güçlük çekmekte- Kişinin dijital parmak izi aracılığıyla tekilleştirilerek kişi hakkında çıkarım ya- dir. Araştırmacılar aktif olarak dijital parmak izi çıkarılıp çıkarılmadığının tespiti pılmasına ya da kişiye belirli bir şekilde davranılmasına neden olacaktır. Dijital için bir web sayfasının kaynak kodunda yer alan “script”leri (kod parçacıkları) parmak izi aracılığıyla toplanan bilgiler, kişi bakımından sonuç doğurabilecek sınıflandırma yoluna gitmişlerdir. Kod parçacıkları benzer içerikte olsa dahi iki veya içerik bakımından bu kişi hakkında olabilecektir. Hatta dijital parmak izi kod parçacığının kullanım amacı değişebildiğinden bir kod parçacığının dijital aracılığıyla takip edilen kişi hakkında elde edilen bilgiler kişinin kimliğini belir- parmak izi çıkarma amacıyla mı yoksa başka bir amaç için mi kullanıldığının lenmesine yol açabilecektir. Benzersiz dijital parmak izleri ile kişinin tekilleşti- ayrımının yapılmasında güçlük çekilmektedir. rilmesi, kişi hakkında bilgi toplanması ve hakkında çıkarım yapılmasının, kişisel veri işlenmesini de gerektireceği değerlendirilmektedir. Dijital parmak izinin mahremiyet odaklı olarak meşru kullanılabilmesi için tek- noloji üreticileri ve geliştiricilerine de bazı sorumluluklar düşmektedir. Teknoloji Tarayıcıların cihaz bağımsız olarak çalışabilmesi, kullanıcı deneyiminin iyileşti- üreticileri tarafından dijital parmak izi çıkarılan yüzeyin dengelenmesi, tespit rilmesi, zengin içerik görüntüleme fırsatlarını sunabilmesi kullanım açısından edilebilirliğin sağlanması, standardizasyon sağlanarak homojen parmak izlerinin olumlu olsa da eklenen özellikler kullanıcı mahremiyetini olumsuz etkilemiş ve oluşturulması, bütüncül silme imkânının sağlanması gibi önlemler çerçevesin- kullanıcının web üzerinde anonim kalabilmesini zor bir hale getirmiştir. İşlevsel- de web teknolojilerinin mahremiyet odaklı şekilde tasarlanması ve üretilmesi lik ve mahremiyet arasındaki dengenin kurulabilmesi kullanıcının mahremiyeti- önerilmektedir. Öncelikle ilgili kişiler açısından farkındalığın oluşturulması ile nin korunması açısından önem arz etmektedir. Dijital parmak izi kullanımının kişilerin bu konuda önlem alması sağlanabilecektir. İlgili kişilere bu konudaki ilgili kişi için görünmez ve anlaşılması zor bir teknik olduğu açıktır. Bu yüzden önlem önerileri olarak tarayıcı ayarlarından “takip etme” seçeneğinin seçilmesi, dijital parmak izi kullanımdan etkilenen kişiler açısından farkındalığın oluştu- JavaScriptin devre dışı bırakılması, mahremiyet artırıcı teknolojilerin kullanıl- rulması ve alabileceği önlemler konusunda kişilerin bilgilendirilmesi gereklidir. ması önerilmektedir. Mahremiyet riskleri arasında dijital parmak izi aracılığıyla takip edilen bireyin Her ne kadar cihaz parmak izi gözlenmesi zor olsa da çeşitli analiz araçları saye- zaman içinde kimliğinin belirlenmesi riski bulunmakta olup dijital parmak izi sinde günümüzde tespiti yapılabilmektedir. Örneğin reklamcılık amacıyla web aracılığıyla toplanan verilerin başka verilerle birleştirilmesinin birçok yolu bu- sitesine konulan gömülü içerik nedeniyle dijital parmak izi çıkarımı yapılıp ya- lunmaktadır. Çevrim içi dünyada bireyin dijital parmak izi aracılığıyla izlenme- pılmadığının teyit edilmesi gerekmektedir. Özellikle küçük işletmeler hem web si yoluyla elde edilen bilgiler, çevrim içi veya çevrim dışı olarak başka verilerle sitesi yayımcısı olarak hem de reklam verenler olarak reklamcılık ekosisteminden birleştirilebilmektedir. Veri komisyoncuları kişisel verileri toplayarak verilerin ekonomik olarak fayda görmektedirler. Bu işletmeler için reklam ekosisteminde ticaretini yaparak veri setlerinin birleştirilmesinde rol oynamaktadır. Takip edi- yer alan aracı kurumlarla müzakere etmesi kimi zaman zor olabilse de dijital 562 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 563 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ekonomide güvenin oluşturulmasının işletmeye olumlu etkisi olacağından, mah- KAYNAKÇA remiyet odaklı kuruluşlarla iş birliği yapılması tavsiye edilmektedir. ◊ Acar, G., Eubank, C., Englehardt, S., Juarez, M., Narayanan, A., & Diaz, C. Diğer işleme şartlarına gidilemediği durumlarda veri sorumlusu tarafından uy- (2014). The Web Never Forgets: Persistent Tracking Mechanisms in the Wild. gun açık rıza alınması ve Kanun’un 10’uncu maddesi uyarınca aydınlatma yüküm- Proceedings of the 2014 ACM SIGSAC Conference on Computer and Com- lülüğünü yerine getirilmesi gerekmektedir. Ortak veri sorumluluğu söz konusu munications Security. 674–689. doi: 10.1145/2660267.2660347 olduğunda dijital parmak izi kullanımına katkı sağlayan taraflar aydınlatma ve açık rıza alınması bakımından sorumluluk sınırlarını belirleyebilecektir. Genel il- ◊ Agencia Española Protecciòn Datos (2019, Şubat). Survey on Device Fingerp- kelerin gözetilerek amaçla bağlantılı, sınırlı ve ölçülü olarak kişisel veri işlenmesi, rinting. Erişim adresi (01.09.2023): https://www.aepd.es/es/prensa-y-comu- açık rıza alınan işleme amacı değiştiğinde tekrar açık rıza alınması gerekmektedir. nicacion/notas-de-prensa Benzersiz dijital parmak izi ve bununla bağlantılı kişisel veriler mevzuatta öngö- rülen veya işlendikleri amaç için gerekli süre bakımından muhafaza edilmelidir. ◊ Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili İşlenmesini gerektiren sebeplerin ortadan kalkması durumunda Kanun’un 7’nci kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasın- maddesi ve ilgili yönetmeliğe uygun olarak silinmeli, yok edilmeli veya anonim da paylaşılmasını sağlayan bir kara liste programı oluşturulması hakkında hale getirilmelidir. Veri sorumluları tarafından, Kanun’un 11’nci maddesinde sa- Kişisel Verileri Koruma Kurulunun 23/12/2021 tarihli ve 2021/1303 sayılı yılan hakların etkin olarak kullanılabilmesi sağlanmalıdır. Envanter ve Sicile kayıt Karar Özeti (2021, Aralık 23). Erişim adresi (01.09.2023): https://www.kvkk. ve bildirim yükümlülüğü olması halinde dijital parmak izi kullanımına dayalı gov.tr/Icerik/7288/2021-1303 kişisel veri işlenen süreçlerin de göz önünde bulundurulması gereklidir. Dijital parmak izi çıkarılması amacıyla yurt dışına veri aktarılması gerekebilir, genellikle ◊ Avrupa Birliği Adalet Divanı (ABAD). (Aralık, 2018). Judgment in Fashion ID, toplanan verilerden sunucu tarafında benzersiz dijital parmak izleri oluşturulsa C-40/17, ECLI:EU:2018:1039. Erişim adresi (01.09.2023): https://curia.euro- da toplanan verilerin de bu durumda kişisel veri olarak ele alınmasının ve yurt pa.eu/juris/recherche.jsf?language=en dışına aktarım hükümlerinin göz önünde bulundurulmasının uygun olacağı de- ğerlendirilmektedir ◊ Bahrami, P.N., Iqbal, U., & Shafiq, Z. (2021). FP-Radar: Longitudinal Measure- ment and Early Detection of Browser Fingerprinting. Proceedings on Priva- Ayrıca sahte reklam verenler tarafından kötücül reklamcılık için dijital parmak izi cy Enhancing Technologies, 2022, 557- 577. DOI:10.2478/popets-2022-0056. çıkarımına katkı sağlayan niteliklerin sorgulanmasının meşru bir zemini bulun- Corpus ID: 244896504. mamaktadır. Bu tür kötücül kullanımlar için web sitesi operatörlerinin reklam ağları hakkında bilgi edinerek reklam dağıtımı yolları hakkında sahibi olması ve ◊ Bekavac, I., & Pranicevic, D.G. (2015). Web analytics tools and web metrics bu konuda teknik tedbirlerin alınması gereklidir. tools: An overview and comparative analysis. Croatian Operational Research Review, 6, 373-386. DOI:10.17535/crorr.2015.0029 Araştırmacıların literatürde geniş çaplı ölçüm çalışmaları bulunmakta olsa da henüz Türkiye özelinde bir ölçüm çalışması yapılmamıştır. Dijital parmak izinin ◊ Bujlow, T., Carela-Español, V., Solé-Pareta, J. & Barlet-Ro, P. (2017). A Survey on çıkarımının çevrim içi gözetim aracı olarak kullanılabilecek bir yöntem olması Web Tracking: Mechanisms, Implications, and Defenses. Proceedings of the ve tespit edilebilirliğin zor olması, tarayıcılar arası çapraz izlenebilirlik ve kişinin IEEE, 105, 1476-1510. DOI: 10.1109/JPROC.2016.2637878. kimliğinin belirlenmesi riskleri göz önünde bulundurulduğunda, Türkiye’de en sık kullanılan web siteleri için geniş bir ölçüm çalışması yürütülerek yıllar pe- ◊ Cao, Y., Li, S., & Wijmans, E. (2017). (Cross-)Browser Fingerprinting via OS and riyodundaki yaygınlığı gözlemlenebilecektir. Böyle bir araştırmanın ayrıca bu Hardware Level Features. Network and Distributed System Security Symposium. çalışmanın amaçlarından da olan dijital parmak izi çıkarımına yönelik olarak doi: 10.14722/ndss.2017.23152 farkındalığa katkı sağlayacağı değerlendirilmektedir. ◆ 564 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 565 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Cooper, A., Tschofenig, H., Aboba, B., Morris, J. P., Hansen, M., & Smith, R. ◊ Farid, Z., Nordin, R., & Ismail, M. (2013). Recent Advances in Wireless Indo- (Temmuz, 2013). Privacy Considerations for Internet Protocols, Erişim adresi: or Localization Techniques and System. Journal of Computer Networks and https://datatracker.ietf.org/doc/ Communications, 185138:1-185138:12. DOI: 10.1155/2013/185138 ◊ Çekin, M. S. (2019). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayı- ◊ Federal Trade Commission. (2016). Data Broker Defendants Settle FTC lı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku. İstanbul: On İki Charges They Sold Sensitive Personal Information to Scammers. Erişim Levha Yayıncılık adresi (01.09.2023): https://www.ftc.gov/news-events/news/press-relea- ses/2016/02/data-broker-defendants-settle-ftc-charges-they-sold-sensiti- ◊ Eckersley, P. (2010). How Unique is Your Web Browser? Privacy Enhancing Te- ve-personal-information-scammers chnologies, 10th International Symposium, URL: https://api.semanticscholar. org/CorpusID:15233734) ◊ Felten, E. (2009, Haziran 7). If You’re Going to Track Me, Please Use Cookies. Erişim adresi (01.09.2023): https://freedom-to-tinker.com/2009/07/07/ ◊ Englehardt, S., & Narayanan, A. (2016). Online Tracking: A 1-million-site Me- if-youre-going-track-me-please-use-cookies/ adresinden alındı. asurement and Analysis. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. New York: Association for Com- ◊ Fielding R., Reschke E., J., (2014). Hypertext Transfer Protocol (HTTP/1.1): puting Machinery. DOI: 10.1145/2976749.2978313 Semantics and Content. Erişim adresi (01.09.2023): https://tools.ietf.org/ html/rfc7231 ◊ European Data Protection Board. (2019a). Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the ◊ Fouad, I., Santos, C., Legout, A., & Bielova, N. (2021, Mayıs 7). Did I delete competence, tasks and powers of data protection authorities. Erişim adresi my cookies? Cookies respawning with browser fingerprinting. Erişim adresi (01.09.2023): https://edpb.europa.eu/sites/default/files/files/file1/201905_ (01.09.2023) https://arxiv.org/pdf/2105.04381.pdf edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf ◊ Gómez-Boix, A., Laperdrix, P., & Baudry, B. (2018). Hiding in the Crowd: an ◊ European Data Protection Board. (2019b). Guidelines 3/2018 on the terri- Analysis of the. WWW2018 - TheWebConf 2018 : 27th International World torial scope of the GDPR (Article 3). Monitoring of data subjects’ behaviour. Wide Web Conference, 1-10. Erişim adresi (01.09.2023): https://hal.inria.fr/ Erişim adresi (01.09.2023):https://edpb.europa.eu/sites/default/files/files/ hal-01718234v2 file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultati- on_en_1.pdf. ◊ Grajek, G. F., Liu, C., Quach, A. Y., & Lo, J. C. (Mayıs, 2018). Amerika Birleşik Devletler Patent No. US20150237039A1. Erişim adresi (01.09.2023): https:// ◊ European Network and Information Security Agency. (2012). Privacy conside- patents.google.com/patent/US20180124039A1/en?inventor=grajek&oq=g- rations of online behavioural tracking. Erişim Adresi (08.09.2022): https:// rajek www.enisa.europe.eu ◊ HTTP referer explanation (t.y), Erişim Adresi (23.09.2022): https://privacyin- ◊ Falola, O. O. (2020). Internet Of Things (IOT) Device Fingerprinting For Ano- ternational.org/guide-step/4150/http-referer-explanation maly Detection (Yüksek lisans rezi, Regina Üniversitesi, Kanada). Erişim ad- resi (01.09.2023): https://ourspace.uregina.ca/items/7286b101-ab0e-4db- ◊ Information Commissioner’s Office (2019, Haziran 20). Update report into b-930b-f700a57a1176 adtech and real time bidding, Erişim adresi (01.09.2023): https://ico.org. uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-re- port-201906-dl191220.pdf 566 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 567 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Information Commissioner’s Office. (t.y.a). What does the UK GDPR say about ◊ Madde 29 Veri Koruma Çalışma Grubu. (2010b). Opinion 02/2010 on online cookies? Erişim adresi (01.09.2023): https://ico.org.uk/for-organisations/di- behavioural advertising. Erişim Adresi (01.09.2023): https://ec.europa.eu/ rect-marketing-and-privacy-and-electronic-communications/guide-to-pecr/ justice/article-29/documentation/opinion-recommendation/index_en.ht- guidance-on-the-use-of-cookies-and-similar-technologies/how-do-the-coo- m#maincontentSec4 kie-rules-relate-to-the-gdpr/ ◊ Madde 29 Veri Koruma Çalışma Grubu. (2011). Opinion 16/2011 on EASA/IAB ◊ Information Commissioner’s Office. (t.y.b). What are cookies and similar Best Practice Recommendation on Online Behavioural Advertising. Brüksel: technologies?. Erişim adresi (01.09.2023): https://ico.org.uk/for-organisa- Avrupa Komisyonu. Erişim Adresi (01.09.2023): https://ec.europa.eu/justice/ tions/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-techno- article-29/documentation/opinion-recommendation/index_en.htm#main- logies/what-are-cookies-and-similar-technologies/ contentSec4 ◊ Iqbal, U., Englehardt, S., & Shafiq, Z. (2021). Fingerprinting the Fingerprin- ◊ Madde 29 Veri Koruma Çalışma Grubu. (2014a). Opinion 05/2014 on Anon- ters: Learning to Detect Browser Fingerprinting Behaviors. 2021 IEEE Sympo- ymisation Techniques. Erişim Adresi (01.09.2023): https://ec.europa.eu/ sium on Security and Privacy (SP), 1143-1161. DOI: https://doi.org/10.48550/ justice/article-29/documentation/opinion-recommendation/index_en.ht- arXiv.2008.04480 m#maincontentSec4 ◊ Johnston, A. (2020). Reforming privacy laws to protect against digital harms. ◊ Madde 29 Veri Koruma Çalışma Grubu. (2014b). Opinion 8/2014 on the on Erişim adresi (01.09.2023): http://classic.austlii.edu.au/au/journals/ANZ- Recent Developments on the Internet of Things. Erişim Adresi (01.09.2023): CompuLawJl/2021/11.pdf https://ec.europa.eu/justice/article-29/documentation/opinion-recommen- dation/index_en.htm#maincontentSec4 ◊ Kim, S., Yoo, S. G., & Kim, J. (2017). Privacy Protection Mechanism for Indoor Positioning Systems. International Journal of Applied Engineering Resear- ◊ Madde 29 Veri Koruma Çalışma Grubu. (2014c). Opinion 9/2014 on the ch, 12(9), 1982-1986. Erişim adresi (01.09.2023): https://www.ripublication. application of Directive 2002/58/EC to device fingerprinting. Erişim adre- com/journals.htm si(01.09.2023): https://ec.europa.eu/justice/article-29/documentation/opi- nion-recommendation/index_en.htm ◊ Laperdrix, P., Bielova, N., Baudry, B., & Avoine, G. (2020). Browser Fingerp- rinting: Survey. ACM Transactions on the Web. 14(2). 1-33. DOI: https://doi. ◊ Madde 29 Veri Koruma Çalışma Grubu. (2017a). Guidelines on Data Prote- org/10.1145/3386040 ction Officers (‘DPOs’) (wp243rev.01), Erişim adresi (01.09.2023): https:// ec.europa.eu/newsroom/article29/items/itemType/1360 ◊ Madde 29 Veri Koruma Çalışma Grubu. (2007). Opinion 4/2007 on the con- cept of personal data, Erişim Adresi (01.09.2023): https://ec.europa.eu/jus- ◊ Madde 29 Veri Koruma Çalışma Grubu. (2017b). Opinion 01/2017 on the tice/article-29/documentation/opinion-recommendation/index_en.htm#- Proposed Regulation for the ePrivacy Regulation (2002/58/EC) Erişim Adresi maincontentSec4 (01.09.2023): https://ec.europa.eu/newsroom/article29/items/610140/en ◊ Madde 29 Veri Koruma Çalışma Grubu. (2010a). Opinion 1/2010 on the con- ◊ Malvertising. (t.y.). Erişim adresi (01.09.2023): https://www.imperva.com/ cepts of “controller” and “processor”. Erişim Adresi (01.09.2023): https:// learn/application-security/malvertising/ ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ index_en.htm#maincontentSec4 ◊ Mitigating Browser Fingerprinting in Web Specifications (2019, Mart 28). Eri- şim adresi (01.09.2023): https://www.w3.org/TR/fingerprinting-guidance/ 568 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 569 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ◊ Molitorisz, S., Meese, J., & Hagedorn, J. (2021). From Shadow Profiles to Con- ◊ Segura, J. (Malwarebytes), Aseev E. (GeoEdge). (t.y.). Operation Fingerprint: tact Tracing: Qualitative Research into Consent and Privacy. Law, Technology A look into several Angler Exploit Kit malvertising campaigns. Erişim adresi and Humans, 3(2), 46-60. DOI:10.5204/lthj.1874 (01.09.2023): https://site.geoedge.com/downloads/documents/Malware_ Operation_Fingerprint.pdf?ge_campaign=malware_fingerprint ◊ Nalpas, M. (2021, Ekim 14). Referer and Referrer-Policy Best Practices [Blog Yazısı]. Erişim Adresi (01.09.2023): https://web.dev/referrer-best-practices/ ◊ Top 12+ web analytics tools to improve your site and grow your business. (2023, Haziran 14) Erişim adresi (01.09.2023): https://www.hotjar.com/we- ◊ Network Advertising Initiative. (2021, Temmuz 23). Retargeting. Erişim ad- b-analytics/tools/ resi (01.09.2023): https://thenai.org/glossary/retargeting/ ◊ Torres, C., Jonker, H., & Mauw, S. (t.y.). FP-Block: usable web privacy by cont- ◊ Nottingham, M. (2020, Aralık 16). Not Similar to Cookies: Device and Browser rolling browser fingerprinting. Erişim adresi (01.09.2023): https://core. Fingerprinting as Sensitive Personal Data. DOI: http://dx.doi.org/10.2139/ ac.uk/download/pdf/31206626.pdf ssrn.3890545 ◊ Web Analytics Association. (2010). Social Media Standards . Erişim adresi ◊ Olejnik, Ł., Acar, G., Castelluccia, C., & Diaz, C. (2016). The Leaking Battery. J. (01.09.2023): https://www.digitalanalyticsassociation.org/Files/PDF_stan- N.-A. Garcia-Alfaro içinde, Data Privacy Management, and Security Assurance. dards/WAAStandardsSocialMediaDefin.pdf Cilt vol 9481. 254-263. DOI:10.1007/978-3-319-29883-2_18 ◊ Web Analytics Association. (2011). Outlook 2011: Survey Report. Erişim Adresi ◊ Laperdrix P., Rudametkin W. ve Baudry B. (2016), Beauty and the Beast: Diver- (01.09.2023): https://www.digitalanalyticsassociation.org/Files/PDF_resear- ting Modern Web Browsers to Build Unique Browser Fingerprints, 2016 IEEE ch/outlook_survey_2011.pdf Symposium on Security and Privacy (SP), 878-894, doi: 10.1109/SP.2016.57. ◊ Plausible. (t.y.). Plausible: GDPR, CCPA and cookie law compliant site analyti- cs. Erişim adresi (01.09.2023): https://plausible.io/data-policy ◊ Rich, J. (2015). Beyond Cookies: Privacy lessons for Online Advertising (Speech, AdExchanger Industry Preview, 21 January 2015), Erişim adresi (01.09.2023): https://www.ftc.gov/system/files/documents/public_statements/620061/ 150121beyondcookies.pdf ◊ Johnstone, A & Culcane, C. (2020). Cookies and Other Online Identifiers-Re- search Paper for the Office of the Australian. Erişim Adresi (01.09.2023): https://www.oaic.gov.au/engage-with-us/research-and-training-resources/ research/research-publications-on-the-privacy-act. ◊ Segers, W. (2021). A survey and evaluation of browser (Yüksek lisans tezi, Maast- richt University). Erişim adresi (01.09.2023): https://documentserver.uhas- selt.be/bitstream/1942/35316/1/fae24997-cffe-46e1-a2b6-2d8a542c18be.pdf KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 571 UZMANLIK TEZLERI DERLEME ÇALIŞMASI ELEKTRONIK SÖZLEŞMELER KAPSAMINDA KIŞISEL VERI İŞLEME FAALIYETI VE VERI SORUMLUSUNUN YÜKÜMLÜLÜKLERI Neslihan KOÇAK Kişisel Verileri Koruma Uzmanı Bu çalışma, 14.02.2023 tarihinde kabul edilen “Elektronik Ticaret Hukukunda Ki- şisel Verilerin Korunması” başlıklı uzmanlık tezinden alınmıştır. GİRİŞ Günümüz teknolojisi çok hızlı ve çok çeşitli yönlerden gelişmektedir. Özellikle yapay zekanın son yıllardaki gelişimi, robot teknolojilerinin hayatın hemen her alanında kullanılmaya başlanması, otonom araçların ve cihazların yaygınlaşması, elektronik ticaretin gittikçe genişleyen ticaret hacmi artık dijital çağda belirli bir eşiğin geçildiğini ve bu gelişim hızının zamanla daha da artacağını göstermektedir. Diğer taraftan, dijital çağın ve internetin gelişimiyle beraber elektronik ortamda gerçekleştirilen ticari ilişkiler ve sözleşmeler de yaygınlaşmaktadır. Elektronik sözleşmelerin yaygınlaşmasıyla beraber insanların kişisel verileri üzerindeki hassasiyeti artmaya ve insan haklarının gereği olarak kişisel verilerin korunması daha çok önem arz etmeye başlamıştır. Zira söz konusu elektronik sözleşmeler va- sıtasıyla sözleşmenin güçlü tarafı olan “veri sorumlusu”, sözleşmenin diğer tarafı olan “ilgili kişi”lere ait pek çok kişisel veriyi elde etmektedir. Bu kişisel verilerin veri sorumlusu tarafından hukuka uygun işlenmesi, amacına uygun kullanılması ve güvenliğinin sağlanması bir gereklilik ve aynı zamanda veri sorumlusu için bir yükümlülüktür. 572 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 573 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI Öte yandan, elektronik sözleşme vasıtasıyla işlenen kişisel verilerin analiz edilerek kukuyla paralel olarak, internet vasıtasıyla kurulan sözleşmeler farklı bir sözleş- ilgili kişilerin tüketici alışkanlıklarının tespit edilmesi ve ilgili kişilere bu alışkan- me tipi şeklinde değerlendirilmemekte ve fakat sözleşmenin kurulmasındaki bir lıkları doğrultusunda ürün sunularak söz konusu kişisel verilerin veri sorumlusu- yöntem olarak görülmektedir (Turan, 2008, s.92). nun ticari kazancını artırmak üzere kullanılması da mevzu bahis olmaktadır. Bu durumda ise, bireyin kişisel verilerinin korunması hakkı ile veri sorumlusunun Günümüz ticari hayatında, neredeyse sınırsız mal ve hizmet üretilmekte, top- sözleşmesel hakları arasında bireyin aleyhine bir dengesizlik oluşabilmektedir. luma arz edilmekte ve bu yolla binlerce sözleşme akdedilmektedir. Bu nedenle sözleşmeyi hazırlayan taraflar, her defasında aynı sözleşme konusu üzerinde Bu kapsamda, çalışmada öncelikle elektronik sözleşme ve türlerine dair bilgi ve- yeniden içerik hazırlamak yerine “standart sözleşmeler” vasıtasıyla iş yapmayı rilmiş, daha sonra elektronik sözleşmeler kapsamında genellikle işlenmekte olan tercih etmişlerdir (Önder Balaman, 2017, s.291). Bu sözleşmelere tarafı olacak ki- kişisel verilere, kişisel veri işleme şartlarına, veri sorumlusunun tespitine ve veri şilerin ise iradelerini kullanabileceği tek yöntem kabul veya red beyanı yöneltmek sorumlusunun yükümlülüklerine ilişkin 6698 sayılı Kişisel Verilerin Korunması şeklindedir. Elektronik sözleşmeler bakımından da aynı husus söz konusu olup, Kanunu (KVKK) ve sair mevzuat çerçevesinde bilgilendirmede bulunulmuştur. sözleşmenin tarafları irade beyanlarını dijital ortamda icra ettiklerinden genel- likle sözleşme maddelerini karşı tarafla müzakere etme imkânına sahip olama- ELEKTRONİK SÖZLEŞMELER maktadır. Bu tür sözleşmeler, çoğunlukla satıcının önceden hazırladığı sözleşme şartlarını internet sitesi aracılığıyla sunması, müşterinin ise bu şartları olduğu Genel Olarak gibi kabul etmesiyle kurulmaktadır (Önder Balaman, 2017, s.292). Bu bakımdan, elektronik sözleşmeler kuruluş şekli açısından genellikle “iltihakî (katılmalı) söz- Günlük hayatta “elektronik ticaret” ile “elektronik sözleşme” kavramları aynı an- leşme” özelliği göstermektedir (Turan, 2008, s.95). lamdaymış gibi birbirlerinin yerine kullanılsa da “elektronik ticaret” kavramı, “elektronik sözleşme” kavramını da kapsayan ve elektronik ortamda yapılan hu- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu’nun (ETDHK) kuki işlemleri ile ticari faaliyetleri de içine alan daha geniş niteliğe sahip bir üst 2/1 maddesinin (c) bendindeki “ticari elektronik ileti” tanımında yer verilen araç- kavramdır (Kuntoğlu, 2021, s.202; Hamamcıoğlu, 2018, s.49). lara göre; “Elektronik posta, çağrı merkezi, telefon, faks, akıllı ses kaydedici sistem, otomatik arama makinesi ve kısa mesaj gibi vasıtalar aracılığıyla” yapılan sözleş- “Elektronik sözleşme”, “Uluslararası Ticaret Odası” (ICC) tarafından “tarafların melerin, elektronik sözleşme olacağı yorumu yapılabilmektedir (Önder Balaman, bilgisayarları aracılığıyla ister ağa bağlı olarak ister elektronik mesajlaşma yo- 2017, s.290). Bununla birlikte, internet aracılığıyla yapılan tüm sözleşmelerin luyla sözleşme yapmalarının otomatikleştirilmiş süreci” olarak tanımlanmaktadır elektronik sözleşme olacağını söylemek mümkün değildir. Zira, “Web sayfası (Wang, 2014, s.33). Buna göre elektronik sözleşme aslında bir sözleşme türü ol- kurulması, bir servis sağlayıcı ile internete bağlanmak üzere aralarında sözleşme mayıp, sözleşmenin kuruluş şekliyle alakalı bir terimdir. Elektronik sözleşmenin yapılması bir server üzerine reklam yapılması, vb. işlemler” elektronik sözleşme yazılı sözleşmeden temel farkı da elektronik sözleşmenin elektronik ortamda kapsamında değerlendirilmemektedir. Örneğin, konusu kişinin internet üzerin- kuruluyor olmasıdır (Kocasakal Özdemir, 2003 s.37; Önder Balaman, 2016, s.29; den satış yapacağı web sayfasının hazırlanması olan bir sözleşmenin, bir “eser Sağlam Atabarut, 2003, s.51; Bayram, 2015, s.334). Bu bakımdan, sözleşmelerin sözleşmesi” olarak kabul edilmesi gerekmektedir (Önder Balaman, 2017, s.290). kuruluşuna, geçerliliğine ve ifasına ilişkin Türk Borçlar Hukuku’ndaki düzenle- meler mahiyetine uygun bulunduğu ölçüde e-sözleşmelere de uygulanmaktadır Elektronik Sözleşme Türleri (Kocasakal Özdemir, 2003, s.37; Turan, 2008, s.92). Dolayısıyla, karşılıklı ve birbi- rine uygun olarak kurucu irade beyanlarının elektronik ortamda icrası elektronik Ürünlerin Niteliği Açısından Elektronik Sözleşmeler sözleşmeden söz edebilmek için şarttır (Bayram, 2015, s.334; Önder Balaman, 2017, s.289). Mal Satımına İlişkin Elektronik Sözleşmeler Aynı şekilde, UNCITRAL internet üzerinde kurulan sözleşmelerle ilgili özel bir Mal satımını konu alan elektronik sözleşmelerde, sözleşme internet üzerinden tanımlama tapma ihtiyacı duymamıştır. Zira UNCITRAL tarafından da Türk Hu- kuruluyor olsa da sözleşmenin ifası ise kurye, posta vb. fiziksel yöntemler aracılı- 574 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 575 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI ğıyla yapılmaktadır (Arslan ve Öz, 2020, s.17; Turan, 2008, s.93). Sözleşmenin ko- ternet vasıtasıyla da sözleşmenin kuruluş beyanlarının icra edilmesi mümkün

sağlanmasını teminen etkin önlemler almalarını gerekli kılan birden çok gerek- memekte veya onları etkilememekte, aksine onların işlerliklerini artırmaktadır çenin mevcut olduğunu ifade etmektedir (Madde 29 Çalışma Grubu, 2010). Bu (Madde 29 Çalışma Grubu, 2010). noktada ilk olarak var olan, işlenen ve aktarılan verinin artışıyla ortaya çıkan ‘veri tufanı’ adlı etkiden bahsedilmektedir. Hem teknolojik gelişmeler (bir başka Madde 29 Çalışma Grubu, hesap verilebilirlik ilkesinin revize edilmiş Direktife deyişle bilgi ve iletişim sistemlerindeki büyüme) hem de bireylerin teknoloji ile dâhil edilmesinin, veri sorumlularını bu tür önlemleri uygulamaya sevk edecek olan etkileşim kabiliyetindeki artış bu olguyu desteklemektedir. Mevcut veri ile yollardan biri olduğunu vurgulamış ve bu tür bir düzenleme ile veri sorumlula- verinin küresel dolaşımı arttıkça, veri ihlallerinin taşıdığı risk de aynı oranda rını mevcut veri koruma ilkelerini etkin hâle getirecek önlemler almakla ve talep artış gösterecektir. Bu nedenle veri sorumlularının, kişisel verilerin korunması edilmesi hâlinde bunları veri koruma otoritelerine ispat edebilmekle yükümlü adına gerçek ve etkin mekanizmalar tesis etmelerine duyulan ihtiyaç daha da kılacak bir etkinin beklenebileceğini ifade etmiştir. Buna ek olarak belirli durum- artmaktadır (Madde 29 Çalışma Grubu, 2010). larda mahremiyet etki analizi yapılması veya veri koruma görevlisi atama yüküm- lülüğü gibi spesifik gerekliliklerin, genel hesap verilebilirlik ilkesinin tamamlayı- İkinci olarak kişisel veri miktarındaki sürekli artışa, sosyal, politik ve ekonomik cısı olarak öngörülebilmeleri de mümkündür (Madde 29 Çalışma Grubu, 2010). açıdan verinin taşıdığı değerdeki artış da eşlik etmektedir. Öyle ki bazı sektörler- de (bilhassa çevrimiçi ortamda faaliyet gösterenlerde) kişisel veri, online içeriğe Belirtmek gerekir ki yasal zorunluluktan kaynaklananlara ek uygulama ve pro- karşılık fiili para birimi hâlini almıştır. Aynı zamanda toplumsal açıdan bakılacak sedürlerin veri sorumluları tarafından uygulamaya konulmaları mümkündür. olursa, kişisel veriye atfedilen toplumsal değer de artış göstermektedir. Kısacası, Madde 29 Çalışma Grubu bu tip girişimleri takdir ettiğini ifade etmektedir. Bu kişisel verilerin veri sorumluları nezdindeki önemi arttıkça, vatandaşlar, tüketici- doğrultuda, bir veri sorumlusunun ilgili kişilerin kişisel verilere erişim taleple- ler ve genel olarak toplum kişisel verilerinin öneminin gittikçe daha da farkında rini mevzuatla belirlenenden daha kısa bir süre içerisinde yanıtlandırmayı ya hâle gelecek, bu da hâliyle kişisel verilerin korunması hususunda daha sıkı önlem- da erişim taleplerini, bilginin hızlı ve etkin bir şekilde alınmasını teminen aynı ler alınmasına yönelik ihtiyacı pekiştirecektir (Madde 29 Çalışma Grubu, 2010). anda hem çevrimiçi hem de çevrimdışı olarak yanıtlandırmayı tercih etmesi söz konusu olabilecektir. Benzer şekilde veri sorumlusunun tâbi olduğu yasal mev- Son olarak, kişisel veri ihlalleri kamu ve özel sektördeki veri sorumlularının iti- zuatta zorunlu kılınmadığı hâlde bir veri koruma görevlisi ataması ya da veri barları nezdinde ciddi olumsuz etkiler doğuracaktır. Bu nedenle riskleri en aza korumaya ilişkin uygulamalarının ilgili yasal çerçeveye uygunluğunu denetlemesi indirgemek, iyi bir itibar oluşturmak ve bunu sürdürmek, vatandaşların ve müş- için üçüncü bir tarafı görevlendirmesi mümkün olacaktır (Madde 29 Çalışma terilerin güvenlerini kazanmak tüm sektörlerdeki veri sorumluları için gittikçe Grubu, 2010). daha fazla önem arz etmektedir (Madde 29 Çalışma Grubu, 2010). Yukarıdaki açıklamalar çerçevesinde hesap verilebilirlik mekanizmalarının hu- Özetle yukarıda anlatılanlar, veri sorumlularının yetersiz kişisel veri koruma uy- kuki yapısının iki kademeden oluştuğu ifade edilebilir. İlk katman tüm veri so- gulamalarından doğabilecek yasal, ekonomik ve itibar risklerini en aza indirerek rumluları için bağlayıcılığı bulunan temel yasal yükümlülükleri, ikinci katman kişisel verilerin korunmasına ilişkin gerçek ve etkin tedbirler alma gereksinim- ise yasada öngörülen asgari seviyenin üzerinde, gönüllülük esasına dayalı hesap lerini ortaya koymakta olup hesap verilebilirlik merkezli mekanizmalar bu he- verilebilirlik sistemlerini içermektedir. Belirtmek gerekir ki burada ifade edilen defleri yerine getirme amacı taşımaktadırlar (Madde 29 Çalışma Grubu, 2010). yasal zorunluluk; gerekli önlem veya prosedürlerin uygulamaya konulması ile bu hususun ispatlanabilirliği olmak üzere kendi içerisinde iki unsurdan oluşmak- 754 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 755 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI tadır. İlk katmanının bir bütünleyicisi olarak birtakım spesifik zorunlulukların veri işleme sırasında hem de veri işleme yöntemini belirlerken uygulanmalıdır. öngörülmesi de göz önünde bulundurulabilecektir (Madde 29 Çalışma Grubu, Bu tedbirlerin uygulanmasında veri sorumlusunun en son teknolojiyi, uygulama 2010). maliyetlerini, kişisel veri işlemenin mahiyetini, kapsamını, amaçlarını ve ilgili kişinin hak ve özgürlükleri üzerinde oluşacak riskleri ve zararları dikkate alması GENEL VERİ KORUMA TÜZÜĞÜNDE HESAP VERİLEBİLİRLİK gerekir (Giakoumopoulos, Buttarelli ve O’Flaherty, 2018). Bu kapsamda GVKT’nin 25 inci maddesinde ‘tasarımda mahremiyet’ ve ‘varsayılan mahremiyet’ yaklaşım-

nün (GVKT) 5 inci maddesinin ikinci fıkrasının (a) bendinde hesap verilebilirlik ilkesine açıkça yer verilmiştir. Söz konusu hükümde veri sorumlusunun mezkûr Tasarımda mahremiyet; bir sistemin, hizmetin, ürünün veya faaliyetin, tasar- maddenin birinci fıkrasında sayılan kişisel veri işlenmesine ilişkin ilkelere uygun lanma aşamasından itibaren işleme süreci boyunca mahremiyet ve veri koruma davranmaktan sorumlu olduğu ve buna uygun davrandığını gösterebilir durum- gereklilikleri göz önünde bulundurularak ortaya konulmasıdır (ICO, 2023c). da olmakla mükellef olduğu ifade edilmiştir. Söz konusu hükmün Tüzükte yer Varsayılan mahremiyet ise kullanıcı müdahalesine ihtiyaç duyulmaksızın kişisel alması ile kişisel verilerin korunması alanında öngörülen yükümlülüklere uyu- verinin yalnızca belirlenen amaç doğrultusunda gerekli olduğu ölçüde işlenmesi mun ispatı veri sorumlusuna yüklenerek devlet tarafından denetleme unsuru geri anlamına gelmekte olup (Avrupa Veri Koruma Kurulu [EDPB], 2020) temelde plana atılmış ve sorumluluk veri sorumlusuna verilmiştir (Çekin, 2018). veri minimizasyonu ve amaçla sınırlılık ilkeleri ile ilişkili bir yaklaşımdır (ICO, 2023c). Varsayılan mahremiyet, kişisel verilerin herhangi bir iş uygulaması ya GVKT kapsamında hesap verilebilirlik, kişisel verilerin korunmasına ilişkin ku- da bilgi teknolojisi sisteminde otomatik olarak mümkün olan en üst düzeyde rallara uyma ve gerektiğinde bunu ispatlayabilme şeklinde iki yükümlülüğü bün- korunmasını sağlamayı amaçlamaktadır (Cavoukian, 2011). yesinde barındırmaktadır. Her ne kadar 95/46/EC sayılı Direktif “hesap verilebi- lirlik” terimini kullanmamış olsa da veri işleme faaliyeti ile sorumlu tarafın pek Tasarımda mahremiyet yaklaşımı kişisel verilerin korunmasına ilişkin reaktif de- tabii Direktife uygun hareket etme yükümlülüğü mevcuttu. Ancak veri sorumlusu ğil proaktif önlemler alınması şeklinde nitelendirilebilir. Bu yaklaşım ile mahre- veya veri işleyenin herhangi bir şekilde uyumluluğu ispat etme zorunluluğu Di- miyete yönelik ihlallerin henüz gerçekleşmeden önce öngörülerek engellenmesi rektiftin hiçbir yerinde açıkça öngörülmemekteydi. Bu nedenle Tüzüğün getirdiği mümkün hâle gelmektedir (Cavoukian, 2011). Belirtmek gerekir ki tasarımda asıl yenilik, veri işleme faaliyeti ile sorumlu tarafın uyumluluğu ispat yükümlülü- mahremiyet, bir donanımın, yazılımın, sistemin veya işlemin kullanım süresi ğünün kuvvetli biçimde vurgulanıyor oluşudur. Nitekim İngilizcede “ispat etme” boyunca uygulanacak kişisel verilerin korunmasına yönelik stratejilerin oluştu- anlamını taşıyan “demonstrate” kelimesine Tüzükte 33 defa yer verilmektedir rulması amacıyla risk yönetimi ile hesap verilebilirliği merkezine alacak şekilde (Korff ve Georges, 2019). tasarlanmaktadır (Agencia Española de Protección de Datos, 2019) Bu çerçevede veri sorumluları ve veri işleyenlerin kişisel veri işlemeye başlamadan önce plan- Bununla birlikte GVKT yalnızca hesap verilebilirlik yükümlülüğünü açıkça dü- lanan veri işleme faaliyetinin ilgili kişilerin hak ve özgürlükleri üzerindeki olası zenlemekle yetinmemiş, hesap verilebilirlik ilkesinin temini adına kimisi uygu- etkilerini değerlendirmeleri, ardından planlanan faaliyeti ilgili kişilerin hak ve lanması zorunlu, kimisi gönüllülük esasına dayalı birtakım hesap verilebilirlik özgürlüklerine yönelik müdahaleyi en aza indirgeyecek veya tamamen ortadan araçlarını da düzenleme altına almıştır. kaldıracak şekilde tasarlamaları ve faaliyetin her aşamasında kişisel verilerin korunması temin edecek gerekli teknik ve idari tedbirleri almaları gerekecektir GENEL VERİ KORUMA TÜZÜĞÜNDE HESAP VERİLEBİLİRLİK ARAÇLARI (Giakoumopoulos ve diğerleri, 2018). Tasarımda Mahremiyet ve Varsayılan Mahremiyet Kişisel Veri İşleme Faaliyetlerine İlişkin Kayıtlar AB Mevzuatı, veri sorumlularının veri koruma ilkelerini etkin bir şekilde uygu- GVKT’nin 30 uncu maddesinin birinci fıkrası uyarınca veri sorumluları ile uygun laması için düzenlemelerin şartlarını yerine getirmesini ve ilgili kişilerin hak- olduğu hâllerde veri sorumlusu temsilcileri, yükümlü bulundukları kişisel veri larını korumak için gerekli tedbirleri almasını öngörmüştür. Bu tedbirler hem işleme faaliyetlerinin kayıtlarını tutmakla mükelleftirler. Söz konusu kayıtlarda; 756 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 757 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI • Veri sorumlusunun, uygun hallerde ortak veri sorumlusunun, veri sorumlusu • Mümkün olması durumunda GVKT’nin 32 nci maddesinin birinci fıkrasında temsilcisinin ve veri koruma görevlisinin isim ve iletişim bilgileri, yer alan teknik ve idari güvenlik tedbirlerine ilişkin genel bir açıklama, • Kişisel veri işleme faaliyetinin amaçları, söz konusu kayıtlarda bulunmalıdır. • İlgili kişi kategorileri ile kişisel veri kategorilerine ilişkin bir açıklama, Tüzüğün 30 uncu maddesinin dördüncü fıkrası uyarınca; düzenleyici kurum ta- rafından talep edilmesi hâlinde anılan kayıtların veri sorumlusu veya veri işleyen • Uluslararası organizasyonlar ve üçüncü ülkelerde yer alan alıcılar da dahil ve uygun olması hâlinde bunların temsilcileri tarafından hazır bulundurulması olmak üzere kişisel verilerin aktarıldığı ya da aktarılacağı alıcı grupları, gerekmektedir. • Uygun olması hâlinde kişisel verilerin üçüncü ülkelere veya uluslararası orga- Kişisel veri işleme faaliyetlerinin kaydına yönelik yükümlülük doğrudan hesap nizasyonlara aktarımları, söz konusu üçüncü ülke ve uluslararası organizas- verilebilirliğin sağlanması için öngörülmüş bir düzenlemedir. Nitekim gerçekleş- yonların belirtilmesi, GVKT’nin 49 uncu maddesinin birinci fıkrasının ikinci tirilen faaliyetlerin belgelendirilmesi ve kaydedilmesi ile mevzuata uygun hareket alt paragrafında ifade edilen kişisel veri aktarımlarının söz konusu olduğu edildiği ispatlanabilmekte ve düzenleyici otoritelerin veri işleme faaliyetlerinin hallerde uygun güvelik önlemlerinin alındığına ilişkin belgeler, hukuka uygunluğunu denetlemesine imkân sağlanmaktadır (Giakoumopoulos ve diğerleri, 2018). • Mümkün olması durumunda farklı kategorilerdeki verilerin ne kadar süre sonra silineceğinin öngörüldüğü, Veri Koruma Etki Değerlendirmesi • Mümkün olması durumunda GVKT’nin 32 nci maddesinin birinci fıkrasında Veri işleme faaliyetleri, nitelikleri gereği kişi haklarına karşı risk oluşturmaktadır- yer alan teknik ve idari güvenlik tedbirlerine ilişkin genel bir açıklama lar. Kişisel verilerin kaybolmaları, yetkisiz kişilere açıklanabilmeleri veya hukuka aykırı işlenebilmeleri mümkündür. Haliyle veri işlemenin doğası ve kapsamına yer almak zorundadır. bağlı olarak bu riskler değişkenlik göstermektedir. Örneğin hassas verilerin iş- lendiği geniş kapsamlı bir veri işleme faaliyeti, küçük bir şirket tarafından şirket Bununla birlikte mezkûr maddenin ikinci fıkrasında ise veri sorumlusu adına çalışanlarına ait adres ve şahsi telefon numarası verilerinin işlenmesine oranla gerçekleştirdikleri veri işleme faaliyetleri kapsamında veri işleyenler ile uygun daha yüksek bir risk taşıyacaktır (Giakoumopoulos ve diğerleri, 2018). olduğu hâllerde veri işleyen temsilcilerinin tutmakla mükellef oldukları kayıtla- rın içeriğine yer verilmiştir. Bu çerçevede; Yeni teknolojilerin ortaya çıkışı ve veri işlemenin gittikçe karmaşık bir hal alıyor oluşu nedeniyle, veri sorumlularının kişisel veri işleme faaliyetine başlamadan • Veri işleyenin, uygun hallerde veri işleyen temsilcisinin, adına hareket edi- önce gerçekleştirilmesi amaçlanan kişisel veri işleme faaliyetinin olası etkilerini len veri sorumlusunun/sorumlularının ve veri koruma görevlisinin isim ve irdeleyerek bu tür risklerin üzerine eğilmeleri gerekmektedir. Bu sayede kuru- iletişim bilgileri, luşlar söz konusu riskleri önceden gereği gibi tespit etme, irdeleme ve hafifletme imkânı bulabileceği gibi, veri işleme faaliyetinin kişiler üzerinde olumsuz bir etki • Her veri sorumlusu adına gerçekleştirilen işleme kategorileri, yaratma olasılığı da belirgin ölçüde sınırlandırılmış olacaktır (Giakoumopoulos ve diğerleri, 2018). Buradan hareketle GVKT’nin 35 inci maddesinin birinci fıkrası • Uygun olması hâlinde kişisel verilerin üçüncü ülkelere veya uluslararası orga- uyarınca bilhassa yeni teknolojilerin kullanıldığı bir veri işleme faaliyetinin (işle- nizasyonlara aktarımları, söz konusu üçüncü ülke ve uluslararası organizas- menin mahiyeti, kapsamı, içeriği ve amacı göz önünde bulundurulmak suretiyle) yonların belirtilmesi, GVKT’nin 49 uncu maddesinin birinci fıkrasının ikinci ilgili kişilerin temel hak ve özgürlükleri üzerinde yüksek risk oluşturma ihtima- alt paragrafında ifade edilen kişisel veri aktarımlarının söz konusu olduğu linin bulunması hâlinde veri sorumlusu, hayata geçirilmeden önce tasarlanan hallerde uygun güvelik önlemlerinin alındığına ilişkin belgeler, faaliyetin ilgili kişilerin kişisel verileri üzerinde yaratabileceği etkilere yönelik 758 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 759 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI bir değerlendirme yapmakla yükümlü kılınmıştır. Veri koruma etki değerlendir- başlamadan önce ilgili düzenleyici otoriteye başvurması gerekecektir (Giakoumo- mesi, işleme faaliyetinin sistematik ve kapsamlı bir şekilde analiz edilmesine ve poulos ve diğerleri, 2018). veri koruma risklerinin belirlenerek en aza indirilmesine yardımcı olmaktadır (ICO, 2023d). Bununla birlikte Madde 29 Çalışma Grubu, veri koruma etki değerlendirmesinin veri koruma mevzuatına uyumluluk yönünden yararlı bir araç niteliğini haiz Veri koruma etki değerlendirmesi, veri sorumlularının GVKT gerekliliklerine olması sebebiyle, değerlendirmenin gerekli olup olmadığının netleştirilemediği uymalarına yardımcı olmakla kalmayıp aynı zamanda Tüzük ile uyumu sağla- hallerde dahi yapılmasını önermektedir (Madde 29 Çalışma Grubu, 2017). mak için uygun önlemlerin alındığını ispatlamalarına da yardımcı olduğundan, önemli bir hesap verilebilirlik aracı olarak addedilmektedir (Madde 29 Çalışma Veri Koruma Görevlisi Grubu, 2017). Belirtmek gerekir ki veri koruma etki değerlendirmesinin doğru şekilde uygulandığından bahsedebilmesi için sürekli olarak gözden geçirilmesi Veri koruma görevlisi, bir şirket veya kuruluşta görev alan ve görev aldığı şirket ve düzenli olarak yeniden değerlendirilmesi gerekmektedir. Nitekim Madde 29 veya kuruluşun yürürlükteki mevzuata uygun biçimde kişisel verileri koruması- Çalışma Grubunun da vurguladığı üzere mevcut durumda bir veri koruma etki nı sağlamakla vazifelendirilmiş kişidir (EDPB, TY) GVKT’nin 37 nci maddesinin değerlendirmesi yapılmasının gerekli görülmediği hâllerde dahi, veri sorumlu- birinci fıkrası uyarınca; sunun gelecekte genel hesap verilebilirlik yükümlülüğü kapsamında veri koruma etki değerlendirmesi yapma zorunluluğu ortaya çıkabilecektir (Madde 29 Çalış- • Yargı yetkisi dahilinde hareket eden mahkemeler hariç olmak üzere kamu ma Grubu, 2017). kurum ve kuruluşlarında gerçekleştirilen veri işleme faaliyetleri, Tüzüğün 35 inci maddesinin birinci ve onuncu fıkraları ile 90 ve 93 numaralı • Veri sorumlusu veya veri işleyenin temel faaliyetlerinin, mahiyeti ve/veya resitallerinde vurgulandığı üzere veri koruma etki değerlendirmesinin işleme amaçları gereği ilgili kişilerin düzenli ve sistematik bir şekilde geniş ölçüde faaliyeti gerçekleştirilmeden önce yapılması gerekmekte olup bu durum tasarım- izlendiği faaliyetlerden oluşması, da mahremiyet ve varsayılan mahremiyet ilkeleri ile tutarlılık göstermektedir. Veri koruma etki değerlendirmesinin işleme faaliyetine yönelik karar oluşturma • Veri sorumlusu veya veri işleyenin temel faaliyetlerinin geniş ölçüde GVKT’nin sürecine yardımcı bir araç olarak görülmesi gerekmektedir. Veri koruma etki de- 9 uncu maddesinde düzenlenen özel nitelikli kişisel verileri veya Tüzüğün 10 ğerlendirmesini yapmakla yükümlü tarafın kim olduğu hususunda ise Tüzüğün uncu maddesinde düzenlenen cezai hüküm veya suçları içeren veri işleme 35 inci maddesinin ikinci fıkrasında veri sorumlusunun veri koruma etki anali- faaliyetlerinden oluşması, zinin yapılması noktasında sorumlu olduğu ifade edilmiş, ancak veri sorumlusu bizzat söz konusu değerlendirmeyi kendisi yapmakla yükümlü kılınmamıştır. Ni- hâllerinden birinin varlığı hâlinde veri sorumlusu veya veri işleyen, veri koruma tekim veri sorumlusunun söz konusu değerlendirmeyi organizasyon içinde veya görevlisi atamakla yükümlüdür. dışında bir başka tarafa yaptırma imkânı mevcuttur. Öte yandan her hâlde veri sorumlusu bu hususta hesap verilebilir olmakla yükümlüdür (Madde 29 Çalışma Veri koruma görevlisi atama yükümlülüğünün getirilmesi ile organizasyonların Grubu, 2017). faaliyetlerini Tüzüğe uygun biçimde gerçekleştirmeleri, bu faaliyetler kapsamın- da kişisel verilerin korunmasına ilişkin görüş ve önerilerin oluşturulması, hesap Veri koruma etki değerlendirmesinin gerektiği hallerde veri sorumluları, işleme- verilebilirliğin sağlanması ve Tüzükte öngörülen veri koruma ilkelerine işlevsellik nin gerekliliği ve ölçülülüğü ile bireylerin hakları üzerinde oluşabilecek muhte- kazandırılması amaçlanmıştır (Turan, 2021). mel riskleri belirlemelidir. Bununla birlikte veri koruma etki değerlendirmesinin tespit edilen risklerin önüne geçmek için planlanan güvenlik önlemlerini de içer- Veri koruma görevlileri bağımsız bir konumda görev almaktadırlar. Nitekim mesi gerekmektedir. Değerlendirmeyi takiben veri işlemenin bireylerin hakları GVKT’nin 38 inci maddesinin üçüncü fıkrası uyarınca veri koruma görevlilerine üzerinde yüksek risk oluşturacağının ve riski azaltmak için herhangi bir tedbir gerçekleştirdikleri faaliyete ilişkin talimat verilemez veya faaliyetlerine ilişkin alınmadığının ortaya çıkması hâlinde, veri sorumlusunun veri işleme faaliyetine olarak kendisine işten çıkarma da dahil olmak üzere yaptırım uygulanamaz. Buna 760 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 761 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI

ket kurallarının denetim, eğitim programları, gelen şikayetlerin ele alınmasına faaliyet yetkili sertifikasyon organı tarafından sertifikasyon kriterlerine göre de- yönelik sistemlerin kurulması gibi yollarla veri koruma ilkelerinin etkin hâle ge- ğerlendirilmektedir. Belirtmek gerekir ki sertifikasyon yalnızca veri sorumluları tirilmesi amacıyla tasarlanmış, çok uluslu organizasyonlarca düzenlenerek uygu- ile veri işleyenlere yönelik bir uygulama olup bu kapsama girmeyen tarafların, lamaya konulan kurallar olduğunu ve hesap verilebilirlik ilkesinin bir yansıması örneğin veri koruma görevlilerinin, sertifikalandırılması mümkün değildir (An olduğunu ifade etmektedir (Madde 29 Çalışma Grubu, 2010). Coimisiún um Chosaint Sonraí, 2020). Öte yandan bağlayıcı şirket kuralları yalnızca uluslararası veri transferlerinde ICO, sertifikasyonun aynı zamanda GVKT’de öngörülen tasarımda mahremiyet kullanılan bir araçtan ibaret olmayıp aynı zamanda organizasyon çapında bir ve varsayılan mahremiyet hükümlerine uygun hareket edildiğini ve veri güven- mahremiyet yönetim programının omurgası olarak da görülebilmektedirler. Bu liğinin sağlanması noktasında gerekli teknik ve idari tedbirlerin alındığını is- nedenle Genel Veri Koruma Tüzüğünde bu araca açıkça yer verilmiş olması, he- patlayan ve kişisel verilerin üçüncü ülkelere veya uluslararası organizasyonlara sap verilebilirlik ilkesine katkıda bulunulması, hukuki kesinliğin sağlanması ve aktarımına destek sağlayan bir araç olduğunu ifade etmektedir (ICO, 2023a). işletmelerin gereksiz yükten kurtarılmasına yardımcı olunması noktasında mem- Nitekim GVKT’nin 42 nci maddesinin ikinci fıkrası, Tüzüğe tâbi olmayan veri nuniyetle karşılanan bir gelişme olarak görülmüştür (Bowman ve Gufflet, 2017). sorumluları ile veri işleyenlerin, uluslararası kişisel veri aktarımlarında uygun güvenlik önlemlerine sahip olduklarını ispatlama amacıyla sertifikasyondan fay- Uluslararası grup şirketlerince Tüzüğe uygun şekilde hazırlanan ve onaylatılan dalanabilmelerine imkân tanımaktadır. Buna ek olarak Tüzüğün 100 numaralı bağlayıcı şirket kuralları, şirket bünyesinde yer alan kuruluşların tamamı için resitalinde; şeffaflığı ve Tüzüğe uyumu artırmak için ilgili kişilerin ürün ve hiz- bağlayıcı niteliği haiz olup söz konusu kuruluşlar arasında Tüzüğe uygun serbest metlerin veri koruma düzeylerini rahatça değerlendirmelerine imkân tanıyan veri akışını sağlamaktadır. Bu sayede grup şirketleri bünyesindeki tüm kuruluş- sertifikasyon mekanizmaları ile veri koruma mühür ve işaretlerinin kullanımının ların yeknesak bir veri koruma politikası oluşmakta ve Tüzüğe uyum süreci daha teşvik edilmesi gerektiği ifade edilerek sertifikasyon mekanizmalarının aynı za- kolay hâle gelmektedir. Buna ek olarak bağlayıcı şirket kurallarının, temelde grup manda şeffaflığın sağlanması amacıyla kullanılabilecek bir araç olduğu da açıkça şirketlerinin veri yönetim politikalarını resmileştirerek yayınlaması anlamına vurgulanmıştır. gelmesi ve Tüzüğe uyum noktasında bir ispat aracı olarak da kullanılabilmesi yönleri ile hesap verilebilirlik ilkesine uygunluğun sağlanmasına hizmet ettiğini söylemek mümkün olacaktır (Toparlak, 2021). Sertifikasyon GVKT kapsamında sertifikasyon, düzenleyici otorite veya düzenleyici otoritenin akredite ettiği bir başka tarafa gönüllü olarak başvuruda bulunan bir organizas- yonun değerlendirilerek kişisel verilerin korunması alanında gerekli tedbirleri aldığının belgelendirmesidir. Diğer bir deyişle sertifikasyon, organizasyonların 764 KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ KIŞISEL VERILERIN KORUNMASINA UZMAN BAKIŞ 765 UZMANLIK TEZLERI DERLEME ÇALIŞMASI UZMANLIK TEZLERI DERLEME ÇALIŞMASI SONUÇ KAYNAKÇA 95/46/EC sayılı Direktifin yürürlükte olduğu dönemde mevcut bulunan somut ◊ Agencia Española de Protección de Datos. (2019). A Guide To Privacy By De- önlem ve uygulamalar ekseninde Avrupa Birliği veri koruma hukukuna hâkim ilke sign, https://www.aepd.es/sites/default/files/2019-12/guia-privacidad-des- ve yükümlülüklerin çoğu zaman yetersiz derecede yansıtıldığı düşüncesiyle veri de-diseno_en.pdf adresinden alınmıştır. koruma alanında teoriden pratiğe doğru bir yönelime ve hukuki gerekliliklerin gerçek veri koruma önlemlerine dönüştürülmesine ihtiyaç duyulduğu anlaşılmış- ◊ An Coimisiún um Chosaint Sonraí. (2020). GDPR Certification, https://www. tır. Bunun sağlanabilmesi için Avrupa Birliğinin veri koruma alanındaki yasal çer- dataprotection.ie/en/organisations/gdpr-certification adresinden alınmış-