Özet
Teknoloji ve internet ortamındaki gelişmeler, özel hayatımızın gizliliğini yeni bir boyuta taşıyarak ‘kişisel veri’ kavramını bilgi dağarcığımızın bir parçası haline getirdi. Öncelikle kişisel verinin ne olduğun anlaşılması gerektiğinden hareketle, bu yazıda ulusal mevzuat ve AB mevzuatı çerçevesinde kişisel verinin kısa bir tanımı yapıldıktan sonra, somut örnekler üzerinden bu tanım somutlaştırılmaya çalışılmıştır. Yapılan tanımlama ise, kişisel verinin korunması için tedbir alıp yaptırım uygulanmasında devletin varlığının gerekliliğine işaret etmektedir.
Her an yakın takibi altında olduğumuz teknoloji, mahremiyetimizin sınırlarını gün be gün yepyeni kavramlara sınıyor. Artık hayatımızın vazgeçilmezi halini alan interneti kullanırken dahi sadece bilgisayarlarımızın içeriğini muhtelif virüs saldırılarına karşı değil, bizi tanımlayan bilgileri de özel hayatımızın gizliliğini ve hukuki güvenliğimizi gözeterek koruma altına almak zorundayız. Peki, ‘bizde kalsın’ dediğimiz, dememiz gereken bu bilgiler neler? İşte bu yazımda, “kişisel veri” olarak kavramsallaştırılan şahsımızı niteleyen bu bilgileri açıklamaya çalışacağım.
Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. 6698 sayılı Kişisel Verilerin Korunması Kanun’a göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkindir.
Avrupa Birliği’nde yürürlükte olan Genel Veri Koruma Yönetmeliği’nde (General Data Protection Regulation-GDPR) kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişi (‘veri sahibi’) ile ilgili herhangi bir bilgi olarak tanımlanır.
Peki bir şirketin ticaret ünvanı ya da adresi gibi tüzel kişiliğine ilişkin bilgiler, kişisel veri midir? Hayır. Kişisel veri olarak nitelenecek bilginin, kimliği belirli ya da belirlenebilir gerçek bir kişiye ilişkin olması gerekir. Diğer bir ifadeyle, gerçekten var olan veya olmuş bir bireyin kim olduğunun belirlenmesinde doğrudan veya dolaylı olarak kullanılabilecek tüm veriler, kişiseldir.
“Her türlü” bilgi nedir o zaman? Bu ifade, bilgi, sadece adımız soyadımız, doğum tarihimiz veya yerimiz gibi bilgiler yanında, kim olduğumuzun belirlenmesini sağlayacak fiziki, ailevi, ekonomik, sosyal ve buna benzer verileri de içerir. Örneğin arabanızın plakası, telefon numaranız, mülakat sonuçlarınız, kullandığınız elektronik cihazların IP adresleri, ses ve görüntü kayıtlarınız, konum bilgileriniz, adli sicil kaydınız, kredi kartı ekstreleriniz, sosyal medya beğenileriniz, parmak izleriniz kişisel veridir. Ayrıca, telefon bankacılığı sisteminde, müşterinin bankaya talimat verdiği ses kaydı kişisel veri olabilir. Bir velayet davasında ailesi hakkında çocuğa yaptırılan çizim, çocuğun ailesine karşı duygularını göstereceği için kişisel veriyken, bu çizimden anne ve babanın aile içindeki davranışları da anlaşılabiliyorsa, çizim aynı zamanda anne ve babanın da kişisel verisidir.
Benzer şekilde, AB Genel Veri Koruma Yönetmeliği’ne göre tanımlanabilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı gibi bilgiler veya fiziksel, fizyolojik, o gerçek kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliği kişisel veridir. Bunlarla birlikte, kızlık soyadı, ev adresi (cadde, posta kodu, şehir), telefon numarası, fotoğraf, doğum tarihi, banka hesabı numarası, kredi kartı numarası, ulusal kimlik numarası, (sosyal) sigorta numarası, sosyal güvenlik numarası, mükellef kimlik numarası, vergi dosya numarası, daimi hesap numarası, pasaport numarası, ulusal kimlik numarası, ehliyet numarası, araç tescil plaka numarası, işyeri çalışan sayısı, IP adresi, çerez kimliği, konum verileri, el yazısı, oturum aç-parola kayıtları, sosyal medya profil kimlikleri/bağlantıları, mobil cihaz kimlikleri, istihdam geçmişi, iş unvanı eğitim bilgileri ve tarihi kişisel veri kapsamındadır.
Yaptığım açıklamalardaki kimliğin belirli veya belirlenebilir olmasının manasını kestirmek güç değil. ‘Belirli olma’, verinin bir gerçek kişinin doğrudan kimliğini gösterebilecek durumlardır. Ad, soyad, adres bilgileri gibi. ‘Belirlenebilir olma’ ise verinin herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyor olması anlamına gelir. Mesela, “A Kurumunun B biriminde çalışan, X marka ve kırmızı renkte araca sahip olan, orta yaşta ve kısa boylu bir erkek” ifadesi, bu tanıma uyan tek bir kişi olması durumunda bu kişiyi belirlenebilir kılması nedeniyle kişisel veri sayılır. Dolayısıyla, bir verinin belirlenebilir olup olmadığı duruma ve şahsa göre değişebilir.
Takma isimler, lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayacak nitelikte ise bu tarz veriler kişisel veri olarak kabul edilir. Ancak, yine de bilginin ait olduğu gerçek kişinin belirlenebilirliğinin tespitinde, her somut olay özelinde, verinin kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirme yapılmalıdır.
Kişisel verilerin korunmasını ihlalinin belirlendiği Kişisel Verileri Koruma Kurulu’nun 09/06/2021 tarihli ve 2021/573 sayılı Kararı’na göz atıp “belirli olma” özelliğine atıfta bulunan ilginç bir olayı inceleyelim. Karar’da bir öğrenci velisi, oğlunun fotoğraflarının hukuka aykırı olarak okul broşürü ile internet sitesinde yayımlanması ve ticari amaçla bastırılıp dağıtılmasının kişisel verilerin gizliliğini ihlal ettiğini belirtmekte. Kurul, yaptığı incelemede Avrupa’da bazı okullarda çekilen fotoğrafların ve videoların kullanılması için AB Genel Veri Koruma Yönetmeliği çerçevesinde ayrıntılı bir “Fotoğraf Rıza Formu” oluşturulduğunu belirlemiş. Bu formda, çocukların fotoğraflarının hangi mecrada kullanılacağı ayrıntılı olarak belirtilmiş, video ve fotoğrafların ayrı ayrı hangi yayınlarda, internet sitesinde veya sosyal medya platformunda yayınlanmasına izin verildiği konusunda velilerden izin alınmış, fotoğrafların da bir yıl süreyle kullanılacağına yer verilmiş. Kurul Kararı’na konu olayda ise velilere sunulan aydınlatma metninde okullarında yapılan etkinliklerde öğrencilerin fotoğraf ve videolarının çekileceğine, bunların okulun internet sitesi ile sosyal medya hesaplarında ve panolarında paylaşılacağına yer verilmekte birlikte, okulu tanıtıcı basılı broşürlerde kullanılabileceğine yer verilmemiş. Kurul, Avrupa’daki okullardakine benzer şekilde, basılı yayınlarda/broşürlerde, internet sitesinde veya sosyal medya hesaplarında çocukların fotoğraflarının paylaşılmasında, fotoğrafların kullanılacağı her bir mecranın ayrı ayrı seçeneklendirilmesiyle aydınlatma metninin güncellenmesi gerektiğini değerlendirmiş. Geçmişte pek çoğumuzun dikkat etmediği böylesi ayrıntılar, aslında somut olay özelinde değerlendirildiğinde kişisel verilerimizin, başka bir anlatımla, özel hayatımızın ihlali manasına bürünebiliyor. Öğrencinin velisi, “Çocuğumun fotoğrafını, kim olduğu açıkça ortaya koyan bir veriyi ticari amaçla kullanmadan önce benden izin almalıydın.” diyor belki de. Düşündüğümüzde, çok da yersiz bir talep olmadığı da aşikâr.
Şimdiye kadarki örneklerde veriler kimliğimizin doğrudan veya dolaylı belirlenmesine yönelik özellikleri içermekte. Fakat kim olduğumuzu ele verecek öyle veriler de var ki, işlenmeleri halinde mağdur olmamıza veya ayrımcılığa uğramamıza dahi neden olabilir. İşte böyle veriler, 6698 sayılı Kanun’da özel nitelikli veriler olarak adlandırılıyor. Bu veriler, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanıyor. Bu tanımdan hareketle, fiziksel ve ruhsal sağlığımıza ilişkin her türlü veri, örneğin tahlil sonuçlarımız, geçirdiğimiz hastalıklar, kullandığımız ilaçlar da özel nitelikli kişisel veri niteliğini haiz.
Özel nitelikli verileri somut olay ölçeğinde değerlendirmek için Kişisel Verileri Koruma Kurulu’nun hastanede çalışan hekimin talimatıyla 789 hastaya ait dosyaların arşivden alınarak hastane dışına çıkarılmasıyla ve 54 tanesinin geri alınıp yedieminliğe teslim edilmesine karşın diğerlerinin akıbetinin bilinmediği “Bir hastanenin veri ihlal bildirimi hakkındaki 20/04/2021 tarihli ve 2021/407 sayılı Karar Özeti’ne bakalım. Kurul, olaydan T.C. kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu, sigortalı durumu, emekli olup olmadığı, poliçe numarası, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar, hastanın kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler gibi veri kategorilerine ait çok sayıda (özel nitelikli) kişisel verinin etkilendiğini, bu ihlal sebebiyle kişilerin önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunu değerlendirmiştir. Diğer bir anlatımla, kişilerin doğrudan tanımlanmasını sağlayan ad, soyad vb. bilgiler yanında, hastaların kimliğinin belirlenmesinde kullanılabilecek kişisel sağlıklarına ilişkin her türlü veri, somut olay kapsamında özel nitelikli veri olarak değerlendirilmiş.
Benzer şekilde, AB Genel Veri Koruma Yönetmeliği’nde de ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar sendika üyeliği, genetik veriler, biyometrik veriler, sağlık verileri, cinsel yaşam ve cinsel yönelim, eş adı özel nitelikli veri kategorisindedir.
Genel veya özel nitelikli verilerin özellikleri, örnekleri bilindikten sonra belki birey olarak daha bilinçli davranabiliriz. Ancak bazen farkında dahi olmadan, kişisel verilerimizi paylaşıyor olduğumuzu söylesem? Mesela, herhangi bir internet sitesini ziyaret ettiğimizde, çerezleri (cookies) kabul edip etmediğimizin sorulması da yine kişisel verilerimizi ilgilendiren bir konu. Çerezler bazı internet sitelerinin düzgün işleyebilmesi için gerekli olduğu gibi, bazı sitelerin güvenliğini ve işlerliğini de artırabilmekte. Diğer yandan, bazı çerezler internet sitesinin ne şekilde kullanıldığına (mesela hangi ürünün, başlıkların kaç defa tıklandığına) ilişkin istatistikler oluştururken, bazıları da kişiselleştirilmiş reklam ve pazarlama için veri oluşturmakta. Çerezlerin bu özelliği nedeniyle, bir alışveriş sitesinde incelediğiniz ürünlere ve/veya bunların benzerlerine ilişkin reklamları başka siteleri ziyaret ettiğimizde de görmekteyiz. Böylece, alışveriş tercihlerimiz de yalnızca satın aldıklarımızla değil, beğenilerimiz, ziyaret ettiğimiz ürünler sayesinde belirlenirken, kimliğimiz hakkında da bilgi paylamış oluyoruz. İnternet sitesinin güvenliği ve/veya işleyişi hakkındaki çerezlere kişisel veri oluşturduklarından bahisle izin verilmesi pek gerekli gibi görünmüyor. Asıl soru, internet ortamındaki tercihlerimizi, istatistik elde etmek veya kişiselleştirilmiş reklam ve pazarlama yapmak amacıyla izleyenlerin, bu bilgileri kendileri veya üçüncü taraflar için toplama ve kullanma hakkı bulunup bulunmadığında ve verdiğimiz iznin kapsamında.
Sokakta yürürken, telefonda anket yapmak isteyenlere vakit ayırmamak, sordukları sorulara cevap vermek istemeyip yolunuza devam etmeyi veya telefonu hiç açamamayı tercih hakkınız var tabi. Yani kontrol hakkına sahipsiniz. Fakat internette çerezlere izin verdiğinizde sizinle ilgili kim ne veri topluyor? Çerezlere izin vermek hakkınızda elde edebilecek her bilgiyi erişime açmanız anlamına mı geliyor? Bu durum, özel hayatın gizliliğini ihlal ediyor mu? Bu sorulara cevap bulmak her somut olay özelinde bir analiz yapılmasını gerektiriyor. Yine de çerezleri kabul ettiğimizde, beğenilerimizin, ziyaret ettiğimiz sayfada hangi başlıklarla ilgilendiğimizin de şahsımıza ait veri olduğunun ayırdında olmamız, kişisel verilerimizi korumada ilk adım.
Kişisel verinin ne olup olmadığını izaha gayret ettiğim bu satırlar, yaptırım gücünü haiz bir kontrol/denetim mekanizmasının varlığının gerekliliğini ortaya koyuyor. Gerçekten kişisel verilerin gizliliği ihlal mi edildi? Bu durumu kim belirleyecek? Edildiyse, bu ihlal nasıl tazmin edilecek ve tekrarlanmaması için caydırıcı önlemleri kim alıp uygulayacak? Bu ve benzeri sorulara verilecek cevaplar muhtelif olabilecekse de hangi otoritenin böyle bir yetkiyi kullanabileceği konusunda bir yanıt akıllarımızda beliriyor: Devlet.