Kişisel veri

Kişisel veri, kimliği belirli ya da belirlenebilir bir kişiyle ilgili herhangi bir bilgidir.^[1]

Türkiye'de Kişisel Verilerin Korunması

Türkiye'de Kişisel Verilerin Korunmasının hukuki geçmişi 2010 Anayasa değişikliğine uzanmaktadır. Anayasa'nın 20.maddesine eklenen fıkra ile "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." düzenlemesi getirilmiştir.^[2]

Ardından 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiş, aynı yıl Avrupa Konseyi tarafından hazırlanan ve Türkiye tarafından 1981 tarihinde imzalanan ancak yürürlüğe girmeyen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi-108 sayılı Sözleşme, Sözleşmenin onaylanmasının uygun bulunduğuna dair Kanun'un 18 Şubat 2016 tarih ve 29628 sayılı Resmi Gazete’de, ilgili Bakanlar Kurulu Kararnamesinin ise 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete'de yayımlanmasıyla yürürlüğe girmiştir.^[3]

Nisan 2021'de açıklanan Türkiye İnsan Hakları Eylem Planı'nda kişisel verilerin korunmasına ilişkin hedefler de yer almaktadır.^[4] Bu hedeflerden en önemlisi Kişisel Verilerin Korunması Kanunu, Avrupa Birliği standartları ile uyumlu hale getirilmesidir. 2016 yılında yürürlüğe giren 6698 sayılı KVKK şu an yürürlükten kalkmış olan AB 95/46/EC Direktifi'ni örnek almaktaydı. AB hukukunda Genel Veri Koruma Tüzüğü'nün (General Data Protection Regulation-GDPR)^[5] kabulü ile, bu Direktif yürürlükten kaldırılmış ve kişisel verilerin korunmasının kapsamı genişletilmiştir. KVKK'nın da bu değişikliklere uygun şekilde genişletilmesi amaçlanmaktadır. Yine İnsan Hakları Eylem Planında görülen bir diğer hedef, Kişisel Verileri Koruma Kurumu'nun etkinliğinin artırılmasıdır.

Avrupa Birliği'nde Kişisel Verilerin Korunması

Tarihçe

Avrupa Birliği'nde kişisel verilerin korunması, AİHS'in özel hayatın gizliliğini düzenleyen 8. maddesi kapsamında ele alınsa da; alana ilişkin ilk açık düzenleme Avrupa Konseyi tarafından hazırlanarak 28 Ocak 1981 tarihinde imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data^[6] 'dır (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, bilinen ismiyle "108 nolu Sözleşme") .

Ardından 1995 tarihli 95/46/EC sayılı Direktif'in^[7] kabulü ile birlikte, konu artan bir ilgiyle ele alınmaya başlanmıştır.^[7] 2002 yılında kabul edilen ve elektronik iletişim sektöründe kişisel verilerin işlenmesi ve mahremiyetin korunması ile ilgili kurallar getiren 2002/58/EC sayılı Direktif de halen yürürlüktedir.^[8]

2012 yılında başlayan AB kişisel veri koruma alanında yaşanan reform, üç temel mevzuatla sonuçlanmıştır:

- 2016 yılında AB Genel Veri Koruma Tüzüğü'nün (General Data Protection Regulation-GDPR)^[5] kabulü

-2016 yılında 6 Mayıs 2018 tarihinden itibaren geçerli olacak şekilde, "polis ve adalet alanında veri korumasına ilişkin" özel bir Direktif'in (680/2016)^[9] kabulü

-2018 yılında kişisel verilerin Birlik kurumları, organları, ofisleri ve ajansları tarafından işlenmesine ilişkin Tüzük'ün (2018/1725)^[10] kabulü.

GDPR kabulüyle birlikte 95/467EC sayılı Direktif yürürlükten kaldırılmıştır. 108 sayılı Sözleşme ve Protokolleri (ör. 108+) ise geçerliliğini devam ettirmektedir.^[11]

Yapay zekâ teknolojileri, kişisel verilerin korunmasına yeni bir aşama oluşturmaktadır. Yapay zekâ döneminde kişisel verilerin korunması temel sorunlardandır. Kişisel erinin yalnızca toplanma aşamasında düzenlemelere tabi tutulması yeterli değildir. Toplanan verilerden "türetilen çıkarımlar" da kişisel verilerin korunması kapsamında kabul edilir.^[12] Bununla birlikte, yapay zeka algoritmaların kara kutu ve şeffaflık sorunları, teknik açıdan önemli problemler arasındadır. İhlal eden failin belirlenmesi güçtür, ihlal delillerinin toparlanması teknik olarak zordur ve yüksek maliyetlidir.^[13]

Kişisel Verilerin Tanımlanması ve Korunması

Konuyla ilgili genel düzenleme olan AB Genel Veri Koruma Tüzüğü'nde (General Data Protection Regulation-GDPR) kişisel veri "kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilgili herhangi bir bilgi" olarak tanımlanmaktadır.^[14] Bu tanım Tüzük öncesi yürürlükte bulunan 95/46/EC Direktifiyle paraleldir.

Kişisel veriler AB mevzuatında "gerçek kişilere" özgü bir değer olarak değerlendirilmektedir. Tüzel kişilerin kişisel verilerinin olup olmadığı, var ise korumanın ne şekilde gerçekleştirileceği konusu ise tartışmalıdır.

Anglo-Amerikan Hukukunda Kişisel Verilerin Korunması

Amerikan sisteminde kişisel veriler, "personal data" şeklinde değil, "personal information" ya da "personally identifiable information-PII" olarak adlandırılmaktadır, yaygın kısaltma kullanımı ise PII'dır.^[15][16].^[17]

ABD hükûmeti, 2007 yılında bir memorandumda "kişisel olarak tanımlanabilir-PII" terimini kullanmıştır.^[18] Ardından ABD National Institute of Standards and Technology Special Publication 800-122 (Ulusal Standartlar ve Teknoloji Enstitüsü Özel Yayını 800-122), PII'yı "bir kurum tarafından tutulan bir kişiye ilişkin herhangi bir bilgi, (1) bir kişinin kimliğini ayırt etmek veya takip etmek için kullanılabilecek ad, sosyal güvenlik numarası, doğum tarihi ve yeri, annenin soyadı veya biyometrik kayıtları ve (2) tıbbi, eğitim, finans ve istihdam bilgileri gibi bir kişiye bağlı veya bağlantılı olan diğer bilgiler. " olarak tanımlamıştır.^[19]

Kıta Avrupası - Common Law (Anglo-Amerikan) Sistemi Farklılıkları

AB hukukunda kişisel verileri bir kişilik değeri olarak görülürken, common law sisteminde kişisel veri ekonomik değeri olan bir mülkiyet unsuru olarak değerlendirilmektedir.^[20] Kişisel verilerin mülkiyet unsuru olarak görülmesi, onların bir para birimi olarak kullanılabilmesine bile olanak sağlamaktadır.^[21] Kıta Avrupası ile Common Law arasındaki bu yaklaşım farklılığı tanımlardan başlayarak nitelik ve koruma alanı gibi birçok hukuki farklılığa neden olmaktadır.

Örneğin, ABD National Institute of Standards and Technology Özel Yayını 800-122^[22] 'ya göre IP adresi kişisel veri olarak kabul edilmezken,^[23] Avrupa Birliği'nde, IP adresi kişisel veri olarak sınıflandırılabilmektedir.^[24]

Kişisel güvenlik

Bilgi teknolojisi ve İnternet, kişisel veri toplamayı kolaylaştırdı ve özellikle suçlular tarafından bir kişinin kimliğini çalmak veya suç eylemlerinin planlanmasına yardımcı olmak için de kişisel veriler kullanılır hale geldiler. Kişisel veriler, çevrimiçi kimliğin önemli bir bileşeni olarak istismara açık haldedir. İnternet ortamında, veriler değiştirilerek sahte belgeler oluşturulabilir, posta adresleri veya telefon numaraları ele geçirilerek taciz amaçlı kullanılabilir.^[25]

Diğer bir önemli durum, genellikle banka hesabı ve kredi kartı bilgilerinin çalınmasını ve ardından kullanılmasını durumunu ifade eden Finansal Kimlik Hırsızlığıdır.^[26][27]

Kişisel veriler, kimlik dolandırıcılığı olaran adlandırılan sahte hesap açma durumları için de kullanılmaktadır.^[28][29] Tanık koruma programları, kadın sığınma evleri ve aile içi şiddet mağdurları ve diğer tehditler için de kimlik koruma endişeleri mevcuttur.^[30]

Kişisel veri ticareti

20. yüzyılın ikinci yarısında, dijital devrim "gizlilik ekonomisini" veya kişisel verilerin ticaretini meydana getirdi. Verilerin değeri zaman içinde ve farklı bağlamlarda değişiiklik gösterebilmektedir. Verilerin ifşa edilmesi bilgi asimetrisini tersine çevirebilir, ancak bunu yapmanın maliyeti belirsiz olabilir. Şirketlerle ilgili olarak, tüketiciler genellikle "verilerinin ne zaman, hangi amaçlarla ve hangi bağlamda toplandığına ilişkin eksik bilgilere" sahiptir.^[31]

Kaynakça

1. ^ Elif Küzeci (2018). KÜZECİ Elif, Kişisel Verilerin Korunması, Ankara, 2018, s. 9. On İki Levha. s. 9. 
2. ^ "Anayasa" (PDF). 19 Ağustos 2018 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 14 Mayıs 2021. 
3. ^ "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin İlişik Beyanlarla Birlikte Onaylanması Hakkında Karar Resmi Gazete'de yayımlandı, 17 Mart 2016". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
4. ^ "İnsan Hakları Eylem Planı" (PDF). 14 Mayıs 2021 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 14 Mayıs 2021. 
5. ^ ^{a b} "EU-lex". 1 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
6. ^ "EU Council". 15 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
7. ^ ^{a b} "EU legislation". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
8. ^ "EU-lex". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
9. ^ "EU-lex". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
10. ^ "EU-lex". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
11. ^ "108 and protocols". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
12. ^ Ogurlu, Yucel; Abudureyimu, Yiliyaer (2021-01-21). "YAPAY ZEKÂ UYGULAMALARININ KİŞİSEL VERİLERİN KORUMASINA DAİR DOĞURABİLECEĞİ SORUNLAR VE ÇÖZÜM ÖNERİLERİ". İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi. doi:10.46928/iticusbe.863505. ISSN 1303-5495.
13. ^ Abudureyimu, Yiliyaer; Ogurlu, Yucel (21 Ocak 2021). "YAPAY ZEKÂ UYGULAMALARININ KİŞİSEL VERİLERİN KORUMASINA DAİR DOĞURABİLECEĞİ SORUNLAR VE ÇÖZÜM ÖNERİLERİ". İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi. doi:10.46928/iticusbe.863505. ISSN 1303-5495. 
14. ^ "Personal Data". General Data Protection Regulation (GDPR) (İngilizce). 24 Ekim 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2020. 
15. ^ "Management of Data Breaches Involving Sensitive Personal Information (SPI)". Va.gov. Washington, DC: Department OF Veterans Affairs. 6 Ocak 2012. 26 Mayıs 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Mayıs 2015. 
16. ^ Stevens, Gina (10 Nisan 2012). "Data Security Breach Notification Laws" (PDF). fas.org. 12 Nisan 2017 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 8 Haziran 2017. 
17. ^ Greene, Sari Stern (2014). Security Program and Policies: Principles and Practices. Indianapolis, IN, US: Pearson IT Certification. s. 349. ISBN 978-0-7897-5167-6. OCLC 897789345. 14 Nisan 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
18. ^ M-07-16 SUBJECT:Safeguarding Against and Responding to the Breach of Personally Identifiable Information 8 Şubat 2020 tarihinde Wayback Machine sitesinde arşivlendi. FROM: Clay Johnson III, Deputy Director for Management (2007/05/22)
19. ^ "NIST Special Publication 800-122" (PDF). nist.gov. 7 Mart 2018 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 14 Mayıs 2021. Şablon:NIST-PD
20. ^ Sinan Sami Akkurt (2020). "Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış". KİŞİSEL VERİLERİ KORUMA DERGİSİ. 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
21. ^ Canbaz, Begüm (11 Mayıs 2021). "Kişisel Verilerinizi Para Birimi Olarak Kullanabileceğiniz Otomat". 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
22. ^ "NIST Special Publication 800-122" (PDF). nist.gov. 7 Mart 2018 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 14 Mayıs 2021. Şablon:NIST-PD
23. ^ Section 3.3.3 "Identifiability"
24. ^ "European Court of Justice rules IP addresses are personal data". The Irish Times. 19 Ekim 2016. 20 Aralık 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Mart 2019. 
25. ^ "EE failures show how data breaches damages lives". GDPR.report. 5 Şubat 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
26. ^ Is It Safe? Protecting Your Computer, Your Business, and Yourself Online. 2008. s. 4. ISBN 9780132713900. 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
27. ^ "Card data of 20,000 Pakistani bank users sold on dark web: report". Dunya News. 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
28. ^ Krombholz (26 Temmuz 2012). "Fake Identities in Social Media: A Case Study on the Sustainability of the Facebook Business Model". Journal of Service Science Research. 4 (2): 175-212. doi:10.1007/s12927-012-0008-z. 
29. ^ Is It Safe? Protecting Your Computer, Your Business, and Yourself Online. 2008. s. 6. ISBN 9780132713900. 14 Mayıs 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mayıs 2021. 
30. ^ "Protection of victims of sexual violence: Lessons learned" (PDF). 2019. 23 Ocak 2021 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 14 Mayıs 2021. 
31. ^ The Economics of Privacy (PDF). 2015. 8 Mart 2021 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 14 Mayıs 2021.