İnternetin günümüzdeki yeri ve önemi her geçen gün artmakta ve artık gündelik hayatımızın ayrılmaz bir parçası haline geldiği herkesçe kabul edilmektedir. Başlarda insanlar arasındaki iletişimin sağlanması ve sair amaçlar ile hayatımıza giren internet günümüzde artık nesneler arasında iletişim kurulması maksadıyla da kullanılmaktadır. "Nesnelerin interneti (İnternet of Things)" adı verilen teknolojiler sayesinde gün içerisinde sıklıkla kullandığımız pek çok şey akıllı hale gelmekte, internete bağlanmakta, veri alıp vermekte ve en nihayetinde insan yaşamını kolaylaştıracak çözümler üretmektedir.
Akıllı saatler, sanal gerçeklik gözlükleri, akıllı ev sistemleri ve internete bağlı cihazların tümünde nihai tüketiciye sağlanan hizmet noktasında pek çok kişisel veri elde edilmekte hatta toplanan bu veriler birleştirilerek anlamlı bütünler haline getirilmektedir. Pek çok nesnenin internet ile ve hatta birbirleriyle bağlı olduğu ve izlendiği bir dünyada ise temas edilen kişisel veriler noktasında ciddi soru işaretleri oluşmaktadır. Aşağıda akıllı nesneler bağlamında kişisel verilerin korunması hukuku beş maddede kısaca incelenmiştir;
1. Verinin niteliğinin tespit edilmesi
Kişisel verilerin korunması hukuku bağlamında yaşanılan ihlal sebeplerinin başında temas edilen verinin tespiti hususu gelmektedir. Şöyle ki; uygulamada küçük veya büyük ölçekli pek çok şirket ya iş akışında kullandığı verinin kişisel veri mahiyetinde olduğunun farkındalığına sahip olmamakta ya da ticari bilgi ve türevi verileri de kişisel veri olarak değerlendirip hatalı uygulamalara sebebiyet vermektedir.
6698 Sayılı KVK Kanunu 3md./1(d)'de kişisel veri tanımını şu şekilde yapmıştır; "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi"1 O halde öncelikle temas edilen verinin KVK Kanunu uyarınca tanımlanmış kişisel veri kapsamında olup olmadığına bakılmalıdır. Zira iş akışında pek çok data toplanıyor olması ve işin asli unsurunu toplanan bu dataların oluşturması, bu verilerin Kanun kapsamında değerlendirilecek kişisel verilerden olmasını gerektirmeyebilecektir.
6698 Sayılı Kanun 2. Maddesinde ise yukarıda tanımı yapılmış olan kişisel verilerin bir veri kayıt sistemi dahilinde Mevzuatta sayılan işleme yöntemleri uyarınca kullanılması halinde bu Kanuna tabiiyet durumunun doğacağını açıklamıştır.2 Bu durumda iş akışında geçen kişisel verinin kanuni işleme faaliyetleri kapsamından geçip geçmediği de göz önüne alınmalıdır.
Bu noktada akıllı nesneler bakımında da öncelikli olarak bu hususların ele alınarak sürecin çizilmesi büyük önem arz edecektir.
2. Kişisel veri işleme şartlarına riayet edilmesi
Günlük hayatımızın hızlı bir şekilde vazgeçilmezi haline gelen akıllı nesneler çalışma prensibi itibariyle çok fazla kişisel veriye temas etmektedir. Pek çok kişi tarafından kullanılan akıllı saatler üzerinden örnek vermek gerekirse bu nesneler bir taraftan kişilerin özel nitelikli verisi sayılan sağlık bilgisi gibi bilgilerini kayıt altına alırken diğer taraftan bir başka nesne ile de senkronize hale gelerek oradaki verilere de erişebilmektedir. Hal böyle olunca elde edilen bu veriler için işlenme şartlarının değerlendirilmesi gerekecektir.
KVK Kanunu 5.maddesinde kişisel veri işleme şartlarını, 6.maddesinde ise özel nitelikli verilerin işlenme şartlarını düzenlemiştir. Bu kapsamda kişisel veri işleme sürecinde açık rıza veya diğer işleme şartlarına uygun olarak hareket edilmesi gerekmektedir. Akıllı nesneler bağlamında toplanılan kişisel verilerde rıza mekanizması işletilse bile sıklıkla es geçilen bir husus Mevzuatın aradığı "açık rıza"3kavramıdır. Açık rıza ile kast edilen kişiden izin alınmadan önce izin alınılan konuya ilişkin bilgilendirme yapılmasıdır. Bu noktada söz konusu akıllı nesneler uyarınca elde edilecek kişisel veriler ve/veya özel nitelikli kişisel veriler için öncelikle ortalama bir tüketicinin anlayacağı bir bilgilendirme yapılmalı- burada alınan verilerin ne amaçla ne kadar süre ile, kimlere aktarılarak işleneceği gibi hususlar açıklanmalı- daha sonrasında ise izni alınmalıdır. Rıza kanuni işleme şartlarından yalnızca bir tanesi olup bunun dışında meşru menfaat, sözleşmesel ilişki gibi hususlar da dikkate alınmalıdır.
3. Güvenlik tedbirlerinin alınması
Akıllı nesneler kapsamında elde edilen kişisel veriler konusunda alınacak hukuki aksiyonlar yanında güvenliğe ilişkin önlemler de bir o kadar önem arz etmektedir. Kullanılan bu sistemlerde kişilerin mahremiyetine dair pek çok bilgi muhafaza edilmesine rağmen uygulamada sıklıkla temel güvenlik tedbirleri göz ardı edilmektedir.
Bu noktada büyük çaplı siber saldırılara yönelik alınacak bir önlem kadar şirket içi yaşanabilecek ihlallerin önüne geçmek maksatlı çalışanlara yönelik sağlanan farkındalık eğitimleri de aynı şekilde önem arz edecektir. Nitekim KVK Kanunu da 12.md/1'de veri sorumlusunu kişisel verilerin korunması kapsamında idari ve teknik her türlü güvenlik tedbirini almakla sorumlu tutmaktadır.4
4. Veri Korumanın Şirket İtibarı için Öneminin Özümsenmesi
Dünyada en çok kullanılan sosyal medya mecralarından biri olan Facebook'un Cambridge Analytica veri ihlali bu konuya ilişkin en güzel örneklerden biridir. Şöyle ki; kişisel veri koruma hukuku en temelinde kişilerin mahremiyetine ilişkin bir koruma getirmeyi amaçlamaktadır. Hal böyle olunca bu mahremiyete ilişkin ihlaller veya birtakım tedbirsizlikler kurum itibarını zedelemekte ve kişilerin gözünde şirkete karşı olan güven sarsılmaktadır. Oluşturulan kurum itibarının şirketler için en önemli hususlardan biri olduğu düşünülecek olursa veri koruma kültürünü sadece yaptırımlar bağlamında ele almamak gerekecektir.
5. Uyumun yaşayan bir süreç olarak kabul edilmesi
Kişisel verilerin korunması kapsamında girilecek uyum sürecinin bundan böyle devam eden bir süreç olduğunun şirketler tarafından özümsenmesi çok önemlidir. Zira kişisel veri mahiyeti itibariyle gerek özel gerek iş hayatında her noktada temas edilen bir husus olup buna ilişkin tek seferlik bir uyum içerisine girilmesi mümkün değildir. Veri ile iş yapan her kurum özellikle de akıllı nesneler özelinde iş yapan firmalar bu sürecin bundan sonra her zaman gündemde olmasına ve bir iş modeli olarak sürdürülmesine azami seviyede özen göstermelidir.
Footnotes
[1] 6696 Sayılı KVKK/ 3.md/1 (d)
[2] 6698 Sayılı KVKK/ 2.md. "Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır."
[3] 6698 Sayılı KVKK/ 3 Md./1 a) "Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza"
[4] 6698 Sayılı KVKK 12.Md/1 – "Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır"
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
