Kişisel Verilerin Korunması Kapsamında Akıllı Saatler
Giriş
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar. Sabit şarj edilebilir lityum-iyon pilleri, kalp atış hızımızı, kan basıncımızı, uyku düzenimizi, egzersiz rutinimizi ve hatta kalori tüketimimizi ölçmeye ve dokunmatik ekranlarında bu verileri günlük olarak raporlamaya olanak tanır. Ancak bu cihazlar rutin vücut izleme ve veri toplama faaliyetlerine devam ettikçe, veri koruma kanunlarına ve siber güvenlik protokollerine uygunluklarına ilişkin sorular ortaya çıkmaya başladı. Bu cihazlar gün geçtikçe modaya uygun giyilebilir bilgisayarlardan ticari amaçlarla kişisel veri toplayan cihazlara mı dönüşüyor?
Bu makale, akıllı saatlerin veri işleme faaliyetlerinin Türkiye’deki kişisel verilerin korunması mevzuatı kapsamında kısa bir değerlendirmesini sunmayı amaçlar.
Kişisel Verilerin Korunması Mevzuatında Veri İşleme Faaliyetlerine Genel Bakış
Türkiye, ulusal mevzuatını Avrupa Birliği müktesebatına uyumlu hale getirmek için yaptığı sürekli çalışmaların ardından 7 Nisan 2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile ilk kapsamlı veri koruma mevzuatını kabul etti. KVKK, Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) selefi olan Avrupa Birliği’nin 95/46/EC sayılı Veri Koruma Direktifi ile birçok benzerliğe sahiptir ve veri sorumluları için temel veri işleme ilkeleri ve yükümlülüklerini belirler.
KVKK m.3, kanunun uygulanmasındaki temel tanımları içerir. Bu doğrultuda “kişisel veri “[k]imliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ederken “ilgili kişi” kavramı “[k]işisel verisi işlenen gerçek kişi” anlamına gelir. Kişisel verilerin işlenmesi ise aynı madde altında “[k]işisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanır.
KVKK, “veri sorumlusu” ile “veri işleyen” kavramlarını tanımlar ve söz konusu kavramları birbirinden ayırır. Veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyken; veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
KVKK m.4, kişisel verilerin işlenmesindeki genel ilkeleri belirler ve kişisel veriler ancak bu kanun ile diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde izlenecek prensipler şu şekilde sıralanır; i) hukuka ve dürüstlük kurallarına uygun olma, ii) doğru ve gerektiğinde güncel olma, iii) belirli, açık ve meşru amaçlar için işlenme, iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Belirtilen ilkelerin yanında KVKK m.5 (1) kişisel verilerin işlenme şartlarını listeler ve kural olarak ilgili kişinin açık rızası alınmadan kişisel verilerin işlenemeyeceğini ifade eder. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. KVKK m.5 (2) genel kurala istisna getirir ve bazı hallerde kişisel verilerin ilgili kişinin açık rızası olmadan işlenebileceğini söyler. Bu işleme şartları i) kanunlarda açıkça öngörülmesi, ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, iv) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, v) ilgili kişinin kendisi tarafından alenileştirilmiş olması, vi) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve vii) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Bazı kişisel veri kategorilerinin, açık rızanın istisnası olan veri işleme şartlarına göre işlenmesi daha da sınırlıdır. KVKK m.6 (1), özel nitelikli kişisel verileri tanımlar ve bu verileri “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler” olarak belirtir. Madde 6 (3) kapsamında sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilirken, sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
KVKK’da yer alan kişisel verilerin işlenmesi ilkeleri ve veri işleme şartları veri sorumlularının yükümlülüklerinde önemli bir yere sahiptir. KVKK m.10 ile 10.03.2018 tarih ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişileri aydınlatma yükümlülüğü bulunur. En basit şekli ile ilgili kişilere yapılacak bilgilendirmenin asgari olarak şu konuları içermesi gerekir; i) veri sorumlusunun ve varsa temsilcisinin kimliği, ii) kişisel verilerin hangi amaçla işleneceği, iii) kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, v) ilgili kişinin KVKK m.11’de sayılan diğer hakları.
Akıllı Saatler ve KVKK
Yukarıda kısaca tanıtıldığı üzere akıllı saatler, kullanıcılarına çeşitli sağlık ve verimlilik uygulamaları sunar ve kullanımları, daha kişiselleştirilmiş bir deneyim oluşturmak için Nesnelerin İnterneti (“IoT”) ile entegre olarak da büyük miktarda veri oluşturabilir. IoT kavramı, “…gündelik cihazlara ortak gömülü milyarlarca sensörün verileri kaydetmek, işlemek, depolamak ve aktarmak için tasarlandığı ve benzersiz tanımlayıcılarla ilişkilendirildiği gibi, diğer cihazlarla veya sistemlerle etkileşime giren bir altyapıyı ifade eder. Nesnelerin interneti, kesintisiz bir şekilde veri alışverişi yapmak üzere tasarlanan bu sensörler aracılığıyla gerçekleşen geniş kapsamlı bir veri işleme prensibine dayanmaktadır”.[1] Dolayısı ile akıllı saatlerin verileri işleme faaliyeti bakımından kişisel verilerin korunmasına ilişkin riskli durumlar taşıyabileceği düşünülür.
KVKK açısından akıllı saatlerin ve içindeki bazı uygulamaların kullanılması kişisel verilerin, özellikle sağlık verisi gibi özel nitelikli kişisel verilerin işlenmesine yol açabilir. Veri sorumluları, kişisel verilerin işlenmesine ilişkin ilgili kişileri KVKK ve Tebliğ kapsamında yeterli olacak şekilde aydınlatmak ve başka bir işlenme şartı bulunmadığı takdirde ve ilgili kişilerin rızasını almakla yükümlüdür. Bu kapsamda uygulamada bazı teknoloji şirketleri internet sitelerinde veri işleme faaliyetlerini özetleyen ayrıntılı gizlilik politikaları sunmakta ve gerektiğinde veri sahiplerinin onayını almaktadır. Ancak, KVKK m.4’te de belirtildiği şekilde aydınlatma ve gerektiğinde açık rıza almanın yanında veri sorumluları kişisel verileri işlerken ölçülülük ilkesine de uygun davranmalı ve veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurmalıdır. Aksi halde, KVKK’da yer alan sonuçların yanı sıra “gerekli olmadığı halde fazla veri işlenmesi, siber saldırı gibi durumlarda daha çok verinin ihlaline neden olacaktır”.[2]
Sonuç
Akıllı saatlerin kullanımı, kullanıcılarının hayatını kolaylaştırabilir ancak söz konusu veri işleme faaliyetlerinin KVKK kapsamında ele alınması gereken belirli sonuçları vardır. Veri sorumlularının KVKK ve ikincil düzenlemelere uyması, kullanıcılara ayrıntılı şekilde aydınlatma yapması ve gerektiğinde kullanıcıların kişisel verilerinin işlenmesi için açık rızalarını alması gerekir.
- Kama Işık, Sezen: Avrupa Veri Koruma Hukukuna Anayasal Bir Bakış, İstanbul, On İki Levha Yayıncılık, 2020, s.185.
- Akçınar, Melik Ahmet: “Akıllı Saatler ve Kişisel Veriler,” Bilişim Hukuku Dergisi, 2022, C 4, S 2, s. 248.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...