(KVKK Uygulamaları Işığında)
Günlük hayatımızın neredeyse her aşaması dijital izlerle örülü. Attığımız adım, yaptığımız alışveriş, izlediğimiz video, hatta hangi habere ne kadar süre baktığımız bile bir veri olarak kaydediliyor. Bu veriler bir araya geldiğinde, en yakın dostlarımızın bile bilmediği kadar ayrıntılı bir “dijital benlik” ortaya çıkıyor. Peki bu bilgiler kimin? Daha doğrusu, bu bilgiler üzerinde gerçek bir kontrolümüz var mı?
Kişisel verilerin korunması artık sadece teknik bir hukuk meselesi değil; bireysel özgürlük anlayışımızın temelini ilgilendiren bir konu. Çünkü veri güvenliği ihlal edildiğinde yalnızca gizlilik zarar görmüyor; bireyin iradesi, tercihi, hatta gelecekteki davranışları manipülasyonlara açık hâle geliyor. Teknoloji devlerinin “kişiselleştirilmiş deneyim” adı altında sunduğu birçok hizmet, aslında davranış ekonomisinin ince ayarlarıyla şekillenen görünmez bir yönlendirme mekanizması içeriyor.
Bu sorunun hukuki temeli KVKK’da açıkça ortaya konuyor. Kanunun 1. maddesinde amaç olarak “kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması” belirtiliyor. Yani veri güvenliği sadece teknik bir tercih değil; anayasal temelli bir hak teminatı.
KANUN NE DİYOR? — TEMEL İLKELER VE İŞLEME ŞARTLARI
• Kanunun 3. maddesinde “kişisel veri” tanımı yapılır: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.”
• Kişisel verilerin işlenmesi ise; elde edilmesi, kaydedilmesi, depolanması, aktarılması, açıklanması gibi geniş kapsamlı işlemleri içeriyor.
• Ancak bu işlemler keyfî olamaz. Kanunun 4. maddesi (veya genel ilkeler bağlamında) öngördüğü üzere; veriler ancak hukuka ve dürüstlük kurallarına uygun şekilde; doğru, gerektiğinde güncel, belirli, açık ve meşru amaçlar için; amaçla bağlantılı, ölçülü ve sınırlı olacak biçimde; ve gerekli süre kadar saklanmak şartıyla işlenebilir.
• Normalde verilerin işlenebilmesi için ilgili kişinin “açık rızası” gerekir. Ancak kanun, rızanın alınmasının mümkün olmadığı ya da rıza aranmaksızın veri işlenebilecek bazı hâller belirlemiş: Örneğin kanuni yükümlülüğün yerine getirilmesi; bir sözleşmenin kurulması veya ifası; kişinin kendisi veya başkasının hayatı/beden bütünlüğünün korunması zorunluluğu gibi.
DEVLET VE KURUMLAR — YETKİ Mİ, SORUMLULUK MU?
Devletler ve kamu/özel kurumlar da kişisel veri işleyebiliyor. KVKK, hiçbir fark gözetmeksizin hem kamuyu hem özel sektörü kapsıyor.
Bu çerçevede veri işleyen her gerçek ya da tüzel kişi kanunun karşısında yükümlüdür: İşlem için hukuki sebep, rıza, aydınlatma ve gerekli tedbirler. Özellikle “aydınlatma yükümlülüğü” ile ilgili olarak, kişi verisinin kim tarafından, ne amaçla ve ne kadar süreyle işlendiğini bilme hakkına sahiptir.
Ancak uygulamada bu yükümlülüklere uymayanlar da oluyor ve bu durumlar kamuoyuna yansıyor. Örneğin:
• 2024 yılında, Kişisel Verileri Koruma Kurumu (KVKK) tarafından 8 bini aşkın başvuru değerlendirilmiş; bunun 6.958’i sonuçlandırılmıştır.
• İncelemeler neticesinde, kişisel veri ihlaline dair kamuoyuna ilan edilen 281 bildirimden 63 tanesi duyurulmuş ve kanuna aykırılık nedeniyle veri sorumlularına toplam 552 milyon 668 bin Türk Lirası idari para cezası uygulanmıştır.
Bu rakam, veri güvenliği, aydınlatma, VERBİS bildirimi ve ihlal bildirim yükümlülüğü gibi bir dizi kanuni zorunluluğun ihlal edilmesi hâlinde uygulanabilen para cezalarının ne kadar ciddi olabileceğini gösteriyor.
GÜVENLİK–ÖZGÜRLÜK DENGESİ MÜMKÜN MÜ?
Bugünün asıl sorusu şu: Kişisel verilerimizi korumak ile güvenliği sağlamak arasında mutlaka bir tercih yapmak zorunda mıyız? Oysa modern hukuk düzeni, bu ikisini karşıt kutuplar olarak görmek yerine dengeleyen bir yaklaşım geliştirmek zorunda.
KVKK, bu dengeyi kurmayı hedefliyor: Veri işlenebilir ama yalnızca önceden belirlenmiş kurallarla; rıza veya açık meşru sebep ile; amaç sınırlaması, veri minimizasyonu, şeffaflık ve sorumluluk ilkeleriyle. Veri işleyen şirketlerin algoritmalarını nasıl kullandığının denetlenebilir olması, devletlerin veri toplama yetkilerinin bağımsız mekanizmalarla sınırlandırılması ve bireyin verisi üzerindeki tasarruf haklarının güçlendirilmesi artık lüks değil; hukukun çağın gerisinde kalmaması için zorunluluk.
Ancak verilerin kötüye kullanıldığı; güvenlik adı altında toplandığı; rıza süreçlerinin biçimsel kaldığı örnekler ve uygulamada yaşanan ihmaller hâlâ gündemi meşgul ediyor. 2024’te kesilen yüksek meblağlı idari cezalar da bu gerçeğe çarpıcı birer tanıklık niteliğinde.
Kendi verimiz üzerinde söz sahibi olmadığımız bir gelecekte, özgürlükleri tartışmak bile anlamını yitirir.
SONUÇ
Mesele sadece “güvenlik mi özgürlük mü?” sorusu değil; asıl mesele, teknoloji çağında hangi özgürlük anlayışını savunacağımızdır. Çünkü verinin güç olduğu bu çağda, korumadığımız her bilgi, kaybettiğimiz bir özgürlük olarak geri dönüyor. Ve bu koruma ancak hukuken çerçevelendirilmiş, uygulanabilir ve denetlenebilir düzenlemelerle mümkün.
6698 sayılı Kanun, bu düzenlemenin temelidir. Ama yeterli midir, yoksa daha ileri önlemler mi gerekir?
İşte tartışmamız gereken asıl soru budur.