Makale
Akıllı şehir uygulamalarının temelini oluşturan kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında sıkı şartlara tabidir. Bu metin, akıllı kent ekosisteminde veri işleme faaliyetlerinin hukuki zeminini, açık rıza prensibini ve kanuni istisnaları bir KVKK avukatı perspektifiyle incelemektedir.
Akıllı Şehirlerde Veri İşleme Şartları ve Hukuki Çerçeve
Akıllı şehirler, kentsel altyapıyı ve şehir hizmetlerini optimize etmek amacıyla nesnelerin interneti, büyük veri ve bulut bilişim gibi dijital enstrümanların yoğun olarak kullanıldığı yaşam alanlarıdır. Bu dijital ekosistemin en önemli girdisini ve çıktısını hiç şüphesiz kişisel veriler oluşturmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Akıllı şehirlerde sensörler, akıllı ulaşım ağları ve e-belediye sistemleri üzerinden sürekli bir veri akışı sağlanmaktadır. Bu bağlamda, toplanan verilerin hukuka uygun olarak elde edilmesi, kaydedilmesi ve kullanılması, idareler ve özel şirketler açısından kritik bir hukuki yükümlülük teşkil eder. Veri işleme faaliyetlerinin, vatandaşların temel hak ve özgürlüklerini ihlal etmeden, meşru bir hukuki zeminde yürütülmesi, akıllı şehir projelerinin sürdürülebilirliği için vazgeçilmezdir.
Akıllı Şehirlerde Veri İşlemenin Temel İlkeleri
Kişisel verilerin işlenmesinde öncelikle KVKK'nın 4. maddesinde düzenlenen genel ilkelere uyulması zorunludur. Akıllı şehir uygulamalarını yürüten veri sorumluları, faaliyetlerini hukuka ve dürüstlük kurallarına uygun bir şekilde gerçekleştirmelidir. Toplanan verilerin doğru ve gerektiğinde güncel tutulması, özellikle akıllı ulaşım veya akıllı sağlık hizmetleri gibi anlık kararların alındığı sistemlerde hayati öneme sahiptir. Ayrıca, kameralar veya mobil uygulamalar ile toplanan verilerin belirli, açık ve meşru amaçlar için işlenmesi, bu verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Örneğin, sadece trafik yoğunluğunu ölçmek amacıyla kurulan bir sensör sisteminin, gereğinden fazla detay barındıracak şekilde veri toplaması ölçülülük ilkesine aykırılık teşkil edecektir. Son olarak, işlenen kişisel veriler, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, sonrasında ise hukuka uygun olarak silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Açık Rıza ve Uygulamadaki Hukuki Zorluklar
Türk hukuk sisteminde kişisel verilerin işlenebilmesi kural olarak ilgili kişinin açık rızasına tabidir. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan olumlu irade beyanıdır. Ancak akıllı şehirlerin oldukça karmaşık yapısı içerisinde, her bir veri işleme faaliyeti için açık rıza alınması pratik açıdan imkansız hale gelebilmektedir. Örneğin, sokakta yürüyen bir vatandaşın akıllı aydınlatma sistemleri veya ulaşım sensörleri tarafından anlık verisinin işlenmesi sırasında, her defasında geçerli bir rıza mekanizmasının işletilmesi oldukça güçtür. Bu tür durumlarda sürekli onay istemek ciddi bir rıza yorgunluğu oluşturabilmekte ve gizlilik politikaları sadece veri sorumlusunu koruyan yasal metinlere dönüşebilmektedir. Dolayısıyla, kamusal alanlarda kurulan akıllı sistemlerin hukuka uygunluğu değerlendirilirken, açık rıza mekanizmasının sınırları iyi çizilmeli ve idarelerin alternatif hukuki işleme şartlarına ne ölçüde dayanılabileceği titizlikle analiz edilmelidir.
Kanundaki İstisnai İşleme Şartları
KVKK'nın 5. maddesi, açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai halleri detaylı bir şekilde düzenlemektedir. Akıllı şehir ekosisteminde, özellikle kamu hizmetlerinin kesintisiz ifası bağlamında veri sorumluları sıklıkla bu yasal istisnalara dayanmak durumundadır. Sistemin doğası gereği, milyonlarca insanın eşzamanlı olarak kullandığı altyapılarda rıza mekanizmasının işlemez hale geldiği noktalarda, kanunda açıkça öngörülen şartların varlığı kurtarıcı bir rol üstlenmektedir. Hukuka aykırılığı ortadan kaldıran bu haller, idarelerin elini güçlendirirken vatandaşın da keyfi uygulamalara maruz kalmasını engeller. Aşağıdaki tabloda, akıllı şehir uygulamalarında sıkça karşılaşılan ve idareler ile şirketler tarafından açık rıza gerektirmeyen hukuki işleme şartları olarak kullanılan hukuki dayanaklar örnekleriyle birlikte detaylandırılmıştır.
| KVKK Madde 5 İşleme Şartı | Akıllı Şehir Kapsamındaki Hukuki Yorumu |
|---|---|
| Kanunlarda açıkça öngörülmesi | Belediyelerin veya kamu kurumlarının, kanunların verdiği yetki ve görevler kapsamında vatandaşlara ait verileri zorunlu olarak işlemesi. |
| Sözleşmenin kurulması veya ifası | Akıllı uygulamalar üzerinden (örneğin bisiklet kiralama) kullanıcı ile şirket arasında kurulan hizmet sözleşmesinin ifası için zorunlu verilerin işlenmesi. |
| Hukuki yükümlülüğün yerine getirilmesi | Şehir idaresinin, vatandaşlara karşı idari ve yasal sorumluluklarını yerine getirebilmesi amacıyla altyapı hizmetlerine dair verileri kayıt altında tutması. |
| Bir hakkın tesisi, kullanılması veya korunması | Toplu taşımada indirimli seyahat hakkı bulunan kişilerin haklarını kullanabilmeleri için ulaşım kartlarının kişiselleştirilerek verilerinin işlenmesi. |
| Veri sorumlusunun meşru menfaati | İlgili kişinin temel haklarına zarar vermemek kaydıyla, şehir planlaması veya trafik optimizasyonu gibi amaçlarla meşru menfaatler için veri işlenmesi. |
Toplu Taşıma Uygulamalarında Kişiselleştirme Örneği
Akıllı ulaşım sistemlerinde veri işleme şartlarının hukuki boyutunu somutlaştırmak için yakın zamanda gündeme gelen toplu taşıma kartlarının kişiselleştirilmesi uygulamaları oldukça iyi bir örnektir. Anonim bir şekilde seyahat etme hürriyetine müdahale potansiyeli taşıyan bu tür entegre sistemlerde, lokasyon ve seyahat verilerinin sürekli olarak takip edilebilir hale gelmesi tartışmalara yol açmıştır. Öğrenci veya 65 yaş üstü gibi özel statüdeki vatandaşların kişisel verilerinin işlenmesi, Kanun'daki bir hakkın tesisi, kullanılması veya korunması istisnasına dayandırılarak meşru bir çerçevede kabul edilebilir. Ancak, herhangi bir özel indirim hakkı talep etmeyen standart kullanıcıların anlık konum ve hareket verilerinin, kişiselleştirilmiş ulaşım kartları vasıtasıyla işlenmesi söz konusu olduğunda ilgili kişinin açık rızasının alınması zorunludur. Aksi bir uygulama, verilerin işlenmesinde genel ilkelere aykırılık anlamına gelecek ve kamu idarelerini yasal uyuşmazlıklarla karşı karşıya bırakacaktır.
Anonimleştirme ve Kanuni İstisnalar
Akıllı şehir projelerinde verilerin açık rıza olmaksızın yasal bir şekilde kullanılabilmesi için en güvenilir hukuki yöntem anonimleştirme işlemidir. Anonim hale getirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesini ifade eder. Ancak kentsel büyük veri yığınları söz konusu olduğunda, farklı veri setlerinin birleştirilmesiyle bireylerin kimliklerinin mozaik etkisiyle dolaylı olarak açığa çıkabilmesi riski hukuki bir zorluk yaratmaktadır. Bunun haricinde, KVKK'nın 28. maddesinde düzenlenen istisnai hükümler de akıllı şehir idareleri açısından önem taşır. Kişisel verilerin resmi istatistik ile anonim hâle getirilerek araştırma ve planlama amaçlarıyla işlenmesi veya kamu kurumları tarafından kamu güvenliği ve düzenini sağlamaya yönelik koruyucu faaliyetler kapsamında kullanılması, Kanun'un istisnaları arasındadır. Bu düzenlemeler, devlet aygıtlarına hukuki bir hareket alanı sağlarken temel hakların dengelenmesini amaçlar.