Makale

Günümüzde bilgi ve iletişim teknolojilerinin hayatımızın her alanına hızla entegre olması, kişisel verilerin korunması bakımından daha önce karşılaşılmamış yeni hukuki riskleri beraberinde getirmektedir. Akıllı cihazlardan otonom sistemlere kadar uzanan bu geniş yelpaze, bireylere ait verilerin devasa boyutlarda toplanmasına, işlenmesine ve aktarılmasına olanak tanımaktadır. Bir KVKK hukuku avukatı perspektifiyle değerlendirildiğinde, bu teknolojilerin sunduğu pratik kolaylıkların yanı sıra, mahremiyet hakkı ve veri güvenliği üzerinde yarattığı tehditlerin yasal denetim mekanizmalarıyla dengelenmesi gerektiği açıktır. Özellikle verilerin kullanıcıların haberi olmaksızın arka planda birleştirilerek profilleme yapılması ve sistemlerin siber saldırılara açık hale gelmesi, yürürlükteki mevzuatın yetersiz kalabileceği gri alanları gün yüzüne çıkarmaktadır. Yenilikçi teknolojilerin çalışma mekanizmalarının ve doğurdukları spesifik yasal boşlukların doğru yorumlanması, muhtemel kişisel veri ihlalleri karşısında proaktif bir hukuki koruma kalkanı oluşturulması için mutlak bir zorunluluktur.

Nesnelerin İnterneti (IoT) ve Yapay Zeka Riskleri

Nesnelerin interneti (IoT), akıllı telefonlardan ev otomasyon sistemlerine kadar sayısız nesnenin sensörler aracılığıyla birbiriyle sürekli etkileşimde bulunmasını ifade eden teknolojik bir yapıdır. Bu cihazlar, kişilerin sağlık verileri, anlık konum bilgileri ve günlük alışkanlıkları gibi son derece hassas kişisel verileri toplayıp bulut tabanlı ortamlarda depolamaktadır. Söz konusu akışta cihazlar arası iletişimin güçlü şifreleme yöntemleriyle korunmaması, bu sistemleri siber saldırılara karşı savunmasız bırakarak ciddi güvenlik zafiyetlerine yol açmaktadır. Öte yandan, yapay zeka (AI) teknolojileri insan benzeri kararlar alabilmek için devasa büyük veri setleri ile eğitilmektedir. Ses, görüntü ve sosyal davranış gibi bilgileri harmanlayan yapay zeka algoritmaları, bireyleri profilleme ve mahremiyet alanına müdahale etme potansiyeline sahiptir. Olası ihlallerde zararın kimden tazmin edileceği sorunu, yapay zeka sistemlerinin henüz tam anlamıyla netleşmemiş olan hukuki statüsü ile doğrudan bağlantılıdır ve bu durum veri sorumlularının aydınlatma yükümlülüğünü çok daha hassas hale getirmektedir.

Büyük Veri (Big Data) ve Açık Veri Uygulamaları

Büyük veri (Big Data), yapılandırılmış veya yapılandırılmamış muazzam bilgi yığınlarının analiz edilerek içgörülere dönüştürülmesi sürecidir. Bu süreçte kullanılan karmaşık veri madenciliği algoritmaları, başlangıçta anonim sanılan verilerin dahi farklı veri tabanlarıyla birleştirilerek kişilerin kimliklerinin tespit edilebilir hale gelmesine (de-anonimizasyon) zemin hazırlamaktadır. Bu tür uygulamalar, veri işleme faaliyetlerinde temel olan amaçla sınırlılık ve açık rıza ilkelerinin etrafından dolanılması riskini barındırmaktadır. Aynı bağlamda kamu yararı gözetilerek şeffaflık amacıyla sunulan açık veri (open data) portallarının da, yeterli teknik tedbirler alınmadığında bireylerin kimliğini açığa çıkaracak bilgiler ihtiva etme tehlikesi bulunmaktadır. Mevzuatımızda araştırma ve istatistik amaçlı veri işlemeye getirilen istisnalar mevcut olsa da, veri sorumlularının hesap verebilirliğini sağlayacak katı anonimleştirme yöntemlerinin uygulanması yasal bir gerekliliktir.

Blokzincir (Blockchain) Teknolojisinde Silinemezlik Sorunu

Blokzincir (blockchain) teknolojisi, verilerin kriptografik yöntemlerle şifrelenerek dağıtık bir ağdaki bloklara silinemez ve değiştirilemez biçimde kaydedilmesine dayanan bir sistemdir. Kripto paralar ve akıllı sözleşmeler başta olmak üzere yaygın bir kullanım alanına sahip olan blokzincirin bu dağıtık ve kalıcı doğası, 6698 sayılı Kanun'un güvence altına aldığı verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunluluğu ile köklü bir biçimde çelişmektedir. Açık izne tabi olmayan blokzincir yapılarında, verilerin tek bir merkezi otorite yerine tüm ağ düğümlerinde (node) depolanması sebebiyle belirli bir kişisel verinin tüm sistemden kalıcı olarak silinmesi pratik açıdan imkansızdır. Kapsamlı bir hukuki düzenleme hayata geçirilene dek, yasal riskleri bertaraf etmek adına zincire yalnızca anonim verilerin eklenmesi veya tek kullanımlık gizli adresler gibi veri gizleme tekniklerinin kullanılması hukuki bir zorunluluk olarak öne çıkmaktadır.

Dijital Platformlarda Veri İşleme Faaliyetleri

Gündelik yaşamın ayrılmaz bir parçası olan e-ticaret, e-devlet ve sosyal medya platformları, kullanıcılar üzerinden muazzam hacimde kesintisiz bir kişisel veri akışı yürütmektedir. E-ticaret siteleri, tarayıcı çerezleri vasıtasıyla kullanıcıların gezinme ve alışveriş davranışlarını izleyerek hedefe yönelik pazarlama taktikleri uygulamaktadır. Bu platformlardaki üyelik sözleşmeleri, veri işleme şartlarını genellikle kullanıcının müdahale edemeyeceği standart metinler olarak dayatmaktadır. E-devlet portalı ise e-imza gibi yöntemlerle kimlik doğrulaması yapılan ve içerisinde özel nitelikli sağlık verilerini barındıran en kritik dijital kamu altyapısıdır; buradaki olası bir siber ihlal telafisi güç zararlar doğurabilir. Sosyal medya platformlarında ise durum çok daha şeffaflıktan uzaktır; kullanıcıların kendi iradeleriyle sundukları fotoğraflar ve mesajlar, algoritmalar tarafından izinsiz veri madenciliğine ve manipülatif profillemelere maruz bırakılmaktadır. Tüm bu dijital ekosistemlerin teknolojik işleyişleri ve barındırdıkları spesifik tehlikeler aşağıdaki tabloda listelenmiştir.