Makale
İnternet kullanımının yaygınlaşmasıyla şirketlerin veri işleme faaliyetleri devasa boyutlara ulaşmıştır. Çerezler, mobil uygulamalar ve sosyal medya platformları aracılığıyla toplanan büyük veri, hukuki denetimi zorunlu kılmaktadır. Bu makalede, özel sektörün internet ortamındaki veri işleme süreçleri KVKK perspektifiyle incelenmektedir.
Şirketlerin İnternet Ortamında Veri İşleme Faaliyetleri ve Hukuki Boyutu
Günümüzde dijitalleşmenin hız kazanması ve internet erişiminin küresel çapta yaygınlaşması, bireylerin ve kurumların etkileşim biçimlerini köklü bir şekilde değiştirmiştir. Bu etkileşim ağının merkezinde ise veri kavramı ve bu verilerin teknoloji şirketleri tarafından işlenmesi yer almaktadır. Verilerin kâğıt ortamından çıkıp dijital platformlara taşınması, özel sektörün veri işleme kapasitesini eşi benzeri görülmemiş bir seviyeye çıkarmıştır. Şirketler, kullanıcılara daha iyi hizmet sunabilmek, pazar stratejilerini geliştirmek ve ticari varlıklarını sürdürebilmek amacıyla otomatik veya otomatik olmayan yollarla sürekli olarak veri toplamakta ve bu verileri ticari faaliyetleri için kullanmaktadır. Kişisel verilerin işlenmesi, yalnızca temel bir toplama işlemi değil; kaydetme, depolama, muhafaza etme, değiştirme ve erişilebilir hale getirme gibi son derece geniş kapsamlı hukuki süreçleri barındırmaktadır. Bu süreçte, şirketlerin ticari hedefleri ile bireylerin temel hakları arasındaki dengenin hassas bir şekilde korunması, bilişim ve veri hukuku sistemlerinin en hayati konularından birisi konumuna gelmiştir.
Özel Şirketlerin Mobil Uygulamalar ve Platformlar Aracılığıyla Veri Toplaması
Özel, gerçek ve tüzel kişiler tarafından gerçekleştirilen veri işleme faaliyetleri, günümüz teknoloji çağında oldukça geniş bir yelpazeyi kapsamaktadır. Özellikle akıllı telefonlara ve bilgisayarlara indirilen mobil uygulamalar ve sosyal medya platformları, veri toplama sürecinin en önemli aktörleri arasında yer almaktadır. Bir uygulamayı cihazımıza kurarken karşımıza çıkan ve sıklıkla detaylarına inilmeden işaretlenen "okudum, onaylıyorum" taahhütleri, hukuki anlamda devasa bir veri akışının kapılarını aralamaktadır. Örneğin, bir harita uygulaması anlık konum bilgilerine erişim izni talep ederek trafik yoğunluğunu hesaplarken; çeşitli sosyal medya platformları kullanıcıların rehber, galeri veya kamera gibi donanımlarına erişerek özel nitelikli kişisel veriler dahil olmak üzere pek çok bilgiyi bünyesinde barındırmaktadır. Hatta uygulamada, veri erişimine izin verilmemesi halinde uygulamanın kullanımının engellendiği ve böylelikle kullanıcıların zorunlu bir veri işlenmesi dayatması ile karşı karşıya bırakıldığı görülmektedir.
Çerez (Cookie) Uygulamalarının Hukuki Niteliği
İnternet sitelerinin kullanıcı deneyimini artırmak ve çeşitli profilleme faaliyetleri yapmak amacıyla kullandığı çerezler (cookies), şirketlerin yoğun veri işleme süreçlerinin bir diğer ayrılmaz ayağını oluşturmaktadır. Çerezler, internet sayfasına girildiğinde kullanıcının terminal cihazlarında bazı bilgilerin depolanmasına izin veren zengin metin biçimli yapılardır. Tek başlarına bir kişiyi doğrudan belirlenebilir kılmasalar dahi, çerezler vasıtasıyla toplanan verilerin birleştirilmesi durumunda bu bilgiler 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri statüsü kazanmaktadır. Türk hukuk sisteminde Kişisel Verileri Koruma Kurumu tarafından yayımlanan güncel rehberler ışığında, çerezler aracılığıyla kişisel verilerin işlenebilmesi kural olarak kullanıcının açık rızasına tabi tutulmuştur. İşleme amacının veya çerez türünün değişmesi durumunda dahi internet sitesi sahibi şirketlerin bu açık rıza onayını yasalara uygun bir biçimde yenilemeleri zorunluluk arz etmektedir.
Şirketlerin Büyük Veri (Big Data) Kullanımı ve Sorumlulukları
İnternet ağının sunduğu açık mimari ve saniyeler içinde gerçekleşen veri transferleri sayesinde teknoloji şirketlerinin elde ettiği devasa bilgi yığınları, literatürde Büyük Veri (Big Data) kavramı ile açıklanmaktadır. Büyük veri, çeşitli kaynaklardan gelen düzensiz, hızlı ve bol miktardaki verilerin şirketler tarafından toplanması, anlamlandırılması ve algoritmik analizlere tabi tutulmasını ifade etmektedir. Teknoloji şirketleri, reklamcılık, haberleşme ve ticari pazar araştırmaları gibi faaliyetlerini sürdürebilmek için büyük verinin sunduğu eşsiz imkanlara sıkı sıkıya bağlıdır. Şirketlerin sahip olduğu çevrimiçi platformlar üzerinden kişilerin yalnızca birer tüketici değil, aynı zamanda içerik üreticisi olarak konumlanması, söz konusu veri havuzunu her an daha da büyütmektedir. Dolayısıyla, hukuki çerçevede şirketlerin yalnızca veriyi toplayan taraf değil, aynı zamanda verilerin güvenliğini ve yasal muhafazasını sağlamakla yükümlü birer veri sorumlusu oldukları hususu kesinlikle göz ardı edilmemelidir.
KVKK Kapsamında Şirketlerin Temel Veri İşleme Yöntemleri
Yasal mevzuatlar uyarınca, şirketlerin internet ortamında yürüttüğü veri işleme faaliyetleri son derece kapsamlı ve çok boyutlu bir yapıya sahiptir. Bilişim sistemleri aracılığıyla, insan müdahalesi en aza indirilerek otomatik yollarla gerçekleştirilen ve veri kayıt sisteminin parçası olan tüm işlemler bu tanımın merkezinde yer almaktadır. Bir şirket tarafından gerçekleştirilen temel hukuki veri işleme eylemleri genel olarak şu adımları barındırmaktadır:
- Kaydetme ve toplama: Kullanıcıların sistemlere üye olmasıyla temel verilerin ilk defa kayıt altına alınması.
- Depolama ve muhafaza etme: Toplanan kritik verilerin fiziksel sistemlerde veya bulut bilişim ortamlarında güvenle barındırılması.
- Kullanma ve değiştirme: Verilerin özel yazılımlar tarafından analiz edilip hedeflenen hizmet sunumu için doğrudan işlenmesi.
- Erişilebilir hale getirme: Dijital verilerin sosyal platformlar üzerinden belli şartlar altında üçüncü kişilerin erişimine açılması.
- Yok etme ve anonimleştirme: Yasal muhafaza sürelerinin dolması veya veri işleme amacının ortadan kalkması halinde verilerin hukuka uygun yöntemlerle kalıcı olarak silinmesi.