Makale
Veri ekonomisinde kişisel veriler ekonomik bir değer taşısa da, bu veriler üzerinde klasik anlamda bir mülkiyet hakkı tesis edilmesi mümkün değildir. Hukukumuzda kişisel veriler malvarlığı değeri değil, kişilik hakkının bir uzantısıdır ve bu veriler üzerinde rızaya dayanmayan serbest ticari tasarruflarda bulunulamaz.
Veri Ekonomisinde Kişisel Veriler ve Mülkiyet
Günümüzün hızla gelişen veri ekonomisi, büyük hacimli verilerin toplanması, analiz edilmesi ve ticari bir değere dönüştürülmesi ilkeleri üzerine inşa edilmiştir. Bu yeni ekonomik düzende piyasa aktörlerinin ve işletmelerin en temel sermayelerinden birini şüphesiz ki kişisel veriler oluşturmaktadır. Kişisel verilerin ciddi bir ekonomik değer ifade etmesi ve çeşitli hukuki işlemlere konu edilmesi, bu veriler üzerinde bir malvarlığı hakkı, özellikle de mülkiyet hakkı tesis edilip edilemeyeceği sorusunu güçlü bir biçimde gündeme getirmiştir. Anglosakson hukuk sistemlerinde, kişisel verilerin ticari hayattaki değerinin artmasıyla birlikte, bireylerin kendi verileri üzerinde tasarrufa konu edilebilen bir mülkiyet hakkına sahip olmasını savunan görüşler ileri sürülmüştür. Ancak Kara Avrupası ve Türk hukuku geleneğinde, kişisel verilerin bu şekilde salt bir malvarlığı değeri olarak kabul edilip klasik mülkiyet hakkı çerçevesinde değerlendirilmesi, yerleşik temel hukuk prensipleriyle pek çok noktada derin çatışmalar yaratmaktadır.
Kişisel Veriler Üzerinde Mülkiyet Hakkı Teorisi
Veri ekonomisinin devasa boyutlara ulaşmasıyla birlikte, kişisel verilerin ticari işlemlere konu edilmesinin desteklenmesi amacıyla mülkiyet hakkı teorisi ortaya atılmıştır. Bu teori temel olarak, kişisel verilerin yadsınamaz bir malvarlığı değeri olduğunu ve bireylerin bu veriler üzerinde, mülkiyet hakkının içerdiği yetkileri haiz olması gerektiğini hararetle savunur. Ancak bu yenilikçi görüş, kişisel verilerin serbestçe devredilebilmesinin önündeki yapısal ve hukuki engeller nedeniyle şiddetle eleştirilmektedir. Bilindiği üzere hukuk sistemimizde bir şey üzerinde mülkiyet hakkını devralan kişinin, bu hak konusu maddi veya gayrimaddi şey üzerinde en geniş yetkilere sahip olması gerekir. Oysa kişisel verilerin herhangi bir şekilde işlenmesi veya üçüncü kişilere devredilmesi, istisnalar saklı kalmak kaydıyla ancak ilgili kişinin rızasına tabidir ve alınan bu rıza ilgili kişi tarafından her zaman geri alınabilir. Dolayısıyla, kişisel verileri devralan taraf, mülkiyetin aksine her zaman ilgili kişinin iradesine bağlı kalmakta olup, klasik anlamda bir mülkiyet devrinden bahsetmek hukuken olanaklı değildir.
Mülkiyet Hakkının Koruyucu Yetkileri ve Pratik Sorunlar
Kişisel veriler üzerinde mutlak bir mülkiyet hakkının kabul edilmesinin önündeki en büyük hukuki engellerden bir diğeri ise, mülkiyet hakkının içerdiği koruyucu yetkilerin kişisel verilere fiilen uygulanmasının neredeyse imkansız olmasıdır. Klasik eşya hukukunda malik, mülkiyet hakkına yönelik herhangi bir haksız saldırı veya el koyma durumu olduğunda istihkak davası aracılığıyla eşyanın aynen iadesini talep edebilir. Ne var ki kişisel veriler, niteliği gereği semantik anlamda veriyi yani bilginin bizzat kendisini ifade ettiği için, rıza dışı ele geçirilen bir bilginin aynen iadesi veya ele geçiren kişilerin zihninden ve kayıtlarından tamamen silindiğinden emin olunması teknik olarak mümkün değildir. Mevcut veri koruma mevzuatı, hukuka aykırılıklardan doğan zararı en aza indirmek gayesiyle ilgili kişilere verilerin yok edilmesini veya silinmesini isteme hakkı tanısa da, bilgi bir kez ifşa edildikten sonra eski hale tam olarak getirilmesi eşya hukukundaki gibi işleyemez. Bu temel nedenle, kişisel verilerin klasik bir mülkiyet hakkı formunda değil, bireyin kişilik hakkının ayrılmaz bir uzantısı olarak korunması gerektiği Kara Avrupası hukuk sistemlerinde genel ve sarsılmaz bir kabul görmüştür.
Veri Ekonomisinde Anonimleştirme ve Serbest Akış
Veri ekonomisi pazarında kişisel veriler ile kişisel olmayan veriler çoğu zaman iç içe geçmiş, ayrıştırılması teknik uzmanlık gerektiren karmaşık bir yapı sergilemektedir. Veri ekonomisinde faaliyet gösteren çok uluslu veya yerel işletmeler, veri temelli inovatif iş modellerini yürütürken bu iki farklı veri türünü sınırlandırmakta büyük güçlük çekmektedir. Kişisel veri koruma hukuku, veri üzerinde müzakere eşitsizliği yaşanan durumlarda şahsı koruyan ve piyasa aktörlerine ağır yaptırımlar öngören detaylı düzenlemeler içermektedir. Bu hukuki realite, veri ekonomisinde verinin serbest akışını güvence altına alarak ticari değer yaratmak isteyen teşebbüsler için işlem maliyetlerini ve regülatif riskleri oldukça artıran bir unsurdur. İlgili kişiden hukuka uygunluk sebebi olan açık rıza alınsa dahi, bu rızanın her an geri alınabilme ihtimali, piyasadaki veri dolaşımına, veri paylaşım anlaşmalarına ve ticari güvene ciddi ölçüde zarar verebilmektedir. İşletmeler, kişisel veriler üzerindeki mülkiyet devrine benzemeyen bu ticari engelleri ve hukuki bariyerleri güvenli bir şekilde aşabilmek amacıyla uygulamada birtakım pratik uyum yollarına başvurmaktadır.
- Veri kümelerinin makine öğrenimi veya analiz gibi amaçlarla işlenmesinden önce anonimleştirilmesi yoluyla gerçek kişi bağlantısının geri döndürülemez şekilde koparılması.
- Büyük veri yığınları içerisindeki ticari değere sahip bilgilerin sistemlerden dikkatlice ayıklanarak sadece kişisel veri niteliği taşımayan makine verilerinin ticari işlemlere konu edilmesi.
- Ekonomik dolaşıma sokulan veriler için akdedilen sözleşmelerde katı veri güvenliği taahhütleri alınarak hukuki ve cezai sorumluluk risklerinin asgari seviyeye indirilmesi.