I. GİRİŞ
Dijital çağda, teknoloji şirketleri, büyük veri olarak bilinen muazzam miktardaki veriyi oluşturma, işleme ve kullanma süreçlerinde merkezi bir rol oynamaktadır. Büyük verinin işletme faaliyetlerini geliştirme ve kullanıcı deneyimini iyileştirme potansiyeli, ilgili kişilerin mahremiyetini ve haklarını koruma ihtiyacıyla birbirini dönüştürerek ilerlemektedir. Bugün pek çok skandal ile adı anılan teknoloji şirketlerinin büyük veri çalışmaları ve GDPR kapsamında ilgili kişilerin haklarına nasıl uyum sağlamaları gerektiği hususundaki yasal prosedürler ise hala çok tartışılmaktadır.
Hem verinin mahiyeti hem de büyük veriyi oluşturan setlerin karmaşık yapısı ilginç bir evrene açılırken tartışmanın hukuki boyutu da son derece önem kazanmıştır. Bu makale kapsamında büyük verinin nasıl korunabileceği ve ilgili kişilerin bu husus hakkında hak iddia edip edemeyeceği tartışılmaktadır.
II. BÜYÜK VERİ NEDİR? TEKNOLOJİ ŞİRKETLERİ BÜYÜK VERİYİ NASIL KULLANIR?
Büyük veri, genellikle çeşitli kaynaklardan toplanan büyük ve karmaşık veri kümelerine atıfta bulunmakla birlikte bu verilerin analiz edilmesi ile desenler, eğilimler ve ilişkiler tespit edilmektedir. Büyük veri analizinden elde edilen bilgiler, işletmelerin bilinçli kararlar almasına, süreçleri optimize etmesine ve hizmetleri kişiselleştirmesine olanak tanımaktadır. Teknoloji şirketleri, veri odaklı yeniliklerin ön saflarında olmaları nedeniyle, büyük veriyi son teknoloji ürünleri ve hizmetleri sunmak için kullanmaktadırlar.
Bu amaçlara ulaşmak için, teknoloji şirketleri veri toplama, depolama, birleştirme, analiz ve paylaşım gibi çeşitli veri işleme faaliyetlerini bünyelerinde gerçekleştirmektedirler. Ancak bu faaliyetler, veri sahiplerinin haklarını ve mahremiyetini korumak için GDPR’ın veri koruma prensipleriyle uyumlu olmak zorundadır.
III. BÜYÜK VERİ ve GDPR
GDPR, Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) içindeki kişisel verilerin işlenmesini düzenleyen kapsamlı bir veri koruma regülasyonudur. Söz konusu Tüzük’ün 3. maddesinde bulunan uygulama alan hükmü ile AB/AEA dışında yer alan teknoloji şirketlerinin de işleme faaliyetlerinin AB/AEA mukimlerine mal veya hizmet sunumu çerçevesinde gerçekleştirdiği takdirde uyum yükümlülüğü bulunmaktadır.
GDPR’a göre, kişisel veri, belirli bir kimliği tespit edilebilir doğal bir kişiye her türlü bilgiyi ifade ettiği için büyük veri; genellikle isimler, e-posta adresleri veya gezinme davranışları gibi kişisel verileri içermekte ve bu nedenle bu veriler, düzenlemenin gerekliliklerine tabi tutulmaktadır.
a. Büyük Veri İşlemenin Yasal Dayanağı
Bilindiği üzere GDPR kapsamında kişisel verileri işlemek için madde 6’da belirtilen yasal sebeplerden birine dayanılmak zorundadır. Büyük veri işlemesi için de geçerli olan bu yasal sebepler aşağıdaki şekilde sıralanabilmektedir:
- GDPR madde 6(1)(a): Veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesine ilişkindir. Veri sahibi söz konusu onayı belirli, bilgilendirmiş ve açıkça verdiğinde geçerli bir rızanın tüm koşulları sağlanmış olacaktır. Ancak büyük veri işlemesi için geçerli onay almak, işin içine giren veri miktarı ve karmaşıklığı nedeniyle zor olabilir.
- GDPR madde 6(1)(b): Veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olmasına ilişkindir. Kişisel verilerin işlenmesi, özellikle kişiselleştirilmiş hizmetlerin veya önerilerin sunumu bağlamında, veri sahibiyle yapılan bir sözleşmenin yerine getirilmesi için gerekli olabilmektedir.
- GDPR Madde 6(1)(f): Özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olmasına ilişkindir. Teknoloji şirketleri, meşru çıkarlarına dayanarak büyük veri analitiği için kişisel verileri işlemeyi tercih edebilirler, ancak bu çıkarlar veri sahiplerinin temel haklarını ve özgürlüklerini aşmaması hususuna dikkat edilmesi gerekmektedir.
b.Veri Minimizasyonu ve Amaçla Sınırlı İşleme İlkelerine Uyum
Teknoloji şirketleri büyük veri ile ilgili çalışırken GDPR’ın beşinci maddesinde yer alan veri minimizasyonu ve amaçla sınırlı olma prensiplerine uyum sağlamak zorundadırlar. Büyük verinin mahiyeti gereği bu prensipler uygulama alanı bulurken veri sorumlularımı zorlamaktadır. Lakin toplanan kişisel verilerin işleme amaçları yeterli ve sınırlı olmadığı takdirde otoriteler tarafından cezalandırma riski bulunmaktadır.
Büyük veri depolarının genişliği göz önüne alındığında, şirketlerin tekrar tanımlama riskini en aza indirmek için güçlü anonimleştirme teknikleri uygulamaları önemlidir ve bu prensiplere uygunluk sağlamayı kolaylaştırmaktadır.
c. Şeffaflık İlkesi Kapsamında İlgili Kişilerin Hakları
Şeffaflık, GDPR’ın temel taşlarından biridir. Teknoloji şirketleri, veri sahiplerine, amaçlar, yasal temeller, saklama süreleri ve veri sahibinin kullanabileceği haklar gibi veri işleme faaliyetleri hakkında açık ve öz bilgi sağlamakla yükümlüdür.
Veri sahipleri, GDPR madde 4(1) hükmünde tanımlanan şekilde, teknoloji şirketlerinin sağlamak zorunda olduğu çeşitli haklara sahiptir:
- Erişim Hakkı: Veri sahipleri, kişisel verilerinin işlenip işlenmediğini ve ilgili bilgilere erişme hakkına sahiptir.
- Düzeltme Hakkı: Veri sahipleri, yanlış veya eksik kişisel verilerin düzeltilmesini talep etme hakkına sahiptir.
- Unutulma Hakkı: “Silinme Hakkı” olarak da bilinen bu hak, belirli koşullar altında veri sahiplerinin kişisel verilerinin silinmesini talep etmelerine olanak tanımaktadır.
- İşleme Kısıtlama Hakkı: Veri sahipleri, belirli durumlarda kişisel verilerinin işleme faaliyetlerini sınırlandırma hakkına sahiptir.
- Veri Taşınabilirliği Hakkı: Veri sahipleri, kişisel verilerini yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta almak ve başka bir denetleyiciye aktarmak için bir talepte bulunabilmektedirler.
d. Profilleme ve Otomatik Karar Verme Süreçleri
Büyük veri setleri muhteviyatı gereği profilleme içermektedir. Profilleme süreçleri kişisel verilerin otomatik yollarla işlenmesine dayanması nedeniyle ilgili kişilerin davranışları, tercihleri veya bazı durumlarda kişisel özellikleri dahi analiz edilmektedir. Profilleme faaliyeti sayesinde, kişilere kişiselleştirilmiş reklamlar, kredi değerlendirmeleri veya iş fırsatları gibi önemli süreçler sunulabilmektedir. GDPR’ın 22. maddesi uyarınca veri sahiplerinin, özellikle de profilleme dahil olmak üzere, yalnızca uygun önlemler alındığında veya açık onay alındığında hukuki veya benzeri önemli sonuçlar doğuran otomatik işleme kararlarına maruz kalmama hakkı bulunmaktadır.
IV. SONUÇ
Sürekli değişen ve gelişimi ilerleyen büyük veri ekosisteminde teknoloji şirketleri, GDPR’ın getirdiği karmaşık regülatif yükümlülüklere uyum sağlayabilmek adına birtakım önlemler almak zorundadır. Yukarıda detaylı bir şekilde açıklandığı üzere kanun kapsamında yer alan ilkeler ve veri sorumlulusuna tanımlanan yükümlülüklere tam uyum büyük verinin kullanımını mahremiyete uygun hale getirecektir. Dijital çağda bireylerin haklarını kullanması kolay lakin koruması fazlasıyla zorken GDPR kapsamında sağlanan uyum süreçleri yenilikçiliği teşvik ederek veri odaklı pazaryerini sürekli bir biçimde büyütecektir.
Ayrıca bakınız; https://jurcom.nl/edpbnin-veri-aktarimina-iliskin-son-veri-gizliligi-cercevesi-kararlari/
