İnternet Teknolojileri ve Kişisel Verilerin Korunması

Bulut Depolama: Kolay Erişim ve Veri Güvenliği Dengesi

Verilerin internet veya başka bir ağ üzerinden uzaktaki bir depolama sistemine aktarılması ve burada saklanması, genel olarak bulut depolama olarak tanımlanır. Günümüzde hem firmalar hem de bireyler; dosyalarına her yerden erişebilmek, yedekleme süreçlerini kolaylaştırmak, donanım arızalarından etkilenmemek ve depolama maliyetlerini düşürmek için bulut depolama hizmetlerinden yoğun şekilde yararlanmaktadır.

Bulut depolama; yüksek erişilebilirlik, otomatik yedekleme, donanım yatırımı gerektirmemesi gibi önemli avantajlar sunsa da, kişisel verilerin korunması bakımından bazı ek riskleri de beraberinde getirir. Veri sorumlusunun verileri kendi sistemlerinde değil, üçüncü bir tarafın altyapısında saklıyor olması; rol ve sorumlulukların doğru tanımlanmasını zorunlu kılar.

KVKK Kapsamında Sorumluluklar

Kişisel verilerin korunması mevzuatı uyarınca, veri sorumlusunun bulut depolama hizmetinden yararlanması hâlinde, bulut depolama hizmetini sağlayan kişi veya kurumlar genellikle veri işleyen olarak nitelendirilir. Veri işleyen; veri sorumlusunun talimatları doğrultusunda, onun adına kişisel veri işler ve bu süreçte gerekli idari ve teknik tedbirleri almakla yükümlüdür.

Veri sorumlusu ise, bulut hizmet sağlayıcısının:

• Kişisel verilerin güvenliğine ilişkin yeterli teknik ve organizasyonel önlemleri alıp almadığını,
• Veri işleme amaçları dışında kişisel verileri kullanmadığını,
• Alt yüklenicilerle çalışıyorsa bu zincirde de veri güvenliğinin sağlandığını

sözleşmelerle güvence altına almak ve periyodik denetimlerle kontrol etmekle yükümlüdür. Bu nedenle, bulut hizmeti sağlanırken mutlaka yazılı bir veri işleme sözleşmesi yapılması önerilir.

Yurt Dışına Veri Aktarımı ve Açık Rıza

Kişisel verilerin depolanması amacıyla bulut depolama hizmetinden yararlanılabilmesi için, çoğu durumda ilgili kişilere aydınlatma yapılması ve gerekli şartlar oluşmuşsa açık rıza alınması gerekir. Özellikle bulut hizmet sağlayıcısına ait sunucuların yurt dışında bulunması durumunda:

• Sunucunun bulunduğu ülkenin güvenli ülke olarak ilan edilmiş olması veya
• Veri sorumlusu ile veri işleyen arasında, Kurul tarafından onaylı taahhütnamelerin imzalanması

gibi koşullar gündeme gelir. Aksi hâlde, yurt dışına kişisel veri aktarımı KVKK bakımından hukuka aykırı olacaktır.

Bulut Depolamada Önerilen Teknik Tedbirler

• Verilerin mümkün olduğunca şifrelenmiş şekilde saklanması ve şifreleme anahtarlarının veri sorumlusunda tutulması,
• Veri yedekleme ve felaket kurtarma senaryolarının yazılı olarak belirlenmesi,
• Yetkisiz erişimleri önlemek için çok faktörlü kimlik doğrulama (MFA) kullanılması,
• Veri erişim kayıtlarının (log) düzenli tutulması ve denetlenmesi,
• Bulut sağlayıcısının güvenlik sertifikalarının (ISO 27001 vb.) değerlendirilmesi.

Nesnelerin İnterneti (IoT): Akıllı Cihazlar ve Kişisel Veri

Nesnelerin interneti, fiziksel nesnelerin birbirleriyle ya da daha büyük sistemlerle bağlantılı olduğu iletişim ağıdır. Evlerimizde yer alan beyaz eşyalar, aydınlatma ve güvenlik sistemleri, enerji ölçüm cihazları, sensörler ve elektronik aletler birbirleriyle bağlantılı ve uyumlu hâle gelmekte, bu nesnelerin telefon veya bilgisayar gibi cihazlar üzerinden uzaktan kontrolüne olanak tanımaktadır.

IoT çözümleri; konfor, otomasyon ve enerji verimliliği sağlarken, toplanan veri hacmi ve çeşitliliği nedeniyle kişisel verilerin korunması açısından özel bir hassasiyet gerektirir.

IoT Cihazları Üzerinden İşlenen Kişisel Veriler

Nesnelerin interneti yaygınlaştıkça, gün geçtikçe daha fazla kişisel veri bu cihazlar üzerinden elde edilmekte ve işlenmektedir. Örneğin:

• Akıllı saatler aracılığıyla uyku, konum ve sağlık verilerimiz,
• Akıllı televizyonlar aracılığıyla izleme geçmişimiz ve dolaylı olarak siyasi veya dini görüşlerimiz,
• Akıllı telefonlar ve diğer biyometrik sensörler aracılığıyla parmak izi, yüz tanıma gibi biyometrik verilerimiz

işlenir hâle gelmiştir. Bu veriler, çoğu zaman nesnelerin interneti ekosistemi içinde başka sistemlerle paylaşılmakta, bulut altyapılarında saklanmakta ve analiz edilmektedir.

IoT ve KVKK Perspektifinden Temel Riskler

• Kullanıcılara yeterli aydınlatma yapılmadan ve açık rıza alınmadan veri işlenmesi,
• Cihaz üreticisi, platform sağlayıcısı ve uygulama geliştiriciler arasında rol ve sorumlulukların net olmaması,
• Cihazların varsayılan olarak zayıf parolalarla veya güncel olmayan yazılımlarla piyasaya sürülmesi,
• Verilerin şifrelenmeden iletilmesi veya saklanması,
• Cihaz kaybı veya çalınması hâlinde kişisel verilerin üçüncü kişilerin eline geçmesi.

IoT Ortamında Alınması Önerilen Önlemler

• Ürün tasarımında “gizlilik tasarımla ve varsayılan olarak” ilkesinin gözetilmesi,
• Cihazların ilk kullanımında güçlü parola ve güncel yazılım zorunluluğu getirilmesi,
• Toplanan veri kategorilerinin ve saklama sürelerinin asgari düzeyde tutulması,
• Veri sorumlusu–veri işleyen ilişkilerinin sözleşmelerle açıkça düzenlenmesi,
• Kullanıcılara; veri işleme amaçları, hakları ve başvuru yolları hakkında kolay erişilebilir bilgiler sunulması.

İnternet Çerezleri: Takip Mekanizması ve Aydınlatma Yükümlülüğü

İnternet çerezleri, kullanıcıların tercihlerini ve bazı teknik bilgilerini saklayan küçük metin dosyalarıdır. İnternet siteleri tarafından; sitenin düzgün çalışması, kullanıcı oturumlarının yönetilmesi, ziyaretçi istatistiklerinin tutulması, reklam ve pazarlama faaliyetlerinin kişiselleştirilmesi gibi amaçlarla kullanılmaktadır.

Örneğin, bazı internet siteleri tarafından kullanılan Yandex Metrica isimli çerez, kullanıcı davranışlarını ve istatistikleri site sahibi için raporlar hâline getirmekte; Google Ads ise kullanıcıların tercihlerine, ilgi alanlarına ve geri bildirimlerine göre reklamları kişiselleştirmektedir. Bu tür çerezler, kullanıcı profili çıkarılmasına ve davranışsal hedeflemeye imkân tanır.

Çerez Türleri ve Veri Koruma Açısından Değerlendirme

• Zorunlu çerezler: Oturum yönetimi ve temel işlevler için gereklidir. Genellikle açık rıza olmaksızın kullanılabilir, ancak aydınlatma yapılmalıdır.
• İşlevsel çerezler: Dil tercihi, bölge seçimi gibi kullanıcı deneyimini iyileştiren tercihleri hatırlar.
• Analitik/performans çerezleri: Site kullanımı hakkında istatistiksel bilgi toplar.
• Reklam/pazarlama çerezleri: Kullanıcı davranışlarını izleyerek kişiselleştirilmiş reklam sunar; genellikle açık rıza gerektirir.

İnternet çerezleri, internet sitesi kullanıcılarının kişisel verilerini elde ettiği, işlediği ve depoladığı için, veri sorumlularının çerez kullanımı konusunda aydınlatma yapması ve gerekli hâllerde açık rıza alması gerekmektedir.

Çerez Politikası ve Mevzuat

Avrupa Birliği Gizlilik ve Elektronik Haberleşme Direktifi (e-Privacy Directive) uyarınca, internet siteleri çerez politikası hazırlamak ve bu politikayı kullanıcıların erişimine sunmakla yükümlüdür. Kullanıcıların tarama alışkanlıklarını izleyen veya profil çıkaran çerezler için açık rıza mekanizmaları (örn. çerez banner’ları) yaygın şekilde kullanılmaktadır.

Türkiye’de Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca, veri sorumlularının çerez politikası hazırlama konusunda açık bir zorunluluğu olmamakla birlikte; aydınlatma yükümlülüğünün tam ve şeffaf şekilde yerine getirilebilmesi, kişisel verilerin işlenmesi ve üçüncü kişilere aktarılması için açık rıza süreçlerinin düzgün yönetilebilmesi adına her internet sitesinin çerez politikasına sahip olması tavsiye edilmektedir.

Arama Motorları: İndeksleme, Profil Oluşturma ve Unutulma Hakkı

Arama motorları; internet üzerindeki siteleri tarayan, bu sitelerdeki içerikleri indeksleyen ve kullanıcıların aradığı sözcük veya sözcük gruplarına göre en uygun sonuçları listeleyen sistemlerdir. Örneğin, dünya çapında en çok kullanılan arama motoru olan Google’da “kişisel veri” ifadesi aratıldığında; daha önce indekslenen internet siteleri taranmakta ve bu kavramla ilişkili en uygun içerikler kullanıcılara gösterilmektedir.

Arama motorları bu süreçte; yalnızca içerik sağlayıcıların yayınladığı verileri bulmakla kalmayıp, kendi indeksleme programları çerçevesinde bu verileri kaydedip organize etmekte, kullanıcıya gösterilecek sonuçların sırasını belirlerken çeşitli algoritmalar kullanmakta ve belirli sürelerle bu verileri sunucularında saklamaktadır.

Arama Motorlarının Veri Sorumlusu Olarak Konumu

Kişisel Verileri Koruma Kurulu; arama motorlarının internette yayınlanan bilgiyi bulduğunu, indekslediğini, kaydedip organize ettiğini, arama sonuçlarının listesi formunda düzenlediğini, sunucularında sakladığını ve belirli durumlarda üçüncü kişilere sunduğunu dikkate alarak, arama motorlarını veri sorumlusu olarak nitelendirmektedir. Bu durum, arama motorlarının da KVKK kapsamındaki yükümlülüklere tabi olduğu anlamına gelir.

Unutulma Hakkı ve Arama Sonuçlarının İndeksten Çıkarılması

Kişisel Verilerin Korunması Kanunu uyarınca ilgili kişiler; veri sorumlusu olarak nitelendirilen arama motorlarına, ad ve soyadı ile yapılan aramalarda çıkan sonuçların unutulma hakkı kapsamında indeksten çıkarılması talebinde bulunabilmektedir. Bu tür talepler değerlendirilirken Kurul; genellikle aşağıdaki kriterleri dikkate almaktadır:

• İlgili kişinin kamusal yaşamda önemli bir rol oynayıp oynamadığı,
• Arama sonuçlarının öznesinin çocuk olup olmadığı,
• Bilginin içeriğinin doğruluğu ve güncelliği,
• Bilginin kişinin çalışma hayatı ile ilişkisi,
• Bilginin hakaret, onur kırıcı ifade veya iftira niteliği taşıyıp taşımadığı,
• Verinin özel nitelikli kişisel veri niteliği taşıması,
• Bilginin kişi açısından somut risk doğurup doğurmadığı,
• Bilginin kişinin kendisi tarafından yayımlanıp yayımlanmadığı,
• İçeriğin gazetecilik faaliyeti kapsamında işlenip işlenmediği,
• Bilgilerin yayımlanmasında yasal zorunluluk olup olmadığı,
• Bilginin ceza gerektiren bir suçla ilgili olup olmadığı.

Bu kriterler çerçevesinde yapılan değerlendirme sonucunda; ifade özgürlüğü ile kişilik haklarının korunması arasında dengelendirici bir yaklaşım benimsenmekte ve uygun görülen durumlarda ilgili sonuçlar indeksten çıkarılmaktadır.

Kişisel Veri Güvenliği Açısından Haklar ve Yükümlülükler

Bulut depolama, IoT cihazları, çerezler ve arama motorları gibi internet teknolojileri; farklı aktörler açısından farklı sorumluluklar doğurur. KVKK çerçevesinde hem veri sorumluları hem de ilgili kişiler için çeşitli hak ve yükümlülükler öngörülmüştür.

Veri Sorumlusunun Temel Yükümlülükleri

• Veri işlemeye başlamadan önce ilgili kişilere aydınlatma yapmak,
• Gerekli hâllerde açık rıza almak ve bu rızayı ispat edilebilir şekilde saklamak,
• Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü olarak işlemek,
• Veri güvenliğine ilişkin uygun idari ve teknik tedbirleri almak,
• Veri işleyenlerle ilişkileri sözleşmelerle güvence altına almak,
• İlgili kişilerin başvurularına kanuni süreler içinde yanıt vermek,
• Gerekli koşullar oluştuğunda verileri silmek, yok etmek veya anonim hâle getirmek.

İlgili Kişinin Hakları

İlgili kişiler; KVKK kapsamında kendileriyle ilgili kişisel veriler üzerinde çeşitli haklara sahiptir. Bunlar arasında:

• Verilerinin işlenip işlenmediğini öğrenme,
• İşlenmişse buna ilişkin bilgi talep etme,
• Verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
• Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme,
• İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde verilerin silinmesini veya yok edilmesini talep etme,
• Otomatik sistemler vasıtasıyla analiz edilen veriler nedeniyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
• Verilerin hukuka aykırı işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme

gibi haklar yer almaktadır. İnternet teknolojilerinin yoğun kullanıldığı günümüzde, bu hakların etkin şekilde kullanılabilmesi için veri sorumlularının şeffaf ve erişilebilir başvuru mekanizmaları kurması önemlidir.

Sonuç: Dijital Kolaylık ile Veri Güvenliği Arasında Denge Kurmak

Bulut depolama, nesnelerin interneti, internet çerezleri ve arama motorları; günlük hayatımızı ve iş süreçlerimizi kolaylaştıran, dijital ekonominin temel bileşenleri hâline gelmiştir. Ancak bu teknolojiler aynı zamanda, kişisel verilerin çok daha görünür ve erişilebilir olmasına yol açarak veri ihlali risklerini artırmaktadır.

Kişisel verilerin korunması bakımından sürdürülebilir bir denge kurmak için; teknolojiyi tamamen reddetmek yerine, mevzuata uyumlu, şeffaf ve güvenlik odaklı çözümler geliştirmek gereklidir. Veri sorumlularının; bulut sağlayıcılarıyla yaptıkları sözleşmeleri gözden geçirmesi, IoT cihazlarında veri minimizasyonu ilkelerini uygulaması, çerez politikalarını güncellemesi ve arama motorlarıyla ilgili hak ve yükümlülüklerini doğru yönetmesi, bu dengenin sağlanmasında kritik rol oynar.

Sonuç olarak; dijital dönüşüm stratejileri planlanırken, kişisel verilerin korunması bir yan başlık değil, tasarımın merkezinde yer alan bir güvenlik ve uyum bileşeni olarak ele alınmalıdır.