Dijital çağda verinin hacmi, hızı ve çeşitliliği dramatik biçimde artmıştır. Sosyal medya etkileşimleri, e-ticaret işlemleri, konum verileri, sensör kayıtları ve finansal hareketler; her saniye devasa veri üretmektedir. Bu veri yığınları “büyük veri” (Big Data) olarak adlandırılır.Büyük veri analitiği, şirketlere stratejik avantaj sağlar. Ancak bu avantajın arkasında ciddi hukuki riskler ve sorumluluklar bulunmaktadır. Özellikle kişisel veri içeren büyük veri projeleri, veri koruma hukukunun merkezinde yer alır.
Türkiye’de bu alanı düzenleyen temel mevzuat Kişisel Verilerin Korunması Kanunu (KVKK)’dır. Bunun yanında borçlar hukuku, ceza hukuku ve rekabet hukuku da devreye girebilir.
Bu yazıda büyük veri kullanımında hukuki sorumluluk rejimini kapsamlı şekilde inceliyoruz.
Büyük Veri Nedir?
Büyük veri; yüksek hacimli, hızlı üretilen ve farklı formatlarda bulunan veri setlerini ifade eder. Genellikle üç temel özellik üzerinden tanımlanır:
- Volume (Hacim)
- Velocity (Hız)
- Variety (Çeşitlilik)
Günümüzde bu özelliklere “Value” (Değer) ve “Veracity” (Doğruluk) da eklenmiştir.Eğer büyük veri seti belirli veya belirlenebilir bir gerçek kişiye ilişkin bilgi içeriyorsa, hukuki açıdan kişisel veri niteliği taşır.
Büyük Veri ve KVKK Kapsamı
KVKK’ya göre kişisel verinin:
- Toplanması
- Kaydedilmesi
- Depolanması
- Analiz edilmesi
- Sınıflandırılması
veri işleme faaliyetidir.Büyük veri analitiği genellikle bu işlemlerin tamamını içerir. Dolayısıyla hukuka uygunluk şartlarından birine dayanmalıdır.
Hukuka Uygunluk Dayanakları
Büyük veri projelerinde veri işleme şu dayanaklara dayanabilir:
- Açık rıza
- Sözleşmenin ifası
- Hukuki yükümlülük
- Meşru menfaat
Ancak meşru menfaat değerlendirmesi yapılırken bireyin temel hakları ile şirketin ticari çıkarları arasında denge kurulmalıdır.
Veri Minimizasyonu Sorunu
Büyük veri projelerinde sık yapılan hata, mümkün olan en fazla veriyi toplamaktır.
Oysa KVKK’ya göre:
- İşleme amacıyla bağlantılı
- Sınırlı ve ölçülü
veri işlenmelidir.“İleride lazım olabilir” düşüncesiyle veri toplamak hukuka aykırılık oluşturabilir.
Profil Çıkarma ve Otomatik Karar
Büyük veri analitiği çoğu zaman profil çıkarma ve otomatik karar süreçlerini içerir.
Örneğin:
- Müşteri davranış analizi
- Kredi risk skoru
- Sigorta prim hesaplaması
- İşe alım değerlendirmesi
Bu tür faaliyetlerde KVKK m.11 kapsamında ilgili kişinin itiraz hakkı gündeme gelir.
Ayrımcılık ve Algoritmik Risk
Büyük veri analizleri, dolaylı ayrımcılık riskini artırabilir.
Örneğin:
- Belirli bölgelerde yaşayan kişilerin riskli kabul edilmesi
- Gelir düzeyine göre hizmet farklılaştırılması
- Cinsiyet veya yaşa dayalı fiyatlandırma
Bu tür uygulamalar eşitlik ilkesine aykırı olabilir.İş Kanunu ve genel eşitlik ilkeleri bu tür durumlarda devreye girebilir.
Veri Güvenliği ve İhlal Riski
Büyük veri sistemleri yüksek hacimli veri barındırdığı için siber saldırılara açıktır.
KVKK m.12 uyarınca veri sorumlusu:
- Yetkisiz erişimi önlemek
- Verinin muhafazasını sağlamak
- Gerekli teknik ve idari tedbirleri almak
zorundadır.Veri ihlali durumunda idari para cezası ve tazminat sorumluluğu doğabilir.
Yurt Dışına Veri Aktarımı
Büyük veri sistemleri genellikle bulut altyapısında çalışır. Veri yurt dışına aktarılıyorsa, KVKK kapsamında ek şartlar aranır.
Bu şartlar:
- Açık rıza
- Yeterli koruma bulunan ülke
- Taahhütname
şeklindedir.Uluslararası veri transferi hukuki risklerin en yoğun olduğu alanlardan biridir.
Ceza Hukuku Boyutu
Verilerin hukuka aykırı ele geçirilmesi veya yayılması durumunda Türk Ceza Kanunu hükümleri uygulanabilir.
Özellikle:
- Kişisel verilerin hukuka aykırı kaydedilmesi
- Ele geçirilmesi
- Başkasına verilmesi
cezai sorumluluk doğurur.
Tazminat Sorumluluğu
KVKK’ya aykırı veri işleme sonucu zarar doğarsa, ilgili kişi tazminat talep edebilir.Ayrıca Türk Borçlar Kanunu kapsamında haksız fiil sorumluluğu gündeme gelebilir.
Örneğin:
- Yanlış veri analizi sonucu kredi reddi
- Profil hatası nedeniyle iş kaybı
- Veri sızıntısı nedeniyle maddi zarar
durumlarında tazminat söz konusu olabilir.
Uluslararası Boyut
General Data Protection Regulation (GDPR), büyük veri analitiği konusunda daha sıkı kurallar içermektedir.AB ile çalışan Türk şirketleri için GDPR standartları fiilen önem taşımaktadır.
Büyük Veri Projelerinde Uyum Adımları
Hukuki sorumluluğu azaltmak için şirketler:
- Veri envanteri hazırlamalı
- Hukuki işleme dayanağını belirlemeli
- Açık rıza gerekiyorsa almalı
- Veri minimizasyonu uygulamalı
- Anonimleştirme tekniklerini kullanmalı
- Güvenlik testleri yapmalı
- Yurt dışı aktarım analizini gerçekleştirmeli
- Algoritmik risk değerlendirmesi yapmalı
Bu adımlar hukuki uyum açısından kritik önemdedir.
Veri Ekonomisinde Hukuki Denge
Büyük veri analitiği, ekonomik değer üretmenin güçlü araçlarından biridir. Ancak veri kullanımı temel hak ve özgürlüklerle dengelenmelidir.
Bugün için temel ilkeler şunlardır:
- Büyük veri kişisel veri içeriyorsa KVKK uygulanır.
- Hukuka uygunluk dayanağı gereklidir.
- Veri minimizasyonu zorunludur.
- Ayrımcılık riski analiz edilmelidir.
- Veri güvenliği sağlanmalıdır.
- İhlal durumunda tazminat ve ceza sorumluluğu doğabilir.
Büyük veri çağında hukuki sorumluluk, yalnızca bir uyum meselesi değil; kurumsal itibar ve sürdürülebilirlik açısından stratejik bir gerekliliktir.
