Veri hukuku ve veri toplumu

Bolkar Özkan*[email protected]

1. VERİ KAVRAMI

Veri, işlenmiş/kaydedilmiş bilgi anlamına gelir. İşlenen bu bilgi, her konuya ilişkin olabilir. Teknolojinin kayıt nesnesi veridir, veriyi kayıt nesnesi haline getiren de teknolojik eylemdir. Bu nedenle veri ve teknoloji kavramları birbirlerinin referansı niteliğindedir. Teknoloji teknik muameleye/işleme verilen isimdir (Yunanca tekhnē + logia). Her teknik işlem kayıt nesnesini üreterek, bir başka deyişle kaydederek gelişir. Söz konusu kayıtların konusu teknik muamelenin/işlemin ilerleyişine ilişkin tekniğin kendi bilgisi olabileceği gibi, teknolojinin diğer disiplinlerle ilişkisini kuran bilgiler de olabilir. Sivil hakların yaratıcısı ve düzenleyicisi olarak hukukun teknoloji ile ilişkisi bu bağlamda veri hukukudur. Teknik muamelenin işlediği ve sivil yaşamı ilgilendiren her türden bilgi veri hukukunun konusunu oluşturur. Sivil yaşamı ilgilendiren ve veri öznesine bağlanabilen bir bilgi kişisel veri niteliğindedir. Hem GDPR’ın (Genaral Data Protection Regulation) hem de Türkiye’de yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun en önemli ortak noktası, her iki metnin de kişisel veriyi gerçek kişilerle (natural person), yani bir ‘veri öznesi’ ile bağlantılanabilecek her türden bilgi olarak tanımlamasıdır. Bu tanım itibariyle veri hukukunun konusunu oluşturan şey işlenmiş ve işlenecek olan, ‘veri öznesi’ ile bağlantılanabilecek her türden bilgidir.

2. VERİ HUKUKUNUN ÖZNELERİ

Teknolojinin en önemli özelliği olan kayıt, sivil hayat ile teknik muamelenin kesişim kümesi içinde veri ilişkisini oluşturan eylemdir. Teknik muamelenin varsaydığı şey, verinin oluşumunun hem öncesi hem sonrasındaki temel ilişkidir. Bir başka deyişle, teknik muamelenin hem önü hem arkasında teknik bir ilişki vardır. Bu ilişkinin en önemli tarafı, GDPR’da veri öznesi (data subject) olarak belirlenmiştir. Türkiye’de yürürlüğe giren kanunda ise ilgili kişi tanımlaması bulunmaktadır. Bu sebeple, veri ilişkisinin ilk tarafı, veri öznesi/ilgili kişidir. Teknik muamelenin kaydettiği bilgi kendisine bağlanabilen öznedir bu. Kişisel veri, gerçek kişiye (natural person) bağlandığı müddetçe de bu veri öznesi gerçek kişidir. Veri hukukunun bir diğer öznesi kayıt eylemini gerçekleştirendir. Bu özne ikili bir yapıdadır. Hem GDPR yönünden hem de 6698 sayılı Kanun yönünden bu ikili yapıdaki özne, hukuki sorumluluğu bulunan kişidir, gerçek ve tüzel kişidir. Bu kişi, veri sorumlusu (controller) veya veri işleyen (processor) olarak ortaya çıkar. Veri sorumluluğu teknik muamelenin ilerleyişi yönünden veri işleme zorunluluğu doğan kişidir. Veri işleyen ise veri sorumlusu adına veri işleme eylemini gerçekleştiren kişidir. Bu ikili özne yapısı tek bir gerçek ya da tüzel kişi (nature person, legal person) olarak da ortaya çıkabilir. Her iki halde de hukuki bağlamda sorumluluk tektir. Bu sebeple veri hukukunun uygulama alanı öncelikle iki özne arası ilişkiyi varsaymakta ve bu ilişkinin kurulması, sürdürülmesi ve sona ermesi süreçlerini düzenlemeyi hedef almaktadır:

Bu yazının veri hukuku başlığının referansı olan iki metin (GDPR ve 6698 sayılı Kanun/İlgili yönetmelikler) de veri hukukunu ‘veri koruma’ bağlantısı içinde ele almıştır. Ancak hukuki bağlamı içinde bu iki metnin geçerli bir uygulama alanı bulabilmesi için koruma kavramını geniş yorumlamak ve veriye ilişkin tüm süreçleri koruma kavramı ile birlikte değerlendirmek gerekir.

3. DENETİM TOPLUMLARI VE VERİ TOPLUMU

Filozof Gilles Deleuze tarafından üretilen denetim toplumları, Michel Foucault’nun kategorize ettiği disiplin toplumlarının, “kapatıp-kuşatma ortamlarının yerine geçmekte olan şeyi betimlemektedir.” (1) Bu toplumların tanımlanması yahut betimlenmesi günümüzün sıklıkla enformasyon veya denetim dönemi olarak anılması ile paraleldir. Öyle ki, kapatıp-kuşatma ortamları ya da disiplin toplumlarının yerini (bu ortam ve toplumun araçlarını tam anlamıyla terk etmeden ve onları uyarlayarak) alan bir gönüllü denetim ortamı ya da denetim makinesidir. Bu denetim devletin-yargının-polisin değişip dönüşmüş yani denetime uyarlanmış disiplin araçlarından kaynaklanabileceği gibi borç-güvenlik ilişkilerinin süreklileştirilmesinden de kaynaklanabilir (2).

Denetim toplumları dahi başka bir döneme girmektedir. Teknolojik gelişme artık denetim toplumlarının farklı çalışma mekânlarını ve araçlarını yaratmıştır. Teknik işlemin bilgisi denetim toplumlarının yeni mekân ve araçlarına ilişkin olabileceği gibi üçüncü bir ilişkinin yaratımını mümkün kılacak bir bağlantıya ilişkin de olabilir. Bu ilişkinin nesnesi veri, özneleri veri işleyen ve veri öznesidir. Veri, veri öznesine bağlanabilir olan ve kaydedilen her türlü bilgidir. Teknik işlem hem kendi gelişimi hem de daha önceki işlevini tamamlayabilmek ve tanımlayabilmek için her türden girdiyi kaydederek çalışır. Bu girdilerde veri öznesini ilgilendiren husus, bu öznelere bağlanan her türlü bilgidir. Bu bilgiler kan grubumuzdan dün yaptığımız alışverişe kadar hayatımızın her alanını kapsamaktadır. Verinin oluşturduğu bu yığın bir gölge toplum gibi çalışır. Veri öznelerinin her hareketi bu gölge toplumda saniyeler içinde değişimleri yaratır.

“Değişime ayak uydurmak” tam anlamıyla bu değilse nedir, değişime dair bilgiyi/süreci de bir veri piyasasından daha geniş ne içerebilir? Öyle ki tüm veri koruma süreçleri, birkaç yıllık mevzuat değişiklikleri ile birlikte hem ülkemizde hem dünyada veri piyasasının Medeni Hukuk, Ticaret Hukuku gibi çalışan bir Veri Hukuku’nu doğurmuştur. Bu sebeple artık öznelerin bir araya gelişi ile oluşan bir yığındansa, borç-güvenlik ve nihayet veri ilişkilerini süreklileştiren bir veri toplumu vardır. “Teknolojiler yaşamı kolaylaştırmıştır”, bu propaganda sonuna kadar haklıdır. Kapitalizm için kolaylaşan; tüm bir yaşamın kaydedilmesi ile isteklerin, eğilimlerin, ihtiyaçların genel anlamda yapıp etme kudretlerindeki yoğunluğa dair her şeyin bir değere dönüştürülmesidir. Veri de bu anlamıyla reklamcılıktan pazarlamaya, ihtiyaçlardan siyasi eğilimlere kadar uzanan bir niteliğe sahip hem bir deney alanı hem de bu deney alanını sürekli olarak dönüştüren bir kıymettir.

“Verinin korunması” da bu sebeple ticari niteliklidir. Gerek ülkemizde gerekse dünya hukukunda veri koruma kavramı, ihtiva ettiği düzenlemeler gereği veri kaydının öncesindeki süreçlerden, verilerin saklanması-paylaşılması ve nihayetinde ortadan kaldırılması süreçlerini kapsıyor ve bu süreçlerin hukuka uygun yürütülmesine ilişkin sınırlar sunuyor. Veri kaydı öncesi süreçlerde en dikkat çeken husus, denetim toplumlarında sıkça rastlanılan rıza unsuruna istisnaların getirilmiş olmasıdır. Bütün süreçlere zaten başından razı olan veri öznesinin, örneğin sözleşmesel bir ilişkinin yaratılması için veri kaydının zorunlu olması halinde rızasına ihtiyaç duyulmaz ve rızası olmaksızın veri kaydı yapılabilir. Bir başka örnek ise veri işleyen tarafından meşru hak yerine getirilirken verinin kaydetmesi halidir. Bu halde de rızaya ihtiyaç duyulmaz (özel nitelikli kişisel veriler açısından durum farklıdır). Görüldüğü üzere veri koruma kavramı da genel bir rızayı yeterli görmektedir. Bunun dışında veri öznesinin birtakım haklarının olduğu öngörülmüştür. Burada bahsetmek istediğimiz temel mesele, veri toplumlarının denetim toplumlarından farklı olarak, hukuk öznelerinin doğrudan rızasına ihtiyaç duymaması, bu öznelerin tüm edimlerini yeni bir veri ilişkisinin üretimi olarak kullanmasıdır.

Verilerin paylaşımı, devasa bir teknolojik güçle düşünüldüğünde verinin ele geçirildiği anı müteakip evrensel niteliktedir. Günümüzde veriden daha evrensel ya da evrensel nitelikte ilişkiye giren bir bilgi yoktur. Verilerin paylaşılma hızı, bir mouse tıklaması kadardır. Bu tıklama ile veri saniyeden az bir sürede evrensel bir niteliğe ulaşır ve tüm veri piyasasını boydan boya kat eder.

Gilles Deleuze ve Felix Guattari, bir toplumu kaçış çizgileri ile tanımlar. Veri toplumunda kendine özgü kaçış çizgileri nelerdir? Veri toplumu kaçış çizgilerinin yoğunluğunu tek bir yöne toplamaktadır. Bu yoğunluklar veri ile özneleşme süreçleri arasındaki bağlantıları hedef alır. Öyle ki teknolojik sistemin hareketinin ve sürdürülmesinin olanağı kayıtları ve veri ilişkilerini çoğaltmaktır. Veri toplumdaki kaçış çizgileri bu akışları doğurmayacak ya da kesecek yoğunlukların üretimidir. Ancak kapitalizm bu yoğunlukları kendisini yenilemek için sebep olarak kendine mal eder, örneğin işletim sistemlerinin son kullanma tarihi yeni ve yüksek güvenlikli işletim sistemlerine ve güvenlik duvarlarına ait yeniliklerin üretildiği ve eksikliklerin-açıkların giderildiği tarihlerdir. Her kaçış çizgisi bu sebeple kapitalist makinenin merhemine de dönüşür. Bu durum kavgayı tek bir noktada yoğunlaştırmamızı sağlamışsa da makineye atılan her sabotajın kapitalist makineyi yenileyen ve yeni değerleri üreten tarafını da yaratmıştır.

“Grevlerin ve 19'uncu yüzyılda ‘sabotaj’ adı verilen şeyin yerini alacak olan, korsanlıklar ve bilgisayar virüsleridir.” (3)

(1) Müzakereler, Gilles Deleuze, Norgunk Yayıncılık, 2013, sy. 192.

(2) Detaylı araştırma için Gilles Deleuze’ün Müzakereler (Norgunk Yayıncılık) adlı eseri ile özellikle borç ilişkilerine odaklanmış bir çalışma olan, Maurizio Lazzarato’nun Borçla Yönetmek (Otonom Yayıncılık) isimli eseri de incelenebilir.

(3)  A.g.e. sy. 185

*Avukat