ARTICLE
11 February 2026

Yapay Zeka Çağında Veri Mahremiyeti

E
Egemenoglu

Contributor

Egemenoglu logo
Egemenoglu is one of the largest full-service law firms in Turkey, advising market-leading clients since 1968. Egemenoğlu who is proud to hold many national and international clients from different sectors, is appreciated by both his clients and the Turkish legal market with his fast, practical, rigorous and solution-oriented work in a wide range of fields of expertise. Egemenoğlu has been considered worthy of various rankings by the world’s most leading and esteemed rating institutions and legal guides. We have been ranked as Recognized in “Project and Finance” and “Mergers and Acquisitions” areas by IFLR 1000. We also take place among the top- tier law firms of Turkey at the rankings of Legal 500, at which world’s best law firms are regarded, in “Employment Law” and “Real Estate / Construction” areas. Also our firm is regarded as significant by Chambers& Partners in “Employment Law” area as well.
Explore Firm Details
Dijital çağ, bireyin mahremiyet alanını kökten dönüştürmektedir. Yapay zeka sistemleri, büyük veri analitikleri ve nesnelerin interneti (IoT) teknolojileri, bireylerin yaşamının her anından veri toplamaktadır.
Turkey Privacy
Oğuz Kayan
Your Author LinkedIn Connections
Oğuz Kayan’s articles from Egemenoglu are most popular:
  • within Privacy topic(s)
  • with Finance and Tax Executives
  • in United States
  • with readers working within the Business & Consumer Services industries

GİRİŞ

Dijital çağ, bireyin mahremiyet alanını kökten dönüştürmektedir. Yapay zeka sistemleri, büyük veri analitikleri ve nesnelerin interneti (IoT) teknolojileri, bireylerin yaşamının her anından veri toplamaktadır. Bu gelişmeler, "özel hayatın gizliliği" ilkesinin yalnızca klasik anlamda devlet müdahalesine karşı değil, aynı zamanda özel sektörün ve otonom algoritmaların müdahalelerine karşı da yeniden yorumlanmasını zorunlu kılmaktadır.

Bu makalenin amacı, yapay zeka çağında veri mahremiyetinin anayasal, yasal ve etik boyutlarını tartışmak; mevcut koruma mekanizmalarının yetersizliklerini ortaya koymak ve geleceğe yönelik reform önerileri geliştirmektir. Bu bağlamda çalışma, hukukun teknolojik dönüşüm karşısında yaşadığı yapısal gerilimi irdelemekte, Kişisel Verilerin Korunması Kanunu ("KVKK")'nun normatif sınırlarını eleştirel biçimde değerlendirmekte ve bireyin dijital kimliğinin korunması için yeni anayasal hak kategorilerini önermektedir.

I.ANAYASAL KORUMA MEKANİZMALARININ YETERSİZLİĞİ

Türkiye Cumhuriyeti Anayasası'nın 20. maddesinde güvence altına alınan özel hayatın gizliliği hakkı, tasarlandığı 1982 yılından bugüne kadar anlamsal bir dönüşüm yaşamıştır.1Geleneksel anayasal yorumlama devlet müdahalesinden korunmayı ön plana alırken, yirminci yüzyılın son çeyreğinde ortaya çıkan sorun, özel mahremiyetin artık sadece kamu gücü tarafından değil, özel şirketler ve teknolojik sistemler tarafından sistematik biçimde aşınması meselesidir.2 Nesnelerin interneti, büyük veri analitikleri ve yapay zeka sistemleri, her bireyin günlük yaşamından kesintisiz şekilde kişisel veri toplamaktadır.3 Bu durumun hukuki açıdan kaçınılmaz sonucu, geleneksel mahremiyet kavramının yeniden tanımlanması gerekliliğidir.

Mevcut durum, basit bir "koruma eksikliği" değildir; tersine, hukuk sisteminin teknolojik gerçeklikler karşısında paradigmatik uyumsuzluk içinde olduğunun göstergesidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılında, IoT uygulamalarının yaygın olmadığı ve yapay zeka sistemlerinin sınırlı seviyelerde işlevsel olduğu bir dönemde hazırlanmıştır.4Hatta Türkiye 4G (LTE-Advanced (LTE-A)- 3GPP Release 10 & Release 11) mobil haberleşme teknolojisine 1 Nisan 2016 yılında yeni adım atmış olduğu5 bir dönemde kişisel verileri koruma kanunu yürürlüğe girmiştir. Bu kanunun yürürlüğe girme zamanı açısından da çok önemli ve kritik bir zamanı belirtmektedir. Çünkü 4G'nin aktif olarak kullanılması kişisel veri işleme süreçlerinde de çok ciddi bir sıçrayış yaşatacak unsur olarak gündeme gelmiştir. Bugün, veri işleme mekanizmaları, bu kanunun temel yapı taşlarını kökten sarsacak şekilde evrimleşmiştir. Nesnelerin interneti ekosisteminde cihaz sayısı hızla artmaktayken, her cihazdan kesintisiz veri akışı, merkezi sistemlerde toplanıp yapay zeka tarafından analiz edilmektedir. Her geçen gün de bu konudaki gelişmeler sadece Türkiye açısından değil küresel olarak yeniden şekillenmektedir. 1 Nisan 2026 yılında ülkemiz 5G ilk kullanımına aktif olarak başlanılması planlanmaktadır. Geçen 10 yıl içerisinde bir yeni haberleşme neslinin yarattığı etki ve kişisel verilerin öneminin artışı, şüphesiz çok daha yüksek olacaktır.

Bu analiz, sadece geçmiş davranışları değil, gelecek davranışları tahmin etmektedir. Bir birey tarafından ömür boyu üretilen veri, matematiksel modeller aracılığıyla kişinin gelecekteki davranışlarını yüksek doğruluk oranıyla öngörebilmektedir. Zuboff'un "gözetim kapitalizmi" (surveillance capitalism) olarak kavramsallaştırdığı bu yeni ekonomik düzen, bireylerin davranışsal verilerinin tahmin edilebilir ürünlere dönüştürülmesi üzerine kuruludur.6 Hukuki açıdan bu durumun anlamı, bireyin "özgür iradesi "nin matematiksel olarak önceden belirlenmiş olması demektir. Bu, insan onurunun temelini sarsmaktadır. Çünkü bireyin mahremiyet açısından çekirdek alanının kalması bu dönüşüm sebebiyle giderek azalmaktadır ve teknolojik yapıların ve işleyiş sistemlerinin dönüşümü bireylerin mahremiyetini de kuşatma altına almaktadır.

Çekirdek sorun şudur ki,Anayasa'nın 20. maddesini, 2025 yılında, 1982'deki anlamı ile uygulamak teknik ve felsefi açıdan imkânsızdır. Çünkü "özel hayat" kavramı, tarihsel olarak değişmiştir. 1982'de özel hayat, "devletin müdahalesinden korunma" ydı. 2025'te özel hayat, "veri işlemcilerin matematiksel modeller yoluyla yaratılan dijital ikizin bireyin kontrolü altında olması"dır. 2030 - 2035 ve ilerleyen yıllarda bu çok daha kritik gerçeklik ile değerlendirilecek konuma ulaşacaktır. Bu yeni realite, hukuk sisteminin baştan yapılandırılmasını gerektirmektedir.

II. TEKNOLOJİK DÖNÜŞÜM VE HUKUKUN YAPISAL EKSİKLİĞİ

A. Donanım ve Yazılım Devrimi: Hukukun Yetişemediği Hız

Son on beş yılda yaşanan teknolojik sıçrama, hukuk sistemlerinin tarihsel evrim hızını kat kat aşmıştır. Moore Yasası'nın öngördüğü üstel büyüme, sadece işlemci gücünde değil, depolama kapasitesinde, ağ bant genişliğinde ve algoritma karmaşıklığında kendini göstermektedir.7 2010 yılında bir akıllı telefon saniyede milyonlarca işlem yaparken, 2025'te aynı cihaz trilyonlarca işlem gerçekleştirebilmektedir. Günümüz akıllı telefonlarındaki işlemciler, saniyede 1-2 trilyon işlem (TOPS - Trillion Operations Per Second) kapasitesine ulaşmıştır.8 Bunun üzerine bir de yapay zeka dil modellerinin hayatımıza girişi enformasyon süreçlerinde büyük bir çarpan etkisi yaratmıştır. Bu donanımsal ve yazılımsal güç artışı, hukuki düzenlemelerin tasarlandığı dönemde hayal bile edilemeyecek veri işleme kapasiteleri yaratmıştır. Çünkü artık veri işleme süreçleri sadece kullanıcı tabanlı değil, yapay zeka dil modellerinin de devreye girmesiyle otomasyon şeklinde yürütülmektedir. Elbette ki otomasyon sistemleri yapay zekanın varlığı ile doğrudan ilişkilendirilemez fakat bireylerin gerçekleştirmiş olduğu yani doğrudan insanların gerçekleştirebildiği düzeydeki işlemleri makinelerin karar mekanizması ile yürütebiliyor ve sonuçlar bağlayabiliyor, analiz edebiliyor olması bambaşka bir etki yaratmıştır.

Bugün için gündemde olan 5G teknolojisi, veri aktarım hızını milisaniye seviyelerine indirmiştir. Gelecekte 6G, 7G ve devamı nesil teknolojiler daha karmaşık sistemlerin yönetilmesi ve çalıştırılmasında ciddi öneme sahip olacaktır. Bu bağlantı teknolojisi nesilleri gerçek zamanlı veri işleme anlamına da gelmektedir: Bir bireyin konumu, kalp atış hızı, ses tonu, yüz ifadesi aynı anda toplanıp, bulutta işlenip, karar mekanizmalarına yansıtılabilmektedir. Hukuk, "veri işleme" kavramını tanımlarken, bu işlemlerin saniyenin milyonda biri içinde gerçekleşebileceğini öngörmemiştir. Daha doğrusu bu sistemlerin çalışma prensiplerinden uzak bir perspektif normatif düzenlemeleri ele almışlardır. KVKK'nın "makul süre içinde" gibi belirsiz kavramları, milisaniye ölçeğinde veri işleyen sistemler karşısında anlamsızlaşmaktadır. Öyle ki kanun koyucunun belirlemiş olduğu veri kayıt sisteminin parçası olma unsurunun karşılık bulmadığı gerçek zamanlı bilgi işleme – veri işleme süreçleri daha çok hayatımıza girmektedir. Tüm bunlarla birlikte hukuki regülasyon süreçleri öncelikle bu teknolojilerin çalışma prensiplerini içselleştirip hukuk ilkeleri ile birleştirerek ilerlemesi gerekmektedir. Teknolojik alt yapının elverdiği detaylardan uzak hukuki değerlendirmeler hakkın özünü korumakta da yetersiz kalmaktadır. Farklı bir değerlendirme ile de bu normatif düzenlemelerin tabanına oturmuyorsa her işlem-süreç yasak kabul edilmelidir, hatta konusu suç teşkil etmelidir gibi bir yaklaşım çok sığ ve basit kalmaktadır.

B. Yapay Zeka ve IoT: Kompleks Sistemlerin Hukuki Tanımsızlığı

Nesnelerin interneti ekosistemi, hukukun geleneksel "veri sorumlusu-veri işleyen" ikiliğini parçalamıştır. Örneğin; bir akıllı ev sisteminde, termostat üreticisi, yazılım geliştiricisi, bulut hizmeti sağlayıcısı, ağ operatörü ve yapay zeka algoritması geliştiricisi aynı anda veri döngüsünde yer almaktadır. Web3 dünyasının hakimiyetinin yükselişi, hakimiyeti de zorlaştırmaktadır. Bu zincirin herhangi bir halkasında yaşanan ihlal, tüm sistemi etkilemektedir. Ancak hukuk, bu dağıtık sorumluluk yapısını tanımlayacak kavramsal araçlardan yoksundur. Bu sebeple teknik altyapıların çalışma prensiplerinin tanımlanması ve temel hukuk ilkelerinde korunması gereken unsurlar bununla birlikte değerlendirilmelidir.

Web3 teknolojileri, merkeziyetsiz ağlar (blockchain) ve akıllı sözleşmeler, sorunu daha da derinleştirmektedir. Geleneksel hukuk, "hukuki kişilik" ve "yetki alanı" kavramlarına dayanırken, blockchain üzerinde çalışan otonom bir protokol ne bir ülkeye aittir ne de belirli bir tüzel kişiliğe sahiptir. Bu protokol kişisel veri işliyorsa, kime dava açılacaktır? Hangi mahkeme yetkilidir? Sorumlu geliştirici mühendistir, sorumlu hizmeti ilk yayına alan muhataptır gibi bir yaklaşım tıpkı 1990'lı yıllarda internet sitesi sahiplerinin tüm cezai sorumlulukta muhatap tutulduğu yaklaşımdan farksızdır. Bugün internet hukukuna dair ilkeler bu yaklaşımdan çok daha uzak ve teknik detayları da içselleştirerek ilerlemektedir fakat bu bile halen yetersizdir. Bu sorular, mevcut hukuki düzenlemeler ile cevaplanamamaktadır. Cevaplansa da gerçek bir hukuki koruma ve hakkın özünü düzenleyen etki yaratmamaktadır. Bununla birlikte verilerin dağıtık yapısı ve işlenen kişisel verilerin tek bir muhatabının olmaması hukukun uygulanmasında da zorluk yaratmaktadır. Bu araçlara dair yeni hukuki tanımlamalar ve düzenlemeler ihtiyacı kaçınılmazdır. Mevcut düzenlemeler bireylerin mahremiyetinin korunmasında yetersiz kalmaktadır.

C. Hukukçu-Mühendis İşbirliğinin Zorunluluğu

Hukukun en temel problemi, teknik gerçekliği anlamadan düzenleme yapma eğilimidir. Örneğin; bir yasa koyucu "kişisel verilerin silinmesi" hükmü koyarken, dağıtık bir veritabanında silmenin teknik olarak imkânsız olduğunu bilmiyorsa, o hüküm uygulanamaz kalacaktır. Benzer şekilde, "algoritmanın açıklanması" zorunluluğu getirilirken, derin öğrenme modellerinin milyarlarca parametreden oluştuğu ve "açıklama" kavramının bile tartışmalı olduğu gerçeği göz ardı edilmektedir.9

Hukuk fakültelerinde verilen eğitim, teknolojiyi "yan konu" olarak görmektedir. Oysa 2025 yılında bir hukukçusunun, makine öğrenmesi temellerini, veritabanı mimarilerini, kriptografi prensiplerini ve ağ protokollerini bilmesi gerekmektedir. Aksi takdirde, düzenlemeler "kâğıt üzerinde doğru, pratikte anlamsız" olmaya mahkûmdur. Fakat bu eksiklik bireylerin korunmasında da ciddi boşluklar oluşturmaktadır. KVK Kurulu'nda görev yapan hukukçuların, yazılım mühendisleri, veri bilimcileri ve siber güvenlik uzmanlarıyla sürekli diyalog içinde olması şarttır.

D. Disiplinler Arası Hukuk Tasarımı: Yeni Bir Metodoloji

Bir düzenleme taslağı hazırlanırken, mühendislik ekiplerinin "teknik fizibilite raporu" sunması zorunlu hale getirilmelidir. Örneğin, "üç gün içinde veri ihlali bildirimi" kuralı konurken, bir şirketin milyarlarca kayıt içeren sisteminde ihlali tespit etmenin ne kadar sürdüğü sorulmalıdır. Somut gerçeklikten yoksun bir yasal düzenleme ve mühendislik tabanlı süreçlerin kompleks işleyici göz ardı edilerek yapılan düzenlemeler veri mahremiyeti konusunda da sorunlar yaratmaktadır. Eğer tespit süresi teknik olarak beş gün gerektiriyorsa, üç günlük süre mantıksızdır. Ancak tespitler ancak o mimari ve o mimarinin çalışma prensipleri bilindikten, anlaşıldıktan sonra yapıldığında gerekli hukuki korumayı sağlayacaktır.

KVKK'nın yeniden yapılandırılmasında, her madde için "teknik etki değerlendirmesi" yapılmalıdır. Bu değerlendirme, ilgili sektörden yazılım şirketleri, siber güvenlik firmaları ve akademik kurumların katılımıyla gerçekleştirilmelidir. Hukuk metni yazılırken, yanına "teknik uygulama kılavuzu" eklenmelidir. Bu kılavuz, hükmün pratikte nasıl uygulanacağını, hangi teknolojilerin kullanılabileceğini ve minimum teknik standartları açıklamalıdır.

Hukuk eğitimi de köklü şekilde değişmelidir. Hukuk fakültelerinde "Hukuk ve Teknoloji" zorunlu ders olmalı, öğrenciler temel kodlama, veri yapıları ve yapay zeka etiği konularında eğitilmelidir. Mezuniyet sonrası uzmanlık programlarında, hukukçuların mühendislerle ortak projeler yürütmesi teşvik edilmelidir. Sadece böyle bir kültür değişimi, hukuku teknolojinin gerisinden kurtarabilir. Bu noktadan sonra geriye gidiş olmayacaktır ve hukuk öğretisi ve hukukun regüle edilme aşamaları bu yapıya daha çok hassasiyet göstererek ilerlemesi gerekmektedir.

III. KVKK'NIN YAPISAL ÇELİŞKİLERİ: STATİK DÜZENLEME, DİNAMİK SİSTEMLER

A. Amaçla Sınırlılık İlkesinin Çöküşü

KVKK'nın 4. maddesinde düzenlenen "amaçla sınırlılık ilkesi", veri toplanırken belirli bir amacın önceden tanımlanmış olmasını gerektirir.10Bununla birlikte, modern yapay zeka sistemleri bu ilkenin tam tersi bir mantık üzerine inşa edilmiştir. Veri toplama aşamasında amacın belirsiz olması, sistem öğrendikçe yeni işleme amaçlarının ortaya çıkması ve özgün verilerden türetilmiş bilgiler üretilmesi, bu ilkenin işlevselliğini ciddi şekilde sorun haline getirmektedir.

Çıkarımsal veri üretimi (inferential data generation) sorunu özellikle kritiktir. Finansal işlem kayıtlarından psikiyatrik özellikler, tıbbi verilerden gelecek hastalık riski, hatta davranış desenlerinden siyasal eğilimler tahmin edilebilmektedir.11KVKK'nın mevcut metni bu türetilmiş bilgilerin hukuki statüsü konusunda açık değildir. İlgili kişi orijinal veriye rıza verirken, hangi çıkarımların üretileceğini kestirememekte ve kontrol edememektedir. Açık rıza mekanizması da yapay zekanın bu süreçlere dahil olduğu noktada belirsizlik taşımaktadır. Çünkü işlemeye konu olan verilerin neler olduğunun tespiti sistemin çalışma prensibinden dolayı zorlaşmaktadır. Bu durum, rızanın gerçek anlamda "özgür irade" ifadesi olup olmadığı sorusunu da gündeme getirmektedir.

B. Rıza Mekanizmasının İşlevsel Çöküşü

Dijital ekosistemde rıza, teorik anlamda özgür seçim mekanizması olmaktan ziyade, pratik açıdan "ilişkisel zorunluluk" haline dönüşmüştür. Kanuni veri işleme şartları kural olarak belirlenmekle birlikte bireylerin kendi verileri üzerindeki kontrol ve hakimiyet alanı da giderek azalmaktadır. Seçim özgürlüğünün ortadan kalktığı ve bireylerin mevcut düzende varlığını sürdürebilmek için kişilik haklarının erozyona uğramasının 'yeni normal' olarak kabul edildiği bir sistemin hâkimiyeti söz konusudur. Sosyal medya hizmetini kullanmak, finansal uygulamalara erişmek, hatta kamu hizmetlerinden yararlanmak, kapsamlı veri işlemeye rıza vermeyi zorunlu kılmaktadır. Bu bağlamda rıza, Anayasa'nın 12. maddesi kapsamında12"temel hak ve özgürlükleri kullanmak için ön koşul" haline gelmiş, dolayısıyla "şartlı" nitelik kazanmıştır. Hukuki açıdan bu durum, rızanın meşruiyetini sorgulamaktadır.

Özellikle sosyal risk altındaki kişiler için durumun daha kritik olması, sosyal adalet boyutunu da gündeme getirmektedir. Sosyal yardım alan bireyler, devlet tarafından sağlanan hizmetlerden yararlanabilmek için, gizlilik kontrolünden vazgeçmeyi kabul etmektedir. Bu "güç dengesizliği," hukuk sisteminin öznel hassasiyetini gerektirmektedir.

Günümüzde dijital dönüşümün hız kazanmasıyla birlikte, sahiplik kavramı giderek belirsizleşen bir çizgiye doğru evrilmektedir. Fiziksel mülkiyetin yerini dijital erişim modelleri almakta; bireyler, hizmetlere erişim sağlayabilmek için artık tek seferlik ödemeler yerine düzenli ve sürekli abonelik sistemlerine tabi olmaktadır. Bu paradigma değişimi, yalnızca ekonomik ilişkileri değil, aynı zamanda bireylerin kişisel verileri üzerindeki kontrolünü de derinden etkilemektedir.

Dijital ekosistemlerde veri, en değerli varlık haline gelmiş; ancak bu veriler üzerindeki hakimiyet, bireylerin iradelerinden bağımsız bir şekilde en düşük seviyelere doğru gerilemektedir. Kullanıcılar, hizmetlere erişim karşılığında kişisel bilgilerini paylaşmak zorunda kalmakta ve bu süreçte veri işleme mekanizmaları üzerinde gerçek bir kontrol sağlayamamaktadır. Böylece, bireylerin mahremiyet alanı daralırken, veri sahipliği kavramı da giderek kurumsal aktörlerin lehine yeniden tanımlanmaktadır.

Bu dönüşüm, hukuki ve etik açıdan önemli tartışmaları beraberinde getirmektedir. Özellikle kişisel verilerin korunması ve bireylerin dijital kimlikleri üzerindeki tasarruf hakkı, geleceğin dijital toplumunda kritik bir mesele olarak karşımıza çıkmaktadır.

C. Silme Hakkının Teknik Gerçeklikle Uyumsuzluğu

KVKK'nın 7. ve 11. maddelerinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi ve ilgili kişinin hakları kapsamında düzenlenen, silme hakkı, makine öğrenmesi sistemlerinin yapısal özellikleri karşısında uygulanabilirlik sorunu yaşamaktadır.13Veri sorumlusu verileri silse dahi, modeli eğitmekte kullanılmış parametreler kalıcı olarak sistemde yer almaya devam etmektedir. "Machine learning" teknolojileri gelişim halinde olsa da, mevcut seviyede eksiksiz silmeyi garanti edememektedir.

Bu durum, ilgili kişinin "dijital izi" çıkarmaya ilişkin hakkının, teknolojik kısıtlamalar nedeniyle sınırlandığı anlamına gelmektedir. Hukuk, bu çelişkiyi çözmek için yeni kategoriler tanıtmalıdır. "Etkisizleştirme hakkı" (deactivation right) gibi kavramlar, silme hakkına alternatif bir koruma mekanizması sunabilir: Veriler silinmeseler dahi, gelecekte herhangi bir işlemede kullanılmayacakları garantisi verilebilir. Sonuç olarak, yapay zekâ ve makine öğrenmesi teknolojilerinin hızla yaygınlaşması, kişisel verilerin korunmasına ilişkin klasik hukuki araçların yeniden değerlendirilmesini zorunlu kılmaktadır. KVKK'nın mevcut çerçevesi, geleneksel veri işleme süreçleri için tasarlanmış olup algoritmik sistemlerin yarattığı kalıcı veri izlerini yeterince kapsayamamaktadır. Bu nedenle kanun koyucunun, teknolojik gerçekliklerle uyumlu yeni hak kategorileri geliştirmesi ve "unutulma hakkı"nın ötesine geçen, dinamik ve teknoloji-nötr düzenlemeler benimsemesi kaçınılmaz görünmektedir.

IV. ANAYASAL VE YASAL REFORMLAR

A. Anayasal Düzeyde Yeniden Tanım: Dijital Mahremiyet Hakkı

Anayasa Mahkemesi'nin içtihadı, özel hayatın gizliliği hakkını "kişinin kişiliğini geliştirmesi ve toplumsal yaşama katılımını sağlaması açısından vazgeçilmez" olarak nitelendirmektedir.14Ancak bu tanım, dijital çağda dönüşüm gerektirmektedir. Bugün mahremiyet, sadece "devletin müdahalesinden korunma" değil, "veri işlemcilerin matematiksel modeller yoluyla yaratılan dijital ikizin bireyin kontrolü altında olması" anlamına gelmektedir.

Anayasa'nın 20. maddesinin kapsamı, açık şekilde genişletilmelidir. Yeni hüküm, orijinal veriler yanında türetilmiş veriler, çıkarımsal veriler ve tahminsel veriler (predictive profiling) şeklinde dört veri kategorisini açıkça koruma altına almalıdır. Daha da önemlisi, ilgili kişi, kendisini etkileyen otomatik kararların nedenini, teknik ifadeler kullanılmadan, sıradan bir kişinin anlayabileceği şekilde öğrenme hakkı sahibi olmalıdır.

Dijital egemenlik (digital sovereignty) kavramı, temel bir hak olarak tanınmalıdır. Bu, bireyin kendi verilerine mülkiyet hakkına benzer bir kontrol yetkisi sahibi olmasını ifade eder. Sosyal medya şirketleri, bireylerin verilerini kullanarak ticari değer üretirken, bireyin bu değerden herhangi bir fayda elde etmemesi, hukuki ve etik açıdan sorunsuz değildir.

B. KVKK Reformu: Acil Hukuki Müdahaleler

KVKK'ya "Yapay Zeka Sistemlerinde Kişisel Veri İşleme" başlıklı yeni hükümler eklenmelidir. Mevcut durumda elbette ki belirli normatif düzenlemeler vardır ancak bu düzenlemeler şeffaflık içermemektedir. Ayrıca kanunlarda yapay zeka sistemlerine dair özel hükümler henüz bulunmamaktadır ancak bu konuda dünyada da gerekli dönüşüm başlamıştır. Düzenlenecek bu maddeler, algoritmik kararların nedenini açıklama yükümlülüğünü, otomatik profilleme faaliyetlerinden önce bilgilendirilme hakkını ve model eğitiminde kullanılan veri kategorilerinin açıklanması gereksinimini içermelidir.15

Rıza mekanizması, "katmanlı rıza modeli" (tiered consent model) şeklinde yapılandırılmalıdır. İlgili kişi, orijinal veri toplanması için rıza verirken, çıkarımsal veriler ve tahminsel profilleme için ayrı onaylar verebilmelidir. Bu ayrıştırma, rızanın gerçek anlamda "bildikten sonra verilen onay" (informed consent) olmasını sağlayacaktır.

IoT ekosisteminde veri sorumluluğu bulanıklaşmıştır. Cihaz üreticisi, hizmet sağlayıcı, ağ operatörü ve veri analisti arasında sorumluluk yayılmış durumdadır. KVKK'da "sorumluluk zinciri ilkesi" (chain of responsibility) tanıtılmalı, her aktörün sorumluluk alanı kesin olarak belirlenmeli ve tedbir alma yükümlülükleri tanımlanmalıdır. Çünkü veri sorumlusu – veri işleyen yapılanması artık bu unsurları tek başına taşımaya yeterli seviyede olamayacaktır. Sebebi ise çok açıktır bugünün bakış açısı ile değil yarının düzlemiyle odaklanarak bakılmalıdır. Aksi takdirde telafi edilmesi de çok ciddi karmaşık hukuki sorunlar gündeme gelecektir. En önemlisi de bireylerin "kişilik hakkı" telafisi mümkün olmayan zarar ve sonuçları da beraberinde getirecektir.

C. Tasarıma Göre Gizlilik: Hukuki Zorunluluk

"Privacy by Design" ilkesi, sadece tavsiye niteliğinde değil, hukuki yükümlülük olarak kodlanmalıdır. Bir IoT cihazının pazarlanabilmesi, gizlilik koruma mekanizmalarını tasarım aşamasından itibaren içermesine bağlı olmalıdır. KVK Kurumu, sertifika sistemi aracılığıyla, bu gerekliliklerin uygulanmasını denetlemelidir. Yani artık sadece donanımın belirli standartlar açısından kontrolü, sağlık yönünden etkileri, güvenliği gibi denetim unsurları yazılımlar için de geçerli olmalıdır. Mevcut regülasyonların "kişisel verileri koruma kanunu", kişisel verileri koruyamayan kanun olarak kalmasının ötesinde bir yaklaşım ile ele alınması gerekmektedir.

Bu uygulamanın başarısı, hukuk disiplini ile mühendislik ve bilgisayar bilimleri arasındaki işbirliğine bağlıdır. Teknik Danışmanlar Kurulu oluşturarak, KVKK tarafından alınan kararların "teknik olarak mümkün ve pratik" olup olmadığı değerlendirilmelidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu , 2016 yılında yürürlüğe girdiğinde kişisel verilerin yurt dışına aktarımı konusunda oldukça katı bir yaklaşım benimsemişti. Kanunun ilk halinde, yurt dışına veri aktarımı kural olarak yasaklanmış ve yalnızca belirli istisnai durumlarda mümkün kılınmıştı. Bu düzenleme, kişisel verilerin korunması açısından önemli bir adım olarak görülse de, teknolojik altyapılar ve internet ekosistemi dikkate alındığında uygulamada ciddi zorluklar barındırıyordu.2024 yılında yapılan kanun güncellemeleri ile yurt dışına veri aktarımına ilişkin kurallar köklü değişiklikler geçirdi. Özellikle "arızi aktarım" kavramı gündeme gelerek, belirli koşullar altında yurt dışına veri aktarımına esneklik sağlandı. Ancak bu değişiklikler, uygulamada karşılaşılan temel sorunları çözmekte yetersiz kaldı. Çünkü arızi aktarımın ne zaman ve nerede başladığını tespit etmek, hükmün yazıldığı şekliyle ve teknik açıdan ele alındığında süreç yine karmaşık bir haldedir.

Dolayısıyla ne 2016 yılında yürürlüğe giren ilk düzenleme ne de 2024 yılında yapılan güncellemeler, teknolojik altyapılara tam anlamıyla uygun bir çerçeve sunabilmektedir. Bunun temel sebebi, düzenlemelerin tek başına sonuç doğurabilecek nitelikte olmamasıdır. Örneğin, BTK, Erişim Sağlayıcılar Birliği veya İnternet Servis Sağlayıcılar bünyesinde hangi sunucunun yurt dışında olduğu, kullanıcı veya veri sorumlusu açısından çoğu zaman bilinemez. Çünkü verileri işleyen kullanıcı bunu bilemez. İletilen verinin hangi ülkeye aktarıldığını belirlemek, mevcut teknik imkanlarla imkansıza yakındır. Kullanıcı basit bir e-posta gönderirken bile kendisine gönderilen iletinin hangi ülkedeki veri tabanında depolanacağı bilgisi verilemez. Sadece bir domain adresi üzerinden bir servisin yurt içinde mi yoksa yurt dışında mı bulunduğunu anlamak mümkün değildir. Bu durum, düzenlemelerin uygulanabilirliğini ciddi şekilde sınırlandırmaktadır. Sonuç olarak kanun koyucunun da teknolojik gerçekliklerden ne kadar kopuk düzenlemeler yapmış olduğuna küçük bir örnektir. Bu perspektif ile düzenlenen hukuki düzenlemeler ne amaca hizmet edebilecek yeterliliktedir ne da hakkın özünü korumaya mekanizmalar sunmaktadır. Teknolojik yaklaşımı göz ardı ederek yapılmış düzenlemelerin de sorun çözme, hakkı koruma açısından etkisi olmadığını söylemek de yanlış olmayacaktır.

V. HUKUKİ DÜŞÜNCE PARADİGMASININ DÖNÜŞÜMÜ

A. Mutlakiyetten Pragmatizme

Hukuk, "mükemmel gizlilik sağlama" misyonundan "kontrollü şeffaflık ve zarar azaltma" misyonuna geçmek zorundadır. Tam mahremiyet, dijital çağda teknik bir imkânsızlık haline gelmiştir. Anayasa'nın 13. maddesi "ölçülülük ilkesi" bağlamında, düzenlemeler makul koruma, kademeli uygulama ve teknolojik nötralite ilkelerini gözetmelidir.

B. Evrimci Hukuk: Dinamik Güncelleme Mekanizması

KVKK'nın mevcut yapısı statik bir düzenlemedir. Teknolojik gelişmelerin hızına uyum sağlayabilmek için "kanun değerlendirme" (sunset clauses) mekanizması kurulmalıdır. Her hukuki düzenleme, yedi yıl süresi ile sınırlandırılmalı, bu sürenin sonunda "bu hüküm hala geçerli mi?" sorusu sorulmalıdır. Teknoloji çok ilerlemişse, hüküm tamamen yeniden yazılmalıdır.

Ek olarak, KVKK bünyesinde "Geleceğe Bakış Kurulu" (Future Watch Board) oluşturulmalı, bu kurul teknolojik gelişmeleri takip ederek, önceden hukuki reformları önerecektir. Örneğin, kuantum bilgisayarlarının mevcut şifrelemeyi kıracağı biliniyorsa, şimdiden "post-kuantum kriptografi" standartları zorunlu hale getirilmelidir.

VI. YENİ HAKLAR VE KORUMA MEKANİZMALARI

A. Veri Hakkı: Yeni Bir Temel Hak Olarak Tanınması

Hukuk, "veri mahremiyeti"nden daha ileriye gitmeli ve "veri hakkı" kavramını temel bir hak olarak tanımalıdır. Bu hak, erişim, kullanma, değiştirme, silme ve veriden ekonomik fayda elde etme haklarını kapsamalıdır. Bu, bireyin kendi verilerini ticari amaçla "kiralayıp" gelir elde etmesine imkân vermek demektir. Mevcut düzenlemelerde bu hak anayasal olarak düzenlenmekle birlikte muğlak ve yetersiz gelmektedir. Veri sorumluları veri işleme faaliyetleri açısından şeffaf olmadıkları gibi bu verilere erişim konusunda da yeterli imkan tanımamaktadır. Kaldı ki teknolojik gelişmeler de verilerin adeta bir mıknatıs tutulup ayrıştırılabilir olması imkanı kolay değildir, veriler karmaşık ve iç içe geçmiş haldedir hal böyle olunca bu tasnifi de zorlaştırmaktadır.

Sağlık araştırmacıları bir bireyin sağlık verilerini kullanmak istiyorsa, bu birey "veri kirası" alabilmelidir. Bu yaklaşım, "veri emek" (data labor) kavramını tanıdığı kadar, ekonomik açıdan da adil bir paylaşım mekanizması oluşturmaktadır. Avrupa Birliği'nin hazırlamakta olduğu veri düzenlemeleri, bu konuda öncü adımları temsil etmektedir. Türkiye bu düzenlemeleri benimseyip, ulusal koşullara uyarlayabilir. Eğer ki bir kişinin verileri üzerinden faaliyet gerçekleştiriliyor ise bu verilerin de bir karşılığı oluşturulmalıdır. Amaçla bağlantılı, ölçülü ve sınırı amaç ile denilip bilgileri elde edip dilenildiği gibi kullanılması ve kişilerin verileri üzerinden sağlanan gelir modelinde bireylerin yok sayılması artık doğru bir yaklaşım olarak değerlendirilmemelidir. Kişisel verilerin teknolojinin getirdiği yeniliklerden dolayı farklı dönüşümlerine ilişkin de düzenlemelerde özel bir hassasiyet ve kırılım verilmelidir. Yapay zeka ve yeni teknolojilerin eksponansiyel bir büyüme ile ilerlemesi kanun metinlerinde yazan hükümlerin de uygulanmasında yetersiz kalmasına sebep olmaktadır. Kişisel verilerin üzerindeki hakimiyet ve kontrol mekanizmaları eklenmelidir.

B. Sosyal Adalet Boyutu: Kırılgan Grupların Korunması

Veri mahremiyeti koruma, sadece bireysel hak değil, toplumsal adalet meselesidir. Düşük gelir seviyesi, düşük eğitim seviyesi ve temel kamusal hizmetlere bağlılığı yüksek olan bireyler, veri istismarına en fazla uğramaktadır. Sosyal yardım alan kişi, engelli birey, yaşlı nüfus gibi kırılgan gruplar, arttırılmış koruma görmek hakkına sahip olmalıdır.

KVKK'da "Sosyal Koruma İlkesi" tanıtılmalı, bu gruplar açısından rızanın daha katı şartlara bağlı olması ve bireyin veri işlemesine karşı daha güçlü denetim mekanizmalarının olması sağlanmalıdır. Örneğin, sosyal yardım sistemindeki veri toplaması mutlaka minimalist olmalı ve yardım alımı ile veri paylaşımı arasında bağlantı kurulmamalıdır. Çünkü bireylerin kırılgan grupta olmasından faydalanılmakla birlikte kişilere ait kişisel veriler kolaylıkla elde edilip kişilerin mahremiyetine de ciddi zarar vermektedir.

C. Algoritmik Karar Vermeye İlişkin Kontrol Mekanizmaları

KVKK'nın 11. maddesinde düzenlenen otomatik karar vermeye ilişkin hüküm, günümüz uygulamaları karşısında kapsamlı bir revizyona ihtiyaç duymaktadır.Yeni bir hüküm, otomatik kararların yanı sıra, bu kararlardan türetilmiş insan kararlarını da kapsamalıdır. Örneğin, bir yapay zeka sistemi kredi reddini önerdi ve gerçek kişi, müfettiş bunu onayladıysa, bu "otomatik karar" kategorisinde değerlendirilebilir.

İlgili kişi, kendisini etkileyen her karar için, açıklama talep etme hakkı sahibi olmalıdır. Bu açıklamalar, "algoritma logit değeri x idi" şeklinde teknik terminoloji içermemeli, ortalama bir kişinin anlayabileceği bir dilde yapılmalıdır. Açıklamadan sonra, birey, otomatik karar mekanizması tarafından değil, yeniden değerlendirme talep edebilmeli ve bu talep makul bir sürede yanıtlanmalıdır. Bu mekanizma, "algoritmik adalet" (algorithmic justice) anlamına gelmektedir.

VII. GÜNLÜK HAYAT VE UYGULAMALAR

A. Bireyin Veri Hayatı: Örnek Günlük Senaryo

Örneğin; Sabah 06:30 akıllı alarm saati, 07:00 akıllı duş, 07:30 akıllı kahve makinesi, 08:00 kişiselleştirilmiş haber özeti, 08:15 akıllı araç navigasyonu, 08:30 GPS konumu takibi, 12:00 ofis bilgisayarında davranış analizi, 18:00 dönüş rotası önerisi, 20:00 izleme tercihleri, 22:00 uyku verisi kaydı. Günlük üretilen veri miktarı giderek artmaktadır. Her yeni bir uygulama her yeni bir IoT teknoloji ve her internete bağlı olarak işlem gerçekleştiren donanım ve yazılım bireylerin profilleştirilmesinde ve kişisel veri elde edilmesinde ciddi basamak oluşturmaktadır.

Bu veriler, fiziksel kişiden çok daha ayrıntılı bir dijital ikiz oluşturmaktadır: kalp atış hızından, uyku düzeninden, harcama alışkanlıklarından, izleme tercihlerine ve sosyal ilişkilerine kadar her şey. Bir yapay zeka sistemi bu verileri analiz ederek gelecek tahminlerinde bulunabilmektedir. Bu tahminler, sigorta şirketlerine, işverenlere hatta devlet kurumlarına satılmaktadır. Birey ise bu işlemlerden tamamen habersizdir. İşte burada şeffaf düzenlemelere ihtiyaç vardır.

Hukuki açıdan bu durum, bireyin "geleceğinin matematiksel olarak önceden belirlenmiş" olması anlamına gelmektedir. Özgür irade, teorik bir kavram olmaktan çıkıp, hesaplanmış bir tahmine dönüşmektedir. Bu, insan onurunun temelini sarsmaktadır.

B. Biyometrik Verilerin Hiyerarşik Korunması

Yüz tanıma, parmak izi, iris taraması ve ses kaydı gibi biyometrik veriler, kişinin fiziksel kimliğinin doğrudan temsilleridir. Bu veriler değiştirilemez, geri alınamaz ve yaşam boyu sabittir. Bir şifre unutulduğunda değiştirilebilir, ancak biyometrik verilerin ihlale uğraması durumunda geri dönüşü yoktur. Bu gerçek, biyometrik verilerin özel bir koruma rejimine tabi olması gerektiğini ortaya koymaktadır. Halihazırda özel nitelikli kişisel verilerin işlenmesinde şartlar daha ağır tutulmaktadır. Ama gerekli düzenlemelerin yeterli koruma sağlamadığı kişisel verileri koruma kurumu kararlarından ve yargı kararlarından da rahatlıkla görülebilmektedir.

Türkiye'de akıllı şehir uygulamaları, havaalanı güvenlik sistemleri, bankacılık işlemleri ve hatta özel sektör ofislerinde giderek yaygınlaşan biyometrik tanımlama sistemleri, henüz yeterince düzenlenmemiş bir alandır. KVKK'nın 6. maddesinde[16]özel nitelikli kişisel veriler kategorisinde biyometrik verilere atıf yapılmakla birlikte, bu verilerin toplanması, saklanması ve özellikle üçüncü kişilerle paylaşılmasına ilişkin net standartlar bulunmamaktadır.

KVKK'ya eklenecek yeni bir hükümle, biyometrik verilerin toplanması için "katmanlı koruma modeli" benimsenmelidir. Bu model üç düzey içermelidir: Birinci düzey, sadece yerel cihazda saklanan ve hiçbir zaman merkezi sisteme yüklenmeyen verilerdir. İkinci düzey, geçici doğrulama amaçlı kullanılan ve işlem sonrası otomatik silinen verilerdir. Üçüncü düzey ise, yasal zorunluluk gereği merkezi sistemde tutulan ancak katı şifreleme ve erişim denetimi altında olan verilerdir. Son olarak da bu mekanizmaların işleyişi ile ilgili yapısal ve operasyonel detaylar belirlenip ortaya konulmalıdır. Normatif düzenlemelerin yapılıp yürürlüğe alınması hakkın özünü korumakta yetersiz kaldığı ölçeklendirmenin yapılamadığı ve hükümlerin metruk kaldığı açıktır.

C. Çocukların Dijital Mahremiyeti: Ön Koruma İlkesi

Dijital çağda çocuklar, veri üretiminin en savunmasız aktörleridir. Eğitim platformları, oyun uygulamaları, sosyal medya ve akıllı oyuncaklar aracılığıyla çocukların davranış, tercih ve öğrenme süreçleri sürekli kayıt altına alınmaktadır. Bu verilerin gelecekte çocuğun aleyhine kullanılması, toplumsal açıdan kabul edilemez bir risktir. İlk olarak, veliler genellikle hangi verilerin toplandığını ve nasıl kullanıldığını tam anlamıyla kavrayamamaktadır. İkinci olarak, çocuğun kendisinin "dijital okuryazarlık" eğitimi almadan, kişisel verilerinin değerini ve risklerini anlayabilmesi beklenemez.

Türkiye'nin eğitim sistemine "dijital mahremiyet eğitimi" dersi dahil edilmelidir. İlkokul seviyesinden itibaren çocuklara, internet güvenliği yanında veri mahremiyeti, kişisel bilgi koruma ve dijital ayak izinin sonuçları öğretilmelidir. Ek olarak, çocuklara yönelik dijital hizmetlerde "ön koruma ilkesi" (precautionary principle) uygulanmalıdır. Çocuk verilerinin ticari amaçlı kullanımı ise zorlaştırılmalıdır.

VIII. TEKNOLOJİK VE ULUSLARARASI BOYUTLAR

A. Yapay Zeka Şeffaflığı ve Açıklanma Hakkı

Algoritmik kararların şeffaflığı meselesi, sadece teknik bir konu değil, demokratik meşruiyetin temelidir. Bir bireyin kredi başvurusunun reddedilmesi, iş başvurusunun elenmesi, sigorta priminin yükseltilmesi veya sosyal yardım almaya uygun bulunmaması gibi kritik kararlar, giderek yapay zeka sistemleri tarafından verilmektedir. Bu kararların nedenlerinin bireye açıklanması, hukuki bir gereklilik olmalıdır.

Kamu sektöründe ve kritik özel sektör alanlarında (finans, sağlık, adalet, eğitim) kullanılan yapay zeka sistemleri için "açıklanabilirlik sertifikası" zorunlu hale getirilmelidir. Bu sertifika, sistemin kararlarını anlaşılır şekilde açıklayabilme kapasitesini doğrulamaktadır. Sertifikasyon süreci, bağımsız teknik denetçiler tarafından yürütülmeli ve belirli periyotlarla yenilenmelidir.

B. Sınır Ötesi Veri Aktarımındaki Boşluklar

Dijital ekonominin küresel doğası, veri akışının ulusal sınırlarla sınırlandırılamayacağı gerçeğini ortaya koymaktadır. Türk vatandaşlarının verileri, bulut hizmetleri, uluslararası sosyal medya platformları ve çokuluslu şirketlerin sunduğu hizmetler aracılığıyla sürekli olarak yurtdışına aktarılmaktadır. KVKK'nın 9. maddesi17bu aktarımları düzenlemekle birlikte, uygulama pratiğinde ciddi zorluklar yaşanmaktadır.

Türkiye, kritik veri kategorileri için "veri yerelleştirme" (data localization) politikasını benimsemelidir. Özellikle kamu hizmetleri, sağlık, finans ve ulusal güvenlikle ilgili veriler, Türkiye sınırları içinde bulunan sunucularda saklanmalıdır. Bununla birlikte, tüm verilerin yerelleştirilmesi ekonomik ve teknik açıdan pratik değildir. Bu nedenle "hibrit model" önerilmektedir: Birinci kategori veriler (kritik hassas veriler) yurtiçinde, ikinci kategori veriler (ticari veriler) yeterli koruma standartlarına sahip ülkelerde, üçüncü kategori veriler (anonim hale getirilmiş veriler) ise serbest şekilde aktarılabilir.

C. Veri İhlallerinde Hızlı Müdahale Sistemi

Veri ihlalleri, dijital çağın kaçınılmaz gerçeğidir. Siber güvenlik önlemleri ne kadar güçlü olursa olsun, sıfır risk mümkün değildir. Bu nedenle hukuk sistemi, ihlalleri tamamen önlemeyi hedeflemek yerine, ihlal sonrası hızlı müdahale ve zarar minimizasyonu stratejilerine odaklanmalıdır.

KVKK'nın 12. maddesi,18veri ihlallerinin Kurum'a ve ilgili kişilere bildirilmesini düzenlemektedir. Ancak mevcut düzenleme, bildirimin zamanlaması, içeriği ve ihlalden etkilenen bireylere hangi desteklerin sunulacağı konularında yetersizdir. Büyük ölçekli veri işleyen kuruluşlar için "veri ihlali sigortası" zorunlu hale getirilmelidir. Bu sigorta, ihlal durumunda etkilenen bireylere doğrudan tazminat ödenmesini garanti ederek, zarar gören kişilerin uzun hukuki süreçlere girmeden haklarını elde etmesini sağlayacaktır. Ancak bu bunun için Kişisel Verileri Koruma Kurumu'nun ihlal bildirimlerinin yayınlanması ve duyurulmasının yanında aktif bir görevi olarak ihlalin somut zararlarını da belirleyen bir mekanizmasının bulunması şarttır. Bu kurumun altında çalışan alt bir komisyon veyahut yeni siber güvenlik yasası ile de entegre çalışacak ortak bir komisyon ile yürütülebilir. Bu konuda düzenleyici otoriteler ayrıca olası tespit mekanizmalarını da ayrıca değerlendirmelidir.

Günümüzde kişisel verilerin korunmasına ilişkin düzenlemeler, bireylerin haklarını koruma amacı taşısa da uygulamada ciddi boşluklar bulunmaktadır. Konuyu somutlaştırmak için basit bir örnek verelim: Bankaya mevduat hesabınıza para yatırdınız. Bir gün bankanın kasasına girildi ve paralar çalındı. Banka, kamuoyuna şu şekilde bir bilgilendirme yaptı:

"Hesaplarınızdaki paralar çalınmıştır. Kamuoyuna saygıyla duyurulur."

Bu bilgilendirme yapıldığında bankanın müşterisine karşı sorumluluğu sona eriyor mu? Elbette hayır. Banka, mevduat sahibine karşı hem hukuki hem de fiili sorumluluklarını yerine getirmek zorundadır.

Peki, kişisel veriler konusunda neden durum farklı? Bir veri ihlali yaşandığında ilgili kurum yalnızca ihlal bildirimi yapmakla yükümlüdür. Zaten mağdur olan ve kişisel verisi ihlal edilen bireyler, bu bildirimin ardından süreci kendileri takip etmek zorunda kalmaktadır. Mahkeme ve dava süreçlerine kendileri reaksiyon göstererek ilerleyebilmektedir.

Bu durum, mağduriyetin iki katına çıkmasına neden olmaktadır: Önce verileriniz ihlal ediliyor, ardından haklarınızı korumak için karmaşık bir süreci tek başınıza yürütmek zorunda kalıyorsunuz. Bu büyük boşluk, mevcut düzenlemelerin bireyleri korumakta ne kadar yetersiz kaldığını açıkça ortaya koymaktadır. Kişisel veri ihlallerinde, tıpkı finansal kayıplarda olduğu gibi, kurumların daha etkin sorumluluk üstlenmesi ve bireylerin haklarını koruyacak mekanizmaların güçlendirilmesi gerekmektedir.

IX. KURUMSALLAŞMA VE BİLİNÇLENDİRME

A. Yapay Zeka Etik Komitelerinin Kurumsallaşması

Teknolojinin hızlı gelişimi karşısında hukuk, her zaman bir adım geride kalmaktadır. Bu açığı kapatmak için, hukuki düzenlemelerin yanında "etik yönlendirme" mekanizmaları kurulmalıdır. Yapay zeka sistemleri geliştiren her kuruluş, bağımsız bir Etik Komitesi oluşturmalı ve bu komite, teknolojinin toplumsal etkilerini değerlendirmelidir.

KVKK Kurumu bünyesinde "Yapay Zeka Etik Denetim Birimi" oluşturulmalıdır. Bu birim, kamu ve özel sektörde kullanılan yapay zeka sistemlerini periyodik olarak etik standartlar açısından denetlemelidir. Denetimler, algoritmik ayrımcılık, veri minimizasyonu, şeffaflık ve hesap verebilirlik kriterlerini kapsamalıdır.

B. Dijital Okuryazarlık: Toplumsal Bilinçlenme Stratejisi

En gelişmiş hukuki düzenlemeler bile, toplumun bu konularda bilinçli olmaması durumunda etkisiz kalacaktır. Türkiye'de dijital okuryazarlık seviyesi, özellikle veri mahremiyeti konusunda düşüktür. Çoğu birey, verilerinin nasıl toplandığını, nerede saklandığını ve kimin erişebildiğini bilmemektedir. Bu bilgisizlik, istismara zemin hazırlamaktadır.

Milli Eğitim Bakanlığı koordinasyonunda, kapsamlı bir "Dijital Mahremiyet Bilinçlendirme Kampanyası" başlatılabilir. Bu kampanya sadece okullarla sınırlı tutulmayarak, yetişkin eğitim programları, kamu spotları, sosyal medya kampanyaları ve toplum merkezlerinde düzenlenen atölyelerle desteklenebilir.

X. SONUÇ VE ÖNERİLER

İnsan Merkezli Dijital Hukuk Düzeninin Kurulması

Veri mahremiyeti ve özel hayatın korunması sorunu, 2025-2035 döneminde Türk hukuk sisteminin ve demokratik kurumlarının "test edildiği" kritik alanlardan biri olacaktır. Burada alınan kararlar, Türkiye'nin insan onurunu merkeze alan bir dijital düzen yaratıp yaratamayacağını ortaya koyacaktır. Kaldı ki bu sadece Türkiye'nin değil tüm dünyanın gündeminde olan bir sorundur.

Hukuk, "teknoloji direnci" göstermek yerine "teknoloji yönlendirmesi" stratejisi benimsemelidir. Temel strateji koordineli biçimde uygulanmalıdır: Tasarıma göre gizlilik zorunluluğu, veri hakkının temel hak olarak tanınması(genişletilmesi), algoritmik karar vermenin demokratik denetimi, evrimci hukuk paradigması, sosyal adaletli koruma ilkesi, biyometrik verilerin katmanlı korunması, çocukların dijital haklarının güvenceye alınması ve teknolojik egemenlik vizyonu. Bu stratejiler, hukuk ile teknoloji arasında yapıcı bir köprü kuracaktır. Elbette burada ele alınan başlıklar, konunun yalnızca sınırlı bir kısmını yansıtmaktadır. Daha derin ve kapsamlı bir bakış açısıyla konuyu incelemek mümkündür. Bu çalışmada örnekleyici nitelikteki başlıklar ve değerlendirmeler, hem mevcut somut eksiklikleri ortaya koymak hem de düzenleyici önerilerin hangi yönde ilerleyebileceğine dair fikir veren kesitler sunmak amacıyla ele alınmıştır.

Hukuk sisteminin başarısı, statik kurallardan dinamik ilkeler sistemi geçişine bağlıdır. Teknoloji her gün değişmektedir; hukuk da bu hızla ayak uydurmak zorundadır. Ancak değişmesi gereken tek şey teknik düzenlemeler değildir—hukuki düşünce biçiminin kendisinin kökten dönüşümü gerekliliği vardır.

Ancak üç kritik dönüşüm gerçekleşmelidir:Birincisi, veri mahremiyeti "negatif bir hak" (müdahale edilmeme) olmaktan çıkıp "pozitif bir hak" (kontrol ve yönetim) haline gelmelidir. Birey, sadece korunmakla kalmamalı, verilerini aktif şekilde yönetebilmelidir. İkincisi, hukuk "ceza odaklı" yaklaşımdan "önleme odaklı" yaklaşıma geçmelidir. Veri ihlalleri yaşandıktan sonra ceza vermek yerine, ihlallerin oluşmasını engelleyen sistemler kurulmalıdır. Üçüncüsü, düzenlemeler "teknoloji-bağımlı" değil "değer-bağımlı" olmalıdır. Hangi teknoloji kullanılırsa kullanılsın, korunması gereken değer insan onurudur.

Temel ilke basit ancak güçlüdür:Hukuk, insanı korumak için vardır; teknoloji için değil. Hukukun varlık nedeni, insan onurunu ve özgürlüğünü güvence altına almaktır. Teknoloji ise insan hayatını kolaylaştıran bir araçtır; hiçbir koşulda insanı araçsallaştıran bir sistem haline gelemez. Eğer bu ilke hatırlanır ve kararlılıkla uygulanırsa, Türkiye insan onurunu merkeze alan "adil veri hukuku" ile dünya için örnek bir model oluşturabilir. Böyle bir yaklaşım, yalnızca bireylerin haklarını korumakla kalmaz, aynı zamanda teknolojinin etik sınırlar içinde gelişmesini sağlar.

Hukukun temel işlevi, birey ile güç arasındaki dengeyi kurmaktır. Bu güç, modern çağda yalnızca devletin değil, aynı zamanda teknoloji şirketlerinin elindedir. Kişisel veriler, ekonomik değer taşıyan bir unsur haline geldiğinde, bireylerin mahremiyet hakkı piyasa dinamiklerinin gölgesinde kalmaktadır. İşte bu noktada, Anayasa'nın 20. maddesinde güvence altına alınan özel hayatın gizliliği ve KVKK gibi düzenlemeler, yalnızca teorik bir koruma değil, fiili bir güvence sağlamak zorundadır. Hukuk, bireyin özerkliğini koruyacak şekilde uygulanmadığında, teknoloji hukukun boşluklarından yararlanarak bireyi "veri kaynağı"na indirger.

Bu nedenle, veri hukuku yalnızca teknik bir düzenleme alanı değil, aynı zamanda temel hak ve özgürlükler hukuku, kişilik hukuku ile doğrudan bağlantılıdır. Avrupa Birliği'nin Genel Veri Koruma Tüzüğü ("GDPR"), bu anlayışın somut bir örneğidir. GDPR, veri işleme faaliyetlerini yalnızca şeffaflık ve rıza ilkesiyle sınırlamaz; aynı zamanda bireye "unutulma hakkı", "veri taşınabilirliği" ve "otomatik karar vermeye karşı korunma" gibi haklar tanır. Türkiye'nin de benzer şekilde KVKK'yı güçlendirmesi, ihlal sonrası bireyin hak arama sürecini kolaylaştırması ve kurumlara proaktif sorumluluk yüklemesi gerekmektedir. Çünkü hukukun amacı, ihlal sonrası mağduriyetin giderilmesi değil, ihlalin önlenmesidir.

Aksi takdirde, kontrol edilmeyen teknoloji bireyleri "veri taşıyıcılarına" dönüştürecek; insan, kendi hayatının öznesi olmaktan çıkıp algoritmaların nesnesi haline gelecektir. Özerklik ve özgürlük, yalnızca teorik bir kavram olarak kalacak, pratikte ise bir hayale dönüşecektir. Bu durum, demokratik toplumların temel değerlerini zayıflatır ve bireylerin kendi kimlikleri üzerinde söz sahibi olma hakkını ortadan kaldırır. Hukukun görevi, bu süreci durdurmak ve insanı merkeze alan bir düzen kurmaktır.

Türkiye'nin önünde büyük bir fırsat vardır: İnsan onurunu merkeze alan, bireyin özerkliğini koruyan ve teknolojiyi etik ilkelerle sınırlayan bir veri hukuku modeli geliştirmek. Böyle bir model, yalnızca ulusal düzeyde değil, küresel ölçekte de örnek teşkil edebilir. Çünkü geleceğin en büyük mücadelesi, teknolojiyi kontrol etmek değil, teknolojiyi insanın hizmetinde tutabilmektir. Hukuk, bu mücadelenin en güçlü aracıdır.

KAYNAKÇA

  • Kaboğlu, İ. Ö. (2002). Özgürlükler Hukuku: İnsan Haklarının Hukuksal Yapısı. Ankara: İmge Kitabevi, s. 234-267
  • Gözler, K. (2011). Türk Anayasa Hukuku Dersleri. Bursa: Ekin Yayınevi, s. 456-478.
  • Küzeci, E. (2020). Kişisel Verilerin Korunması (4. Baskı). Ankara: Turhan Kitabevi, s. 145-189.
  • Solove, D. J. (2008). Understanding Privacy. Cambridge, MA: Harvard University Press, s. 1-23.
  • Zuboff, S. (2019). The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. New York: PublicAffairs, s. 63-97.
  • Moore, G. E. (1965). "Cramming More Components onto Integrated Circuits". Electronics Magazine, 38(8).
  • Weber, R. H. (2010). "Internet of Things – New Security and Privacy Challenges". Computer Law & Security Review, 26(1), 23-30.
  • Arrieta, A. B. et al. (2020). "Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges toward Responsible AI". Information Fusion, 58, s. 82-115.
  • Türkiye Cumhuriyeti Anayasası, RG: 09.11.1982, Sayı: 17863 (Mükerrer), m. 12, m. 13, m. 20.
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu, RG: 07.04.2016, Sayı: 29677, m. 4/1-a, m. 6, m. 7, m. 9, m. 11, m. 12, m. 17.
  • Anayasa Mahkemesi, B. No: 2018/11988, 10.03.2022, § 52.
  • European Commission (2024). "AI Act Enters into Force". Erişim adresi: https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
  • Bilgi Teknolojileri ve İletişim Kurumu (BTK), Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu – 2017 1. Çeyrek, Ankara 2017, s. 15 vd., (Erişim: 26.11.2025), https://www.btk.gov.tr/uploads/pages/turkiye-elektronik-haberlesme-sektoru-uc-aylik-pazar-verileri-raporu-yayimlandi/2017-q1.pdf
  • 3rd Generation Partnership Project (3GPP), LTE Release 10 & beyond (LTE-Advanced), (Release 10 Tanıtım Sayfası), https://www.3gpp.org/specifications-technologies/releases/release-10
  • ETSI, 3GPP TR 36.912 V10.0.0, Feasibility study for Further Advancements for E-UTRA (LTE-Advanced), 2011, https://www.etsi.org/deliver/etsi_tr/136900_136999/136912/10.00.00_60/tr_136912v100000p.pdf

footnotes

1 Kaboğlu, İ. Ö. (2002). Özgürlükler Hukuku: İnsan Haklarının Hukuksal Yapısı. Ankara: İmge Kitabevi, s. 234-267; Gözler, K. (2011). Türk Anayasa Hukuku

Dersleri. Bursa: Ekin Yayınevi, s. 456-478.

2 Solove, D. J. (2008). Understanding Privacy. Harvard University Press, s. 1-23.

3 Weber, R. H. (2010). "Internet of Things–New security and privacy challenges". Computer Law & Security Review, 26(1), 23-30

4 6698 Sayılı Kişisel Verilerin Korunması Kanunu, RG: 07.04.2016, Sayı: 29677.

5 Bilgi Teknolojileri ve İletişim Kurumu (BTK), Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu – 2017 1. Çeyrek, Ankara 2017, s. 15 vd.; ayrıca bkz. 3rd Generation Partnership Project (3GPP), LTE Release 10 & beyond (LTE-Advanced), (Release 10 Tanıtım Sayfası), https://www.3gpp.org/specifications-technologies/releases/release-10 ; ETSI, 3GPP TR 36.912 V10.0.0, Feasibility study for Further Advancements for E-UTRA (LTE-Advanced), 2011,

6 Zuboff, S. (2019). The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. New York: PublicAffairs, s. 63-97

7 Moore, G. E. (1965). "Cramming More Components onto Integrated Circuits." Electronics, 38(8), 114–117.

8 Apple Inc., "iPhone 15 Pro – Tech Specs", 2023; Qualcomm Technologies Inc., "Snapdragon 8 Gen 3 Mobile Platform", 2023, her iki kaynakta da ilgili yongaların yapay zekâ hızlandırıcılarının TOPS seviyeleri belirtilmektedir.

9 Arrieta, A. B., et al. (2020). "Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges toward Responsible AI". Information Fusion, 58, s. 82-115.

10 6698 sayılı Kişisel Verilerin Korunması Kanunu, m. 4/2-a (RG: 07.04.2016/29677): "Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma.

11 Küzeci, Elif (2020).Kişisel Verilerin Korunması. 4. Baskı, Turhan Kitabevi, Ankara, s. 145-189.

12 T.C. Anayasası m. 12. "I. Temel hak ve hürriyetlerin niteliği

Madde 12 – Herkes, kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez temel hak ve hürriyetlere sahiptir. Temel hak ve hürriyetler, kişinin

topluma, ailesine ve diğer kişilere karşı ödev ve sorumluluklarını da ihtiva eder.

13 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), m. 7, m. 11, m. 17 (RG: 07.04.2016/29677):

"Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi - MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

İlgili kişinin hakları - MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Suçlar - MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. (2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

14 Anayasa Mahkemesi, B. No: 2018/11988, 10/03/2022, § 52.

15 European Commission (2024). "AI Act enters into force". Erişim: https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en.

16 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), m. 6 (RG: 07.04.2016/29677): "Özel nitelikli kişisel verilerin işlenme şartları - MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

17 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), m. 9 (RG: 07.04.2016/29677; Değişik: 02.03.2024 t. 7499 s. K. m.34): "Kişisel verilerin yurt dışına aktarılması - MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete'de yayımlanır. (...) (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, (...) aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde (...) yurt dışına aktarılabilir: (...) b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin (...) Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, c) Kurul tarafından ilan edilen (...) standart sözleşmenin varlığı (...)

18 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), m. 12 (RG: 07.04.2016/29677): "Veri güvenliğine ilişkin yükümlülükler - MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Oğuz Kayan
Oğuz Kayan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More