Bilimsel Amaçlı Kişisel Veri İşlenmesine Hukuki Bakış

Yazan: Sabire Sanem YILMAZ

Kişisel Verilerin Korunması Kanun’un (6698 sayılı Kanun) m.3/d kişisel veriyi, “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlamış, m.6’da özel nitelikli kişisel verilere yer vermiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu m.2’de kapsamını “kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” olarak tanımlamış, m.28’de ise kanunun kapsamı dışında olan hallerden bahsetmiştir. Kanun’un kapsamı dışında olan haller arasında (m.28/c) “bilimsel amaçlarla işleme” de sayılmıştır. Bilimsel amaçlarla işlemenin tam olarak ne ifade ettiği ile ilgili tanımlama yapılmamış, özel ya da ticari amaçlarla yürütülen bilimsel faaliyetlerin de kapsamda kabul edilip edilmediği ile ilgili de bir açıklama bulunulmamıştır.

GDPR (Genel Veri Koruma Tüzüğü), yasal işleme şartları arasında m.5’den başlayarak bilimsel amaçla işleme ve kamunun yararına işleme gibi fenomenlere de dayanmış, veri işleme faaliyeti “açık rıza şartından” ayrı tutulmuş ve işleme bu şart yerine getirilmemiş dahi olsa yasal kabul edilmiştir. Bu anlamda bir sonraki aşamada veri sahibinin bazı haklarından fedakârlık yapabileceği dahi düzenleme alanı bulmuştur. (CAHAI İlkeleri)

GDPR m. 9 ve 21’de bilimsel amaçlarla veri işlemenin zorunlu olduğu durumlarda, işleme şartlarının tam olarak yerine getirilmesine imkân da bulunmadığı takdirde m.89’da yer alan iki koşula gönderme yapmakta ve işlemenin yasallığı ilkesini pekiştirmektedir. Bu koşullar:

• Veri koruma hakkının özüne saygı duymak.
• Veri sahibinin temel hak ve hürriyetlerini ve menfaatlerini korumak.

Bilimsel araştırmaların/çalışmaların kamu yararı taşıdığını da göz önünde bulundurduğumuzda;  çok hassas kabul edilen kişisel verilerin işlenmesi dahi meşru kabul edilir ve yeterli korumanın sağlanması durumlarında işlemenin yasallığı devam eder.

Burada önemli hususlardan biri “veri koruma hakkının özüne saygı duymak” koşulunun en iyi şekilde karşılanması ve “veri minimizasyonu” sürecini verimli şekilde yürütmektir. Fazladan veri işleme faaliyeti ya da projenin amacı dışında veri işleme durumunu ortadan kaldırıcı birtakım önlemlerin alınması gerekir.

Bilimsel Araştırmalar alanında yazılan projeler, geçmişten günümüze kaynak taraması yapması ve daha önce birçok alanda yayımlanmış verilerden oluşan hazır veri setlerini toplaması/işlemesi nedeni ile kişisel veri işler ve kişisel verilerin korunması ile ilgili Türkiye’de yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülükleri ile ilgili bir alanı ilgilendirmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 28/c maddesinde ”istisnalar” başlığı altında yer verilen “bilimsel amaçlarla işleme esnasında” bu kanun hükümlerinin uygulanmayacağına ilişkin düzenleme kapsamında, çalışmamızı bilimsel amaçlarla işleme kategorisinde değerlendirdiğimizde bilimsel amaçlarla veri işlemenin Kanun kapsamından çıkması ihtimali de değerlendirilmiştir.

Bilimsel amaçlarla veri işleme projesinin, bilimsel araştırma olarak değerlendirilmesi için, “bilimsel araştırma” kavramının eksiksiz olarak tanımlanması gerekmektedir. Ölçülebilir ve tekrar gözlemlenebilir tüm bilgiler bilimsel araştırmanın konusu olabilir. Bilimsel araştırma aynı zamanda bir hizmeti iyileştiren, yaşamı kolaylaştırmayı amaçlayan, belli bir konuda genel geçer hataları düzenleyen ve bir alanı yeniden inşa eden özelliği ile belli birtakım fenomenler üzerinde çalışmayı da amaçlar. Bu bağlamda, bilimsel araştırma olarak nitelendirilecek olan çalışmanın KVKK kapsamı dışında kaldığı söylenebilir

Bilimsel araştırma projelerinin başlangıcından yazımı aşamasına kadar gelinen süreçte, her aşamada KVKK, GDPR ve Avrupa Konseyi tarafından yayımlanan tavsiye kararları gözden geçirilerek projenin kişisel veriler açısından “Başlangıç Etki Değerlendirilmesi” diğer anlamı ile “Gizlilik Etki Değerlendirilmesi” yapılması gerekmektedir. Projenin başlangıcında tasarımının, kişilerin temel hak ve hürriyetlerinin etkilenmemesi amacı ile inşa edilmesi proje yürütücüleri açısından mihenk taşı olmalıdır.

Modernize edilen 108 sayılı Kişisel Verilerin Otomatik olarak İşlenmesi Karşısında Bireylerin Korunması Sözleşmesi’nin 5. maddesinde bilimsel amaçlı verilerin işlenmesi yanında kamu yararı amacı ile veri işleme faaliyetini de veri işlemenin meşruluğu kapsamında saymıştır ve bu amaçlarla veri işlemeyi yasal olarak kabul etmektedir. Türkiye 108 sayılı sözleşmeyi Anayasa’nın 90. maddesi gereği usulüne uygun olarak yürürlüğe koymuştur ancak Modernize 108+ sözleşme ile ilgili çalışmalar devam etmektedir. Bu nedenle, muhtemel bir mevzuat değişikliği ya da işlemenin yasallığı kapsamının genişletilmesinin mümkün olup olmadığı ile ilgili ayrıntılı bir değerlendirme yapılamamaktadır.

Bilimsel araştırma, yüksek kamu yararı, yaygın bir durumun revize edilmesi, gazetecilik ve diğer meslek alanlarının hizmet kalitelerinin arttırılması, Yapay Zekâ tabanlı sistemlerin hizmetlerinin iyileştirilmesi gibi nedenlerle veri işleme faaliyetinin doğası gereği yasallığından bahsedilir ise de bu bağlamda “veri minimizasyonu” ve “veri sahiplerinin temel hak ve özgürlüklerinin korunması” fenomenlerinde de aykırı işleme faaliyetleri KVKK kapsamında ihlal anlamına gelebilecektir. Bilimsel amaçlı işleme projelerinin gizlilik etki değerlendirmelerinin çıktıları da önem taşımaktadır. Proje ile ilgili kamuoyu duyuruları, projenin amaçlarının doğru anlatılması, proje ile varılmak istenen nokta ve projenin yararı kişilerin bilgilendirilme hakları ve projeye güvenlerinin sağlanması açısından önemlidir.

Veri sahiplerinin temel hak ve özgürlüklerinin veri işleme faaliyeti kapsamında etkilenmemesi açısından bilimsel projelerin paydaşları tarafından aşağıda yer alan değerlendirmelerin özenle yürütülmesi önemlidir:

• Anonimleştirilmiş verileri neden kullanamıyoruz:

Anonimleştirilmiş veri, bir verinin bir organizasyon içinde anonimleştirilme tekniklerine tabi tutulduktan sonra başka bir organizasyonda tanımlanabilir hale gelmemesidir. Birleşik Krallık Bilgi Komiseri Ofisi (ICO) tarafından yayımlanan Anonimleştirme ile ilgili Uygulama Esaslarında, birkaç anonimleştirme yöntemine değinilmiştir: Bulanıklaştırma, raporlardaki ayrıntıları değiştirme, kişilerin adlarını belgelerden çıkarmak gibi. Uygulama geliştiriciler için anonimleştirme yöntemi, büyük veri ihtiyacı olduğu ve bilimsel amaçlı projenin amacında bozulmamış verinin kullanılması temel alındığında verimli bir çalışma ortamı yaratmamaktadır. Burada farklı veri setleri oluşturarak, verinin anonimleştirilmesi yerine takma ad, veri kümesinin değiştirilmesi gibi, sabit veri setleri / değişken veri setleri oluşturularak anonimleştirme yöntemine alternatif ve verinin korunmasında farklı yöntemler geliştirilmeye çalışılmalıdır. Kademeli bir veri işleme faaliyetinin mümkün olup olmadığı da değerlendirilmelidir. (GDPR m.89)

• İşleme faaliyetinin kişilere önemli zarar vermesi ihtimalinin düşük olduğu:

Veri işleme faaliyeti projenin amaçları ile sınırlı olarak ve veri sahiplerinin temel hak ve özgürlüklerinin korunması esasları ışığında gerçekleştirilmelidir. Projede kullanılan tüm veri setleri, daha önce farklı alanlarda yayımlanmış haber içeriklerinden, duyurulardan, makalelerden, bir konu hakkında yapılan açıklamalar gibi hazır veri setlerinden oluşacak ise, veri işleme faaliyeti daha çok “kamunun bilgilenme hakkı” kapsamında işlenen veri setlerine karşılık gelmektedir. İşlenen ve üzerinde çalışılacak olan, bilimsel araştırma konusu olan veriler üzerinde özel bir veri madenciliği faaliyeti yürütülmemeli, verinin özünde de bir değişiklik yapılmamalıdır. Verilerin bilimsel araştırma konusu yapılması ile elde edilecek olan ulusal çıkar, kişisel verilerin korunması hakkının kısmi olarak kısıtlanması durumunu da beraberinde getirecektir. (GDPR m.18) Veri sahibinin verilerin işlendiği platforma erişimi sağlanmalı ve itiraz hakları tanınmalıdır. Veri sahiplerinin haklarının kısıtlanması durumlarında dahi itiraz hakları ortadan kaldırılamayacaktır.

• Projenin amacının kişiler hakkında otomatik karar vermeye yol açmadığı:

Bilimsel araştırma projelerinin amacı “Profilleme” yapmak ve kişiler üzerinde otomatik karar verme yöntemleri geliştirmek olmamalıdır. Projenin çıktıları konusunda kamuoyuna yapılacak açıklamalar, sosyal medyada yapacağımız duyurular ve projenin kişisel verilerin korunması konusunda da bilimsel araştırmalar için getirmiş olduğu istisnalar ayrıntılı olarak açıklandığında, veri sahiplerinin itiraz haklarının, erişiminin sağlanması ışığında veri koruma açısından sorumluluk beyanı yerine getirilmiş olacaktır.

• Kişisel verilerin işlenmesinde ve projenin tekniklerinin uygulanması aşamasında yeterli idari ve teknik tedbirlerin alındığı:

SONUÇ:

Bu bağlamda öncelikli olarak KVKK m.22 “Kurulun Görev ve Yetkileri” ve m.28. “İstisnalar” kapsamı dikkate alınarak, bilimsel amaçlı veri işleme projelerinin KVK Kurumu öncülüğünde ve danışmanlığında yürütülmesinin daha sağlıklı sonuçlar getireceği, bu konuda mevzuat çalışmaları yapılmasının önemini de gündeme getirmektedir. Proje paydaşları ile birlikte Kişisel verilerin korunması alanında regülasyonlar, Avrupa Konseyi Tavsiye kararları, GDPR (özellikle 5,9,16,17,18,89. maddeler), Avrupa Veri Koruma Denetçisi’nin ilke kararları ve KVKK (6698 sayılı Kanun) taranmalı ve proje için en uygun maddeler ile “Hukuksal Dayanaklar” olarak oluşturulup, bilimsel araştırma öncesi paydaş kurumlar ile paylaşılmalıdır.

Bilimsel araştırma projeleri ile ilgili temel bir çerçeve regülasyonlarla ve Veri Koruma Otoriteleri’nin projelere danışmanlık yapması ile çözüme kavuşmaktadır. Yakın zamanda Birleşik Krallık Veri Koruma Otoritesi tarafından PHG Vakfı’nın gen teknolojisi ve genomik veriler ile ilgili yapmış olduğu çalışmada yayınlamış olduğu rapor ve GDPR kapsamında bilimsel araştırmalar amaçlı işlenen veriler ile ilgili görüşünü bildirmesi ve aktif olarak bilimsel araştırmayı izlemesi, veri koruma otoritelerinin görevlerinin çerçevesinin çizilmesi açısından da önemlidir.

19 Şubat 2020 tarihinde Avrupa Konseyi tarafından Yapay Zekâ ve Veri Planları rehberinde;  inovasyonun önemi vurgulanmış ve “yeni ürün ve hizmetler üretmek”, “kamu hizmetlerinin maliyetini azaltmak”, “sürdürülebilirliliği ve enerji verimliliğini arttırmak” gibi hedefler belirlenmiştir. Benzer hedefler çoğu zaman Avrupa Veri Koruma Denetçisi tarafından da yayımlanmaktadır. Kişisel verilerin korunması, bir insan hakkı olması ve korunması gereken temel hak ve hürriyetlerden olması dolayısı ile önemli hak kategorilerinden birini oluşturmaktadır. Özellikle bu hakkın korunmasını ortadan kaldıran her müdahale, demokrasinin ve hukuk devleti ilkelerinin korunması ve geliştirilmesi açısından da Anayasal birçok hakka da etki etmekte ve özünü zedelemektedir. Bir yandan da “bilimsel araştırmaların” doğası gereği insan haklarını, ulusun yüksek menfaatlerini, demokrasinin gelişimini korumak ve ileri taşımak gibi özellikleri esasında aynı tarafta olan çıkarları işaret eder. Veri sahiplerinin kişisel verilerinin bilimsel amaçlarla işlenmesi hakkın özünü ortadan kaldırmayan ancak bireyin sürdürülebilir çıkarlarının korunmasında başka bir pencere açmaktadır. Bilimsel araştırmalar nedeni ile işlenen veriler karşısında veri sahiplerinin itiraz hakları, işlenen verilere erişim hakkı ortadan kaldırılamayacak aksine bu haklarının kullanılması açısından uygun araçlar kullanılacaktır.

Bilimsel araştırmalar için veri işleme faaliyetlerinde, Kişisel Verilerin Korunması Kanunu verinin yasal işleme şartları oluşması dolayısı ile istisna kapsamında düzenlemiş olsa da veri sahibinin temel hak ve özgürlüklerinin zarar görmemesi uygun araçlarla sağlanmalı ve yeterli güvenlik önlemleri alınmalıdır.

Projenin amaçlarının gerçekleşmesinin yanında veri sahibinin haklarının korunması ve veri minimizasyonu sürecinin en iyi şekilde yönetilmesi önem kazanacaktır.

Basılı Kaynaklar:

1- Başalp, Nilgün, 2004, Kişisel verilerin korunması ve saklanması, Ankara, Yetkin Yayınları.

2- Yılmaz, Sabire Sanem, 2020, Tıp Alanında Kişisel Verilerin Korunması, Ankara, Seçkin Yayıncılık

3- Küzeci, Elif, 2020, Kişisel verilerin korunması, On iki Levha Yayıncılık, 4. Baskı, İstanbul