Ne Kişisel Veri Sayılmaz? Günlük Hayattan Örneklerle Anlaşılır Bir Rehber
İlgili Makale: Baba Birse Öz kardeş olur mu ?
İnsanlar çoğu zaman “kişisel veri” denildiğinde sadece ad-soyad, T.C. kimlik numarası ya da telefon numarasını düşünür. Oysa konu bundan hem daha geniş hem de bazı açılardan daha şaşırtıcıdır. Bir verinin kişisel veri sayılıp sayılmadığını anlamak, özellikle dijital dünyada giderek daha kritik hale geliyor. Çünkü her gün bıraktığımız dijital izler, farkında olmadan bir veri yığını oluşturuyor.
Ama burada asıl ilginç soru şu: Her veri kişisel veri midir? Ya da daha net soralım: Ne kişisel veri sayılmaz?
Bu soruya cevap verebilmek için önce konunun temelini, ardından da sınırlarını anlamak gerekiyor.
Kişisel Veri Nedir? Kısaca Zemin Hazırlayalım
Bugünkü makalemizde “Banka hesap bilgileri kişisel veri midir” ile ilgili dikkat edilmesi gereken noktaları inceliyoruz.
Hukuki çerçevede kişisel veri, kimliği belirli veya belirlenebilir bir kişiye ait her türlü bilgidir. Burada kritik nokta “belirlenebilirlik” kavramıdır. Yani bir bilgi tek başına sizi doğrudan göstermese bile, başka bilgilerle birleştirildiğinde sizi işaret edebiliyorsa kişisel veri kapsamına girer.
Örneğin:
Ad ve soyad doğrudan kişisel veridir.
Telefon numarası kişisel veridir.
IP adresi çoğu durumda kişisel veri sayılır.
Hatta alışveriş alışkanlıklarınız bile sizi işaret edebiliyorsa kişisel veri olabilir.
Fakat her bilgi bu kadar net değildir. İşte asıl karmaşa da burada başlar.
Ne Kişisel Veri Sayılmaz? Temel Ayrım Noktası
Genel bir kural vardır: Bir bilgi, hiçbir şekilde bir kişiyle ilişkilendirilemiyorsa kişisel veri sayılmaz. Yani kimliği ortaya çıkarmayan, anonim kalmış ve herhangi bir kişiyle bağlantısı kurulamayacak veriler bu kapsama girmez.
Bunu günlük hayattan örneklerle daha anlaşılır hale getirelim.
1. Tamamen Anonimleştirilmiş Veriler
En net örnek budur. Bir veri, geri döndürülemez şekilde anonim hale getirilmişse artık kişisel veri olmaktan çıkar.
Örneğin:
Bir hastanede “30-40 yaş arası 100 hastanın ortalama tansiyon değeri”
Bir şehirde “aylık ortalama toplu taşıma kullanım sayısı”
Bir web sitesinde “günlük ziyaretçi sayısı”
Bu verilerde tek tek kişileri ayırt etmek mümkün değildir. Burada artık birey değil, topluluk vardır.
Bunu bir kalabalık konser gibi düşünebilirsiniz. Sahneye bakınca “10. sırada kim oturuyor?” diye soramazsınız. Çünkü artık bireyler görünmez hale gelmiştir.
2. Genel ve Belirsiz Gruplara Ait Bilgiler
Bazı veriler o kadar geneldir ki kimseyi işaret etmez. Örneğin:
“Türkiye’de ortalama yaşam süresi”
“Bir sınıftaki öğrencilerin genel başarı ortalaması”
“Bir markette en çok satılan ürün”
Bu bilgiler bir kişiye indirgenemediği için kişisel veri değildir.
Burada önemli nokta şudur: Veri bir grubu anlatıyor ama o grubun içindeki bireyleri ayırmıyorsa kişisel veri sayılmaz.
3. Kimlikten Tamamen Koparılmış Teknik Veriler
Bazı teknik veriler vardır ki ilk bakışta anlamlı görünür ama kişiyi tanımlamaz.
Örneğin:
Rastgele oluşturulmuş işlem numaraları (kişiye bağlanmamışsa)
Şifrelenmiş ve çözülmesi mümkün olmayan veri setleri
Sistem loglarının anonim versiyonları
Bu tür veriler, kişiye geri döndürülemediği sürece kişisel veri sayılmaz.
Bir banka kuyruğunu düşünelim. Sadece “A123 numaralı müşteri işlem yaptı” diyorsanız ve bu numara hiçbir yerde kişiyle eşleşmiyorsa, bu bilgi tek başına kişisel veri değildir.
4. Ölçüm ve İstatistik Amaçlı Toplu Veriler
İstatistik dünyası bu konuda oldukça net bir alan sunar.
“Bir şehirde ortalama internet hızı”
“Bir okulda ortalama sınav notu”
“Bir bölgede yıllık yağış miktarı”
Bu tür bilgiler bireyleri değil, toplu durumu anlatır. Dolayısıyla kişisel veri kapsamına girmez.
Bunu bir fotoğraf gibi düşünün. Yakın çekim bir portre kişisel veri olabilirken, uzaktan çekilmiş bir kalabalık manzara bireyleri ayırt etmediği için kişisel veri değildir.
5. Artık Hiçbir Kişiyle Bağlantısı Kalmamış Eski Veriler
Bazı veriler zaman içinde anlamını ve bağını kaybedebilir. Özellikle sistemlerden silinmiş, bağlantısı koparılmış ve geri getirilemeyen veriler bu gruba girer.
Örneğin:
Eski bir kampanya verisi (kişilerle eşleştirme anahtarı yoksa)
Silinmiş kullanıcı kayıtlarının kırpılmış istatistikleri
Kimlik bağlantısı tamamen kaldırılmış veri havuzları
Burada kritik olan şey, “geri dönüşün imkânsız olmasıdır”.
Yanlış Bilinen Noktalar: Her Anonim Görünen Veri Gerçekten Anonim midir?
Günlük hayatta en sık yapılan hata şudur: “İsim yoksa bu kişisel veri değildir.”
Bu düşünce oldukça yüzeyseldir. Çünkü modern veri dünyasında isim tek başına belirleyici değildir.
Örneğin:
Yaş + şehir + meslek birleşimi çoğu zaman bir kişiyi ortaya çıkarabilir.
Sadece doğum tarihi bile bazı durumlarda kimliği işaret edebilir.
IP adresi çoğu senaryoda kişiyi dolaylı olarak tanımlayabilir.
Yani bir veri tek başına masum görünse bile, başka verilerle birleştiğinde kişisel veri haline gelebilir. Bu yüzden “ne kişisel veri sayılmaz?” sorusu her zaman bağlama göre değişir.
KVKK Perspektifinden Kişisel Veri Olmayan Alanlar
Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK), bu konuda oldukça net bir çerçeve çizer. Kanunun yaklaşımı şudur: Bir kişiyle ilişkilendirilemeyen veri kişisel veri değildir.
Ancak burada önemli bir ayrım vardır:
Anonimleştirme: Geri döndürülemez şekilde kimlikten ayrıştırma
Maskeleme: Geçici olarak kimliği gizleme
Maskeleme işlemi kişisel veriyi ortadan kaldırmaz. Sadece görünmez hale getirir.
Örneğin:
Bir tabloda “Ahmet Yılmaz” yerine “Kullanıcı 001” yazmak, veriyi kişisel olmaktan çıkarmaz. Çünkü sistemde geri dönüş anahtarı varsa bu hâlâ kişisel veridir.
Günlük Hayattan Basit Benzetmelerle Konu
Konuyu biraz daha somutlaştırmak için birkaç günlük benzetme yapalım.
Kalabalık ve Birey Ayrımı
Bir meydanda 10.000 kişi olduğunu düşünün. Uzaktan bakınca “insan kalabalığı” görürsünüz. Bu kişisel veri değildir. Ama zoom yapıp bir kişiyi işaret ettiğiniz anda durum değişir.
Menü ve Sipariş Örneği
Bir restoranda “günde 200 lahmacun satıldı” bilgisi kişisel veri değildir. Ama “Ali Bey bugün 3 lahmacun yedi” dediğiniz anda kişisel veri başlar.
Bulut Notları Örneği
Telefonunuzda tuttuğunuz “Bugün hava güzel” notu kişisel veri değildir. Ama “bugün Eskişehir’de 27 yaşındaki bir araştırmacı bu notu yazdı” derseniz kişiselleşir.
Verinin Bağlamı Neden Bu Kadar Önemli?
Kişisel veri olup olmadığını belirleyen en kritik unsur bağlamdır. Aynı bilgi farklı ortamlarda farklı anlamlar taşıyabilir.
Örneğin:
“25” sayısı tek başına hiçbir şey ifade etmez.
Ama “25 yaşında Eskişehir’de yaşayan bir kişi” dediğinizde artık kişisel veri alanına girersiniz.
Bu yüzden veri değerlendirmesi yapılırken sadece içeriğe değil, çevresel bilgilere de bakılır.
Teknik Olarak Anonimleştirme Neden Zordur?
Günümüz dijital dünyasında gerçek anlamda anonim veri üretmek giderek zorlaşmıştır. Çünkü farklı veri kaynakları bir araya geldiğinde kimlikler yeniden inşa edilebilir.
Örneğin:
Alışveriş geçmişi
Konum verisi
Tarayıcı alışkanlıkları
Bu üçü birleştiğinde bir kişinin kim olduğu tahmin edilebilir hale gelebilir. Bu yüzden “ne kişisel veri sayılmaz?” sorusunun cevabı çoğu zaman teknik güvenlik önlemleriyle de ilgilidir.
Sonuç Yerine: Görünmeyen Sınırlar
Kişisel veri kavramı sandığımızdan çok daha esnek ve bağlama bağlıdır. Ne kişisel veri sayılmaz? sorusunun cevabı ise basit gibi görünse de aslında oldukça katmanlıdır.
Tamamen anonimleştirilmiş, kimlikle hiçbir şekilde ilişkilendirilemeyen, bireyi işaret etmeyen ve geri döndürülemeyen veriler kişisel veri sayılmaz. Ancak bu sınır, dijital dünyada çoğu zaman düşündüğümüz kadar keskin değildir.
Bir verinin kişisel olup olmadığını belirleyen şey sadece içeriği değil, o içeriğin hangi bağlamda, hangi verilerle birlikte ve hangi amaçla kullanıldığıdır.