Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu“) 16 ncı maddesi uyarınca Sicile kayıt olması gereken veri sorumluları tarafından tespit edilmesi gereken unsurlardan birisi de, ilgili veri sorumlusunun hangi kategoriye ait kişisel verileri işlediği hususudur.

Lokasyon verisi, Sicile kayıt yükümlülüğünün yerine getirilmesi için hazırlanan Veri Sorumluları Sicil Bilgi Sistemi’nde (“VERBİS“) ve Kişisel Verileri Koruma Kurumu (“KVK Kurumu“) tarafından hazırlanan ilgili kılavuzlarda yer verilen veri kategorilerinden birisini oluşturmaktadır.

Buna karşın; farklı veri sorumluları tarafından hazırlanan Aydınlatma Metni, Gizlilik Politikası vb. hukuki metinlerde lokasyon (konum) verisinin ne olduğu hususunda yanılgıya düşüldüğü, özellikle adres bilgilerine bu kategori altında yer verildiği görülmektedir.

Bu makalede, lokasyon (konum) verisinden ne anlaşılması gerektiği hususuna ilişkin değerlendirmelere yer verilmektedir.

Türk Mevzuatında Lokasyon Verisi

Öncelikle belirtmek gerekir ki, KVK Kanunu’nda lokasyon verisi tanımlanmamaktadır. Diğer taraftan, 5809 sayılı Elektronik Haberleşme Kanunu dayanak alınarak yürürlüğe konulan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’te (“Yönetmelik“) konum verisi tanımlanmakta ve “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi” olduğu ifade edilmektedir.

Yönetmeliğin 11 ve 12 nci maddelerinde konum verisine ilişkin hükümler düzenlenmekte, bu hükümlerden ve özellikle Yönetmelik’te yer alan tanımdan konum verisinin bir kimseye ilişkin sabit ikâmeti veya adresi göstermediği kolaylıkla anlaşılmaktadır.

Yönetmeliği yürürlükten kaldırarak yerini alacak olan yeni Taslak ise Bilgi Teknolojileri ve İletişim Kurumu tarafından 17/03/2020 tarihinde kamuoyunun görüşüne sunulmuş olup, Taslağın yakın bir tarihte yürürlüğe girmesi beklenmektedir. Yönetmelik’te yer alan konum verisi tanımının Yeni Taslak’ta muhafaza edildiği, eski tanıma “elektronik haberleşme şebekesine bağlanan terminal cihazlarına uydu yön bulma sistemleri marifetiyle sağlanan yer bilgisibölümünün ilave edildiği görülmektedir.

AB Mevzuatında Lokasyon Verisi

KVK Kanunu’nun mehaz düzenlemesi olan “Avrupa Parlamentosu ve Avrupa Konseyi Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif’te (“95/46 sayılı Direktif“) lokasyon verisine ilişkin herhangi bir tanım veya özel bir hüküm bulunmamaktadır. Bu Direktifi yürürlükten kaldıran Genel Veri Koruma Tüzüğü’nde (“GDPR“) de böyle bir tanıma yer verilmemekte, ancak kişisel verinin tanımının yapıldığı maddede lokasyon verisine de değinilmektedir (m. 4/1).

Diğer taraftan, AB’de elektronik haberleşme alanını düzenleyen ve Yönetmeliğin mehaz düzenlemesi olan “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin Korunmasına İlişkin Direktif’te (“2002/58 sayılı Direktif“) konum verileri tanımlanmakta ve konum verilerine ilişkin pek çok hüküm bulunmaktadır. Yönetmelik’teki konum verisi tanımında bu Direktif’ten esinlenmiş, çok az bir değişiklik yapılarak aynı tanıma yer verilmiştir.

İngiltere’de Veri Koruma Otoritesi (Data Protection Authority – DPA) olan Bilgi Komisyoneri Ofisinin (ICO) internet sitesinde lokasyon verisine ilişkin bilgilendirici içeriğe yer verilen sayfa, yukarıda anılan tanımları destekler mahiyettedir. Burada, “cep telefonu şebekesindeki baz istasyonları tarafından elde edilen verilerle cep telefonu konumunun takibi“, lokasyon verisine örnek olarak verilmektedir (Kaynak).

Not: Her ne kadar resmi olarak 31/01/2020 tarihinde Brexit ile çıkış gerçekleşmiş olsa da İngiltere’de AB düzenlemelerinin (belirli konularda) uygulanmasına (belirli şartlar dâhilinde) 31/12/2020 tarihine kadar devam edilecektir.

VERBİS, Kılavuz ve Kararlarda Lokasyon Verisi

KVK Kurumu tarafından hazırlanan Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kılavuzu‘ndaki “Veri Kategorileri” başlığı altında lokasyon verisinin yanına örnek olarak “bulunduğu yerin konum bilgileri” verilmiştir. Aynı içerik, VERBİS’te de bulunmaktadır.

Kişisel Verilerin İşlenme Şartları isimli kılavuzda, KVK Kanunu’nun kişisel verilerin işlenme şartlarını düzenleyen 5 inci maddesinin ikinci fıkrasındaki “fiili imkânsızlık” bendine örnek olarak “Kaçırılan ya da kayıp kişinin konum bilgisi” verilmiştir.

Careem Networks Teknoloji A.Ş. tarafından yapılan ve KVK Kurulu tarafından duyurulan ihlâl bildiriminde, “Yetkisiz erişim sağlanmış olan kişisel veriler arasında (…) kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile araç sürücülerine ait isim telefon numarası, araç modeli (…) bilgilerinin olabileceği” ifadesine yer verilmiştir.

Son olarak, COVID-19 salgını ile mücadele kapsamında konum verilerinin işlenmesine ilişkin KVK Kurulu tarafından yapılan kamuoyu duyurusunda; konum verisinin tanımında Yönetmeliğe atıf yapılmakta, ayrıca “(…) genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine (…)” ifadesine yer verilmekte, buradan da konum verisi ile sabit bir adresin işaret edilmediği anlaşılmaktadır.

Görüldüğü üzere KVK Kurumu ve Kurulu tarafından yayımlanan Kılavuz ve Kararlarda yeknesak bir yaklaşım görülmekte, lokasyon (konum) verisinin sabit bir adres olarak yorumlandığına ilişkin herhangi bir yaklaşıma rastlanmamaktadır.

Karışıklığın Muhtemel Sebepleri

Şüphesiz bu konuda yaşanan karışıklığın en büyük sebebi, kavramlar arasındaki benzerliktir. Türk Dil Kurumunun sözlüğünde konum, “Bir kimsenin veya bir şeyin bir yerdeki durumu veya duruş biçimi, pozisyon” olarak tanımlanmaktadır (Lokasyon kelimesi ise Türkçe kökenli olmadığı için sözlükte bu kelimenin tanımına yer verilmemektedir). Günlük hayatta lokasyon (konum) kavramı, yaygın olarak sabit bir ikâmeti ifade etmek için kullanılmaktadır.

Buna ilaveten esas olarak lokasyon (konum) verisinin yanlış yorumlanmasına sebebiyet vereceği düşünülen iki farklı husus bulunmaktadır.

İlki, KVK Kurumu tarafından hazırlanan Kişisel Veri İşleme Envanteri Hazırlama Rehberi‘nde karşımıza çıkmaktadır. Rehber’in 60. sayfasının 22. maddesinde “Destek Hizmetleri” departmanına ait “İhale Dosyası Oluşturma” süreci kapsamında işlenen “Adres Bilgisi” nin veri kategorisi olarak “Lokasyon” belirlenmiştir. Adres bilgisinin işlenmesine örnek olarak yalnızca bu maddenin yer aldığı Rehber’i esas alan veri sorumluları tarafından hazırlanan/hazırlanacak envanterlerde, adres bilgisi için “Lokasyon” veri kategorisinin işaretlenmesi riski doğmaktadır.

İkinci olarak, duyurulan ihlâl bildirimlerinin bir çoğunda “lokasyon” veya “konum” verilerine de yer verilmekle birlikte, Animoto tarafından yapılan ve KVK Kurulu tarafından duyurulan ihlâl bildiriminde “yüksek seviye coğrafi konum bilgisi (şehir ve ülkeye denk gelecek şekilde)” ifadesi bulunmaktadır. “Yüksek seviye coğrafi konum bilgisi” ile ne kastedilmek istendiği anlaşılmamakla birlikte parantez içerisindeki açıklamadan, müşterilerin ihlâl edilen verileri arasında firma ile paylaştıkları şehir ve ülke bilgilerinin de bulunduğu düşünülmektedir.

Sonuç olarak, bu kavramların günlük hayattaki karşılıkları ile yukarıda değinilen iki kullanımın (Kılavuz ve Karar), lokasyon verisinin yanlış anlaşılmasına sebep olduğu değerlendirilmektedir.

Karışıklığın Muhtemel Çözümleri

Kişisel Veri İşleme Envanteri Hazırlama Rehberi’nde sehven yazıldığı düşünülen ilgili maddede “Lokasyon” olarak belirtilen veri kategorisinin “İletişim” olarak revize edilmesi hâlinde karışıklığa sebebiyet veren durumun ortadan kalkacağı,

Ayrıca mevzuatın uygulanması ve yorumlanmasına ışık tutan KVK Kurulu kararlarında, terminolojiye riayet edilmesi hususunda daha hassas davranılması hâlinde benzer karışıklıkların önüne geçilebileceği değerlendirilmektedir.

Cevaplayın