İçeriğe geç

Anahtar Çıkarımlar

  1. Kişisel veri, kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgidir; yalnızca ad-soyad değil, IP adresi, konum ve çerez kimliği gibi dolaylı tanımlayıcıları da kapsar.
  2. Kişisel veri yalnızca gerçek kişileri korur; tüzel kişilere (şirketler) ait bilgiler bu tanımın dışındadır.
  3. Özel nitelikli kişisel veri (sağlık, din, biyometrik, cinsel hayat gibi) daha yüksek risk taşır ve KVKK'da çok daha katı koşullarla işlenir.
  4. Veri işleme; toplama, kaydetme, saklama, aktarma ve silme dahil kişisel veri üzerindeki her işlemi kapsar ve mutlaka bir hukuki sebebe dayanmalıdır.
  5. Türkiye'de kişisel veri KVKK ile korunur; aydınlatma yükümlülüğü, açık rıza ve veri güvenliği en temel yükümlülüklerdir ve yapay zeka sistemlerinde de aynen geçerlidir.

Kişisel Veri Nedir? KVKK, Türleri ve Yapay Zeka Çağında Korunması

Kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgidir. Bu rehber: net tanım, kişisel veri neden önemli, KVKK kapsamı, özel nitelikli kişisel veri, veri işleme, aydınlatma yükümlülüğü, yapay zeka ve LLM'lerle ilişkisi, sınırlar ve sık sorulan sorular.

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

Kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgidir. Yani bir bilgi, tek başına ya da başka verilerle birleştirildiğinde belirli bir insanı işaret ediyorsa, o bilgi kişisel veridir.

Çoğu kişi kişisel veriyi yalnızca ad-soyad ve TC kimlik numarasıyla eşleştirir; oysa tanım çok daha geniştir. IP adresi, konum, çerez kimliği, ses kaydı ve hatta bir alışveriş geçmişi de bir kişiyi belirlenebilir kıldığında kişisel veri sayılır. Bu rehber kişisel veri nedir, neden önemlidir, KVKK kapsamında nasıl korunur, özel nitelikli kişisel veri ile farkı nedir ve yapay zeka çağında neye dikkat etmek gerektiğini ele alıyor.

Tanım
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgi. Ad, TC kimlik numarası ve e-posta gibi doğrudan tanımlayıcıların yanı sıra IP adresi, konum ve çerez kimliği gibi tek başına veya başka verilerle birleştirildiğinde bir kişiyi işaret eden dolaylı bilgiler de kişisel veridir. Türkiye'de KVKK (6698 sayılı Kanun) ile korunur.
Ayrıca: Kişisel bilgi, personal data, PII, KVKK kapsamındaki veri

Kişisel Veri Neden Önemli?

Kişisel veri, dijital ekonominin en değerli hammaddesidir; ancak aynı zamanda kişinin özel hayatına açılan bir kapıdır. Bir kişinin nerede yaşadığı, neye tıkladığı, hangi hastalığı olduğu veya kime oy verdiği; yanlış ellerde ayrımcılığa, dolandırıcılığa ve mahremiyet ihlaline dönüşebilir. Bu yüzden kişisel veriyi korumak yalnızca teknik değil, temel bir hak meselesidir.

Kurumlar açısından ise kişisel veri hem fırsat hem yükümlülüktür. Doğru kullanıldığında daha iyi ürün ve hizmet sağlar; yanlış yönetildiğinde ise idari para cezaları, itibar kaybı ve hukuki sorumluluk getirir. Türkiye'de kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile koruma altındadır ve bu kanuna uyum artık her ölçekten kurum için zorunludur. Yapay zeka sistemlerinin yaygınlaşması bu önemi daha da artırmıştır, çünkü bu sistemler tam da büyük ölçekli veri işleme üzerine kuruludur.

Kişisel Veri Nasıl Belirlenir? Belirli ve Belirlenebilir Kişi

Bir bilginin kişisel veri olup olmadığını anlamak için tek soru yeterlidir: bu bilgi, doğrudan veya dolaylı olarak bir gerçek kişiye bağlanabilir mi? Cevap evet ise, o bilgi kişisel veridir. Burada iki kavram kritiktir: "belirli kişi" ve "belirlenebilir kişi".

Belirli kişi, bilginin doğrudan işaret ettiği kişidir; örneğin ad-soyad ya da TC kimlik numarası tek başına kişiyi belirler. Belirlenebilir kişi ise, tek başına anonim görünen ama başka verilerle birleştirildiğinde kimliği açığa çıkarabilen durumdur. Bir posta kodu, doğum tarihi ve cinsiyet ayrı ayrı zayıf görünse de, birlikte çoğu zaman tek bir kişiyi işaret eder. Kişisel veri tanımının bu kadar geniş olmasının nedeni budur: modern veri dünyasında "anonim" sanılan pek çok bilgi aslında belirlenebilirdir.

Belirlenebilirlik testinde önemli bir nokta, "makul çaba" ölçütüdür: bir kişiye ulaşmak için gereken ek verinin, teknik imkanların ve maliyetin makul ölçüde erişilebilir olup olmadığına bakılır. Bugün büyük veri kümelerinin ve güçlü eşleştirme tekniklerinin yaygınlaşması, bu makul çaba eşiğini sürekli düşürmektedir; yani on yıl önce anonim sayılabilecek bir veri, bugün başka kaynaklarla kolayca eşleştirilerek kişisel veriye dönüşebilir. Bu yüzden kişisel veri değerlendirmesi statik değil, teknolojiye ve mevcut veri ekosistemine göre yeniden yapılması gereken dinamik bir değerlendirmedir.

Kişisel Veri Türleri Nelerdir?

Kişisel veri tek tip değildir; taşıdığı risk ve tabi olduğu kurallar bakımından farklı kategorilere ayrılır. Bu ayrımı görmek, hem KVKK uyumunu hem de yapay zeka sistemlerinde veri yönetimini doğru kurmanın temelidir.

Kişisel veri türleri ve örnekleri
TürTanımÖrnek
Doğrudan tanımlayıcıKişiyi tek başına belirleyen veriAd-soyad, TC kimlik no, pasaport no
Dolaylı tanımlayıcıBaşka veriyle birleşince kişiyi işaret eden veriIP adresi, konum, çerez kimliği, cihaz kimliği
İletişim verisiKişiye ulaşmayı sağlayan veriE-posta, telefon numarası, adres
Özel nitelikli kişisel veriİhlali daha ağır zarar veren hassas veriSağlık, din, biyometrik, cinsel hayat, ceza mahkumiyeti
Davranışsal veriKişinin eylemlerinden türeyen veriGezinme geçmişi, satın alma, tıklama kaydı

Bu tabloda en çok özen isteyen satır, özel nitelikli kişisel veridir. Bir e-posta adresinin sızması can sıkıcıdır; bir sağlık ya da din bilgisinin sızması ise ayrımcılığa yol açabilecek bir ihlaldir. KVKK bu ayrımı ciddiye alır ve özel nitelikli veriyi çok daha katı koşullara bağlar.

Özel Nitelikli Kişisel Veri Nedir?

Özel nitelikli kişisel veri (hassas veri), ihlali kişiye orantısız zarar verebileceği için kanunun özel koruma altına aldığı veri kategorisidir. KVKK'ya göre bu kategori; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini veya mezhebi, kılık kıyafeti, dernek-vakıf-sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ile biyometrik ve genetik verilerini kapsar.

Bu verinin işlenmesi ana kişisel veriye göre çok daha zordur. Kural olarak özel nitelikli kişisel veri, ilgili kişinin açık rızası olmadan işlenemez; sağlık ve cinsel hayat gibi bazı kategoriler için ise açık rıza dışındaki istisnalar da oldukça sınırlıdır. Ayrıca Kişisel Verileri Koruma Kurulu'nun belirlediği ek güvenlik tedbirleri uygulanmalıdır. Yapay zeka açısından bu kritik bir uyarıdır: bir modele sağlık kayıtları veya biyometrik veri gibi özel nitelikli kişisel veri verildiğinde, sıradan bir veri kümesinden çok daha yüksek bir hukuki eşik devreye girer.

Veri İşleme Nedir? Aydınlatma Yükümlülüğü ve Hukuki Sebep

Kişisel veriyle ilgili en yaygın yanlış anlama, "işlemenin" yalnızca veri toplamak olduğunu sanmaktır. Oysa veri işleme, kişisel veri üzerindeki neredeyse her eylemi kapsar: toplama, kaydetme, düzenleme, saklama, değiştirme, aktarma, sınıflandırma ve silme dahil. Bir kişinin e-postasını bir tabloda tutmak bile bir veri işleme faaliyetidir.

Bu noktada aydınlatma yükümlülüğü devreye girer. Kişisel veri işleyen her veri sorumlusu, ilgili kişiyi; hangi verinin, hangi amaçla, hangi hukuki sebeple işlendiği, kime aktarılacağı ve kişinin hakları konusunda önceden bilgilendirmek zorundadır. Aydınlatma yükümlülüğü, açık rızadan ayrı ve ondan önce gelen bir yükümlülüktür: rıza alınmasa bile, kişinin ne olup bittiğini bilme hakkı korunur. Web sitelerindeki "gizlilik politikası" ve "aydınlatma metni" tam da bu yükümlülüğün karşılığıdır.

Kişisel Veri ve Yapay Zeka: LLM'ler ve Veri Güvenliği

Yapay zeka, kişisel veri tartışmasını yeni bir boyuta taşıdı. Büyük dil modelleri (bkz. LLM nedir) devasa metin yığınlarıyla eğitilir ve bu yığınlarda kişisel veri bulunabilir. Aynı şekilde, bir kullanıcı bir sohbet botuna müşteri adı, e-posta veya sağlık bilgisi yazdığında, bu da bir veri işleme faaliyetidir ve KVKK kapsamına girer.

Bu yüzden yapay zeka projelerinde birkaç ilke baştan tasarlanmalıdır: veri minimizasyonu (yalnızca gereken kadar veri işlemek), amaçla sınırlılık, mümkün olduğunda anonimleştirme ve güçlü veri güvenliği. Özellikle token düzeyinde işlenen metinlerin ve prompt içeriklerinin nereye gittiği, hangi sağlayıcıda saklandığı ve kimin eriştiği net olmalıdır. Kurumsal bir yapay zeka sistemi, özellikle RAG gibi kurumsal belgeleri işleyen mimarilerde, erişim kontrolü ve KVKK uyumu düşünülmeden kurulursa, tüm kişisel veriyi risk altına atabilir.

Kişisel veriyi yapay zeka sistemlerinde güvenle işlemenin yolu, uyumu sonradan eklenen bir katman değil, mimarinin bir parçası yapmaktır. Bu dengeyi kurmak için KVKK nedir rehberine ve kurumsal RAG sistemleri çözümüne göz atabilirsiniz.

Kişisel Veri, KVKK ve GDPR Arasındaki Fark Nedir?

Kişisel veriyi düzenleyen tek bir kanun yoktur; hangi coğrafyada faaliyet gösterdiğinize göre farklı çerçeveler devreye girer. Türkiye'de temel çerçeve KVKK'dır; Avrupa Birliği'nde ise GDPR (bkz. GDPR nedir) geçerlidir. İkisi büyük ölçüde benzer felsefeyi paylaşır ama önemli farkları vardır.

Kişisel veri koruma çerçeveleri: KVKK ve GDPR
BoyutKVKK (Türkiye)GDPR (AB)
KapsamTürkiye'de veri işleyen kurumlarAB'deki kişilerin verisini işleyen herkes
Korunan özneYalnızca gerçek kişilerYalnızca gerçek kişiler
Denetim organıKişisel Verileri Koruma Kurumu (KVKK)Ulusal veri koruma otoriteleri
İdari para cezasıKanunda belirlenen üst sınırlarGlobal ciroya oranlı, çok yüksek olabilir

Pratik sonuç şudur: yalnızca Türkiye'de faaliyet gösteren bir kurum için KVKK yeterli çerçevedir; ancak AB'deki kişilere hizmet veren veya veri işleyen bir kurum, KVKK'ya ek olarak GDPR yükümlülüklerini de karşılamak zorundadır. Kişisel veri konusunda "tek bir global kural var" varsayımı, en yaygın uyum hatalarından biridir.

Kişisel Veride Sık Yapılan Hatalar ve Sınırlar

Kişisel veri kavramı geniş olduğu için, iyi niyetli kurumlar bile sık sık aynı hatalara düşer. Bu hataların çoğu, tanımın sınırlarını yanlış anlamaktan kaynaklanır:

  • "Anonim" sanılan verinin aslında belirlenebilir olması: Maskeleme veya takma ad kullanmak çoğu zaman geri döndürülebilir; gerçek anonimleştirme değildir ve veri hala korunmalıdır.
  • Dolaylı tanımlayıcıları göz ardı etmek: IP adresi, konum ve çerez kimliği gibi verilerin kişisel veri olmadığını sanmak yaygın bir yanılgıdır.
  • Aydınlatma yükümlülüğünü açık rıza ile karıştırmak: İkisi ayrı yükümlülüklerdir; aydınlatma her durumda gerekirken, açık rıza yalnızca belirli işleme sebeplerinde gerekir.
  • Özel nitelikli veriyi sıradan veri gibi işlemek: Sağlık veya biyometrik veriyi normal bir alan gibi ele almak, en ağır ihlallerden birine yol açar.

Bir başka yaygın sınır hatası, kişisel veriyi yalnızca yapılandırılmış veritabanı kayıtlarıyla eşleştirmektir. Oysa serbest metin notları, e-posta yazışmaları, çağrı merkezi ses kayıtları, güvenlik kamerası görüntüleri ve log dosyaları da kişisel veri içerebilir. Özellikle yapay zeka çağında modele beslenen ham metinlerin ve büyük veri yığınlarının içinde gözden kaçan kişisel veri bulunması, en sık karşılaşılan uyum açığıdır. Veri envanteri çıkarırken bu yapılandırılmamış kaynakların da taranması gerekir.

Bu sınırların bilincinde olmak, hem hukuki riski azaltır hem de yapay zeka sistemlerini baştan doğru tasarlamayı sağlar. Kişisel veri korumasını bir engel değil, güvenilir sistem tasarımının bir parçası olarak görmek en sağlıklı yaklaşımdır; iyi tasarlanmış bir uyum çerçevesi, veri işleme faaliyetlerini yavaşlatmak yerine onları güvenilir ve ölçeklenebilir kılar.

Sıkça Sorulan Sorular

IP adresi kişisel veri midir?

Evet. IP adresi, tek başına veya başka verilerle birleştirildiğinde bir kişiyi belirlenebilir kıldığı için kişisel veri sayılır. Aynı mantık çerez kimlikleri, cihaz kimlikleri ve konum verisi için de geçerlidir; bunlar dolaylı tanımlayıcılar olarak KVKK kapsamındadır.

Kişisel veri ile özel nitelikli kişisel veri arasındaki fark nedir?

Kişisel veri, bir kişiyi belirli veya belirlenebilir kılan her türlü bilgidir. Özel nitelikli kişisel veri ise bunun ihlali kişiye daha ağır zarar verebilen alt kümesidir: sağlık, din, etnik köken, biyometrik ve genetik veri, cinsel hayat gibi. Bu ikinci grup KVKK'da kural olarak açık rıza veya sınırlı istisnalarla, çok daha katı biçimde işlenir.

Şirket bilgileri kişisel veri sayılır mı?

Tüzel kişiye (şirketin kendisine) ait bilgiler kural olarak kişisel veri değildir, çünkü KVKK yalnızca gerçek kişileri korur. Ancak bir çalışanın adı, kurumsal e-postası veya telefonu gibi belirli bir gerçek kişiye bağlanabilen bilgiler kişisel veridir. Yani 'şirket verisi' ile 'şirketteki kişinin verisi' ayrımı önemlidir.

Yapay zeka modelleri kişisel veriyi nasıl etkiler?

Yapay zeka ve büyük dil modelleri, eğitim ve kullanım sırasında büyük miktarda metni işler; bu metinlerde kişisel veri bulunabilir. Bir kullanıcının prompt'a girdiği ad, e-posta veya sağlık bilgisi de veri işleme sayılır. Bu yüzden yapay zeka projelerinde veri minimizasyonu, anonimleştirme ve KVKK uyumu baştan tasarlanmalıdır.

Anonim hale getirilen veri hala kişisel veri midir?

Gerçek anlamda anonimleştirilmiş, yani hiçbir şekilde bir kişiye geri bağlanamayan veri kişisel veri değildir ve KVKK kapsamı dışına çıkar. Ancak kimlik gizleme (maskeleme) veya takma adlaştırma çoğu zaman geri döndürülebilir olduğu için yeterli değildir; bu durumda veri hala kişisel veridir ve korunmaya devam eder.

Kişisel veri işlemek için her zaman açık rıza şart mı?

Hayır. Açık rıza, KVKK'daki hukuki sebeplerden yalnızca biridir. Bir sözleşmenin kurulması, kanuni yükümlülük, meşru menfaat gibi başka hukuki sebepler de veri işlemeyi meşru kılabilir. Ancak özel nitelikli kişisel veride kural daha katıdır ve çoğu durumda açık rıza veya açık bir kanuni istisna gerekir.

Özetle: Kişisel Veri Nedir?

Özetle kişisel veri nedir sorusunun cevabı şudur: kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin, doğrudan ve dolaylı her türlü bilgi. IP adresi ve konumdan sağlık kaydına kadar geniş bir yelpazeyi kapsar; özel nitelikli kişisel veri daha katı korunur, her veri işleme bir hukuki sebep ve aydınlatma yükümlülüğü gerektirir ve Türkiye'de tümü KVKK ile güvence altındadır. Yapay zeka çağında bu ilkeler daha da kritiktir. Temel için KVKK nedir ve veri anonimleştirme nedir rehberlerine göz atabilir, kurumsal uyum ve güvenli yapay zeka tasarımı için yapay zeka danışmanlığı ile başlayabilirsiniz.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular