Akademik Veri Yönetim Sistemi
Recep Tayyip Erdoğan Üniversitesi Hukuk Fakültesi Birinci Uluslararası Rize Hukuk Sempozyumu, Rize, Türkiye, 25 - 26 Eylül 2025, sa.37, ss.147-148, (Özet Bildiri)
Teknolojinin gelişmesi, internet kapasitesinde ve hızında çarpıcı bir artış meydana getirmiş bu da internet kullanımı geçmiş yıllar ile mukayese edilemeyecek düzeyde yaygınlaşmasına neden olmuştur. Hatta bu kullanım artık insanların interneti kullanımından, nesnelerin de interneti kullandığı bir duruma evrilmiştir. İnsanoğlunun durmaksızın devinen yapısı pek çok nesneyi internet ile birleştirmek suretiyle akıllandırarak bahse konu nesnenin “her yerden, herkesle, her nesneyle ve her zaman bağlantı” kurmasına imkân sağlamıştır. Bu çalışmada öncelikle kişisel verinin ne olduğundan bahsedilecektir. Akabinde nesnelerin internetinin tanımı, çalışma metodu, örnekleri ve elde edilen veriler üzerinde duracaktır. Çalışmamızın sonunda ise nesnelerin interneti marifetiyle elde edilen verileri niteleyecek ve değerlendirilecektir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade eder şeklinde tanımlamıştır. Nesnelerin interneti marifetiyle elde edilen verilerin, kişisel veri olarak nitelendirilebilmesi için diğer unsurlara sahip olan bir bilginin, gerçek kişi ile ilişkili olması ve gerçek kişiyi belirli veya belirlenebilir kılması gerekir.
Bir bilginin ilgili kişi ile ilgisi doğrudan veya dolaylı olabilir. Bilginin, gerçek kişi ile ilgili olup olmadığının tespitinde bilgi ile ilgili kişi arasında içerik, amaç veya sonuç açılarından bağlantı aranması gerekir. Bu unsurlar birbirine alternatif olduğundan birinin bulunması yeterlidir. Mesela işverenin, işçinin aracına taktığı bir cihaz vasıtasıyla arabadan elde edilen veriler, işçiye ilişkin bilgi edinme amacıyla gerçekleştirildiğinden kişisel veri niteliğini kazanır.
Bir bilginin kişisel veri olarak nitelendirilebilmesi gerçek kişiyi belirli veya belirlenebilir kılmasına bağlıdır. Nesnelerin interneti vasıtasıyla elde edilen pek çok veri gerçek kişi belirli kılmasa da belirlenebilir kılar. Hatırlatıcı ilaç kutusu kullanan birinin, içtiği sabit ilaçlara ilişkin bilginin onu belirlenebilir kılması gibi.
Nesnelerin interneti, tam manası ile tanımı yapılamayan internetle ilişkilendirilebilen her türlü nesneyi kapsamına alan bir kavramdır. Akıllandırılması mümkün her nesne, nesnelerin interneti kapsamına dahil olabilir. Akıllı saatlerden, ilaç içmeyi hatırlatan ilaç kutularına, akıllı evlerden ve akıllı arabalardan, akıllı buzdolaplarına kadar neredeyse her alanda kullanımı mümkündür. Bir buzdolabı internete erişebilir hale getirerek veri üretmeye başladığı anda nesnelerin interneti kapsamına dahil olmaktadır. Bu sayede gerçek kişinin yeme alışkanlıkları, vejetaryen olup olmadığı ya da helal gıdaya dikkat edip etmediği bilgilerine erişilebilir.
Nesnelerin interneti marifetiyle toplanan verilerin elde edilme amacı, ilgili kişinin belirlenebilmesidir. Bu sebeple de toplanan verilerin gerçek kişi ile ilişkili olduğu konusunda dimağlarda bir soru işareti yoktur. Sözgelimi akıllı saatle elde edilen sağlık verileri ya da arabaların internetle bağ kurulması sonucu ortaya çıkan sürüş bilgileri, gerçek kişiler hakkında pek çok bilgi sağlar.
Nesnelerin interneti kapsamına dahil olan cihazlar marifetiyle ilgili kişilerin pek çok verisi elde edilir. Bu verilerin bir kısmı kendi başına anlamsız olsa da diğer veriler ile birleştirildiğinde anlamlı hale gelmektedir. Bir başka deyişle kimi durumda ilgili kişiyi belirli hale getirse de neredeyse her durumda ilgili kişiyi belirlenebilir kılmaktadır.
Gittikçe yaygınlaşan bir kullanım alanına kavuşan nesnelerin interneti marifetiyle elde edilen verilerin kişisel veri olduğunu, şu an kişisel veri teşkil etmeyen verilerin de tekrar veya çapraz işleme gibi çeşitli yollarla kişisel veri niteliğine kavuşmasının mümkün olduğu kanaatine varılmıştır. Bu sebeple de nesnelerin interneti marifetiyle elde edilen ham verilerin de kişisel veri gibi korunması gerektiği düşünülmektedir.
The advancement of technology has led to a striking increase in internet capacity and speed, resulting in a level of use far beyond that of previous decades. This development has transformed the internet from a tool used exclusively by humans into a phenomenon in which objects themselves are also interconnected. The ever-changing nature of humankind has enabled numerous objects to become “smart,” allowing them to establish connections anytime, anywhere, with anyone and anything.
This study first outlines the concept of personal data, then examines the definition, functioning, and examples of the Internet of Things (IoT), together with the data it generates. Finally, it assesses whether such data should be classified as personal data under data protection law.
Law No. 6698 on the Protection of Personal Data (KVKK) defines personal data as “any information relating to an identified or identifiable natural person.” For IoT-derived data to fall within this definition, it must relate to a natural person and render that person either identified or identifiable.
The link between the data and the individual may be direct or indirect. Determining whether data concerns a person requires evaluating the connection in terms of content, purpose, or outcome; the presence of any one of these is sufficient. For example, data obtained from a device installed by an employer in an employee’s car constitutes personal data, as it serves the purpose of monitoring the employee.
Information qualifies as personal data when it identifies or makes an individual identifiable. While much IoT data may not directly identify a person, it frequently becomes identifying when combined with other datasets—for instance, the information produced by a reminder-enabled pillbox about the regular use of certain medication.
IoT is a broad concept encompassing virtually any object capable of connecting to the internet. Smartwatches, medical devices, smart homes and cars, as well as internet-enabled refrigerators all fall within its scope. Once a refrigerator begins transmitting data online, it may reveal dietary habits, vegetarian preferences, or adherence to religious dietary restrictions.
The purpose of data collection through IoT devices is often to identify or profile individuals, leaving little doubt that such data is linked to natural persons. Health data obtained from smartwatches or driving data collected from connected vehicles, for instance, provide significant insights into individuals. Even data that may appear meaningless in isolation often becomes revealing when cross-referenced or aggregated.
Consequently, IoT-generated data should be considered personal data. Moreover, information that does not currently qualify may acquire such a nature through repetition, aggregation, or cross-processing. Therefore, even raw data produced by IoT devices ought to be safeguarded under the same protections afforded to personal data.