Son dönemde göz attığım KVK metinlerinde sıklıkla tesadüf etmekte olduğum “veri sahibi” terimi, okuyucuya ilettiği sezgisel anlama karşılık kişisel verilerin korunması hukukunda aslında karşılığı bulunmayan bir kavrama işaret etmektedir. Bu durum yalnızca ulusal hukukumuza özgü değildir; Avrupa hukukunun gelişim çizgisi incelendiğinde veri sahipliğinin pozitif hukukta tanımlanmaktan özellikle kaçınılan bir kavram olduğu; daha doğrusu, böyle bir kavramın aslında var olmadığı görülür. Mevzuatta geçmeyen, fakat örneğin konusu veri işlemeyi gerektiren sözleşmelerde, KVK’ya ilişkin politika veya aydınlatma metinlerinde sıklıkla kullanılan bu ifade, aslında hukuki bir statüyü değil veri üzerindeki fiilî kontrolü anlatan bir kısaltma işlevi görmektedir. Bu nedenle “veri sahibi” teriminin kullanımı aslında açıklayıcı olmaktan çok yönlendiricidir; okuyucunun zihninde “mülkiyet” çağrışımı yapar.
Oysa 6698 sayılı Kişisel Verilerin Korunması Kanunu “kişisel verinin” kime ait olduğunu belirlemekle ilgilenmez; verinin hangi şartlarla işlenebileceğini düzenler. Kişisel veri, hukuki anlamda bir (ayni) hak nesnesi değil, bir işleme faaliyetinin konusu olarak ele alınır. Kanun’daki bu tercih tesadüfi değildir; kişisel verinin niteliği klasik ayni hak kategorileriyle bağdaşmaz.
Kişisel veri (aslında kişisel olsun ya da olmasın tüm veriler), fiziksel varlıklardan farklı olarak kullanımda rekabete tabi değildir; aynı veri aynı anda sınırsız sayıda kişi tarafından kullanılabilir ve bu kullanım başkalarının kullanım imkânını ortadan kaldırmaz. Ayrıca veri dışlanabilir nitelikte değildir; özellikle dijital ortamda bir kez erişilebilir hâle geldiğinde başkalarının kullanımını fiilen engellemek çoğu durumda mümkün değildir. Nihayet veri tüketilemez mahiyettedir; kopyalanması onu azaltmaz, aksine çoğaltır ve değerini ortadan kaldırmaz. Bu üçlü karakter, veriyi eşya hukukunun dayandığı dışlama temelli hâkimiyet modelinin dışına çıkarır. Eşya hukukunun en temel ve en kapsayıcı hakkı olan mülkiyet hakkı, sahibinin başkalarını dışlayabildiği varsayımı üzerine kuruludur; veri ise aynı anda birden fazla kişinin kontrolünde ve tasarrufunda bulunabilir. Bu nedenle veri üzerinde mülkiyet kurmaya çalışmak teknik gerçeklikle uyumsuz bir hukuki kurgu olur.
Kişisel verilerin korunması hukuku da bu nedenle mülkiyet yaklaşımını benimsememiştir. ”İlgili kişi”nin sahip olduğu yetkiler ilk bakışta maliğin yetkilerine benzer görünse de nitelik itibarıyla farklıdır. İlgili kişi kendisine ilişkin veriye erişebilir, düzeltilmesini veya imhasını (silinmesini, yok edilmesini veya anonim hâle getirilmesini) isteyebilir; ancak bu talepler mutlak değildir ve hukuki denge mekanizmalarına tabidir. Kanuni saklama yükümlülükleri, üstün kamu yararı, sözleşmesel zorunluluklar veya başkalarının yarışan hakları bu talepleri sınırlayabilir. Daha önemlisi, ilgili kişi bu haklardan tamamen feragat edemez. Bu durum kişisel verinin devredilebilir bir ekonomik değer değil, vazgeçilemez bir temel hak konusu olduğunu gösterir. Bu nedenle ilgili kişinin verisi üzerinde tasarruf yetkisi değil, ”verinin korunmasını talep etme hakkı” bulunmaktadır.
Benzer şekilde ”veri sorumlusu” da verinin sahibi değildir. Veri sorumlusu çoğu zaman kişisel veriyi ekonomik faaliyetinin parçası olarak kullanır; ancak bu kullanım bir serbestlik değil, koşullu ve sınırlı bir yetkidir. Amaçla bağlılık ve sınırlılık ilkesi, veri minimizasyonu, saklama süresi sınırlaması ve güvenlik yükümlülükleri gibi ilkeler ve ödevler veri sorumlusunun veriyi kendi malı olarak değerlendiremeyeceğini ortaya koyar. Veri sorumlusu statüsü bir hâkimiyet değil, sorumluluk pozisyonudur. Hukuki sistem veri üzerinde hak tanımak yerine risk ve yükümlülük tahsis etmiştir.
Eşya hukuku gibi fikri mülkiyet hukuku da çoğu durumda veri sahipliğini kuramaz. Kişisel veriler genellikle yaratıcı faaliyet ürünü değildir; bu nedenle telif korumasına tabi olmazlar. FSEK’te koruma altına alınmış olan veri tabanlarına ilişkin hak ise ancak önemli teknik özellik ve yatırım içeren derlemeler için söz konusu olabilir ve bu hak veri içeriğine değil veri tabanının yapısına yöneliktir. Dolayısıyla bir grup veriyi üreten veya toplayan veri tabanı sahibinin veya yöneticisinin elinde bulundurduğu veriler bakımından “derlediğim için benimdir” iddiası çoğu durumda sağlam bir hukuki dayanak bulamaz.
Özetlemek gerekirse kişisel verilerin korunması hukuku ve bununla ilişkilendirebileceğimiz mevzuat, verinin kime ait olduğunu değil veriye kimlerin hangi şartlarla erişebileceğini düzenlemektedir; mülkiyet hakkı veya hernagi bir diğer ayni hak yaratmak yerine erişim ve kullanım yetkilerini dağıtmaktadır. Böylece veri tek bir özneye tahsis edilen ekonomik varlık olarak değil, farklı aktörler arasında hukuken düzenlenen bir ilişki alanının konusu olarak var olmaktadır. Binlerce yıllık eşya hukuku kavram ve terimleriyle düşünen ve konuşan hukukçuların çağımıza özgü kişisel verilerin korunması hukukunun getirdiği bu paradigma değişimi karşısında, veri hukukunun merkezindeki çözümlenmeye ve dengelenmeye çalışılan sorunun ”verinin kime ait olduğu” değil, ”verinin hangi şartlarda ve nasıl kullanılabileceği” olduğu gerçeğini fark etmesi zor olabilir.
Bu nedenle veri sahipliği ifadesi hukuki bir kategori olmaktan ziyade hatalı ve sezgisel bir metafor olmanın ötesine geçemez. İlgili kişi açısından yanıltıcıdır; çünkü ona kendisine ilişkin kişisel veri üzerinde serbestçe tasarrufta bulunabileceği, hatta isterse devredebileceği bir malı varmış gibi bir izlenim verir. Veri sorumlusu açısından da yanıltıcıdır; çünkü hukuken oldukça sınırlı olan işleme yetkisini doğal bir hakkıymış gibi sunar. Oysa Kıta Avrupası kişisel veri hukukunun amacı veriyi mübadele edilebilir ekonomik değer olmaktan çıkarıp temel hak ve özgürlükler alanına yerleştirmektir. Bu bağlamda veri üzerindeki haklar devredilemez, tamamen ortadan kaldırılamaz ve sözleşmeyle yeniden tasarlanamaz.
Buraya kadar ifade etmeye çalıştıklarım şu şekilde toparlanabilir. Türk kişisel verilerin korunması hukukunda, örnek aldığı AB hukukunda olduğu gibi, veri sahipliği terimi hukuki anlamda kavramsal bir gerçekliği yansıtmaz. Hukukumuz veriyi mülkiyet nesnesi olarak değil düzenlenmiş işlem (işleme) alanının konusu olarak kabul eder. İlgili kişi hak süjesidir, veri sorumlusu yükümlülük taşıyıcısıdır, veri işleyen ise yalnızca teknik faaliyet yürütür. Bu yapı mülkiyet kavramından (ve benzerlerinden) bilinçli bir kopuşu ifade eder. Dolayısıyla kişisel veri koruma hukukunda temel soru verinin kime ait olduğu değil, verinin hangi hukuki sebebe dayanarak ve hangi sınırlar içinde işlenebileceğidir. Bu nedenle veri sahibi teriminin kullanılmaması yalnızca kavramsal doğruluk değil, hukuki gerçekliğin doğru ifade edilmesi bakımından da yerinde olacaktır.