Aydın Adnan Menderes Üniversitesi Öz
Yapay zekâ, günümüzde oldukça sık telaffuz edilmeye başlanan ve birçok disiplin kapsamında ilgi duyulan bir kavram olarak karşımıza çıkmaktadır. Bu durumun temel nedenlerinden birinin yapay zekâ uygulamalarının pek çok alanda gündelik yaşamı şekillendiren ve aynı zamanda değiştiren bir araca dönüşmesi olduğunu söylemek mümkündür. Ancak bir yandan yaşamı kolaylaştıran yapıcı gücü ile gündeme gelen yapay zekâ uygulamaları diğer yandan pek çok alana/konuya ilişkin barındırdığı potansiyel risk ve tehlikeler ile de farklı disiplinlerin tartışmaları arasında yer almaktadır. Bu kapsamda, yapay zekâ uygulamalarının günümüzde pek çok ülkede anayasal bir hak olarak tanımlanan kişisel verilerin korunması hakkına bir engel teşkil edebileceği ve/veya zarar verebileceği dile getirilen konular arasında yer almaktadır. Genel amaçlı uygulamaların yanı sıra, kişiselleştirilmiş hizmet sunan yapay zekâ uygulamalarının kullanıcılarının ihtiyaçlarına ve isteklerine hitap etmek, davranışlarını ve tercihlerini öğrenerek kişiselleştirilmiş ürün/hizmet sunmak için ihtiyaç duyduğu en önemli ve temel kaynağın kişisel veri olduğunu söylemek mümkündür. Bu noktada, bu tür uygulamaların tasarlanmasında ve işleyişinde kişisel verilerin korunması konusunda ne tür önlemler alındığı ve bu konuya ne kadar hassasiyet gösterildiği akla gelmektedir. Bu çalışmada yapay zekâ uygulamalarının gündelik hayatın farklı alanlarında kullanılmasıyla birlikte günümüzde birçok tartışmanın odak noktası haline gelen yapay zekâ ve kişisel verilerin korunması konuları ele alınmıştır. Çalışma kapsamında, yapay zekâ uygulamalarının, bireyin temel bir hakkı olarak değerlendirilen kişisel verilerin korunmasına ne tür etkileri olabileceğini farklı bakış açıları ile irdeleyen bilimsel çalışmalar literatür analizi yapılarak incelenmiştir. Bu kapsamda Avrupa Birliği Genel Veri Koruma Tüzüğü’nün kişisel verilerin korunması hakkına ilişkin temel prensipleri ve düzenlemeleri açıklanmış, bu bağlamda yapay zekâ uygulamalarının kişisel verilerin korunması hakkına ilişkin barındırdığı potansiyel risk ve tehlikelere dikkat çekilmiştir.
Anahtar Kelimeler: Yapay zekâ, kişisel verilerin korunması, mahremiyet Abstract
Artificial intelligence, or AI, is one of the concepts that have been mentioned quite frequently and is of interest to many disciplines of our times. One of the main reasons for this situation is that AI is one of the most promising technologies that have changed and shaped human life. However, on the one hand, AI applications hold the potential to be a major driver for making life easier, but on the other hand they are a matter for debates of many disciplines with their potential risks and dangers related
to many areas / subjects. In this respect, it is stated that AI applications may become a challenge for personal data protection, which is accepted as a constitutional right in many countries today. Although not all AI applications involve the processing of personal data, most of them, which provide personalized products / services, utilize personal data in order to address the needs and wishes of their users by learning their behaviors and preferences. At this point, it is possible to think that what kind of precautions are taken and how much sensitivity is shown for personal data protection in the design and operation of such applications. This study elaborates on the use AI applications in different areas of daily life in connection with the personal data protection, which have become the focus of many discussions today. In this scope, the studies that investigate the effects of AI applications on the personal data protection are examined through literature analysis. In the study, the principles of data protection and the articles of the European Union General Data Protection Regulation (GDPR) that are relevant to the use of AI applications are reviewed, and in this respect the potential risks and dangers posed by AI applications regarding the right to personal data protection are examined.
Keywords: Artificial intelligence, personal data protection, privacy 1. Giriş
Yapay zekâ, günümüzde oldukça sık telaffuz edilmeye başlanan ve birçok disiplin kapsamında ilgi duyulan bir kavram olarak karşımıza çıkmaktadır. Bu durumun temel nedenlerinden birinin yapay zekâ uygulamalarının pek çok alanda gündelik yaşamı şekillendiren ve aynı zamanda değiştiren bir araca dönüşmesi olduğunu söylemek mümkündür (National Science and Technology Council, 2016, s. 3). Bu kapsamda sesle çalışan kişisel asistanlardan sağlık sektöründe kullanılan tıbbi karar destek sistemlerine, trafik verilerini analiz ederek kendi kendini kullanabilen otonom araç sürüş sistemlerinden kullanıcı davranışlarını ve tercihlerini öğrenen algoritmalar ile kişiye özel içerik sunan arama motoru vb. çevrimiçi araçlara kadar birçok alanda geniş bir yelpazeye yayılan potansiyeli ile yapay zekâ uygulamaları dikkat çekmektedir (World Intellectual Property Organization, 2019, s. 26-27). Bahsi geçen bu tür ve benzeri uygulamalar ile bir yandan yaşamı kolaylaştıran yapıcı gücü ile gündeme gelen yapay zekâ uygulamalarının diğer yandan pek çok alana/konuya ilişkin barındırdığı potansiyel risk ve tehlikeler ile de farklı disiplinlerin tartışmaları arasında yer aldığını söylemek mümkündür (Brundage ve diğerleri, 2018, s. 9-11). Bu tür olası risk ve tehlikelerden bazıları, yapay zekâ uygulamalarının sahip olduğu ifade edilen insanüstü güce/zekâya bağlı olarak yakın gelecekte işgücü piyasası başta olmak üzere pek çok alanda insan gücüne ihtiyaç duyulmayan toplumsal bir yapının doğacağı yönündeki endişeler ile ilişkilendirilmektedir (Grace, Salvatier, Dafoe, Zhang ve Evans, 2018; Smith ve Anderson, 2017; World Economic Forum, 2018). Bununla birlikte, doğru/dikkatli planlanmadığı ve yönetilmediği takdirde yapay zekâ uygulamalarının yasal ve etik açıdan birtakım tehlikeleri de beraberinde getireceği akademik ve politik çevrelerde
küresel boyutta tartışılmaya başlanmıştır (Agency for Digital Italy, 2018, s. 26; Brundage ve diğerleri, 2018, s. 9-10; Cath, 2018; Cerka, Grigiene ve Sirbikyte, 2017, s. 686; Mittelstadt, 2019, s. 1). Yapay zekâ uygulamalarının, günümüzde pek çok ülkede anayasal bir hak olarak tanımlanan kişisel verilerin korunması hakkına bir engel teşkil edebileceği ve/veya zarar verebileceği de bu tartışmalarda dile getirilen konular arasında yer almaktadır (Datatilsynet, 2018; ICO [Information Commissioner's Office], 2017; Kemp, 2018).
Herhangi bir kişiyle ilişkilendirilmemiş verileri kullanan yapay zekâ uygulamaları olmakla birlikte (Butterworth, 2018, s. 258); akıllı asistanlar, sohbet robotları veya öneri motorları gibi kişisel ve/veya kişiselleştirilmiş hizmet sunan birçok uygulamanın kendisinden beklenilen hizmeti gerçekleştirebilmesi için gerekli unsurlardan en temel ve önemli olanının kişisel veri olduğunu söylemek mümkündür (Datatilsynet, 2018, s. 5). Bu noktada, bu tür uygulamaların tasarlanmasında ve işleyişinde kişisel verilerin korunması hakkına ilişkin ne tür önlemler alındığı ve/veya bu konuya ne kadar hassasiyet gösterildiği akla gelmektedir.
Bu çalışmada yapay zekâ uygulamalarının gündelik hayatın farklı alanlarında kullanılmasıyla birlikte günümüzde birçok tartışmanın odak noktası haline gelen yapay zekâ ve kişisel verilerin korunması konuları ele alınmıştır. Çalışma kapsamında, yapay zekâ uygulamalarının, bireyin temel bir hakkı olarak değerlendirilen kişisel verilerin korunmasına ne tür etkileri olabileceğini farklı bakış açıları ile irdeleyen bilimsel çalışmalar literatür analizi yapılarak incelenmiştir. Bu kapsamda öncelikle 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation [GDPR])’nün kişisel verilerin korunması hakkına ilişkin temel prensipleri ve düzenlemeleri açıklanmıştır. Ardından kişisel verilerin yapay zekâ uygulamaları tarafından nasıl işlendiği incelenerek, bu bağlamda uygulamaların kişisel verilerin korunması hakkına ilişkin barındırdığı potansiyel risk ve tehlikelere dikkat çekilmiştir. Çalışma sonunda ise günümüzde pek çok yapay zekâ uygulamasının işleyişi için temel unsur olan kişisel verilerin bu hakkın ihlal edilmeden nasıl işlenebileceğine ilişkin önerilere yer verilmiştir. Bu çalışmanın, kişisel verilerin elektronik ortamda nasıl korunacağına ve gelişen teknolojiler ile birlikte yasal düzenlemelerin nasıl uyumlaştırılacağına ilişkin tartışmalara da yeni ve farklı bir boyut kazandıracağı öngörülmektedir.
2. Yapay Zekâ Uygulamaları ve Kişisel Verilerin Korunması
Yapay zekâ uygulamalarının son yıllardaki hızlı evriminin temelinde yer alan verileştirme (datafication) süreci ile birlikte, giderek daha fazla miktarda kişisel verinin bu tür uygulamaların hem kaynağı hem de hedefi haline dönüştüğünü söylemek mümkündür (Mantelero, 2019, s. 3; Mitrou, 2019, s.
4). En basit haliyle verileştirme kavramı, verinin anlamlandırılması amacıyla analiz edilebilir ve ölçülebilir/nicel bir formata dönüştürülmesi şeklinde tanımlanmaktadır (Mayer-Schönberger ve Cukier, 2013, s. 78). Genel olarak verileştirme büyük veri analizi ile gündeme gelen bir süreç olsa da yapay zekânın kullanımı ile birlikte günümüzde verileştirmenin kişinin davranışlarının veya tercihlerinin tahmin edilmesi amacıyla kişisel verilerin işlenmesini kapsayan bir süreci tanımlamak amacıyla kullanıldığı görülmektedir. Kişiye özgü hizmet sunmanın bir yolu olarak kullanılan bu durumun neticesinde verileştirme temelinde kişinin günlük etkileşimlerini ve etkinliklerini gerçek zamanlı olarak izleyen ve bu yöntemle elde edilen kişisel verileri tahmine dayalı analizler ile değerlendiren yapay zekâ uygulamaları da gündelik yaşamın sıradan bir parçası haline dönüşmüştür (Acciona I'mnovation, 2017; Mai, 2016). Bu çerçevede kişisel verilerin korunması kapsamında yapay zekâ uygulamalarına ilişkin farklı görüşler bulunmakta; bu uygulamaların büyük şirketlerin pazarda liderlik ve öncülük gibi hedefleri uğruna kişinin temel hakları gözetilmeksizin sadece veri işlemeye odaklanılarak tasarlandığı dile getirilmektedir (Mantelero, 2019, s. 3-4). Ancak, kişisel verilerin korunması hakkının yerel/ulusal ve uluslararası yasal düzenlemeler ile kişinin temel hak ve özgürlükleri kapsamında değerlendirilmesi, yapay zekâ uygulamalarının da bu hakkı gözeterek ve ilgili yasal düzenlemeler dikkate alınarak tasarlanmasının gerekliliğini ortaya koymaktadır.
Bu noktada, yapay zekâ uygulamalarının kişisel verilerin korunması hakkına olası etkilerinin değerlendirilebilmesi amacıyla kişisel verilerin ulusal ve uluslararası hukuk mevzuatı kapsamında nasıl ele alındığının ve korunduğunun anlaşılması konunun detaylandırılması açısından önem taşımaktadır.
2.1. Kişisel Veri ve Kişisel Verilerin Korunması Hakkı
Kişisel verilerin korunması bireyin temel hak ve özgürlükleri kapsamında değerlendirilmekte, birçok ülkede bireyin özel hayatının gizliliğine ve mahremiyetine ilişkin anayasal bir hak olarak kabul edilmektedir (European Data Protection Supervisor [EDPS], 2017). Kişisel verilerin korunmasına ilişkin küresel çapta herhangi yasal bağlayıcı bir unsur ve denetim mekanizması olmamakla birlikte Avrupa Birliği’nin 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation [GDPR]) kişisel verilerin korunması alanında Avrupa Birliği üye ülkelerinin yanı sıra, tüm dünyada kabul gören bir çerçeve plan sunmaktadır. Söz konusu bu tüzüğün “Tanımlar” başlığı altında yer alan 4/1 maddesinde kişisel veri, “kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü veri” olarak tanımlamaktadır (European Union, 2016, s. 33). Bu tanım doğrultusunda bireyin fiziksel, psikolojik, genetik, zihinsel, ekonomik, kültürel veya toplumsal kimliğine özgü bir veya daha fazla etkene atıfta
bulunarak doğrudan veya dolaylı olarak bireyi tanımlayan her türlü veri kişisel veri olarak değerlendirilmektedir. Bu kapsamda kişisel veri, ilgili bireyin kimliğini doğrudan ortaya koyan verileri içerebileceği gibi bireyin kimliğini doğrudan göstermeyen ancak herhangi bir başka veriyle/kayıtla ilişkilendirilmesi sonucunda bireyin kimliğinin belirlenmesini sağlayan tüm verileri de içermektedir. Buna göre; bireyin ismi, soy ismi, kimlik numarası, doğum tarihi, doğum yeri gibi bireyin kimliğini ortaya koyan verilerin yanı sıra, motorlu taşıt plakası, sosyal güvenlik numarası, e-posta adresi, ev adresi, IP (internet protokol) adresi, telefon numarası, konum verisi, kişisel sağlık verileri, resim, fotoğraf, görüntü ve ses kayıtları, parmak izleri, özgeçmiş, hobiler, tercihler, etkileşimde bulunulan kişiler ve grup üyelikleri, aile bilgileri gibi bireyi doğrudan veya dolaylı olarak tanımlamayı/belirlemeyi sağlayan veriler de kişisel veri olarak kabul edilmektedir (European Commission, 2018a; Kişisel Verileri Koruma Kurulu, 2018, s. 18). Bu noktada kişisel veri kavramının bireyin ismi, soy ismi gibi kimliği doğrudan belirli kılacak veriler ile sınırlandırılmadığı; bu tür verilere ihtiyaç duyulmaksızın bireyin çevrimiçi ortamda kullandığı cihazlara ve uygulamalara ilişkin veriler ya da bunlar aracılığıyla gerçekleştirdiği davranışlar/etkinlikler gibi sosyal, ekonomik, psikolojik veya diğer bağlamlarda bireyin kimliğini belirli hale getirme ihtimali bulunan IP adresi, çerezler (cookies), radyo frekans tanıma gibi verilerin de bu tanım kapsamında ele alınabileceği gözden kaçırılmamalıdır (European Union, 2016, s. 6; 2019). Nitekim ilgili tüzük kapsamında kişisel veri kavramının tanımı yapılırken, kişisel verilerin korunmasına ilişkin yasal düzenlemelerde sıklıkla atıfta bulunulan Avrupa Komisyonu 29. Madde Çalışma Grubu’nun18
4/2007 sayılı görüşünün (Art. 29 WP, 2007, s. 4) temel alındığı görülmektedir. Bu doğrultuda ilgili tüzük kapsamında kavramın sınırlarının oldukça geniş tutulduğunu, hangi verilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğini, bireyi tanımlayabilecek veya bireyle ilişkilendirilebilecek her türlü verinin kişisel veri olarak değerlendirildiğini söylemek mümkündür.
Kişisel verilerin korunması hakkının özünde bireyin kişiliğinin korunması yer almaktadır. Özel hayatın gizliliği ve mahremiyet hakkının özel bir biçimi olarak kabul edilen bu hak, bireyin onur ve şahsiyetinin korunması ve kişiliğini serbestçe geliştirebilmesi için önem taşımaktadır (Kişisel Verileri Koruma Kurulu, 2018, s. 7). Bireyin sahip olduğu en değerli haklardan biri olan mahremiyet oldukça geniş kapsamlı bir kavram olmakla birlikte, kavramın ana direğinin gizlilik olgusu olduğu söylenebilir. Mahremiyet
18 29. Madde Çalışma Grubu, Avrupa Komisyonu’nun 95/46/EC Sayılı Direktif’inin 29’uncu
maddesi uyarınca kurulmuş, veri koruma ve gizlilik konusunda bağımsız bir danışma organıdır. Çalışma Grubu, ilgili direktifin uygulanmasında yaşanılacak sorunları çözmek ve ihtilafa düşülen konularda tavsiye niteliğinde görüş bildirmekle sorumludur (European Commission, 1995, s. 48).
hakkının bireyin özel hayatının gizliliğini korumak amacıyla kendisi ile ilgili bilgileri saklı tutma hakkının yanı sıra, bu bilgilerin kullanımı ve paylaşımı ile ilgili denetim hakkını da ifade etmede kullanıldığı görülmektedir (DeCew, 2018). Bu açıdan kişisel verilerin korunması hakkını, bireye kendisine ilişkin bilgileri kontrol etme yetkisi tanıyarak bu bilgilerin ne zaman, nasıl ve hangi ölçüde diğer kişiler ile paylaşılacağına bireyin kendisinin karar vermesini sağlayan bir hak olarak değerlendirmek mümkündür (EDPS, 2017).
Özel hayatın gizliliği ve mahremiyetin yirminci yüzyılın ortalarından itibaren temel bir insan hakkı olarak evrensel/uluslararası bildiriler ve sözleşmeler ile koruma altına alındığı görülmektedir. Bu hakkın teminat altına alındığı önemli bildirge ve sözleşmeler arasında ise İnsan Hakları Evrensel Bildirgesi (United Nations, 1948), İnsan Hakları ve Temel Özgürlüklerin Korunmasına İlişkin Sözleşme (European Court of Human Rights, 1950) ve Medenî ve Siyasî Haklara İlişkin Uluslararası Sözleşme (United Nations, 1966) yer almaktadır19. Bu belgeler kişisel verilerin korunmasına ilişkin doğrudan bir düzenleme içermemekle birlikte, belgelerde özel hayatın gizliliği hakkı bağlamında kişisel verilerin de hukuken koruma altına alındığını söylemek mümkündür (Yakovleva, 2018, s. 485). Bu noktada, özel hayatın gizliliğinin evrensel bir insan hakkı olarak kabul edilmesine rağmen günümüzde kişisel verilerin korunması hakkına ilişkin küresel çapta herhangi bağlayıcı bir unsurun ve denetim mekanizmasının bulunmadığını (EDPS, 2017); konunun genel olarak bölgesel veya ulusal nitelikte hukuki düzenlemeler yoluyla ele alındığını hatırlatmakta fayda vardır. Farklı ülkelerde kişisel verilerin korunmasına ilişkin yerel/ulusal nitelikte yasal düzenlemeler bulunmakla birlikte, ülkelerin veri koruma kanunlarında genel itibariyle Avrupa Birliği tarafından konuya ilişkin hazırlanan yönergelerin temel alındığı görülmektedir (Commission Nationale de l'Informatique et des Libertés [CNIL], 2019). Bu kapsamda, kişisel verilerin korunması hakkının ele alındığı ilk uluslararası sözleşme olan ve kısaca “Convention 108” / “CoE Convention” veya “108 Sayılı Avrupa Konseyi Sözleşmesi” olarak da bilinen “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşmesi” 1981 yılında Avrupa Konseyi tarafından kabul edilmiş ve 1 Ekim 1985 tarihinde yürürlüğe girmiştir (Council of Europe, 2018). Söz konusu bu sözleşmenin kişisel verilerin korunmasında bir mihenk taşı olduğu kabul edilirken (United Nations, 2016, s. 25-26), Avrupa Parlamentosu ve Avrupa Konseyi tarafından 24 Ekim 1995 tarihinde kabul edilen “95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” bu konuda ön plana çıkmaktadır (s. 32). İlgili direktif ile Avrupa Birliği üye ülkelerinde
19 Özel hayatın gizliliği ve mahremiyet hakkı; İnsan Hakları Evrensel Bildirgesi’nin 12.
Maddesi, İnsan Hakları ve Temel Özgürlüklerin Korunmasına İlişkin Sözleşme’nin 8. Maddesi, Medenî ve Siyasî Haklara İlişkin Uluslararası Sözleşme’nin 17. Maddesi ile düzenlenmektedir.
bireylere kişisel verilerinin korunması hakkı tanınırken (European Commission, 1995, s. 38), aynı zamanda ülkelerin bu direktifi esas olarak hazırlayacakları veri koruma kanunlarının da birbirleri ile uyumlu hale getirilmesi amaçlanmıştır (s. 39). Böylece 95/46/EC Sayılı Direktif, kişisel verilerin korunması alanında tüm dünyada kabul gören bir model/standart olmuştur. Ancak bilgi ve iletişim teknolojilerinde yaşanılan değişim ve gelişmeler, kişisel verilerin korunmasının ilgili direktifin düzenlendiği dönem itibariyle öngörülemeyen yeni bir boyut kazanmasına neden olmuştur. Bu durum direktifin günümüz koşullarında kişisel verilerin korunmasında yetersiz kalmasına neden olurken, direktife ilişkin reform çalışmalarını zorunlu hale getirmiştir (European Commission, 2017; European Union, 2016, s. 2). Bu kapsamda 2012 yılında başlatılan reform çalışmaları neticesinde hazırlanan 2016/679 Sayılı GDPR (European Union, 2016) 24 Mayıs 2016 tarihinde kabul edilerek yürürlüğe girmiştir. Kişisel verilerin korunmasına yönelik yasal düzenlemelerde bir nevi bayrak devri anlamına gelen bu gelişmenin ardından söz konusu tüzük, 95/46/EC Sayılı Direktif’in ilga edilmesiyle birlikte 25 Mayıs 2018 tarihinden itibaren tüm Avrupa Birliği üye ülkelerinde geçerli hale gelmiştir.
Avrupa Birliği bünyesinde 1981 yılından bu yana kişisel verilerin korunması alanında yapılan ve bahsi geçen yasal düzenlemeler ile tüm üye ülkelerde kişisel verilerin belirli ilkeler doğrultusunda ve aynı standartlarda korunmasının hedeflendiğini; ilgili düzenlemelerin aynı zamanda üye olmayan diğer ülkeler için de bir model olacağının öngörüldüğünü söylemek mümkündür. Bu nedenle söz konusu bu çalışma kapsamında; kişisel verilerin korunmasına ilişkin usul ve esaslar ile birlikte bireyin hak ve özgürlüklerinin detaylandırılmasında konuya ilişkin en kapsamlı ve güncel uluslararası belge niteliği taşıyan ve birçok ülkenin iç hukuk uygulamalarına yansımış olan (CNIL, 2019; EDPS, 2018) GDPR temel alınmıştır.
2.2. Kişisel Verilerin İşlenmesindeki Temel İlkeler
GDPR kapsamında kişisel verilerin korunmasında bireyin temel hak ve özgürlüklerinin yanı sıra, kişisel verilerin işlenme şartlarının ve temel ilkelerin ele alındığı görülmektedir. Bu noktada öncelikle kişisel verilerin işlenmesi kavramının ne ifade ettiğini açıklamakta fayda vardır. Tüzüğün “Tanımlar” başlığı altında yer alan 4/2 maddesinde “işleme” kavramı “kişisel verilerin otomatik olan ve/veya olmayan yollarla toplanması, elde edilmesi, kaydedilmesi, depolanması, düzenlenmesi, yapılandırılması, uyarlanması veya değiştirilmesi, açıklanması, aktarılması, yayılması veya kullanıma sunulması, elde edilebilir veya kullanılabilir hale getirilmesi, sınırlandırılması, silinmesi veya imha edilmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlem veya işlem dizisi” şeklinde tanımlamaktadır (European Union, 2016, s. 33). Tüzüğün “İşleme Faaliyetinin Hukuka Uygunluğu” başlıklı 6’ncı maddesinde de kişisel verilerinin yasal bir