Kişisel bilgiler, doğrudan “satış” yoluyla veya reklam, analiz, sigorta, pazarlama ve veri aracılığı ekosistemleri üzerinden üçüncü taraflarla paylaşılabiliyor. Türkiye’de kişisel verilerin aktarımı 6698 sayılı KVKK’ya tabi; açık rıza veya kanunda belirtilen işleme şartları olmadan verilerin keyfî biçimde aktarılması hukuka aykırı olabilir. Dünyada ise veri brokerları, konum verileri, uygulama izinleri, çevrim içi davranışlar ve tüketici profilleri üzerinden büyük bir kişisel veri pazarı oluşturuyor.
Dijitalleşmeyle birlikte kişisel bilgiler artık yalnızca nüfus cüzdanı, adres ya da telefon numarasından ibaret değil. İnternette yaptığımız aramalar, mobil uygulamalara verdiğimiz izinler, konum geçmişimiz, alışveriş tercihlerimiz, sosyal medya beğenilerimiz, araçlarımızdan gelen sürüş verileri ve çerezler üzerinden oluşan davranış profilleri de kişisel veri ekosisteminin parçası haline geldi.
Bu nedenle “Kişisel bilgilerimiz satılıyor mu?” sorusu son yıllarda daha sık gündeme geliyor. Yanıt ise basit değil: Bazı durumlarda veriler doğrudan satılabiliyor, bazı durumlarda ise “paylaşım”, “analiz”, “hedefli reklam”, “iş ortağı aktarımı”, “ölçümleme” veya “veri zenginleştirme” gibi başlıklar altında üçüncü taraflara aktarılabiliyor.
Kişisel veri ne demek?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Ad, soyad, telefon numarası, e-posta, adres, kimlik numarası, IP adresi, konum verisi, cihaz kimliği, alışveriş geçmişi, sağlık bilgisi ve finansal bilgiler bu kapsama girebilir.
Türkiye’de kişisel verilerin işlenmesi ve aktarılması 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında düzenleniyor. Kişisel Verileri Koruma Kurumu, kişisel verilerin yurt içinde aktarılmasında açık rıza veya kanunda belirtilen diğer işleme şartlarının gerektiğini belirtiyor.
Veriler nasıl “satışa” dönüşüyor?
Kullanıcılar çoğu zaman bir uygulamaya kayıt olurken, alışveriş yaparken, kampanyaya katılırken, ücretsiz Wi-Fi kullanırken, konum izni verirken veya çerezleri kabul ederken veri paylaşım sürecine dahil oluyor. Bu veriler daha sonra reklam hedefleme, müşteri profilleme, risk analizi, pazar araştırması veya üçüncü taraf hizmetleri için kullanılabiliyor.
Dünyada “data broker” olarak bilinen veri aracıları, farklı kaynaklardan veri toplayıp bunları analiz ederek kişi veya grup profilleri oluşturabiliyor. Mozilla’nın veri brokerlarıyla ilgili değerlendirmelerinde bu şirketlerin adres, telefon numarası, aile bireyleri, satın alma geçmişi ve benzeri bilgileri toplayıp satabildiği belirtiliyor.
Hangi bilgiler risk altında?
En sık paylaşılan veya ticari değeri olan veriler arasında telefon numarası, e-posta adresi, konum bilgisi, cihaz kimliği, alışveriş geçmişi, internet gezinti davranışı, uygulama kullanım bilgisi ve demografik profiller bulunuyor.
Bunlara ek olarak daha hassas veriler de risk oluşturuyor. Sağlıkla ilgili aramalar, hamilelik, dini ziyaretler, siyasi eğilim, finansal durum, kredi geçmişi, araç kullanım davranışı veya düzenli gidilen adresler kişinin hayatı hakkında çok ayrıntılı profil çıkarılmasına yol açabiliyor.
ABD Federal Ticaret Komisyonu, bazı veri brokerlarının hassas konum verilerini sattığı iddiasıyla 2024 ve 2025’te dikkat çeken işlemler yürüttü. FTC, Mobilewalla adlı veri brokerının tüketicilerin hassas konum verilerini sattığı iddiası üzerine şirketin bu verileri satmasını yasaklayan bir uzlaşma duyurdu.
Konum verisi neden bu kadar tehlikeli?
Konum verisi, bir kişinin yalnızca nerede olduğunu değil, nasıl yaşadığını da gösterebilir. Ev adresi, iş yeri, okul, hastane, ibadethane, spor salonu, siyasi toplantı alanı, gece saatlerinde bulunulan yerler ve sık gidilen noktalar konum geçmişinden anlaşılabilir.
FTC’nin 2024 sonunda Gravy Analytics, Venntel ve Mobilewalla gibi veri brokerlarına yönelik işlemlerinde hassas konum verilerinin sağlık tesisleri, askeri üsler ve ibadethaneler gibi yerleri açığa çıkarabildiği vurgulandı.
Bu nedenle konum verisi, reklam hedeflemesinden çok daha hassas bir konu olarak görülüyor. Kötü niyetli kişilerin, dolandırıcıların veya takipçilerin eline geçtiğinde güvenlik riski doğurabiliyor.
Arabalar, telefonlar ve uygulamalar veri kaynağına dönüştü
Kişisel veriler yalnızca internet sitelerinden toplanmıyor. Akıllı telefonlar, araçlar, akıllı saatler, televizyonlar, alışveriş uygulamaları, yemek sipariş platformları, navigasyon sistemleri ve sosyal medya uygulamaları da veri üretiyor.
Otomobil verileri bu konuda son dönemin en dikkat çeken alanlarından biri oldu. Reuters’ın aktardığına göre General Motors ve OnStar, ABD’de sürücülerin konum ve sürüş davranışı verilerinin tüketici raporlama kuruluşlarına açıklanmasını 5 yıl süreyle durdurmayı kabul etti. FTC, bu verilerin sigorta şirketleri tarafından fiyatlandırma veya ret kararlarında kullanılabildiğini bildirdi.
Bu örnek, kişisel verinin artık yalnızca telefon ve bilgisayarla sınırlı olmadığını, araçların da veri ekonomisinin parçası haline geldiğini gösteriyor.
Ücretsiz hizmetlerin bedeli veri olabilir
Birçok dijital hizmet ücretsiz sunuluyor gibi görünse de şirketler gelirlerini reklam, analiz ve kullanıcı profilleme sistemlerinden sağlayabiliyor. Bu nedenle kullanıcıların “ücretsiz” uygulama veya hizmetleri kullanırken hangi verileri paylaştığını bilmesi gerekiyor.
Çerezler, piksel kodları, reklam kimlikleri ve uygulama izinleri üzerinden kullanıcı davranışları takip edilebiliyor. İnternette hangi ürünlere bakıldığı, hangi haberlerin okunduğu, hangi videoların izlendiği ve hangi saatlerde çevrim içi olunduğu reklam sistemleri açısından değerli bilgiye dönüşebiliyor.
Türkiye’de kişisel bilgiler satılabilir mi?
Türkiye’de kişisel veriler, KVKK kapsamında hukuka uygun şekilde işlenmek ve aktarılmak zorunda. Kişisel verilerin üçüncü kişilere aktarılması için açık rıza veya kanunda sayılan işleme şartlarından birinin bulunması gerekiyor. Kişisel Verileri Koruma Kurumu, yurt içi aktarımda açık rıza alınabileceğini; bazı hallerde ise açık rıza aranmadan aktarım yapılabileceğini belirtiyor.
Bu nedenle bir şirketin kişisel verileri keyfî biçimde toplaması, satması veya ilgisiz üçüncü taraflarla paylaşması hukuki sorun doğurabilir. Ancak uygulamada kullanıcılar bazen kampanya, üyelik, sadakat kartı, mobil uygulama veya çerez onayları sırasında geniş veri işleme izinleri verebiliyor.
“Açık rıza” her şeyi meşru kılar mı?
Açık rıza, kullanıcının belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verdiği onay anlamına gelir. Ancak açık rıza metninin uzun, belirsiz, anlaşılmaz veya tek seçenekli sunulması kullanıcı açısından sorun yaratabilir.
Kullanıcının “tümünü kabul et” butonuna basması, hangi verisinin kimlerle ve ne amaçla paylaşılacağını gerçekten anladığı anlamına gelmeyebilir. Bu yüzden aydınlatma metinlerinin açık, anlaşılır ve amaca uygun olması gerekir.
KVKK’nın yurt dışına veri aktarımı rehberinde de kişisel verilerin yurt dışına aktarımında açık rızanın istisnai hallerden biri olarak düzenlendiği; yeni düzenlemelerle güvence mekanizmalarının önem kazandığı görülüyor.
Veri brokerları neden tartışılıyor?
Veri brokerları, farklı kaynaklardan topladıkları bilgileri birleştirerek kişi veya grup profilleri oluşturabiliyor. Bu profiller reklamverenlere, finans kuruluşlarına, sigorta şirketlerine, araştırma şirketlerine veya farklı sektörlerden müşterilere sunulabiliyor.
Sorun, kullanıcıların çoğu zaman hangi veri brokerının kendileri hakkında bilgi tuttuğunu, bu bilgileri nereden aldığını ve kimlere sattığını bilmemesi. EPIC’in 2026’da yayımlanan ve Wired tarafından aktarılan incelemesine göre bazı veri brokerları ve teknoloji şirketleri, kullanıcılara sunulan veri silme veya vazgeçme formlarını zor, çok aşamalı ve erişilmesi güç hale getirebiliyor.
Bu da “verimi silmek istiyorum” diyen kişilerin pratikte ciddi engellerle karşılaşabildiğini gösteriyor.
Kişisel veriler dolandırıcılıkta da kullanılabilir
Kişisel verilerin el değiştirmesi yalnızca reklam meselesi değil. Telefon numarası, e-posta, adres, doğum tarihi, kimlik bilgisi veya alışveriş geçmişi gibi veriler dolandırıcılık girişimlerinde kullanılabilir.
Dolandırıcılar, ele geçirdikleri bilgilerle kişiye özel mesajlar hazırlayabilir. Örneğin bir kargo şirketi, banka, kamu kurumu ya da alışveriş sitesi taklidi yaparak daha inandırıcı SMS veya e-posta gönderebilirler. Bu yöntem, klasik toplu dolandırıcılıktan daha tehlikelidir çünkü mesaj kişisel bilgilerle desteklendiğinde güvenilir görünebilir.
Veri sızıntısı ile veri satışı aynı şey mi?
Veri sızıntısı, bir kurumun elindeki bilgilerin güvenlik açığı, saldırı veya ihmal sonucu yetkisiz kişilerin eline geçmesidir. Veri satışı veya veri paylaşımı ise şirketlerin topladığı verileri ticari, reklam veya analiz amaçlı üçüncü taraflarla paylaşması anlamına gelebilir.
İkisi farklı süreçlerdir; ancak sonuç kullanıcı açısından benzer riskler doğurabilir. Her iki durumda da kişisel bilgiler kontrol dışına çıkabilir, dolandırıcılık, spam, hedefli reklam, takip ve güvenlik riski artabilir.
Hangi işaretler verinizin paylaşıldığını gösterebilir?
Bir anda artan spam aramalar, bilinmeyen şirketlerden gelen SMS’ler, hiç üye olunmayan platformlardan e-posta alınması, kişisel bilgilerle hazırlanmış dolandırıcılık mesajları, konuma veya özel ilgi alanlarına çok uygun reklamlar, veri paylaşımının veya veri sızıntısının işareti olabilir.
Ancak bu belirtiler tek başına verinin “satıldığını” kesin kanıtlamaz. Bilgiler bir kampanya formundan, eski üyelikten, çerezlerden, sosyal medya profilinden, veri sızıntısından veya kamuya açık kaynaklardan da toplanmış olabilir.
Kullanıcılar kendini nasıl koruyabilir?
Kullanıcıların ilk yapması gereken, uygulamalara verilen izinleri düzenli kontrol etmektir. Konum, mikrofon, kamera, rehber ve Bluetooth izinleri yalnızca gerçekten gerekli olduğunda açık tutulmalı. Konum izni mümkünse “her zaman” yerine “uygulama kullanılırken” seçilmeli.
İkinci adım, çerez onaylarında “tümünü kabul et” yerine tercihleri yönetmektir. Zorunlu çerezler dışında reklam ve pazarlama çerezleri kapatılabilir.
Üçüncü adım, kampanya ve sadakat kartı formlarında gereksiz bilgileri paylaşmamaktır. Bir indirim kuponu için doğum tarihi, adres, cinsiyet, meslek ve alışveriş alışkanlığı gibi bilgilerin istenmesi durumunda kullanıcı daha dikkatli olmalıdır.
Telefon numarası ve e-posta daha dikkatli paylaşılmalı
Telefon numarası ve e-posta adresi, dijital kimliğin temel parçaları haline geldi. Bu bilgiler bir kez farklı veri tabanlarına girdikten sonra spam, reklam ve dolandırıcılık mesajları artabilir.
Mümkünse alışveriş, kampanya ve üyelikler için ayrı bir e-posta adresi kullanılabilir. Gereksiz SMS izinleri iptal edilmeli, ticari elektronik ileti yönetim sistemleri düzenli kontrol edilmeli ve bilinmeyen bağlantılara tıklanmamalıdır.
Sosyal medya profilleri de veri kaynağı
Kullanıcılar bazen verilerinin yalnızca şirketler tarafından toplandığını düşünür. Oysa sosyal medya paylaşımları da önemli bir veri kaynağıdır. Doğum günü, aile üyeleri, okul, iş yeri, tatil konumu, çocukların fotoğrafları, ev adresine yakın mekanlar ve günlük rutinler kötü niyetli kişiler tarafından kullanılabilir.
Bu nedenle sosyal medya gizlilik ayarları gözden geçirilmeli, profil herkese açık bırakılmamalı ve hassas bilgiler paylaşılmamalıdır.
Araç satarken, telefon değiştirirken, uygulama silerken dikkat
Kişisel veriler yalnızca internette değil, cihazlarda da kalır. Eski telefon satmadan önce fabrika ayarlarına dönmek, bulut hesabından çıkış yapmak ve SIM/hafıza kartını çıkarmak gerekir.
Araç satarken de multimedya sistemindeki telefon eşleşmeleri, navigasyon geçmişi, ev/iş adresleri ve kullanıcı profilleri silinmelidir. Uygulama silmek ise çoğu zaman hesabı silmek anlamına gelmez. Kullanıcı, hesabını uygulama içinden veya ilgili şirketin veri silme kanallarından ayrıca kapatmalıdır.
Şirketler ne yapmak zorunda?
Veri işleyen şirketlerin kişisel verileri belirli, açık ve meşru amaçlarla işlemesi; gereğinden fazla veri toplamaması; kullanıcıyı aydınlatması; verileri güvenli şekilde saklaması ve mevzuata uygun aktarım yapması gerekir.
Veri paylaşımı yapılacaksa kimlere, hangi amaçla ve hangi hukuki gerekçeyle aktarım yapıldığı açık olmalıdır. Yurt dışına veri aktarımında da KVKK’daki özel şartlar dikkate alınmalıdır. Kişisel Verileri Koruma Kurumu’nun rehberinde yurt dışına aktarım için yeterlilik kararı, uygun güvenceler ve istisnai aktarım halleri gibi mekanizmalar açıklanıyor.
Neden önemli?
Kişisel bilgilerin satılması veya kontrolsüz paylaşılması, yalnızca rahatsız edici reklamlar anlamına gelmez. Bu durum dolandırıcılık, takip, ayrımcılık, sigorta veya kredi kararlarında dezavantaj, siyasi manipülasyon ve fiziksel güvenlik riski gibi daha ciddi sonuçlara yol açabilir.
Bugünün dijital dünyasında kişisel veri ekonomik bir değere dönüştü. Kullanıcıların hangi verileri paylaştığını bilmesi, izinleri kontrol etmesi, gereksiz onayları kapatması ve şirketlerden şeffaflık talep etmesi artık temel dijital güvenlik alışkanlıkları arasında yer alıyor.
