Bir önceki yazımda Bilgi ve İletişim Teknolojileri’nin gelişmesi ile ortaya çıkan etik sorunlarından bir tanesinin, özel hayatın gizliliği yani mahremiyet olduğunu belirtmiştim. Bu yazımda kısaca mahremiyetimizi ele alıp bu konudaki kanunlardan ve alınabilecek önlemlerden kısaca bahsedeceğim.
Google, Youtube, Facebook, Twitter ve Linkedin gibi sitelerin ücretsiz olduğunu düşündüğümüzde aklımıza ilk olarak bu şirketler için reklam gelirlerinin önemli olduğu gelir. Aslında bu şirketler için en değerli olan şey bizden topladıkları verilerdir. Prof Yuval Noah Harari, 2018 yılında World Economic Forum’da yaptığı konuşmasında verinin önemine dikkat çekerek, geleceği veriye sahip olanların yönlendireceğini öne sürüyor.
Google’ı ele alacak olursak, verilerimizin toplanması internette arama yapmaya başladığımızda başlıyor ve aradığımız terimler kaydediliyor. Verilerin kaydedilmesi başka bir Google uygulaması ile devam ediyor. Google sadece ne aradığımızı değil, aynı zamanda ne yazdığımızı G-Mail ile biliyor. Rehberimizi online saklama imkanı sunarak hakkımızda daha fazla veri toplayabiliyor. Google Maps ile konum bilgilerimize ve nerelere gittiğimize ulaşabiliyor ve Google Voice ile kimi aradığımızı takip edebiliyor. Google Calendar, Google Doc, Google Translate, Google Drive, Google Home, Google Chrome, Picasa, Youtube vs. gibi uygulamalarla veri toplamaya devam ediyor.
Bu durum sadece Google için geçerli değil. Facebook bir başka örnek. Bruce Schneier yıllar önce, “Facebook’un müşterisi olduğunuz hatasına düşmeyin, siz müşterisi değil ürünüsünüz” demiştir.
Kişisel verilerimizi toplayan Twitter, Instagram, Pinterest, Microsoft, Apple ve daha bir çok şirket var. Sadece teknoloji şirketleri değil bankalar, devlet kurumları, marketler gibi bir çok kuruluş da kişiler hakkında büyük miktarda veri topluyor.
Kişilerin izlenmesini sağlayan gözetleme teknolojileri arttıkça da verinin miktarı da hızla artıyor. Kredi kartları, cep telefonları, video kameralar, yüz tanıma, plaka tanıma, kapalı devre televizyon sistemleri (CCTV), radyo frekansı ile tanıma teknolojisi (RFID), internet çerezleri (cookies) ile de veriler hızla toplanıyor.
Bunların dışında Truva atı (Trojan), Spyware (casus yazılım), Malware (kötü amaçlı yazılım) gibi kötü amaçlı ve zararlı yazılımlarla da illegal olarak verilerimiz toplanıyor.
Bu arada Echelon’dan bahsetmek istiyorum. Echelon ABD, Kanada, Avustralya, Yeni Zelanda, Birleşik Krallık istihbarat örgütlerinin dünya üzerindeki iletişim sistemlerini izledikleri, denetledikleri ve kaydettikleri sistemin kod adıdır. Bu ülkeler, özellikle de ABD dünyadaki tüm telefon konuşmalarını, e-postaları, faks mesajlarını, banka ve kredi kartı işlemlerini bu sistemle dinliyor, izliyor ve gerekirse kaydediyor.
Aslında verilerle ilgili hukuki ilkeler vardır. Bu bağlamda kişisel verilerin korunması hukukunun temel ilkelerine bakacak olursak, kişisel verilerin niteliğine ilişkin ilkeleri şöyle sıralayabiliriz :
- Hukuka ve dürüstlük kurallarına uygun işlenmeli,
- Belirli, açık ve meşru amaçlar için toplanmalı,
- Toplanma ve daha sonrasında işlenme amaçlarına uygun olmalı, ilgili bulunmalı ve aşırı olmamalı,
- Doğru ve eğer gerekli ise güncel tutulmalı,
- Amacın gerektirdiğinden daha uzun bir süre tutulmamalıdır.
İlgili kişinin ırksal veya etnik kökenini, siyasal görüşünü, dinsel yada felsefi inancını, sendika üyeliğini, sağlık ya da cinsel yaşamını belirli eden veriler Özel Kategoridek i (Hassas) Kişisel Veriler’dir. Birçok ülkede hassas veriler için veri korumada özel şartlar bulunmaktadır.
İlgili kişinin katılımı ve denetimine yönelik ilkeler de vardır ki bunlar ilgili kişinin; bilgilendirilmesi, bilgilerine erişim hakkı, verilerini düzeltme hakkıdır. İlgili kişinin rızası en önemli unsurdur.
Carnegie Mellon Üniversitesi tarafından yapılan bir araştırmaya göre kişinin, karşısına çıkan gizlilik politikalarını okumak için günde 8 saat hesabıyla yılda 72 iş günü harcaması gerekiyor. Fakat genelde hüküm ve koşulları okudum ve kabul ediyorum diyerek okumadan onaylıyoruz ve rıza göstermiş oluyoruz.
Mahremiyet ile ilgili olarak en önemli sorunların başında; verilerin izinsiz ya da yasalara aykırı şekilde toplanması , verilerin toplama amacına uygun olmayan şekilde kullanılması, verilerin kişinin bilgisi dışında başkalarına aktarılması, verilerin başka verilerle birleştirilmesi, süre bitiminde silinmemesi, pazarlama ve satış amaçlı kullanılması, hakkımızda ne tür veri tutulduğunun bilinmemesi, yanlışları düzeltemememiz geliyor.
Örneğin Facebook’un yüz tanıma verileri ile ilgili yaklaşımı 2011 yılından beri günümüzde de sorun oluşturmaya ve gündemde kalmaya devam ediyor. Bu yıl, 7 milyon Illinois vatandaşı Facebook’a yükledikleri fotoğraflarının Facebook tarafından yüz tanıma özelliği ile ilgili tarandığını, ancak bu tür bir davranışın legal olmadığını öne sürerek Facebook’a dava açıyor. Facebook’un bu dava sonucunda 35 milyar dolar tazminat ödemeye mahkum olabileceği söyleniyor.
Bütün bunların yanında, verilerin güvenliğinin sağlanmaması önemli bir başka sorun. Çünkü, güvenlik açıkları kişisel verilerin ele geçirilmesi açısından önemli bir problem. Örneğin; Anonymous BTK’nın veri tabanlarına saldırı yaparak burada yer alan yüzlerce kişinin ad, soyad, e-posta adresleri ve şifreleri, ev adresi, ev ve iş telefonlarını ele geçirrerek internet ortamında yayınladı. Bunun yanısıra, 50 milyon T.C. vatandaşının kimlik bilgilerinin çalınması olayı 2016 yılında gündemi uzunca bir sure meşgul etmiş ve 2010 yılında çalındığı iddia edilmişti.
Ülkemizde Anayasamızın 20. maddesinde Özel Yaşamın Gizliliği Hakkı ve 40. maddesinde hakları ihlal edilenlerin yetkili makama başvurması hakkı bulunmaktadır. Ayrıca Medeni Kanun’un 24. ve 25. maddelerinde Gizli ve Özel Yaşamın Korunması yer almaktadır.
Avrupa Konseyi tarafından 28.Ocak.1981 tarihinde 108 sayılı “Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme” hazırlanmıştır ve imzaya sunulmuştur. Bu sözleşme gereği, sözleşmeyi imzalayan ülkelerin iç hukuklarında gerekli yasal düzenlemeleri yapmaları gerekiyor. Türkiye bu sözleşmeyi aynı yıl imzalamasına rağmen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu (KVKK) ancak 24.Mart.2016 tarihinde kabul ederek ve 07.Nisan.2016 tarihli resmi gazetede yayımlayarak yürürlüğe koymuştur.
Veri ihlaleri ile ilgili olarak KVKK kapsamında KVKK’na 2018 yılında 23 adet, 2019’un ilk 3 aylık döneminde de 30’ün üzerinde başvuru yapılmış ve Kurum tarafından 22 başvuru için işlem yapılmıştır.
Avrupa Parlamentosu ve Konseyi’nin 1995 tarihli 95/46/EC Sayılı Yönergesi kişisel verilerin işlenmesi ve bu verilerin serbestçe dolaşımı bağlamında bireylerin korunmasına yöneliktir. Bu yönergenin 25. ve 26. maddelerine göre veri koruması olmayan ülkelerde veri aktarımı yapılmıyor. Bazı sıkıntılı durumlar olsa da en azından KVKK bu yönergenin gereğini de sağlıyor.
Bu konu ile ilgili başka bir kanun ise Bilgi Edinme Hakkı ile ilgilidir. Ülkemizde, Bilgi Edinme Hakkı Yasası 2003 yılında yürürlüğe girmiştir. Bu yasa ve KVKK birbirlerini tamamlarlar ve madalyonun iki yüzü gibidirler. Bu konu ile ilgili güzel bir örnek ise şöyledir : 2 yıldır hakimlik sınavını kazanan ancak mülakatlarda kaybeden bir kişi Bilgi Edinme Hakkı Kanunu kapsamında Adalet Bakanlığı’na ve EGM’ye başvuruyor. Bakanlık’tan gelen cevap, istenen talep doğrultusunda inceleme yapılmış olup ilgili kişinin öğrencilik döneminde örgütsel hareketlere katıldığı yönünde bilgiler olduğu ancak yapılan araştırmada bu bilginin teyit edilemediği şeklindedir. Bunun üzerine bu kişi, EGM’ye müracaat ederek yanlış olan bu bilgileri sildiriyor ve elendiği sınavlarla ilgili de dava açıyor.
Her ne kadar kanunlar tarafından verilerimiz korunmaya çalışılsa da bizler de bazı önlemler alabiliriz. Şifreleme yazılımlarından verilerimizi şifrelemeyi sağlayan PGP (Pretty Good Privacy), dosya ve disk şifrelemeye yarayan TrueCrypt, mahremiyet artırıcı yazılımlardan ise IP adresimizi gizleyerek internet üzerinde anonim olmamızı sağlayan Tor, güvenlik ve izlenmemizi engelleyerek gizlilik sağlayan Ghostery, bilgisayar çerezlerini yöneteceğimiz Privoxy ve Cookie Monster gibi yazılımları kullanabiliriz. TrackMeNot arama motorlarının bizi takip etmesi önlerken NoScript yazılımı JavaScript, Java, Flash, Silverlight ve diğer eklenti ve script içeriklerini engeller.
Kaynakça :
[1] Will the Future Be Human? – Yuval Noah Harari
[2] Facebook is “deliberately killing privacy”, says Schneier
[3] Küzeci, E. (2010). Kişisel Verilerin Korunması. Turhan Kitabevi
[4] Reading the Privacy Policies You Encounter in a Year Would Take 76 Work Days
[5] Anonymous bu kez BTK’ya saldırdı
[5] 50 milyon vatandaşın kimlik bilgileri internette!
[6] Meğer devlet fişleri silmemiş
[7] Kişisel veri güvenliği ihlalinde “Hakkınızı arayın” önerisi