GVKD kişisel verilerinizi nasıl koruyacak?

Salih Bıçakçı*

Her gün masamın başına oturduğumda ilk yaptığım işlerden birisi de her sabah belirlediğim gazeteleri günlük olarak ilgimi çeken konular için hızlıca okumaktır. İşim gereği sadece Türkiye’de çıkan gazeteleri değil yurtdışından da birçok gazete takip ediyorum. Her sabah okuduğum gazetelerden birisi de Chicago’da bir konferans sırasında listeme giren Chicago Tribune’dür. 28 Mayıs 2018 sabahında sayfasına gittiğimde artık Avrupalı okurlarına hizmet veremediklerini belirten ve en kısa sürede gerekli düzenlemeyi yapmaya çalıştıklarını yazan bir uyarı gördüm. Bu yüzden artık VPN bağlantısıyla erişmem gerekiyor. Benim okumadığım başka gazetelerin de benzer uygulamalar yaptığını okumuştum. Bütün bunların sebebi Avrupa Birliği’nde (AB) yürürlüğe giren GDPR diye bilinen General Data Protection Regulation diye isimlendirilen Genel Veri Koruma Düzenlemesi (GVKD) diye çevirebileceğimiz uygulamadır.

İnternete erişimin yaygınlaşması ve akıllı cihaz kullanımının artmasıyla birlikte kullanıcıların ürettiği veri de hızla artmaya başladı. Verinin bu denli artışı ve kişiselleşmesi kullanıcılar hakkında beklenenden daha fazla bilgi vermeye başladı. Düşünsenize hiç tanımadığınız bir insanın bilgisayardaki kullandığı programların geçmişine, çerezlerine** ve geçirdikleri zamanlara bakarak hızlıca siyasi tercihleri, planları, hassasiyetleri, taraftar oldukları ve karşı oldukları konuları rahatça tahmin edebilirsiniz. Şimdi okuyucuların nasıl bilgisayarıma girecekler dediklerini duyar gibi oluyorum. Bilgilerinize ulaşmak için bütünüyle bilgisayarınıza erişmelerine gerek olmadığını söylemeliyim. Esasında her sabah bilgisayarımın başına oturup gazeteleri okumaya başladığımda gönüllü olarak internetteki bir bilgisayara girerek bir dosyayı okumaya başlıyorum. İşte o bilgisayar gönüllü olarak verdiğim kim olduğum, hangi IP’den bağlandığım, bilgisayar dilimin hangi dilde olduğu, hangi browser tipini kullandığı, hatta hangi işletim sistemini kullandığı gibi temel bilgilere hızlıca sahip oluyor. Hele bu gazete ya da Facebook gibi bir platform ise hangi haberler ve/veya mesajlar üzerinde ne kadar vakit geçirdiğim bilgisine de hızlıca erişiyor. Düşünsenize Youtube’a girdiniz ve araba modellerini inceliyorsunuz. Bu inceleme sırasında farklı alternatiflere bakıyorsunuz. Buna bağlı olarak Google’a giriyorsunuz ve beğendiğiniz parçaları almak için Google’da araştırma yapıyorsunuz. İşte Google, Youtube ve bütün ziyaret ettiğiniz siteler size ait bu bilgileri birleştirip bir profil oluşturmaya çalışıyor. Buna bir de alışveriş sitelerinden yaptığınız alışveriş verisini eklediğiniz de sizin hakkınızda belki de en yakınınızdan daha fazla bilgiye sahip oluyorlar. Profillerin farklı veri işleyiciler tarafından incelenmesine dair son bir örnek verip esas konum olan GVKD'ye geçmek istiyorum.

'KIZIMI HAMİLE KALMASI İÇİN TEŞVİK Mİ EDİYORSUNUZ?'

2012’de ortaya çıkan bu olayda Amerika’nın bilinen perakende satış firmalarından Target’ta istatistikçi olarak görev yapan Andrew Pole, kullanıcı numarası, kredi kartı bilgisi, adı, e-posta bilgisi, adres bilgisi, ilgilendikleri ya da sepetlerine koydukları her şey yanında demografik bilgilerini de bir arada tutan bir veri tabanı sistemi oluşturur.

Pole bütün bu veri setini kullanarak Target’ın bebek ürünleri için kayıtları bulunan kadınların önceki alışverişlerinin tarihçesini incelerken ilginç bir davranış kalıbı fark eder. Birinci kalıp, hamile kalan kadınların hamileliğin dört ayından sonra yüksek miktarlarda kokusuz losyon aldıklarını fark eder. Pole’un yanındaki diğer bir araştırmacı da hamileliğin ilk 20 haftasında hamile kadınların kalsiyum, magnezyum ve çinko destekleri aldığını görür. Hatta hamile kalan kadınların çokça kokusuz sabun, büyük boy pamuk paketleri, el temizleyiciler ve yüz havlusu aldığını gözlediler. Pole bütün bu kalıpları daha rahat analiz edilebilir kriterlere çevirmeyi başararak alıcılarının hamile olup olmadıklarını ölçebilecek 25 ürün belirdi. Hatta küçük hesap hataları da olsa doğum yapmaları muhtemel tarihleri bile çıkardılar. Böylece bu dönemin öncesinde Target alıcılara indirim kuponları göndererek hamilelikleriyle ilgili ürünler almalarını sağlayabilecekti.

Target bu analizlere dayanarak müşterilerine kuponlarını göndermeyi başladı. Minneapolis’in dışından Target’ı arayan kızgın bir adam müdürle konuşmak istediğini belirtti. Müdüre "Benim kızıma bunlar postadan geldi" diyerek Target’ın hamile kadınlar için gönderdiği kuponları elinde salladı.

Adam sözlerine devam etti:

“O hâlâ lisede ve siz ona bebek kıyafetleri ve beşik kuponlarını niye gönderiyorsunuz? Onu hamile kalması konusunda teşvik mi ediyorsunuz?” dedi.

Target’ın merkezinden yönetilen kupon sisteminin adamın kızını niye seçtiğinden habersiz olan müdür, babadan özür dileyerek kendisini teskin etti ve bir yanlışlık olduğunu söyledi. Takip eden hafta kızına kupon gönderildiği için kızan babayı arayan müdür ahizenin öte yanındaki babadan duyduklarından dolayı şaşkınlık içinde kalmıştı. Baba kızının gerçekten hamile olduğunu ve ağustosta doğuracağını ve kendisine bağırdığı için özür dilediğini söyledi.

Target’ın bu analizinin 2012’de ortaya çıktığı göz önüne alınınca ve gelişen teknoloji düşünüldüğünde günümüzde yapılabilen tahminlerin tutarlılığının ne denli yerinde olacağı konusunu size bırakıyorum. Bu konuda literatürde iyi ve kötü olabilecek birçok örnek bulunuyor.

İnsanların hiçbir tehlike görmeden paylaştıkları bilgilerle veri analizi yapan firmaların neler yapılabileceğini gören AB, kendi vatandaşlarını ve kendi menfaatini korumak için dört yıllık bir çalışmanın ürünü olarak 27 Nisan 2016’da GVKD'yi hayata geçirdi. Üye ülkelere bu düzenlemelerin hayata geçirilmesi için iki yıllık bir geçiş dönemi tanıdı. Bu düzenlemenin esas amacı kişinin kendi ürettiği veri üzerinde hakimiyet sağlamasına izin vermekti. Öte yandan devletlerin vatandaşların verilerini korumak üzerinden bir anlayış getirdiğini söylemek de yerinde olacaktır. Böylece veri de korunması gereken bir varlık olarak devlet ve toplum ilişkisinin içindeki yerini aldı. Hızlı teknolojik gelişmeler ve küreselleşme, kişisel verilerin korunması için yeni zorluklar getirdi. Bir yanda hızla artan kişisel verilerin toplanması ve paylaşılması öte yanda hem özel şirketlerin hem de kamu otoritelerinin faaliyetlerini sürdürmek için daha önce görülmemiş bir ölçekte kişisel verileri işlemesine izin veren teknolojiler, verinin işlenme ve korunma sürecinin düzenlenmesi ihtiyacını doğurmuştur.

25 Mayıs 2018’de AB’de etkin olarak yürürlüğe giren bu düzenlemeyle birlikte AB ile iş yapan, veri toplayan ya da herhangi bir bilgi işlem sistemi üzerinden verisi geçen sistemlerin GVKD’nin gereklerini yerine getirmesi zorunluluğu bulunmaktadır. Türkiye’de Kişisel Veri Güvenliği Kanunu sebebiyle birçok kurumun sizin verilerinizi işlemek için izin aldığı şu günlerde belki o kadar farklı gelmeyecektir. Kurumsal olarak yapılması gereken hazırlıkların olduğunu ve AB düzenlemesinin tüzel kişileri bu değişiklikleri yapmaya zorladığını ve yerine getirmezse 20 milyon Euro’dan, cironun yüzde 4’üne kadar büyük cezalar verilebileceğini en başta belirtmem gerekiyor. AB bu düzenlemenin hayata geçirilebilmesi için gereken tedbirleri almayan özel ve tüzel varlıklara büyük cezalar vermeyi planlıyor.

GOOGLE'A VEYA YOUTUBE'A RIZA VERDİNİZ Mİ?

Günümüzde verinin iyi bir gelir kaynağı olarak değerlendirildiğini ve bu alanın veri simsarlığı (brokerlığı) gibi bir meslek oluşturduğunu söylemeliyim. Veri toplayan ve satan firmaların ürünlerini kullanıcılara ücretsiz vererek, elde edecekleri veri üzerinden gelir sağlamak üzerine bir işletim modeli kurduklarının da altını çizmek isterim. Kişilerin ürettikleri verilerin farklı ellerde çok değişkenli modellemelerden geçirildikten ürün satışından belirli bir grup için gelecek tahminine kadar kalıpları çıkarabilmek için kullanıldığını biliyoruz. Kimi zaman ticari kurumlar kimi zaman STK’lar kimi zaman da devlet kurumları bu veriyi farklı yöntemlerle analiz ediyor. Veriler çoğu zamanda nerede üretildiklerine (inşa edildikleri) bakılmaksızın farklı ülkeler tarafından kullanılıyor. Özellikle modelleme ve yapay zeka çalışmaları için veriye duyulan ihtiyacın artmasıyla birlikte veriyi üreten kişi hakkındaki bilginin bu farklı ve uzun yolculuğundan çoğunlukla habersiz oluyor.

GVKD esas itibariyle veriyi üretenin ürettiği ürün üzerinde söz sahibi olması temeline göre yapılmış bir düzenlemedir. Kimsenin veri üretenin hakları çiğnemesine izin vermemesi konusu dikkate alınarak inşa edilmiştir.

GVKD’nin bu konuda ilk getirdiği önemli şart, veri sahibinin kendi rızasıyla verisinin kullanılmasına izin vermesidir. İlk adımda bu rızanın sadece görülen veriler için değil, sizin hakkınızdaki tüm veri kümesini içerdiğinin altını çizmeliyim. Öncelikle eğer Google kullanıyorsanız hemen browser’ın penceresine https://myactivity.google.com/myactivity adresini yazdığınızda size ait aramaları ve yer bilgisini nasıl detaylıca tuttuğuna şahit olacaksınız. Siz bu kişisel aramalarınızın tutulması için Google’a rıza verdiniz mi? Diğer yandan Youtube’dan (https://youtu.be/S0G6mUyIgyg) izlediğimiz videolar da bize yanımızda taşıdığımız cep telefonlarının nasıl her hareketimizi kaydettiğini hatırlatıyor. Hangimiz telefonumuzun bize ait hareketleri kaydetmesini ve bilmediğimiz yerlere göndermesini isteriz ki? Ya da telefonlarınızdaki sesli destek sistemlerinin bizim günlük konuşmalarımızı devamlı olarak dinlemesini ve analiz etmesini ister misiniz?

GVKD bu tür verilerin rıza olmadan işlenmesini yasakladı. Böylece veriyi toplayan kişi(ler) ve/veya kurum(lar) verinin esas sahibinden ne için işleneceğinin ve hangi şartlarda saklanacağının teminatını vererek açık ve net bir rıza belgesini onaylamasını ister. Rıza olmadan verilerin işlenmesi daha da zor hale gelecek fakat bu devlet kurumlarını nasıl etkileyecek henüz bilmiyoruz. Özellikle de farklı mazeretlerle veri toplayan devlet birimlerinin bilhassa istihbaratların saldırgan veri işleme tavırlarını dizginlemenin GVKD ile mümkün olup olmadığı göreceğiz. (Meraklısına not: Eğer seyretmediyseniz Citizen Four filmini seyretmenizi tavsiye ederim. Snowden’ın açıklamaları nasıl her adımımızın birileri tarafından kaydedildiğini güzel ipuçlarını verir.)

Yeni düzenlemeyle esas sağlanmak istenen bir gizlilik kültürünün oluşmasıdır. Kişisel hakların ve özgürlüklerin bu ölçüde değişen çağda da korunabilmesidir. İlk hedeflenen dizayn temel gizlilik ahlakının bütün sistemlerde yerleşmesidir. Böylece veri sahiplerinin hakları ilk defa veri toplanırken bile korunmuş olacaktır. Bildiğiniz gibi siteler ya da yazılımlar ihtiyaçlarının ötesinde veriyi talep ediyorlar. Bir programı telefonunuza yüklediğinizde ihtiyacı olmadığı halde hangi dosyalara ve kameraya, mikrofona, yer bilgisine nasıl erişmek istediğine dikkatlice bakın. GKVD bu kontrolsüz bilgi açlığını kontrol etmeyi hedefliyor.

GKVD verileri sınıflarken kendi içinde verinin üretim sürecini ve ilgili yapıyı da belirlemektedir. İlk olarak tanımladıkları unsur bilginin kaynağı olan gerçek kişidir. Yönetmelikte bunu “ilgili kişi” (data subject) olarak tanımlamaktadır. GKVD kişisel veri nedir sorusunu da şöyle tanımlamaktadır:

"Kişisel veriler", tanımlanmış veya tanımlanabilir gerçek bir kişiyle (‘ilgili kişi – data subject) ilgili herhangi bir bilgi anlamına gelir; Tanımlanabilir bir gerçek kişi, bir isim, bir kimlik numarası, konum bilgisi, çevrimiçi bir tanımlayıcı veya fiziksel, fizyolojik özel bir veya daha fazla faktör gibi bir tanımlayıcıya, ya da gerçek kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine ait olan verilerle özellikle doğrudan veya dolaylı olarak tanımlanabilen kişidir.

GKVD esas itibariyle üç ana noktadan oluşur, bunlar ilgili kişi, veri denetleyicisi ve veri işleyicisidir. İlgili kişi veriyi üretir, bir işlemi için veri sorumlusu firmaya rıza karşılığı verir, veri sorumlusu bu veriyi korumakla yükümlüdür. Fakat günümüzde iş modellerindeki veri analizini yerine getirme süreci çoğunlukla veri sorumlusu firma tarafından yerine getirilmediği için veri işleyici diye üçüncü bir kurumda GKVD’de yerini almıştır.

GKVD’ye göre ‘Veri Denetleyicisi’, kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan doğal veya tüzel kişi, kamu makamı, ajans veya diğer organlar anlamına gelir. Örneğin bankanız size ait verileri tutan ve nasıl işleneceğine karar veren veri denetleyicinizdir. Bankanızın işlemek üzere verileri verdiği kişiye ya da kuruma da veri işleyicisi ismi verilmektedir.

HACK'LENENLER HACKER'LARLA PAZARLIK YAPIYOR

GKVD’nin getirdiği düzenlemelerin bir yanı da siber güvenliğin etkin olarak sağlanarak buradan doğacak zararın minimuma indirilmesini temine çalışmaktır. Siber güvenlik dünyasında kabul gören tek gerçek bütün yapıların hack edilebileceğidir. Eğer bu önkoşulla yola çıkarsak o zaman iş dünyası için en önemli problem ne kadar kısa sürede işleyişin normale döneceğidir. Bunu da esnek-dayanıklılık dediğimiz (resilience) kavramıyla açıklayabiliriz. Bu yazımın konusunun dışında olduğu için bu konuyu gelecek yazılara bırakıyorum.

Son yıllarda gördüğümüz bütün saldırılarda ana problem saldırıya hedef olan şirketin, hack edildiğini fark etmesine rağmen piyasadaki itibarının zedelenmemesi için bu durumu ilgili kişilere bildirmemesidir. Örneğin Linkedin’in 117 milyon hesabı hack edilmesine rağmen hesap sahiplerine haber vermeden dark web’te hacker'larla pazarlığı devam ettirmesi bunun en güzel örneğidir. Linkedin’in uğradığı zarar zincir halinde ek zararlara sebep oluyor. GKVD, her işletmenin saldırıları zamanında fark etmesi için gereken metotlar ve temel yöntemleri netleştiriyor. Eğer kaçınılmaz bir şekilde sistemlerde bir ihlal gerçekleşmiş ise sistem sahibine bu saldırıyı 72 saat içinde veri sahiplerine bildirme zorunluluğu getiriyor.

YA TEKNİK TEDBİRLER?

GKVD esas itibariyle bütün kullanıcıların ve uygulayıcıların bu düzenlemelerin hepsinin gereğini yerine getiremeyeceğinin farkında fakat düzenleme esasında ilerleme kaydedilmesini bekliyor.

GKVD’nin siber güvenlik kültürünü inşa etmek için alınmasını gerekli gördüğü teknik tedbirler şunlardır:

• Kişisel verilerin şifrelenmesi ve verilerin anonimleştirilmesi,
• Bilişim sistemlerinin gizliliği, entegrasyonu ve erişilebilirliği, esnek dayanıklığını (resilience) temin etmek,
• Fiziki ya da teknik bir olaydan sonra verilerin erişebilirliği ve ulaşılabilirliğini sağlamak,

GKVD’nin üç temel maddeye sığdırmaya çalıştığı bu şartlar aynı zamanda siber güvenliğin temel taşlarını oluşturmaktadır. GKVD siber güvenlik kültürünü inşa ederken verinin gizliliğini ve bütüncüllüğünü de yaygınlaştırmaya çalışıyor. Günümüzde artan veri üretimine bağlı olarak iyileşen veri analiz metotları ve bunların doğru tahminlerde bulunabilmesi için devasa boyutlarda veriye duydukları ihtiyaç ister istemez, veri toplayanların bütün imkanlarıyla veri depolaması alışkanlığını oluşturdu. AB’nin bu düzenlemesiyle birlikte veri broker'ları ve veri işleyen kuruluşlar ellerindeki veriyi niçin, hangi şartlarda ve hangi süreyle tutacakları sorularını cevaplamak zorunda kaldılar. Bunun yanında düzenleme veri toplayan kurumları da rızanın hangi koşullarda alındığını ve sınırlarını netleştirmeye zorlar. Bütün bu soruların ortasında kalan ama veri sahibinden çok, sadece veriyi elinde tutan kişinin bilebileceği hassas noktalardan birisi de verinin taşınabilirliği konusudur. Söz konusu toplanan verinin AB dışındaki sunuculara taşınıp taşınmayacağı GKVD için önemlidir. Bu özellikle çok uluslu şirketleri ve portalları yakından ilgilendirmektedir. Geçtiğimiz yıl bu konuda hassas olan Çin hükümeti Apple’dan icloud hizmeti için vatandaşlarının bilgisini ülke sınırlarında tutacak şekilde bir düzenleme yapmasını beklediğini belirtti. Apple firması da Çin’deki kullanıcıları için icloud hizmetini yerel sunucularda tutarak hükümetin talebini yerine getirdi. Verinin taşınması kendi içinde büyük bir sorun olarak karşımıza çıkar. Bunu biraz fiziksel sınırlarla dijital sınırların üst üste oturması olarak da görebiliriz. Farklı bir açıdan bakacak olursak, devletlerin kendi vatandaşları tarafından üretilen verinin ticari meta haline dönüşünü fark ettikleri ve bu kazançtan kolayca başka aktörlerin üstünlük sağlamasını temin edecek şekilde vazgeçmeyeceklerini ortaya koyduğunu da söyleyebiliriz.

GKVD esas itibariyle veri toplayan ve işleyen firmaların yeni düzenlemeye bir an önce geçemeyeceklerinin farkında olarak bazı adımlar atmalarını bekliyor. Bu beklenti kolay görünmekle birlikte bu adımların iş akışına eklenmesi düşünüldüğü kadar kolay olmayacaktır. Hepsinin yapılması ve çalışır hale gelmesinin zaman alacağını AB yöneticilerinin tahmin ettiğini düşünüyorum. Şirketler bu adımlar sayesinde yönetmeliğin hayata geçişi için başlangıç düzeyinde hamleler yapılmış olacaktır:

1-Şirketlerdeki ilgili bölümlerin kanunun değiştiğini ve bir kısım etkilerinin olacağını bilmesi,

2-Hangi kişisel verilerin tutulduğunun ve nereden geldiğinin ve kimlerle paylaşıldığının kayıt altına alınması,

3-Halihazırdaki gizlilik uyarılarını gözden geçirip, gerekli değişiklikleri yapmak,

4-Bireylerin sahip olduğu yeni hakları yerine getirebilmek,

5-İstekleri olursa belirtilen sürelerde gerekli bilgileri nasıl sağlanacağının planlanmasının yapılması,

6-Her veri işleme aktivitesi için gerekli hukuki temelleri tanımlamak ve belgelemek,

7-Rızanın aranması, tutulması ve kaydedilmesi süreçlerinin incelenmesi,

8-Veri ihlallerini belirleyecek, raporlayacak ve soruşturacak süreçlerin varlığından emin olmak,

9-Veri koruma gereklerini yerine getirecek bir veri koruma memuru atamak,

Bütün bu zorlamaya rağmen bilişim altyapı teknolojisinin problemlerini aşmak sanıldığı kadar kolay olmayabilir. GVKD’nin veriyle ilgili olarak düzenlediği noktalardan birisi de “bireyin verdiği bilgiyi düzeltme ya da silme hakkının saklı tutulması” dır. Bunu tamamlayıcı diğer madde de veriyi toplayanın “rıza biter bitmez de birey hakkında toplanmış veriyi silmesidir”. Bütün bu maddeler alt alta konulduğunda bireyin verilerinin silinmesi için talepte bulunduğu zaman veriyi toplayan özel/tüzel kişilerin iyi niyetle davranarak silmiş olacağını varsayacağız. Şeytanın avukatlığını yapacak olursak, AB Google’ın bu verileri sildiğinden ve bütün algoritmaya ait değerlendirmelerden çıkardığından nasıl emin olacak ya da bunu nasıl kontrol edecek?

Bauman’dan ödünç aldığım “akışkan” kavramıyla niteleyeceğim gibi, veri sürekli olarak değişirken ve bütün sistemler geleceği anlamak için veriyi kullanmak üzere kurgulanmışken veriyle ilişkimizin piyasa, devlet ve vatandaş arasında nasıl şekilleneceğini tahmin etmek sanırım epey zor. Yapay zekaların hızla arttığı günümüzde var olan veri ihtiyacını da göz önüne aldığımızda saldırgan biçimde veri toplayan firmaların önüne bu tür düzenlemelerin geçip geçmeyeceğini ve verilerimizin kontrolünün hâlâ bizim elimizde olup olmadığını yaşayıp göreceğiz.

*Doç., Dr. Uluslararası İlişkiler Bölümü Öğretim Üyesi, Kadir Has Üniversitesi