mahremiyet.info https://mahremiyet.info Dijital Mahremiyet ve Güvenlik Thu, 14 Jan 2021 02:01:13 +0000 tr hourly 1 https://wordpress.org/?v=5.7.1 https://mahremiyet.info/wp-content/uploads/2020/03/cropped-favicon_2-32x32.jpg mahremiyet.info https://mahremiyet.info 32 32 WhatsApp Başvurusu https://mahremiyet.info/whatsapp-basvurusu/ https://mahremiyet.info/whatsapp-basvurusu/#respond Sun, 10 Jan 2021 01:03:36 +0000 https://mahremiyet.info/?p=7073

Giriş

Geçtiğimiz günlerde WhatsApp’ı açınca “WhatsApp koşullarını ve gizlilik ilkesini güncelliyor” başlıklı bir bildirimle karşılaşmıştık. Bunun üzerine meseleyi farklı boyutları ile ele alan bir makale yayımlamıştım (WhatsApp Koşullarını Ve Gizlilik İlkesini Güncelliyor).

Şimdi de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 13 üncü maddesi uyarınca yaptığım WhatsApp Başvurusu ile ilgili alt başlıkları ve özet bilgileri, ayrıca veri sorumlusuna başvuru yaparken kullandığım dilekçeyi paylaşmak istiyorum.

Not: Dilekçeyi hazırlarken Gizlilik İlkeleri’ndeki detaylara girmedim, yalnızca temel eksiklik ve hatalara yüzeysel şekilde değindim. Hem sorularıma cevap verilmesini, hem de taleplerimin karşılanmasını istedim.

Not – 2: Bugüne kadar farklı gerekçelerle KVK Kuruluna herhangi bir şikâyet başvurusunda bulunmamıştım fakat WhatsApp bu noktada benim için bir ilk olacak muhtemelen. Mevzuattaki idari yaptırımların (özellilkle büyük şirketler için) caydırıcılıktan çok uzak olmasını fırsat bilerek, onlarca milyon kullanıcısının bulunduğu ülkemizin düzenlemelerini dikkate almıyor olmaları büyük saygısızlık.

Not – 3: Temmuz 2019’da  hazırlanan 11. Kalkınma Plânı‘nın 479.1. maddesinde şöyle bir hedef var: “6698 sayılı Kişisel Verilerin Korunması Kanunu AB’nin Genel Veri Koruma Tüzüğü dikkate alınarak güncellenecektir.” Bir buçuk yılı aşkın süre geçmiş olmasına rağmen bu konuda henüz bir hareketlilik olmadı. Katıldığım toplantı ve organizasyonlarda dile getiriyorum, lütfen ülke olarak en kısa sürede gündemimize almaya gayret edelim, hepimizin iyiliği için (yalnızca dijital mahremiyet ve güvenlik hususunda değil, ekonomi başta olmak üzere pek çok açıdan) önemli bir konu.

Avrupa Birliği ve Türkiye Ayrımı

Avrupa Birliğine üye ülkeler ve yapılan müzakereler sonucunda yeterli koruma sağladığı tespit edilerek Birlik tarafından güvenli ülkeler listesine ilave edilen ülkelerle Türkiye arasında bir ayrım yapılması siyasi veya diplomatik bir hareket değil, yürürlükteki mevzuata aykırılık teşkil etmiyor.

Fakat burada şöyle bir sıkıntı mevcut: 6698 sayılı Kanun, AB düzenlemelerini esas alıyor. Kişisel veri işleme ve aktarmaya ilişkin temel kurallar çok benzer. Dolayısı ile geçerli veri işleme şartları bakımından, WhatsApp’ın AB kullanıcıları ile TR kullanıcıları arasında hangi gerekçeye istinaden böyle bir ayrım yapılıyor?

Açık Rıza

KVK Kanunu m. 3/1-a’da açık rıza, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanıyor.

WhatsApp’ın Gizlilik İlkeleri’nde yer alan, “Bu tarihten sonra, WhatsApp’ı kullanmaya devam etmek için bu güncellemeleri kabul etmeniz gerekecektir.” bildiriminde, açık rızanın “özgür iradeyle açıklanma” unsuruna riayet edilmiyor.

Hizmet sunumunun açık rıza şartına bağlanmış olması durumunun mevzuata aykırılık teşkil etmesi, KVK Kurulunun muhtelif kararlarında (Kaynak) da yer alıyor.

Aydınlatma Yükümlülüğü

WhatsApp Gizlilik İlkeleri’nde, KVK Kanunu m. 10’da öngörülen konuların tamamı hakkında aydınlatma yapılmıyor:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • KVK Kanunu m 11’de sayılan diğer hakları,

Özellikle WhatsApp’ın yurtdışında yerleşik veri sorumlusu olması bakımından veri sorumlusu temsilcisi atamaması ve bu nedenle kimliği hakkında da bilgi verememesi, ayrıca KVK Kanunu m. 11’de yer alan haklardan atıf yoluyla dâhi olsa bahsedilmemesi mevzuata aykırılık teşkil ediyor.

Bu aykırılık nedeniyle KVK Kurulu tarafından verilebilecek idari para cezası en fazla 196.686 TL olabilir.

Sicile Kayıt ve Temsilci

WhatsApp LLC’nin, en geç 30/09/2020 tarihine kadar Veri Sorumluları Sicili’ne kaydolması gerekiyordu (KVK Kurumu). Kamuya açık tutulan Sicil’de yapılan aramalarda WhatsApp ile ilgili herhangi bir kayıt bulunmuyor (VERBİS), dolayısı ile WhatsApp’ın Sicil’e kayıt yükümlülüğünü ihlâl ettiği görülüyor.

Ayrıca yurtdışında yerleşik veri sorumlusu olması nedeniyle WhatsApp LLC’nin veri sorumlusu temsilcisi belirlemesi gerekiyordu. Temsilci belirleyip belirlemediklerini de dilekçede sordum.

Sicil’e kayıt yükümlülüğünün ihlâli nedeniyle KVK Kurulu tarafından verilebilecek idari para cezası en fazla 1.966.862 TL olabilir.

Dilekçe

Yukarıda yer alan itiraz ve sorulara ilaveten WhatsApp LLC’ye sorduğum sorular ve taleplerim şu şekilde:

  • KVK Kanunu m. 11/1-b kapsamında bugüne kadar tarafınızca işlenen tüm kişisel verilerimin (yazışmalarım, yaptığım işlemlerin log kayıtları hariç olmak üzere) bir kopyasının, varsa kişisel verilerim üzerinde yapılan analiz çalışmaları ve tüm detayları ile birlikte iletilmesi,
  • KVK Kanunu m. 11/1-c kapsamında bugüne kadar kişisel verilerimin hangi amaçlarla işlendiği ve amacına uygun kullanılıp kullanılmadığı bilgisinin; 07/07/2012, 25/08/2016, 19/12/2019 ve 20/07/2020 tarihli gizlilik ilkeleri ve ilgili dönemler göz önünde bulundurularak ayrı ayrı iletilmesi,
  • KVK Kanunu m. 11/1-ç kapsamında kişisel verilerimin yurtiçinde veya yurtdışında aktarıldığı üçüncü kişilerin (aktarım tarihleri ile birlikte) bildirilmesi,
  • KVK Kanunu m. 10’da düzenlenen aydınlatma yükümlülüğü kapsamında veri sorumlusu temsilcisinin kim olduğu bilgisinin ve bu kişinin iletişim bilgilerinin verilmesi,
  • Veri Sorumluları Sicili Hakkında Yönetmelik m. 9/5 uyarınca tarafınızca hazırlanması gereken, hangi kişisel verimin ne süre ile saklanacağını gösteren Kişisel Veri Saklama ve İmha Politikası’nın tarafıma iletilmesi, bunun mümkün olmaması durumunda hesabımın silinmesi için başvuru yaptıktan sonra ve fakat verilerimin imha edilmesinden önce hangi verimin ne süreyle tarafınızca muhafaza edileceği hususunda bilgi verilmesi,
  • Kişisel verilerin, ilgili kişilerin açık rızası olmaksızın yurtdışına aktarımını düzenleyen KVK Kanunu m. 9/2-b hüküm uyarınca Kişisel Verileri Koruma Kuruluna herhangi bir başvurunun yapılıp yapılmadığı, yapıldı ise sonucunun ne olduğu hususunda bilgi verilmesi…

Dilekçeye bu bağlantı üzerinden ulaşabilirsiniz.

]]>
https://mahremiyet.info/whatsapp-basvurusu/feed/ 0
WhatsApp Koşullarını ve Gizlilik İlkesini Güncelliyor https://mahremiyet.info/whatsapp-kosullarini-ve-gizlilik-ilkesini-guncelliyor/ https://mahremiyet.info/whatsapp-kosullarini-ve-gizlilik-ilkesini-guncelliyor/#comments Thu, 07 Jan 2021 19:54:25 +0000 https://mahremiyet.info/?p=7057

Giriş

Bugün WhatsApp’ı açtığımızda “WhatsApp koşullarını ve gizlilik ilkesini güncelliyor” başlığı ile uygulama içi bir bildirim karşıladı hepimizi. İlkelerdeki önemli değişiklikler:

  • WhatsApp hizmeti ve verilerinizi nasıl işlediğimiz,
  • İşletmelerin, WhatsApp sohbetlerini saklamak ve yönetmek için Facebook tarafından barındırılan hizmetleri nasıl kullandığı,
  • Facebook Şirket Ürünleri’nde entegrasyonlar sunmak için Facebook ile nasıl çalıştığımız,

şeklinde olmak üzere üç ana başlık altında özetlenirken; söz konusu değişikliklerin 8 Şubat 2021 tarihi itibarı ile yürürlüğe gireceği, bu süre içerisinde değişiklikleri kabul etmeyenlere ait WhatsApp hesaplarının ise silineceği bilgisi verildi.

Bir çoğumuz acelemiz olduğundan o an karar vermek ve içeriğini tam olarak bilmediğimiz bir sözleşmeyi imzalamak istemediğimiz için “sonra” seçeneği ile bu önemli kararı sonraya bıraktık. Bazılarımız ise WhatsApp’ı vazgeçilmez gördüğünden, böyle konuları önemsemediğinden, okuma alışkanlığı olmadığından, “benim zaten gizlim saklım yok” diye düşünerek veya herhangi bir gerekçeyle, yapılan değişiklikleri incelemeksizin önüne konulan bu sözleşmeyi anlık bir kararla imzaladı.

WhatsApp koşullarını ve gizlilik ilkesini güncelliyor ama neden? Bu güncellemenin asıl amacı nedir, WhatsApp neden böyle bir değişikliğe ihtiyaç duydu?

Zuckerberg ve Mahremiyet Algısı

WhatsApp ilkelerinin güncellenmesi konusuna girmeden önce, WhatsApp’ın sahibi Zuckerberg’in mahremiyet algısı ile ilgili birkaç bilgi paylaşmak isterim.

Facebook’un kurulduğu ilk yıllarda, henüz 19 yaşında olan Zuckerberg’in bir arkadaşına gönderdiği mesajlar, arkadaşı tarafından ifşa edilmişti. Zuckerberg arkadaşına şöyle diyordu: “Harvard’daki herhangi birisine ait herhangi bir bilgiye ihtiyacın varsa bana sorman yeterli. Dört binin üzerinde eposta, fotoğraf, sosyal medya hesabı bilgileri elimde mevcut.” Bu bilgilere nasıl ulaştığını soran arkadaşına Zuckerberg’in verdiği cevap düşündürücü: “İnsanlar kendileri paylaşıyorlar, nedenini bilmiyorum. Bana güveniyorlar. Geri zekâlılar.” (BusinessInsider)

2010 yılında yayımlanan “The Facebook Effect” isimli kitapta, Facebook’un ilk COO’su (Operasyon Direktörü) Sheryl Sandberg şöyle diyordu: “Mark; şeffaflığa, açık toplum ve açık dünya vizyonuna gerçekten çok fazla inanıyor ve tüm insanları buna zorluyor. Bunun gerçek olabilmesi için insanlara ufak tefek yetkiler ve konfor sağlaması gerektiğini de biliyor. Daha açık olmanızı istiyor ve bu noktaya gelmenize yardımcı olduğunda mutlu oluyor. Ona göre bu, bir sonuçtan fazlasını ifade ediyor. Ben ise kesinlikle öyle olmadığını düşünüyorum.” (TechRepublic)

Yine 2010 yılında katıldığı bir etkinlikte Zuckerberg, “Mahremiyet artık toplumsal norm değil. İnsanlar sadece daha çeşitli ve daha çok bilgiyi paylaşmakla kalmıyor, aynı zamanda bu bilgileri daha fazla insanla ve daha açık bir şekilde paylaşıyorlar.” demişti (The Guardian). Zuckerberg’in bu tespitinin doğru olduğunu üzülerek görüyor ve yaşıyoruz. Belki de bu tespit (veya hedef) doğrultusunda yaptığı çalışmalar; bugün onu dünyanın en zengin insanlarından biri haline getirdi, toplumları ve mahremiyet algısını ise çok olumsuz bir şekilde dönüştürdü.

Bugün dünya genelinde 4.5 milyar insanın internete erişiminin olduğu, 3.8 milyar insanın sosyal medya kullanıcısı olduğu, bunlar arasında 2.5 milyar ile en fazla kullanıcıya sahip olan sosyal medya platformunun Facebook olduğu gerçeği göz önünde bulundurulduğunda, distopik bir toplumda yaşadığımız veya bu yönde ilerlediğimiz gerçeğini kabul etmek gerekir (WeAreSocial).

Facebook ve Kabarık Sicili

WhatsApp ilkelerinin güncellenmesine ilişkin bildirimi anlamak için Facebook ile WhatsApp arasındaki ilişkinin tarihsel geçmişini bilmek ve değerlendirmeleri de bu bağlamda yapmak gerekir.

ABD’de tüketici haklarının korunması, rekabetin korunması, serbest piyasaya zarar veren uygulamaların önlenmesi ve ortadan kaldırılması gibi amaçlarla kurulan Federal Ticaret Komisyonu, 2011 yılında verdiği bir kararda:

  • Kullanıcılardan onay alınmaksızın ve hatta herhangi bir bilgilendirmede dâhi bulunulmaksızın “arkadaş listesi” gibi özel bilgilerin herkesin erişimine sunulduğu,
  • Üçüncü taraf uygulamaların, ihtiyaç duymuyor olmalarına rağmen kullanıcıların neredeyse tüm verilerine erişebildikleri,
  • Kullanıcılar tarafından “Sadece arkadaşlarım görüntülesin” şeklinde işaretlenen verilerin yalnızca arkadaşlar listesi ile paylaşılmadığı, kullanıcının arkadaşları tarafından kullanılan üçüncü taraf uygulamaların da bu verilere erişebildikleri,
  • “Onaylanmış Uygulamalar” programı ile üçüncü taraf uygulamaların güvenliklerinin Facebook tarafından test edildiği ve onaylandığı beyan edilmesine karşın bu testin ve doğrulamanın yapılmadığı,
  • Kullanıcı verilerinin reklam verenlerle paylaşılmadığı beyan edilmiş olmasına rağmen verilerin paylaşıldığı,
  • Hesabını pasife alan veya silen kullanıcılara ait (fotoğraf ve videolar da dâhil olmak üzere) tüm içeriğin erişilemez hâle getirildiği beyan edilmesine rağmen bu içeriklere hesabın silinmesinden sonra dâhi erişilebildiği,
  • Kişisel verilerin; ABD ile AB arasındaki “Güvenli Liman” anlaşmasında yer alan hükümlere uygun şekilde aktarıldığı beyan edilmesine rağmen buradaki hükümlere riayet edilmediği,

tespitleri yapılmış, Facebook’un uyması gereken bazı şartları ihtiva eden bir anlaşmayı imzalaması teklif edilmişti (FTC).

Facebook’un kabarık sicili hakkında daha detaylı bilgi almak için şu kaynaklara göz atabilirsiniz (TechCrunch, BusinessInsider, FirstPost, CreativeFuture, Epic, Guild, NBCNews, TechRepublic). Hepsi ayrı ayrı skandal olarak değerlendirilebilecek sayısız uygulama ve iş süreci hakkında bu bağlantılarda çok sayıda bilgi ve belge bulabilirsiniz. Yine bu konularda yazılmış kitaplar (Facebook: The Inside Story, Zucked: Waking up to the Facebook Catastrophe, Mindfuck), makale ve yazılar (Time, NYTimes, USA Today-1, USA Today-2, The Guardian, WashingtonMonthly, WashingtonPost, USA Today-3, The Guardian UK, FT) gösterime girmiş belgeseller (The Great Hack, The Social Dilemma) ve film (The Social Network) mevcut (Netflix de mahremiyete aykırı iş süreçleri açısından ayrı bir mevzuu, onu da belirteyim).

WhatsApp ve Facebook Birleşmesi

Facebook, son 15 yılda irili ufaklı 88 farklı şirketi bünyesine dâhil etti (Wikipedia). Bugüne kadar bünyesine dâhil ettiği en büyük şirket WhatsApp oldu.

Hatırlanacağı üzere WhatsApp, Facebook tarafından 2014 yılında 19 milyar dolar karşılığında satın alınmıştı (CNN). Bu paranın 4 milyar doları nakit, 12 milyar doları hisse senedi ile ödenmişti. Geri kalan 3 milyar dolarlık bölümü için WhatsApp yönetici ve çalışanlarının dört yıl süreyle Facebook bünyesinde çalışmaya devam etmesi halinde yine hisse senedi ile ödenecek şekilde anlaşılmıştı.

Sosyal medya devi olan Facebook, pazardaki en önemli aktörlerden biri olan WhatsApp’ı satın alabilmek için Federal Ticaret Komisyonu’nun onayına ihtiyaç duyuyordu. Nitekim bu iki devin birleşmesi ile Facebook, birkaç milyar kullanıcı üzerinde söz sahibi olacak ve böylelikle pazarda tekel oluşturabilecekti. Komisyon, alım için yapılan başvuruya şartlı onay verdi: Her bir şirketin mahremiyet düzenlemelerine ve süreçlerine devam etmesini, şirketler arasında veri aktarımı yapılacaksa veya gizlilik ilkelerinde değişiklik yapılacaksa kullanıcılardan açık rıza alınmasını, açık rıza alınmaksızın taraflar arasında veri aktarımı yapılmamasını istedi. Ayrıca WhatsApp’taki verilerin nasıl elde edileceği, kullanılacağı ve paylaşılacağına ilişkin kurallarda bir değişiklik yapılacaksa, kullanıcılara bu değişiklikleri kabul etmeme hakkı tanınmasını da tavsiye etti (FTC). Rekabet Otoritesi’nin taraflara gönderdiği mektupta tüm detaylar görülebilir, tarafların hangi taahhütleri verdikleri ve Otorite’nin hangi şartlarda birleşmeye izin verdiği incelenebilir.

İlave (08/01/2021 – 11:27): Birleşme başvurusu kapsamında verdikleri bilgilerin yanlış olması nedeni ile AB Komisyonu tarafından Facebook’a 2017 yılında 110 milyon euro ceza verilmişti (EC). Kullanıcıların Facebook ve WhatsApp hesaplarının otomatik olarak eşleştirilmeyeceği beyan edilmiş olmasına rağmen bu ihtimalin varlığının 2014 yılında da bilindiği tespit edilmişti.

Rekabetin ve Kişisel Verilerin Korunması

Bu makalede hukuki açıdan teknik detaylara girmeyi tercih etmiyorum fakat özetle ifade etmek gerekirse; biri rekabet hukukuna, diğeri ise veri koruma hukukuna ilişkin olmak üzere iki temel alanda hukuka aykırılık ön plana çıkıyor.

İlki, FTC’nin şartlı onayında belirtmiş olduğu “taraflar arasında veri aktarımı yapılmamasına” ilişkin şartın ihlâlidir. Bu şartın ihlâli nedeniyle Federal Ticaret Komisyonu Yasası’nın 5 inci bölümü gündeme gelecektir. Tam olarak bu noktada, Komisyon’un 2019 yılında Facebook’a, kullanıcılarının mahremiyet ve güvenliğine ilişkin yükümlülüklerini yerine getirmediği gerekçesi ile 5 milyar dolarlık rekor ceza verdiğini belirtmek isterim (FTC).

İkincisi ise veri işlemeye ilişkin kurallarda yapılacak değişikliklerde kullanıcılardan açık rıza alınmasına ilişkin kuralın ihlâlidir. Bu kuralın ihlâli durumunda kişisel verileri işlenen ilgili kişilerin yaşadığı ülkelerde yürürlükte olan veri koruma düzenlemesinin ilgili hükümleri (GDPR m. 83/5-a, KVKK m. 18/1 vs.) gündeme gelecektir. Özellikle ülkemiz ve AB hukukunda açık rızanın unsurlarından birisinin “özgür irade ile açıklanma” olması nedeniyle açık rızanın hizmet sunumu için şart koşulması durumu özgür iradeyi sakatlamaktadır. Dolayısı ile “ya kişisel verilerinizin Facebook Şirketi Ürünleri’nde kullanılmasına izin vereceksiniz, ya da artık WhatsApp’ı kullanamayacaksınız” gibi bir zorlama, ülkemiz ve AB hukukuna aykırılık teşkil etmektedir.

O bakımdan hem AB’deki veri koruma otoritelerinin hem de Kişisel Verileri Koruma Kurulu ile Rekabet Kurulunun bu hukuksuzluğu ele alacaklarını düşünüyorum.

İlave (07/01/2021 – 20:26): WhatsApp EMEA Regülasyon Direktörü tarafından gönderilen tweet’te, gizlilik ilkelerindeki güncelleme ve sonrasındaki veri işleme/aktarma pratiklerinin AB kullanıcılarını etkilemeyeceği ifade edildi (Sweeney).

İlave (11/01/2021 – 16:30): Gün içerisinde hem Rekabet Kurumundan, hem de Kişisel Verileri Koruma Kurumundan açıklama geldi. Her ikisi de yaşanan gelişmelerle ilgili olarak inceleme başlattıklarını duyurdu.

WhatsApp İlkelerinde Değişikliği Tetikleyen Gerekçeler

Bilindiği üzere 2018 itibarı ile “WhatsApp İşletme” hizmeti devreye alındı. Bu hizmet sayesinde işletmelere, müşterilerine destek vermek amacı ile WhatsApp İşletme hesabı oluşturmalarına imkân sağlandı. Mayıs 2018 tarihinde 3 milyon işletme tarafından kullanılan hizmet, Temmuz 2020’ye gelindiğinde 50 milyon işletme tarafından kullanılır hâle geldi (WhatsApp).

WhatsApp, kendisine abone olan işletmelerin sayısını daha da artırabilmek için işletmelere, alternatif kullanım yöntemleri ve farklı entegrasyon izinleri sağlamak istiyor. Böylelikle WhatsApp İşletme hizmeti, işletmelerin kendi kullandıkları çözümler ile entegre edilebilir hâle gelecek ve dolayısı ile çok daha fazla işletme tarafından kullanılacak. Bu da tüm yönleriyle ele alınacak olursa WhatsApp için çok büyük bir kazanç potansiyeli anlamına geliyor.

Diğer taraftan, Mayıs 2018’de AB’de yürürlüğe giren Genel Veri Koruma Tüzüğü, mevzuata aykırı veri işleme süreçleri yürüten şirketlere küresel cirosunun %4’üne kadar para cezası verilmesine imkân sağlıyor. Yine geçtiğimiz haftalarda AB’de ilk Taslağı sunulan ve yakın zamanda yürürlüğe girmesi beklenen Dijital Hizmetler Yasası’nda şirketlere, hükümlere aykırılık halinde küresel cirosunun %6’sına kadar para cezası verilmesi öngörülüyor.

Dolayısı ile bugüne kadar yürürlükte olan maktu cezalar artık yerlerini ilgili şirketin ekonomik büyüklüğü ile orantılı, caydırıcı cezalara bırakıyor. Bu cezalara muhatap olmak istemeyen WhatsApp ve Facebook, kullanıcı verileri ile neler yaptıkları noktasında biraz daha şeffaf konumlanmak istemiş olabilirler.

İlave (08/01/2021 21:53): Facebook, bu değişikliği yaparak WhatsApp üzerinde kurumsal amaçlı iletişimleri kolaylaştırmak istediğini 22/10/2020 tarihinde belirtmiş (Facebook).

Bir Hayırsever (!) Olarak Zuckerberg

Günümüzde Facebook ve kurucusu Zuckerberg, tüm bu kabarık ve kötü sicilini düzeltmek için gerek ülkemizde ve gerek dünyanın farklı yerlerinde “sosyal sorumluluk” projeleri yürütüyor, yoksulları gözetiyor, ırkçılıkla mücadele ediyor (Forbes), seçimlerin daha güvenli gerçekleştirilmesi için bağış yapıyor ve demokrasiyi güçlendiriyor (Vox), üniversitelere ve dolayısı ile eğitime destek oluyor (QZ), Afrika’ya internet ulaştırıyor (AA), hatta COVID-19 ile mücadeleye dâhi katkı sağlıyor (CNet). Haberleri okuduğunuzda ve biraz araştırma yaptığınızda bu desteklerin öyle birkaç milyon dolardan ibaret olmadığını, yüzlerce milyon ve hatta bazen milyarlarca doları bulduğunu görebilirsiniz.

Nitekim 2015 yılında baba olan Zuckerberg, yeni doğan bebeği Maxima için kaleme aldığı bir mektupta malvarlığının %99’unu (ki bu rakam 2015 yılında 45 milyar, bugün itibarı 100 milyar dolara tekabül ediyor), daha sağlıklı ve mutlu bir dünya için vakfettiğini açıklamıştı (NYTimes).

Bu haberler bana Malcolm X’in güzel bir sözünü hatırlatıyor: “Eğer dikkat etmezseniz medya, mazlumlardan nefret etmenize ve zalimleri sevmenize sebep olur.”

Özür Dilemeyi Alışkanlık Haline Getiren Zuckerberg

Peki hayırseverlikte sınır tanımayan Zuckerberg ile bugüne kadar dilemek zorunda kaldığı özürler arasında bir ilişki olabilir mi?

2018 yılında ortaya çıkan Cambridge Analytica Skandalı nedeniyle ABD Senatosu’nda düzenlenen “Facebook, Sosyal Medya Gizliliği, Veri Kullanımı ve Suistimali” başlıklı oturumda ifade veren Zuckerberg, “Sorumluluklarımızı geniş bir bakış açısı ile ele almadık ve bu büyük bir hataydı. Bu benim hatamdı ve bu nedenle özür dilerim.” demişti (NTV).

Aradan yaklaşık iki yıl kadar geçti fakat Zuckerberg hatalarından ders çıkarmamış görünüyor. Aslında buna hata dememek lazım, nitekim “Aynı hatayı iki kez yapamazsınız. İkinci kez yaptığınız hata değil, tercihtir.” der Steven Denn.

Zuckerberg’in bugüne kadar dilemek zorunda kaldığı özürlerin bazılarını şu bağlantılar üzerinden inceleyebilirsiniz (WashingtonPost, Wired, CNBC, FastCompany).

WhatsApp İçin Alternatif Uygulama Önerisi

Anlık mesajlaşma amacı ile WhatsApp için pek çok alternatiften söz etmek mümkün, fakat WhatsApp’ın yerine koyabileceğiniz uygulama alternatifleri ne yazık ki sınırlı ve kısıtlı.

WhatsApp yerine kullanacağınız alternatif uygulamanın hem (mümkün olduğunca) güvenli olması hem kullanıcı deneyiminin yüksek olması hem de sosyal çevrenizde yaygın kullanıma sahip olması gerekir. Tüm unsurları birlikte düşününce şahsen benim aklıma yalnızca Telegram geliyor (Yaygın kullanılan, güvenli ve sürdürülebilir farklı bir uygulama önerisi olanlar bu önerilerini paylaşabilirlerse, makaleyi revize edebilirim).

İlk olarak 2013 yılında uygulama marketlere giren Telegram ile ilgili bilgi almak için buraya tıklayabilirsiniz, birçok soruya cevap veriliyor. Hatta “Telegram’ın WhatsApp’tan farkı nedir?” isimli bir başlık da var.

Telegram, WhatsApp’ın aksine açık kaynak kodlu bir uygulamadır ve kodları GitHub üzerinden herkesin erişimine açık olarak paylaşılmaktadır. İsteyen herkes tarafından bu kodlar incelenebilmekte ve bu nedenle sistemde herhangi bir açık veya arka kapının olup olmadığı, işin uzmanları tarafından tespit edilebilmektedir.

Ayrıca WhatsApp’ta bulunmayan pek çok özellik Telegram’da bulunmakta, isteyen kullanıcılar yalnızca anlık iletişim amacı ile kullanabilecekler; isteyenler ise Telegram’ın sağladığı esnekliğin keyfini çıkarabileceklerdir.

Bazı önemli özelliklerden kısaca bahsetmem gerekirse:

  • Telefon numaranızı paylaşmadan, kullanıcı adınızla iletişim kurabilirsiniz. Dolayısı ile mesajlaştığınız herkesin telefon numaranızı bilmesine gerek kalmaz.
  • WhatsApp Web kullanmak için telefonunuzun açık olması gerekir fakat Telegram’ı telefonunuz kapalıyken de yalnızca bilgisayarınızdan kullanabilirsiniz. O yüzden telefonunuzun şarjı bitse bile Telegramı kullanmaya devam edebilirsiniz.
  • WhatsApp’ta sadece belirli formatta dosya paylaşımı yapabilirken Telegram’da tüm dosya türlerini gönderebilir ve alabilirsiniz.
  • WhatsApp’ta paylaştığınız fotoğraf ve videolar sıkıştırılır ve kalite kaybı olur. Telegram ise bu tercihi size bırakır, isterseniz dosyayı olduğu şekilde ve kalitede paylaşabilirsiniz.

Eğer kullanım yaygınlığı kriteri olmasaydı, yalnızca güvenlik ölçütünü esas alarak bir tavsiyede bulunacak olsaydım bu durumda Signal uygulamasını da tercih edebilirdim.

İlave (09/01/2021 13:20): Akıl ve ruh sağlığımı korumak, vaktimi daha faydalı işlere ayırmak amacı ile sosyal medya ve basını takip etmiyorum. Sosyal medyada Telegram ve Signal’in çok fazla ön plana çıktığı haberini alınca “acaba herhangi bir yönlendirmede bulunmasa mıydım” diye düşündüm. Toplu dönüşümler her zaman risklidir ve genellikle “ana akım” tarafından yönlendiril(mek isten)ir. Bu çekinceyi de aklımızın bir köşesinde bulundurmakta fayda var, alternatif uygulamalarda sıkıntı yaşanmayacağının garantisini hiç kimse veremez. Ayrıca hiçbir uygulama/hizmet, %100 güvenli değildir.

Sonuç ve Kapanış

Bugüne kadar mevzuata aykırı iş süreçleri nedeniyle milyarlarca dolar ceza alan, kullanıcılarına ve devlet yetkililerine yalan söyleyen, verdiği taahhütleri yerine getirmeyen, herkesi tüm hayatını paylaşarak şeffaf olmaya davet ederken kendi uygulama ve süreçlerinde hiç şeffaf olmayan, daha fazla para kazanabilmek ve güç elde edebilmek için mevzuata aykırı hareket etmeyi ve yalan söylemeyi alışkanlık haline getiren, adı sayısız skandala karışan Zuckerberg’in özürleri ve hayırseverliği (!)  sizin için ne anlam ifade ediyor?

Bu makalede kaynakları ile birlikte paylaştığım gerçeklere rağmen, “WhatsApp koşullarını ve gizlilik ilkesini güncelliyor” bildirimini kabul edebilir, Anayasa ile güvence altına alınan özel hayatın gizliliği ve kişisel verilerinin korunmasını isteme haklarınızdan feragat ederek WhatsApp’ın hesabınızı silme tehdidine boyun eğebilir, üye olurken ve kullanım esnasında sizden hiçbir ücret talep etmeyen ve reklam gösterimi gibi gelirleri de bulunmayan fakat verilerinizi satarak geçimini sağlayan WhatsApp’ı kullanmaya devam etmek isteyebilirsiniz. Bu tercihinize saygı duyarım, lakin ben WhatsApp’ın bu tehdidine ve dayatmasına boyun eğmeyecek, önüme konulan sözleşmeyi imzalamayacak ve bu nedenle verilen sürenin sonu (08/02/2021) itibarı ile WhatsApp’ta artık bulunmayacağım.

Bunun şahsi bir mesele olmayıp toplumsal bir mesele olduğunu, ulusal güvenliğe kadar pek çok konuda tehdit unsuru içerdiğini de bu vesile ile ifade etmeliyim.

]]>
https://mahremiyet.info/whatsapp-kosullarini-ve-gizlilik-ilkesini-guncelliyor/feed/ 20
Veri Yönetişimi Yasası (DGA) https://mahremiyet.info/veri-yonetisimi-yasasi-dga/ https://mahremiyet.info/veri-yonetisimi-yasasi-dga/#respond Wed, 18 Nov 2020 01:09:13 +0000 https://mahremiyet.info/?p=6993

Giriş

Euroactiv tarafından elde edilen bilgi ve belgelere göre Avrupa Komisyonu, Veri Yönetişimi Yasası (Data Governance Act) üzerindeki çalışmalarında önemli bir noktaya geldi. Veri Yönetişimi Yasası’nın sızdırılmış kopyası, Komisyon’un Avrupa Veri Stratejisi’ni uygulamaya nasıl koyacağına ışık tutuyor.

Bilindiği üzere 2020 yılının Şubat ayında Avrupa Komisyonu; yüksek kaliteli veri setlerine erişim sağlamak, Avrupa ekonomisinde yeterli büyümeyi gerçekleştirmek ve değer oluşturmak için AB genelinde veri için tek bir pazar vizyonunu belirleyen Avrupa Veri Stratejisi‘ni yayımlamıştı.

Taslak Hakkında Özet Bilgiler

Yaklaşık üç hafta kadar önce (28 Ekim tarihinde), Komisyon’un Avrupa Veri Stratejisi’ni uygulamaya yönelik ilk önerisi olan Veri Yönetişimi Yasası’nın bir kopyası sızdırıldı.

Strateji ile hedeflenen amaçlara ulaşmak için Birlik genelinde ortak bir uygulamanın bulunması gerektiği düşünüldüğünden, Taslak bir Tüzük (Regulation) olarak hazırlandı. Dolayısı ile söz konusu Taslak yürürlüğe girdiğinde, tüm AB üyesi devletlerde doğrudan uygulanabilir olacak.

Komisyon teklifinde, Veri Yönetişimi Yasası’nın bazı bölümlerinde kişisel verilerin de kapsama girmekte olduğu ve bu nedenle Yasa’nın, halihazırda yürürlükte olan veri koruma mevzuatına tamamen uyumlu olacak şekilde hazırlandığı belirtiliyor. Nitekim, kişisel verilerle ilgili başka yükümlülükler ortaya koyan Taslak’ta, Genel Veri Koruma Tüzüğü (GDPR) ile uyum konusunda atıflar bulunuyor.

Taslak, 41 açıklama (recital), sekiz bölüm ve 34 maddeden oluşuyor. Bölümler:

  • 1. Bölüm: Genel Hükümler
  • 2. Bölüm: Diğer Kişilerin Hakları İhlâl Edilmemek Şartı ile Kamu Verilerinin Yeniden ve Güçlendirilmiş Kullanımı
  • 3. Bölüm: Veri Paylaşımı Hizmeti Sağlayıcıları İçin Avrupa Yetkilendirme Çerçevesi
  • 4. Bölüm: Veri Gönüllülüğüne İmkân Sağlayan Önlemler
  • 5. Bölüm: Yetkili Makama İlişkin Hükümler
  • 6. Bölüm: Avrupa Veri İnovasyonu Kurulu
  • 7. Bölüm: Komite Prosedürü
  • 8. Bölüm: Son Hükümler

Yüzeysel olarak bahsetmek gerekirse Taslak’ta öne çıkan bazı hususlar şöyle:

  • Kamu verilerinin yeniden kullanımı: Kamusal amaçlarla elde edilen veriler, ticari amaçlarla dâhi yeniden işlenebiliyor. Söz konusu verilerin, makul ve orantılı bir bedel karşılığında sunulması da mümkün.
  • Veri paylaşımı hizmeti sağlayıcılarının güvenilir aracılar olmaları: Veri sahibi (data holder) ile veri kullanıcıları (data user) arasında aracılık görevini yerine getirecek olan veri paylaşımı hizmeti sağlayıcıları için, özellikle ilgili kişiler bakımından bir takım yükümlülükler öngörülüyor.
  • Veri gönüllülüğü: Kişiler ve kurumlar; yasal prosedürleri yerine getirmek ve ilgili formu (m. 22) doldurmak kaydıyla ortak fayda için ücretli veya ücretsiz olarak verilerini başkalarının istifadesine sunabiliyor.
  • AB Veri İnovasyon Kurulu: Adından da anlaşılacağı üzere böyle bir Kurul oluşturuluyor.
  • Veri Kooperatifleri / Veri Birlikleri: Veri sahiplerini, veri kullanıcıları karşısında bilinçlendirecek, haklarını aramalarına yardımcı olacak yeni bir oluşum öngörülüyor (Recital 26).
  • Veri işlemenin AB sınırları içerisinde öngörülmesi: Veri paylaşımı hizmeti sağlayıcılarının AB sınırları içerisinde kurulmuş olması gerekiyor. Diğer taraftan, AB şirketleri veya kamu kurum ve kuruluşlarına ait kişisel olmayan verilerin üçüncü ülkeler tarafından talep edilebilmesi için yargı kararı gerekliliği öngörülüyor.

(Vakit bulabilirsem Taslağı kapsamlıca ele almak ve buradan paylaşmak istiyorum).

Taslak Hakkında İlk Görüşler

Veriler özelinde faaliyet gösteren lobi grubu MyData, Taslak düzenleme resmi olarak henüz duyurulmamış olmasına karşın Taslak hakkında bir açıklama yayımladı:

“Düzenlemeyi; veri brokerlarının (aracılarının) rolünün açıklığa kavuşturulması, bu aracılar hakkında güven oluşturulması, GDPR'nin veri koruma alanında yaptığı yönlendirmenin bir benzerinin veri yönetişimi alanında yapılacak olması gibi gerekçelerle memnuniyetle karşılıyoruz. Aynı zamanda Veri Yönetişimi Yasası, pek çok inovasyon döngüsüyle birlikte çok erken aşamalarında olan bir pazarı düzenleyeceğinden, çalışmaların dikkatli bir şekilde incelenmesi gerektiğini savunuyoruz. Böylelikle düzenlemenin, yeni oluşmakta olan bir pazarda güçlü bir etkisi olacaktır.”

MyData

MyData, Taslak maddelerine ilişkin önemli önerilerini ise şöyle özetledi:

  • Veri paylaşımındaki kilit rolleri tanımlayın (md. 2), böylece verilerin hak sahipleri ile teknik veri kaynakları birbirinden ayrıştırılabilir olsun, ayrıca işlemlerde bireylerin de aktif katılımcılar olduğu veri paylaşımı modelini kabul edin
  • Veri paylaşımı hizmetlerinin kapsamını (md. 9/1) açıklığa kavuşturun, mevzuata uyumun ötesinde ilgili kişiyi yetkilendiren hizmetleri içerecek şekilde kapsamı genişletin
  • Veri paylaşımı hizmetleri arasındaki bağlantısallığı açıkça düzenleyin

Taslak hakkında görüşünü açıklayan bir diğer kuruluş ise Veri İnovasyon Merkezi (Center for Data Innovation) oldu. Merkez, içerdiği eksiklikler ve hatalar nedeniyle Taslağın revize edilmesi gerektiğini dile getirdi (Kaynak).

Avrupa Birliği Yetkililerinin Görüşleri

Veri Yönetişimi Yasası hakkında bir şeyler duyabilmek umudu ile 16-17 Kasım tarihlerinde düzenlenen Avrupa İş Zirvesi’ne (European Business Summit 2020) katıldım fakat ne yazık ki takip edebildiğim oturumlarda bu düzenlemeye doğrudan temas edilmedi.

Panelde AB yetkilileri daha ziyade günümüzde verilerin öneminden, COVID-19 pandemisi ile iyice hızlanan dijitalleşme trendinden, geçtiğimiz günlerde Asya-Pasifik ülkelerinden 14’ü arasında imzalanan serbest ticaret anlaşması ile rekabetin iyice kızıştığından, ABD ve Çin ile olan yarışta AB’nin geri kalmaması gerektiğinden, bununla birlikte AB’nin konuya salt ekonomik faktörler ile yaklaşmadığından, işletmeler tarafından uyulması zor da olsa insan haklarını koruyan düzenlemelerin yapılması gerektiğinden, ayrıca bu düzenlemelerin şeffaf, belirsizlikten uzak, anlaşılır ve sürdürülebilir olması gerektiğinden bahsedildi.

Dolayısı ile AB’nin, rakipleri ABD ve Çin gibi insan haklarını göz ardı ederek (ya da bireyleri ikinci planda görerek) ekonomik kazanımlar elde etme niyetinde olmadığı hususu farklı yetkililer tarafından dile getirildi.

Nitekim Şubat ayında AB İç Pazar Komisyoneri Breton, “(kişisel veriler alanında yapılan) savaşın ilk roundunu kaybettiklerinin ve bunun (GDPR ve koruyucu hükümlerinden kaynaklandığının) farkında olduklarını, endüstriyel veri alanında yapılmakta olan ikinci round için ise avantajlı olduklarını” belirtmişti (Kaynak).

Kapanış

Bazı şeyleri yakalamakta ülke olarak geç kalıyoruz ne yazık ki. Avrupa Birliğinin kamu sektörüne ait bilgilerin yeniden kullanımına ilişkin Direktifi 2003 tarihli. Yaklaşık 10 yıldır açık veri konusunu büyük bir ciddiyetle ele alıyorlar, açık veri portalleri üzerinden büyük kazanımlar elde ediyorlar (Kaynak). Yeni ekonomi modellerini ve iş süreçlerini bu temel üzerine inşa ediyorlar.

Biz ise, neredeyse 10 yıl önce üye olduğumuz Açık Yönetim Ortaklığı kapsamında hazırlanan eylem planları ile yayımlanan genelgelere bir türlü riayet edemiyoruz, açık veriye ilişkin temel düzenlemeyi hâlâ yürürlüğe koyamıyoruz, açık veri portaline kavuşamıyoruz. Kişisel Verilerin Korunması Kanunu’na ilişkin sıkıntılara, veri lokalizasyonuna ilişkin politikamızın kurgusuna ve/ya icrasına, bunların ülke ekonomisi üzerindeki olumsuz etkilerine artık değinmeye ihtiyaç yok.

Yakın bir zamanda resmi olarak da yayımlanması beklenen Taslağa ulaşmak için lütfen buraya tıklayınız…

]]>
https://mahremiyet.info/veri-yonetisimi-yasasi-dga/feed/ 0
Lokasyon Verisi Nedir? https://mahremiyet.info/lokasyon-verisi-nedir/ https://mahremiyet.info/lokasyon-verisi-nedir/#respond Mon, 25 May 2020 01:19:37 +0000 https://mahremiyet.info/?p=6937

Giriş

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu“) 16 ncı maddesi uyarınca Sicile kayıt olması gereken veri sorumluları tarafından tespit edilmesi gereken unsurlardan birisi de, ilgili veri sorumlusunun hangi kategoriye ait kişisel verileri işlediği hususudur.

Lokasyon verisi, Sicile kayıt yükümlülüğünün yerine getirilmesi için hazırlanan Veri Sorumluları Sicil Bilgi Sistemi’nde (“VERBİS“) ve Kişisel Verileri Koruma Kurumu (“KVK Kurumu“) tarafından hazırlanan ilgili kılavuzlarda yer verilen veri kategorilerinden birisini oluşturmaktadır.

Buna karşın; farklı veri sorumluları tarafından hazırlanan Aydınlatma Metni, Gizlilik Politikası vb. hukuki metinlerde lokasyon (konum) verisinin ne olduğu hususunda yanılgıya düşüldüğü, özellikle adres bilgilerine bu kategori altında yer verildiği görülmektedir.

Bu makalede, lokasyon (konum) verisinden ne anlaşılması gerektiği hususuna ilişkin değerlendirmelere yer verilmektedir.

Türk Mevzuatında Lokasyon Verisi

Öncelikle belirtmek gerekir ki, KVK Kanunu’nda lokasyon verisi tanımlanmamaktadır. Diğer taraftan, 5809 sayılı Elektronik Haberleşme Kanunu dayanak alınarak yürürlüğe konulan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’te (“Yönetmelik“) konum verisi tanımlanmakta ve “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veriyi” olduğu ifade edilmektedir.

Yönetmeliğin 11 ve 12 nci maddelerinde konum verisine ilişkin hükümler düzenlenmekte, bu hükümlerden ve özellikle Yönetmelik’te yer alan tanımdan konum verisinin bir kimseye ilişkin sabit ikâmeti veya adresi göstermediği kolaylıkla anlaşılmaktadır.

Yönetmeliği yürürlükten kaldırarak yerini alacak olan yeni Taslak ise Bilgi Teknolojileri ve İletişim Kurumu tarafından 17/03/2020 tarihinde kamuoyunun görüşüne sunulmuş olup, Taslağın yakın bir tarihte yürürlüğe girmesi beklenmektedir. Yönetmelik’te yer alan konum verisi tanımının Yeni Taslak’ta muhafaza edildiği, eski tanıma “elektronik haberleşme şebekesine bağlanan terminal cihazlarına uydu yön bulma sistemleri marifetiyle sağlanan yer bilgisibölümünün ilave edildiği görülmektedir.

AB Mevzuatında Lokasyon Verisi

KVK Kanunu’nun mehaz düzenlemesi olan “Avrupa Parlamentosu ve Avrupa Konseyi Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif’te (“95/46 sayılı Direktif“) lokasyon verisine ilişkin herhangi bir tanım veya özel bir hüküm bulunmamaktadır. Bu Direktifi yürürlükten kaldıran Genel Veri Koruma Tüzüğü’nde (“GDPR“) de böyle bir tanıma yer verilmemekte, ancak kişisel verinin tanımının yapıldığı maddede lokasyon verisine de değinilmektedir (m. 4/1).

Diğer taraftan, AB’de elektronik haberleşme alanını düzenleyen ve Yönetmeliğin mehaz düzenlemesi olan “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin Korunmasına İlişkin Direktif’te (“2002/58 sayılı Direktif“) konum verileri tanımlanmakta ve konum verilerine ilişkin pek çok hüküm bulunmaktadır. Yönetmelik’teki konum verisi tanımında bu Direktif’ten esinlenmiş, çok az bir değişiklik yapılarak aynı tanıma yer verilmiştir.

İngiltere’de Veri Koruma Otoritesi (Data Protection Authority – DPA) olan Bilgi Komisyoneri Ofisinin (ICO) internet sitesinde lokasyon verisine ilişkin bilgilendirici içeriğe yer verilen sayfa, yukarıda anılan tanımları destekler mahiyettedir. Burada, “cep telefonu şebekesindeki baz istasyonları tarafından elde edilen verilerle cep telefonu konumunun takibi“, lokasyon verisine örnek olarak verilmektedir (Kaynak).

Not: Her ne kadar resmi olarak 31/01/2020 tarihinde Brexit ile çıkış gerçekleşmiş olsa da İngiltere’de AB düzenlemelerinin (belirli konularda) uygulanmasına (belirli şartlar dâhilinde) 31/12/2020 tarihine kadar devam edilecektir.

VERBİS, Kılavuz ve Kararlarda Lokasyon Verisi

KVK Kurumu tarafından hazırlanan Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kılavuzu‘ndaki “Veri Kategorileri” başlığı altında lokasyon verisinin yanına örnek olarak “bulunduğu yerin konum bilgileri” verilmiştir. Aynı içerik, VERBİS’te de bulunmaktadır.

Kişisel Verilerin İşlenme Şartları isimli kılavuzda, KVK Kanunu’nun kişisel verilerin işlenme şartlarını düzenleyen 5 inci maddesinin ikinci fıkrasındaki “fiili imkânsızlık” bendine örnek olarak “Kaçırılan ya da kayıp kişinin konum bilgisi” verilmiştir.

Careem Networks Teknoloji A.Ş. tarafından yapılan ve KVK Kurulu tarafından duyurulan ihlâl bildiriminde, “Yetkisiz erişim sağlanmış olan kişisel veriler arasında (…) kayıtlı konum bilgisi ve yolculuk özeti bilgisi ile araç sürücülerine ait isim telefon numarası, araç modeli (…) bilgilerinin olabileceği” ifadesine yer verilmiştir.

Son olarak, COVID-19 salgını ile mücadele kapsamında konum verilerinin işlenmesine ilişkin KVK Kurulu tarafından yapılan kamuoyu duyurusunda; konum verisinin tanımında Yönetmeliğe atıf yapılmakta, ayrıca “(…) genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine (…)” ifadesine yer verilmekte, buradan da konum verisi ile sabit bir adresin işaret edilmediği anlaşılmaktadır.

Görüldüğü üzere KVK Kurumu ve Kurulu tarafından yayımlanan Kılavuz ve Kararlarda yeknesak bir yaklaşım görülmekte, lokasyon (konum) verisinin sabit bir adres olarak yorumlandığına ilişkin herhangi bir yaklaşıma rastlanmamaktadır.

Karışıklığın Muhtemel Sebepleri

Şüphesiz bu konuda yaşanan karışıklığın en büyük sebebi, kavramlar arasındaki benzerliktir. Türk Dil Kurumunun sözlüğünde konum, “Bir kimsenin veya bir şeyin bir yerdeki durumu veya duruş biçimi, pozisyon” olarak tanımlanmaktadır (Lokasyon kelimesi ise Türkçe kökenli olmadığı için sözlükte bu kelimenin tanımına yer verilmemektedir). Günlük hayatta lokasyon (konum) kavramı, yaygın olarak sabit bir ikâmeti ifade etmek için kullanılmaktadır.

Buna ilaveten esas olarak lokasyon (konum) verisinin yanlış yorumlanmasına sebebiyet vereceği düşünülen iki farklı husus bulunmaktadır.

İlki, KVK Kurumu tarafından hazırlanan Kişisel Veri İşleme Envanteri Hazırlama Rehberi‘nde karşımıza çıkmaktadır. Rehber’in 60. sayfasının 22. maddesinde “Destek Hizmetleri” departmanına ait “İhale Dosyası Oluşturma” süreci kapsamında işlenen “Adres Bilgisi” nin veri kategorisi olarak “Lokasyon” belirlenmiştir. Adres bilgisinin işlenmesine örnek olarak yalnızca bu maddenin yer aldığı Rehber’i esas alan veri sorumluları tarafından hazırlanan/hazırlanacak envanterlerde, adres bilgisi için “Lokasyon” veri kategorisinin işaretlenmesi riski doğmaktadır.

İkinci olarak, duyurulan ihlâl bildirimlerinin bir çoğunda “lokasyon” veya “konum” verilerine de yer verilmekle birlikte, Animoto tarafından yapılan ve KVK Kurulu tarafından duyurulan ihlâl bildiriminde “yüksek seviye coğrafi konum bilgisi (şehir ve ülkeye denk gelecek şekilde)” ifadesi bulunmaktadır. “Yüksek seviye coğrafi konum bilgisi” ile ne kastedilmek istendiği anlaşılmamakla birlikte parantez içerisindeki açıklamadan, müşterilerin ihlâl edilen verileri arasında firma ile paylaştıkları şehir ve ülke bilgilerinin de bulunduğu düşünülmektedir.

Sonuç olarak, bu kavramların günlük hayattaki karşılıkları ile yukarıda değinilen iki kullanımın (Kılavuz ve Karar), lokasyon verisinin yanlış anlaşılmasına sebep olduğu değerlendirilmektedir.

Karışıklığın Muhtemel Çözümleri

Kişisel Veri İşleme Envanteri Hazırlama Rehberi’nde sehven yazıldığı düşünülen ilgili maddede “Lokasyon” olarak belirtilen veri kategorisinin “İletişim” olarak revize edilmesi hâlinde karışıklığa sebebiyet veren durumun ortadan kalkacağı,

Ayrıca mevzuatın uygulanması ve yorumlanmasına ışık tutan KVK Kurulu kararlarında, terminolojiye riayet edilmesi hususunda daha hassas davranılması hâlinde benzer karışıklıkların önüne geçilebileceği değerlendirilmektedir.

]]>
https://mahremiyet.info/lokasyon-verisi-nedir/feed/ 0
Ülkemizde KVKK: Hâl-i Pürmelâl https://mahremiyet.info/ulkemizde-kvkk-hal-i-purmelal/ https://mahremiyet.info/ulkemizde-kvkk-hal-i-purmelal/#respond Tue, 19 May 2020 02:30:27 +0000 https://mahremiyet.info/?p=6881

Giriş

Arapça kökenli olan ve durum anlamına gelen “hâl” kelimesi ile Farsça kökenli olan ve hüzünlü, üzüntülü anlamına gelen “pürmelâl” kelimesinin birlikteliğinden oluşan “hâl-i pürmelâl” ifadesi, içerisinde bulunulan hüzünlü durum olarak dilimize çevrilebilir. Ben de bu ifadeyi, ülkemizde KVKK camiasının durumunu anlatmak için tercih ettim.

İşte hâl-i pürmelâlimizi anlatacağım bu makalenin ağzımızın tadını kaçırabileceğini düşündüğüm ve anlatmadan önce bir miktar da olsa ağzımızın tatlanmasını umduğum için makale görseli olarak Türk Lokumunu kullandım.

Konuya giriş yapacak olursak, dünya ne yazık ki boşluk kabul etmiyor. Özellikle salatalığı görünce eline tuz alıp koşmaya başlayanlar, çok akışkan bir hâle bürünüp buldukları tüm boşlukları doldurma gayretinde oluyorlar. Bunun birçok farklı gerekçesi var elbette fakat ehil olmayan kişi, büro, ofis ve şirketler nedeniyle ülkemizde KVKK artık ne yazık ki “ses var, görüntü yok” tadı vermeye başladı.

İnternette mesleki bir araştırma yaparken rastlantı eseri karşıma çıkan internet sitesinde gördüğüm bazı yanlışlar nedeniyle, piyasada çokça bilinen ve bazı büyük şirketlerin KVK mevzuatına uyum süreçleri yürüten bu firmanın (makalede X firması olarak bahsediyorum) internet sitesini incelemek istedim.

Kaç kişilik bir ekiple bu danışmanlık/uyum sürecini yürüttükleri bilgisine ilgili sayfa 404 hatası verdiği için ulaşamadım fakat sayfanın 2018 yılına ait bir kopyasında yer alan bilgilerden (Internet Archive) ekiplerinde yaklaşık 15 kişinin bulunduğunu gördüm.

Bu incelemeyi ilginç ve önemli kılan hususlardan birisi de “X firması” yöneticisinin camiada tanınan bir sima olması; özellikle Kişisel Verileri Koruma Kurumu ile kamu kurum ve kuruluşlarına ciddi anlamda eleştiriler yöneltmesi

Bu makalede “X firmasının” internet sitesinde yapmış olduğum yüzeysel inceleme neticesinde karşılaştığım kritik hatalara yer verdiğimi, basit denilebilecek hatalara ve detaylara ise hiç girmediğimi, ayrıca bu incelemede ele alınan “X firmasının” ülkemizde KVKK camiasının seviyesini yansıttığını düşündüğümü ifade etmeliyim.

İsim Sunucuları

Öncelikle “X Firmasına” ait internet sitesinin ad sunucuları (NS – name server):

  • NS-CLOUD-D1.GOOGLEDOMAINS.COM
  • NS-CLOUD-D2.GOOGLEDOMAINS.COM
  • NS-CLOUD-D3.GOOGLEDOMAINS.COM
  • NS-CLOUD-D4.GOOGLEDOMAINS.COM

adreslerine yönlendirilmiş. Bu da, alan adı yönetiminde Google Domains hizmetinin kullanıldığı anlamına geliyor. Ülkemizde Google Domains henüz tam anlamıyla hizmet vermiyor olsa da, başka firmalar üzerinden tescil edilen alan adlarıyla ilgili bazı işlemler Google Domains üzerinden gerçekleştirilebiliyor.

Eposta Sunucuları

İnternet sitesinin eposta sunucuları (MX – mail exchanger record), “alt1.aspmx.l.google.com” adresine yönlendirilmiş. Bu da, @xfirması.com uzantılı eposta alt yapısının Google sunucularına yönlendirildiği anlamına geliyor. Bildiğiniz üzere KVK Kurulunun bu konuda vermiş olduğu 2019/157 sayılı Karar‘da, bu durumu yurtdışına veri aktarımı olarak kabul etmişti. Dolayısı ile “X firmasının” bu şekilde yapılandırılan kurumsal eposta adreslerinin kullanımı nedeniyle kendisine eposta gönderenler kişilerden ve bu kurumsal epostayı kullanan çalışanlarından (verilerini yurtdışına aktarmış kabul edildiği için) açık rıza alması gerekiyor.

Alan dışındaki ziyaretçilerin makaleyi okuduklarında bu mantıksız durumu anlamaları için bir ilave yapayım: Yurtdışına kişisel veri aktarımına ilişkin istisnai yöntemlerden hiçbirisi KVK Kurumu tarafından bugüne kadar işletilmedi, yeterli koruma sağlayan ülkeler listesi yayımlanmadı, o yüzden yurtdışına veri aktarımında bugüne kadar açık rıza dışında bir yöntem kullanılamadı. Yürürlükteki mevzuat çerçevesinde yurtdışına veri aktarımının açık rıza dışında da mümkün olduğunu ileri süren görüşlerin bulunduğu şerhini de düşeyim.

Barındırma Hizmeti

Whois kayıtlarında gördüğüm kadarıyla “X Firmasının” internet sitesi “166.xx.xxx.90″ adresli IP üzerinden hizmet veriyor. Bu IP adresini araştırdığımda, sunucuları ABD’de bulunan GoDaddy firmasına çıktı yolum. Yani barındırma hizmeti (hosting) de yurtdışından temin ediliyor fakat bu durum, aydınlatma yükümlülüğünün yerine getirilmesinde ve açık rıza temininde göz önünde bulundurulmamış, gerekli düzenlemeler yapılmamış.

SSL sertifikası da bize yine GoDaddy firmasını işaret ediyor.

Aydınlatma & Açık Rıza

Siteye ilk girdiğinizde sayfanın altında tek satırlık bir çerez bildirimi çıkıyor. Bildirimin sonunda “İnternet sitemizi ziyaretinize devam etmeniz halinde bu sitede kullanılan çerezleri kabul etmiş sayılacaksınız.” ifadesi kullanılıyor. Bildirimin son bölümünde “Daha fazla bilgi” ve “Tamam” seçenekleri mevcut. “Daha fazla bilgi” bağlantısına tıkladığınızda sizi anasayfaya yönlendiriyor, yani bilgi alamıyorsunuz.

Öncelikle bu ifade, yani “kabul etmiş sayılacaksınız” ifadesi, açık rızanın unsurlarını karşılamıyor. KVK Kurumunun Uygulama Rehberi‘nde, Genel Veri Koruma Tüzüğü‘nün (GDPR) 32. resitalinde, Madde 29 Veri Koruma Çalışma Grubu’nun konuya ilişkin WP259 sayılı raporunda, doktrinde birçok eserde ve daha sayabileceğim sayısız kaynakta bu kuralı ve gerekçesini bulabilirsiniz.

Diğer taraftan bu ifade; Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ‘in 5 inci maddesinin birinci fıkrasının, “aydınlatma yükümlülüğünün yerine getirilmesi ile açık rızanın alınması süreçlerinin ayrı ayrı yerine getirilmesini” düzenleyen (f) bendine aykırılık teşkil ediyor. Bunu en son, KVK Kurulunun Amazon Türkiye hakkında verdiği Karar‘da görmüştük.

Aydınlatma yükümlülüğüne ilişkin bir diğer yanlış ise iletişim sayfasında bulunuyor. Aydınlatmaya özet bir şekilde yer verilmiş, detaylı bilgi için Gizlilik Politikası’na bağlantı verilmiş fakat bağlantıya tıklayınca yine 404 hatası çıkıyor, yani Gizlilik Politikası incelenemiyor.

Çerezler

İnternet sitesinde birkaç sayfayı ziyaret ettikten sonra bilgisayarıma çok sayıda çerez konumlandırıldı. Bunlardan üçü (1P_JAR, DV ve OTZ) Google’a ait çerezler. Bunların ne olduklarını araştırdım ve Google Analytics için kullanıldığı gördüm. Google Analytics‘te ziyaretçilere bir ID verildiği ve bu ID’nin farklı verilerle eşleştirildiğinde kimliği “belirlenebilir” bir gerçek kişiyi gösterme kabiliyeti bulunduğu (yani anonim veri olmadığı; pseudo anonim veri olduğu) için bu ID’ler kişisel veri olarak kabul ediliyor (KVKK, m. 3/1-d).

Dolayısı ile Google Analytics kullanılan internet sitelerinde ziyaretçilerden açık rıza alınması gerekiyor, nitekim mevzuat hükümleri uyarınca burada Google’a kişisel veri aktarımı yapılmış kabul ediliyor.

Güvenlik (?)

İnternet sitesine girdiğinizde bir yerde re-CAPTCHA işaretini görüyorsunuz. Yani sitede güvenlik (!) yine Google hizmetleri ile sağlanıyor. Daha önce bunu kullanan herhangi bir site görmemiştim, daha doğrusu muhtemelen bunu tercih eden internet siteleri olsa dahi re-CAPTCHA’nın görünmez olan versiyonu kullanılıyordur diye tahmin ediyorum.

Sonuç

Bu inceleme neticesinde karşımıza çıkan tabloda, hep birlikte almamız gereken bazı derslerin bulunduğunu düşünüyorum:

  • Camdan evimiz varsa, komşumuzun camına taş atmayalım.
  • Bilişimden anlamıyorsak, bilişim hukukçusu olmayalım (Şu anda Harvard Üniversitesinin hukukçular için bilgisayar bilimlerine giriş kursu ‘edX – CS50 for Lawyers‘ ücretsiz).
  • En basit işler için dâhi Google hizmetlerine başvuruyorsak, KVK mevzuatına uyum süreci yürütmeyelim lütfen. Nitekim bu durum, “mahremiyet” ve “kişisel verilerin korunması” kavramlarından hiçbir şey anlamadığımızı gösterir. Yurtdışında çalışan mahremiyet profesyonellerinin büyük bölümü GApps’ten (Google Uygulamaları) kaçarken bizim arkadaşlarımızın bu Google hayranlığı beni üzüyor.
  • Çok eleştirmek, çok şey bilmek anlamına gelmez. Hepimizin hataları, yanlışları, eksikleri olabilir, vardır da… Fakat lütfen yıkıcı eleştirilerden uzak duralım, yapıcı eleştirilere odaklanalım. Yıkmaya değil; yapmaya gayret edelim. Daha iyiyi hedeflerken, elimizdekinden de olmayalım. Marifet iltifata tâbidir, güzel işleri alkışlayalım.
  • Herşeyin makul bir açıklaması olabilir ve bu açıklamayı dışarıdakiler bilemeyebilir. Örneğin “X Firması” yöneticisi kendi internet sitesine hiç girmemiş olabilir, internet sitesinin mevzuata uyumu hususunda bir çalışanını görevlendirmiş olabilir, bu konuyu önemsememiş olabilir…
  • Salt siyasi ve ideolojik motivasyonlarla hareket etmeyelim, konuşmayalım. Bu devlet ve kurumlar hepimizin, hepimiz aynı geminin yolcularıyız, bu gemi su alırsa hep birlikte batarız.
  • Sosyal medyada eleştirmek kolay… Etkileşim getiriyor, popülerlik kazandırıyor olabilir fakat eleştirilerimiz dişe dokunuyor mu, işe yarıyor mu, eleştirdiğimiz kişi ve kurumların bundan haberi oluyor mu? Sosyal medyada eleştirmek yerine bir eposta ile hatalı olduğunu düşündüğümüz meseleyi bizzat ilgili kişinin kendisine iletirsek daha faydalı bir iş yapmış olabilir miyiz acaba?
  • Son bir çıkarım da hizmet alan kişi ve kurumlara gelsin… Lüks muhitlerdeki rezidanslarda konumlanan, bir sürü çalışanı bulunan, yurtdışındaki “bağımsız” kuruluşlar tarafından gerçekleştirilen objektif (!) değerlendirmeler neticesinde en başarılı seçilen kişiler ve bürolar sizi kurtarmaz. Bu bahsettiğim unsurlar ancak sizden daha fazla hizmet bedeli talep edeceklerinin bir göstergesi olabilir. Günün sonunda ihtiyaç duyacağınız şey, yapılan işlemlerin mevzuata gerçekten ne kadar uygun olduğudur; bu işlemleri yapanların kim oldukları değil!

KVK Kurumunun hataları yok değil (hiçbirimiz hatasız değiliz), bu hatalar eleştirilmez ve dile getirilmez de değil… Hatta bunlar bir şekilde dile de getirilmeli, farklı fikirler çarpıştırılmalı ki sonunda en güçlü olan fikirler ayakta kalabilsin, süreçler doğru bir şekilde kurgulanabilsin, gerek bu işin “hizmet veren” tarafları için gerek “hizmet alan” taraflar için kurallar net ve belirgin olabilsin… Dediğim gibi eleştirideki amaç ve hedef önemli, kusur ararsak herkeste ve her yerde mutlaka birşeyler buluruz, yıkmak istersek çok kolay yıkarız.

Son olarak, “X firması” ve yöneticisinin kimliğini tahmin eden kişiler olursa bunu lütfen ifşa etmeyin, ifşa edilmesini amaçlasaydım bunu ben de yapabilirdim. Bu makale ile neyin amaçlandığının anlaşılabilir olduğunu düşünüyor, verdiğim mesajın “X firması” ve yöneticisi de dâhil olmak üzere ilgililerine kolaylıkla ulaşacağını biliyorum. İnternet sitelerinin KVKK uyumuna ilişkin verdiğim hukuki danışmanlık hizmeti için de herhangi bir ücret talep etmiyorum.

Ülkemizde KVKK camiasının mensubu olup, ekmeğini helâl yoldan temin etme gayreti içerisinde olan herkesi saygıyla selamlıyorum…

]]>
https://mahremiyet.info/ulkemizde-kvkk-hal-i-purmelal/feed/ 0
KVK Kurulundan Amazon Türkiye Cezası https://mahremiyet.info/kvk-kurulundan-amazon-turkiye-cezasi/ https://mahremiyet.info/kvk-kurulundan-amazon-turkiye-cezasi/#comments Thu, 14 May 2020 04:09:21 +0000 https://mahremiyet.info/?p=6837

KVK Kurulundan Amazon Türkiye Cezası

Geçtiğimiz hafta Kişisel Verileri Koruma Kurulu (“KVK Kurulu”), Amazon Türkiye hakkında kendisine yapılan şikâyet başvurusuna ilişkin kararını yayımladı. Anılan Karar’da KVK Kurulu, Amazon Türkiye’ye 1 milyon 200 bin TL idari para cezası uyguladı.

Kararın duyurulduğu 07/05/2020 tarihinden itibaren (yani bir haftadır) veri koruma hukuku camiasında (ki bu camia öyle sanıyorum ki hukuk camiasının yarısından fazlasına tekabül ediyor) yapılan tartışmaların odağına; ticari elektronik iletiler, aydınlatma yükümlülüğü, açık rıza, çerez (cookie) kullanımı, yurtdışına veri aktarımı gibi unsurlar yerleştirildi. Ben ise tartışmanın odağına mevzuat hükümlerine ilişkin aykırılıkların değil; mevzuatın kendisinin yerleştirilmesi gerektiğini düşünüyorum. Neden mi?

İki hafta önce Amazon, 2020 yılının ilk çeyreğine ilişkin malî verilerini yayımladı. Buna göre Amazon’un cirosu, geçtiğimiz yılın ilk çeyreğine göre %26 oranında artarak bu yılın ilk dört aylık döneminde 75 milyar dolara (yaklaşık 520 milyar TL) ulaştı. Amazon’un aynı dönemde net kârı ise 2.5 milyar dolar oldu (Amazon).

Dolayısı ile KVK Kurulu’nun Amazon Türkiye’ye vermiş olduğu ceza, Amazon’un bu yılın ilk çeyreğinde yaptığı cironun yalnızca 1/433.333’üne tekabül ediyor. Sizce Amazon, herhangi bir mevzuata uyumu en iyi şekilde sağlayacak ekipleri kuramaz mı? Acaba Amazon, veri işleme pratiklerinde yaptığı mevzuata aykırılıklar sayesinde maruz kaldığı/kalacağı potansiyel cezalardan çok daha fazlasını kazanmıyor mudur? Amazon için 1 milyon 200 bin TL önemli midir? Verilen bu ceza, müşterileri ve kullanıcıları nezdinde Amazon’un imajını sarsmış mıdır ve satışlarını etkiler mi?

Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından hazırlanan On birinci Kalkınma Plânı‘nda (2019-2023) yer alan ve aşağıda alıntılanan hedeflerin en kısa sürede hayata geçirilmesi gerekmektedir:

479. Kişisel verilerin korunmasına ilişkin düzenlemeler teknolojinin getirdiği yenilikler ve uluslararası platformlarda benimsenen yeni yaklaşımlar doğrultusunda güncellenecek, bu alanda teknolojik gelişme teşvik edilecektir.
479.1. 6698 sayılı Kişisel Verilerin Korunması Kanunu AB’nin Genel Veri Koruma Tüzüğü dikkate alınarak güncellenecektir.
479.2. Mahremiyet artırıcı teknolojilerin geliştirilmesi ve kullanımı desteklenecektir.

Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) öngörülen idari para cezalarının üst limitleri, özellikle küresel şirketleri caydırıcılıktan son derece uzaktır.

Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR) veri koruma otoritelerine; mevzuat hükümlerinin ihlâli hâlinde, 10 milyon EUR veya şirketin bir önceki malî döneme ait küresel cirosunun %2’sine kadar idari para cezası verme imkânı getirilmiştir (m. 83/4).

Dolayısıyla On Birinci Kalkınma Eylem Plânı’nın ilgili maddesinin gereği yerine getirilmiş olsaydı, Amazon Türkiye tarafından KVK Kanunu’nun ihlâline karşılık KVK Kurulunun verebileceği en yüksek idari para cezası yaklaşık 5.6 milyar dolar (yaklaşık 39 milyar TL) olabilecekti. Kurul’un yürürlükteki mevzuat uyarınca 2020 yılı için verebileceği en yüksek para cezası ise yaklaşık 1 milyon 800 bin TL. Yani iki düzenleme arasında verilebilecek en yüksek idari para cezası yaklaşık 21.666 kat fark ediyor…

Siz Amazon’un patronu olsaydınız, nasıl hareket ederdiniz?

]]>
https://mahremiyet.info/kvk-kurulundan-amazon-turkiye-cezasi/feed/ 2
İnterneti Daha Güvenli Kullanmak https://mahremiyet.info/interneti-daha-guvenli-kullanmak-icin-yapilacaklar/ Thu, 23 Apr 2020 13:00:05 +0000 https://mahremiyet.info/?p=6093

Giriş

Bizi sömüren, haberimiz olmadan izleyen ve takip eden, iznimizi almadan mahremiyet hakkımızı ihlâl eden, bize ait gizli bilgileri herkesle paylaşan, kendi hedefleri doğrultusunda bizim üzerimizden devasa paralar kazanan, kişileri ve toplumları istedikleri gibi dönüştürenlere karşı mücadele etmek; interneti daha güvenli kullanmak istemez miyiz?

Elbette isteriz! Ancak bu mücadelede başarılı olmak için gayret göstermek, sabretmek, rahatımızdan taviz vermek, bazı konularda beklentilerimizi düşürmek, bağımlılıklarımızla mücadele etmek, herşeyi paylaşma dürtülerimizi dizginlemek, tüm platformlarda bulunma takıntısından kurtulmak ve sebat etmek gerekiyor.

Eğer bu zorlu mücadeleden zaferle ayrılabilirim diye düşünüyorsanız veya bağımsızlık yolunda şansımı denemek istiyorum diyorsanız, o hâlde interneti daha güvenli kullanmak için alabileceğiniz bazı tedbirleri ve kullanabileceğiniz bazı uygulamaları özetle inceleyelim.

Açık Kaynak Kod

Açık kaynak kod, bir yazılım veya uygulamaya ait kodların herkesin erişimine açık olduğu anlamına gelir. Açık kaynak kodlu olmayan (yani kapalı kaynak kodlu) uygulamaların kodları, kullanıcılar veya daha doğru bir ifade ile uygulamayı geliştirenlerin dışındakiler tarafından bilinemez. Kodları başkaları tarafından bilinemeyen bir uygulamanın nasıl çalıştığı, hangi özelliklere sahip olduğu, hangi verileri ne amaçlarla işlediği ve nerelere aktardığından emin olunamaz.

Bunu bir örnekle açıklamak gerekirse; bir kola ürününün içerisinde ne olduğunu bilemezsiniz, çünkü ticarî sır gereği bu bilgi şirket tarafından açıklanmaz. Bu kolanın tadı hoşunuza gider, biraz bağımlılık da yapar, içeriğini çok sorgulamadan içersiniz. İçindekilerin bağımlılık yapma özelliğini, sağlığınıza zarar verip vermediğini, farklı etkilerinin olabileceğini düşünmezsiniz. Fakat bizzat sağdığınız süt ile evinizde yaptığınız yoğurda su katarak elde ettiğiniz ayranın içeriğini bilirsiniz, bunu güvenle tüketirsiniz (Dışarıda içtiğiniz açık ayranı ise, donanımı başkaları tarafından üretilen bir cihazda kullandığınız açık kaynak kodlu uygulamaya benzetmek sanırım pek yanlış olmaz).

İşte açık kaynak kod ile kapalı kaynak kod arasındaki fark buna benzer. Birisinde üreticiye itimat etmek ve size sunulan ürüne güvenmek durumundasınız, isteseniz de ürünün içeriğini kontrol etme şansınız yoktur; diğerinde ise ürün içeriği elinizin altındadır. Ürün içeriğini inceleyecek uzmanlığınız yoksa bile konunun uzmanları tarafından içerik devamlı incelenmektedir.

Bu yazdıklarım, açık kaynak kodlu uygulamaların %100 güvenli olduğu anlamına gelmez. Her ne kadar üretim yapan fabrika 7/24 herkesin denetimine açık olsa da, “nasılsa başkaları denetliyordur” veya “herkesin denetimine açıksa mutlaka güvenlidir” yaklaşımı nedeniyle denetimsiz kalan açık kaynak kodlu uygulama içerisine zararlı içerik yerleştirilebilir. Yine de popüler olan, çok sayıda kişi tarafından kullanılan açık kaynak kodlu uygulamalarda bu risk yok denecek kadar azdır.

Açık kaynak kodlu uygulamaların paylaşıldığı en popüler site Github‘dır. Github bünyesinde 40 milyonu aşkın geliştirici (developer), 100 milyonun üzerinde veri havuzu (repository) bulunmaktadır.

Sonuç olarak interneti daha güvenli kullanmak için; işletim sistemi de dâhil olmak üzere bilgisayar ve cihazlarda kullanılan araç ve gereçlerin açık kaynak kodlu olmalarına mümkün olduğunca dikkat edilmesi gerekir.

Gizlilik Politikası

Yukarıdaki kola ve ayran örneğinden devam etmek gerekirse, gizlilik politikasını ürün ambalajındaki “içindekiler” gibi düşünebiliriz. Yani gizlilik politikasında uygulama veya hizmet hakkında bazı bilgiler verilir fakat kapalı kaynak kodda bunu doğrulama imkânımız olmaz.

Yine de şirketler ve uygulama geliştiriciler, gizlilik politikasını (genellikle) doğru yazma eğilimdedirler. Çünkü politikaya yazdıkları bilgiler eksik veya hatalı olur ve bu durum bir şekilde ortaya çıkarsa, Cambridge Analytica Skandalı‘na benzer şeyler yaşanabilir. Yine yakın zamanda gizlilik politikasında beyan edilmemesine karşın Zoom’un Facebook’a veri gönderdiği tespit edilmiş, Zoom CEO’su bu nedenle özür dilemek durumunda kalmıştı (AA).

O nedenle gizlilik politikalarını okumak önemli. Nasıl ki gerçek hayatta herhangi bir metni okumadan ıslak imza ile imzalamıyorsak (düzelteyim, imzalamamamız gerekiyorsa), gizlilik politikalarını da imzalamadan önce okumalıyız. Önceleri binlerce sayfayı bulan gizlilik politikaları vardı fakat artık AB Genel Veri Koruma Tüzüğü (GDPR) hükümleri nedeni ile bu metinlerin uzunlukları çok ciddi anlamda kısaldı.

Tarayıcı

Cihazınızda kullandığınız tarayıcı, internette gezinme alışkanlıklarınızın kullanılması ve sızdırılması anlamında kritik bir işleve sahiptir. O yüzden daha güvenli internet kullanmak için güvenli bir tarayıcı kullanmak olmazsa olmazdır. Üstelik bu önlem (cihaza tarayıcı kurmak) çok kolay bir şekilde alınabilmektedir.

Yakın zamanda yapılan bir akademik çalışmada altı farklı tarayıcının (Chrome, Mozilla Firefox, Apple Safari, Brave, Microsoft Edge, Yandex) arka taraftaki sunuculara yaptığı veri gönderimleri analiz edilmiş, analiz sonuçlarına göre bu tarayıcılar üç farklı güvenlik seviyesinde sınıflandırılmıştır. Brave‘in yüksek güvenlik seviyesinde; Chrome, Firefox ve Safari’nin orta güvenlik seviyesinde; Edge ve Yandex’in ise düşük güvenlik seviyesinde olduğu tespit edilmiştir (Tarayıcı Mahremiyeti).

Arama Motoru

Arama motorları da tarayıcılar gibi ziyaret geçmişlerinizi takip edebilir. Özellikle arama motoru pazarının (%92 kullanım oranı ile) tek hakimi konumunda olan Google, bu konuda çok kötü bir sicile sahip.

Örneğin Google’a girdiğinizde (https://google.com), sağ alt bölümde yer alan “Ayarlar => Arama’daki verileriniz” bağlantısı üzerinden açtığınız sayfada, “Oturum kapalıyken yapılan Arama etkinliği” ni “Açık” olarak görürsünüz. Bu, Chrome’da Google hesabı oturumu açmadıysanız dahi arama geçmişinizin Google tarafından kaydedildiği anlamına gelir.

youronlinechoices

Yine hemen altında “Reklam kişiselleştirme” bağlantısına tıkladığınızda gelen ekranda, hem Youtube ve Google’ın işbirliği yaptığı 2 milyonun üzerindeki internet sitesinde (yani tüm internet aleminde), hem de Google aramalarında size kişiselleştirilmiş reklam gösterilmesine ilişkin özellik açık olarak gelir.

Bunun da ötesinde, “Reklam kişiselleştirme” bağlantısına tıkladığınızda gelen ekranın el altında “Daha Fazla Reklamın Kapsamı Dışında Kalmayı Seçin” bağlantısını görürsünüz. Bu bağlantıya tıkladığınızda ise tehlikenin boyutunu biraz daha iyi anlayabileceğiniz bir ekranla karşılaşırsınız. Google; sizin açık rızanızı almaksızın ve hatta size bilgilendirme bile yapmaksızın, cihazınızdan elde ettiği bilgileri 100’e yakın veri acentesine satıyor. Bunu kapatmak için biraz aşağıya doğru inip “Tüm şirketleri devre dışı bırak” seçeneğine tıklayıp bekleyebilirsiniz (Tarayıcınızda reklam/çerez engelleyici bir özellik veya eklenti varsa şirketleri sarı, yeşil veya kırmızı değil gri renkte görürsünüz. Ayarları düzeltmek için bu özelliği/eklentiyi geçici olarak pâsif hale getirebilirsiniz).

Mahremiyet hakkınıza saygı duyan, arama geçmişinizi kaydetmeyen ve üçüncü taraflarla paylaşmayan alternatifleri tercih edebilirsiniz.

VPN

Çok basit ve temel olarak ifade etmek gerekirse VPN, gerçek IP adresinizin gizlenip, farklı bir IP adresi üzerinden internete bağlanmanızı sağlayan teknolojidir. VPN, bağlantınızı şifreleyerek güvenli hale getirir ve herhangi bir ağa bağlandığınızda kimliğinizin tespit edilememesini sağlar. Aradaki iletişim şifreli olduğu için internete bağlandığınız ülkede yasaklı, kısıtlanmış sitelere veya IP’lere yine VPN tünelleri üzerinden erişim sağlayabilirsiniz. VPN tüneli aracılığı ile gönderdiğiniz ve aldığınız tüm veriler şifreli olduğundan, yaptığınız işlemler başkaları tarafından (bazı istisnalar haricinde) görülemez.

vpn çalışma sistemiVPN bağlantılarının 3 önemli özelliği; kapsülleme, kimlik doğrulama, veri şifrelemedir.

VPN ağında veriler bir üst bilgi ile kapsüllenirler. Ağa erişmeye çalışan kişinin buna yetkili olup olmadığının denetimi, dışarıdan müdahale edilemeyecek şekilde (yani şifreli olarak, HTTPS protokolü ile) yapılır ve sadece izni olanlar ağa alınır. Ayrıca veriler, ağı dışarıdan dinleyenlerin ağdan geçen bilgileri çözümleyemeyeceği biçimde şifrelenir.

Aklımızın bir köşesinde bulunsun: Ücretli olsa dahi kullanıcılarının verilerini satan/paylaşan güvenli algısı oluşturulmasına rağmen güvenli olmayan VPN hizmetleri mevcut (ücretsizlerden zaten uzak durulmalı).

Eposta Güvenliği

Sunduğu diğer hizmetlerde kullanıcı gizliliğine aykırı uygulamaları nedeniyle sicili bir hayli kabarık olan bir şirketin posta taşımacılığına güvenir misiniz? Güvenmiyor olmanıza rağmen; sizin için mahrem nitelikte olmayan yazışmaların taşımasını bu şirkete yaptırmak veya postayı taşıyan şirketin yaptığınız tüm yazışma içeriklerini okuyabileceği farkındalığı ile bu şirketle çalışmak bir seçenek elbette…

Daha güvenli ve ücretsiz olan, açık kaynak kodlu eposta servisi sağlayıcılarına göz atabilirsiniz (bununla ilgili tavsiyeleri zaman içerisinde blogda paylaşacağım).

Ayrıca arada sırada sizin de başınıza geldiği olmuştur, bir internet sitesinde yer alan ufak bir bilgiye/dosyaya ihtiyacınız olur ve o bilgiye ulaşmak için siteye kayıt olmanız ve hesap oluşturmanız gerekir. Bilirsiniz ki bu siteye bir daha asla girmeyeceksiniz fakat mecburen hesap oluşturursunuz. İşte bu gibi durumlar için “kullan-at” epostaları kullanabilirsiniz. Bu açıdan mailinator‘ı güzel bir alternatif olarak önerebilirim. Tek yapmanız gereken şey; siteye girdikten sonra yukarı bölümdeki kutucuğa eposta adresinizi girmek, yani ilgili bölüme yalnızca “test” yazarsanız “test@mailinator.com” adresi anında kullanımınıza hazır. Bu kullan-at adresler, tahmin edebileceğiniz üzere bazı internet sitelerinde geçerli kabul edilmiyor. Böyle bir durumda ise alternatif hizmetleri tercih edebilirsiniz.

Son olarak, eposta hizmeti sağlayıcısı kadar eposta istemcisi de önem arz ediyor. Eğer (gerek telefon, gerek bilgisayarda) eposta kullanımı (güvenli bir) tarayıcı üzerinden sağlanmıyorsa, yukarıdaki açıklamalara ilaveten güvenli bir eposta uygulaması da kullanmak gerekir.

Bulut Depolama

Google Drive, iCloud, OneDrive vb. bulut depo hizmetleri, çok cüzi fiyatlar karşılığında bize çok ciddi depolama alanı sağlıyorlar. Aslında bizden aldıkları bedel, dünyanın en zengin şirketleri listesine girmeleri için elverişli rakamlardan çok uzak.

Mesela Google Photos; öyle bir pazarlama stratejisi güdüyor ki, fotoğraflarınızı onun geliştirdiği teknoloji ile çok yüksek seviyede sıkıştırarak (görüntü kalitesi ve çözünürlüğün neredeyse azalmayacağını ifade ediyor) depolamanız durumunda Google Drive kotanızdan yemiyorsunuz. Yani yüksek teknolojiyle geliştirilen hizmeti size sınırsız ve bedelsiz sağlıyor, acaba neden?

Teknoloji devlerinin bulut depolama hizmetlerini kullanmak yerine kendi sanal sunucunuza kuracağınız açık kaynak kodlu alternatiflerle çok daha güvende olabilirsiniz.

Şifre Güvenliği

Şifre kullanımında dikkat edilmesi gereken bazı hususlar bulunmaktadır:

  • Güçlü şifre kullanılmalıdır
    • En az 8 karakterden oluşacak
    • Büyük ve küçük harf olacak
    • Rakam (0 – 9) olacak
    • İşaret (?!#%&) olacak
  • Her uygulama ve hizmet için farklı şifreler kullanılmalıdır

Onlarca uygulama kullandığımızı ve birçok hizmette üyeliğimizin bulunduğunu düşündüğümüzde, bu kurallara riayet etmek imkânsız gibi gelebilir. Fakat bunun için de güvenli uygulamalar mevcut. Şifre yöneticisi dediğimiz programlar sayesinde tüm uygulama ve hizmetler için farklı şifreler kullanabilirsiniz. Siz yalnızca ana şifreyi hatırlarsınız, diğer şifrelerinizi o uygulama aracılığıyla girersiniz. Böylelikle bir uygulama/hizmet siber saldırıya uğrar, eposta adresleri ve şifreler elde edilirse; aynı eposta adresini ve şifreyi kullandığınız diğer uygulama ve hizmetlerdeki kullanıcılarınızla giriş yapılmasını engellersiniz.

Son olarak, kullandığınız tüm hizmetlerde desteklemesi halinde 2FA (çift kademeli kimlik doğrulama) özelliğini aktif hâle getirin. Böylelikle yalnızca kullanıcı adı ve şifrenizle hesabınıza giriş yapılamaz, ayrıca bir uygulama üzerinden oluşturulan veya SMS ile gönderilen şifrenin de girilmesi gerekir (İkinci adımı isterseniz “bu cihazda beni hatırla” diyerek geçebiliyorsunuz, dolayısı ile sonraki girişlerinizde bu kod sorulmuyor ve sürdürülebilirlik noktasında sorun teşkil etmiyor).

Google Hizmetleri

Google hayatlarımızı çok kolaylaştırıyor, doğru. Fakat bunu bir bedel karşılığında yapıyor, kişisel verilerimizi inanılmaz yöntemlerle elde ediyor, işliyor, satın alıyor, satıyor, analiz ediyor, analiz sonuçlarını pazarlıyor… Verilerimizle aklınıza gelebilecek ve dahi gelemeyecek her türlü işlemi yapıyor.

Google kullanacaksanız dahi mahremiyet ayarlarınızı mutlaka yapın. Web ve uygulama etkinliğinizi, konum geçmişinizi ve Youtube geçmişinizi kaydetmesini engelleyin. Bugüne kadar kaydettiği tüm geçmişinizi silin, kişiselleştirilmiş hizmet sunmasını engelleyin.

google konum geçmişiÖzellikle konum geçmişinize (ilk kez) ulaştığınızda muhtemelen şok olacaksınız. Hangi yılın hangi gününde nereye gittiğinizi; hatta Google Haritalar navigasyonu kullanarak gittiğiniz yerlerde güzergâhınızı, herşeyi göreceksiniz. Konum geçmişinizi silmek için haritanın sağ alt bölümünde bulunan çark/dişli simgesine ve sonrasında “Tüm konum geçmişini sil” yazısına tıklayabilirsiniz. Mahremiyet ayarları için Google’ın kendi hazırladığı içerikten istifade edebilirsiniz.

Android, her ne kadar açık kaynak kodlu bir mobil işletim sistemi olsa da Google tarafından geliştirilmiş olduğu için Google hizmetleri ile çok bütünleşik çalışıyor. Bu nedenle de açık kaynak kodun sunduğu mahremiyet ve güvenliği sağladığı pek söylenemez. O yüzden Android tabanlı akıllı telefon kullanıyorsanız, telefonunuzdaki ayarların tamamını bu kapsamda yeniden gözden geçirebilirsiniz.

Tabii muhtemelen rehberinizi Google ile senkronize ettiğiniz için kimlerle temasta olduğunuzu, kimlerle ne sıklıkta görüştüğünüzü Google’ın (ve iş ortaklarının) bilmesinden rahatsız olabilirsiniz…

Sosyal Medya

Facebook, Twitter, Instagram ve (anlık mesajlaşma uygulaması olarak) WhatsApp… Bu sosyal platformların tamamı, sunduğu hizmetler için kullanıcılarından herhangi bir bedel talep etmiyor, tamamen ücretsiz kullanılıyor… Peki buna rağmen piyasa değerleri nasıl bu kadar yüksek oluyor, nasıl her yıl milyarlarca dolar gelir elde ediyorlar?

Facebook’un 2019 yılı toplam geliri 70,6 milyar dolar. Bunun 69.6 milyar doları (yaklaşık %98.5) ise reklam gelirlerinden oluşuyor. Yine “ücretsiz” kullandığımız ve reklam da almayan WhatsApp, yıllık gelirinin 10.2 milyon dolar olarak açıklandığı 2014 yılında neden 22 milyar dolar verilerek Facebook tarafından satın alındı? Satın alındığında 500 milyon kullanıcısı olan WhatsApp’ın kullanıcı sayısı iki ay önce 2 milyarı aştı.

Her gün 2.26 milyar insan, Zuckerberg’in uygulamalarını (Facebook, WhatsApp, Instagram ve Messenger) kullanıyor. Günümüzde yaklaşık 4.5 milyar insanın internete erişim imkânı bulunduğunu düşünürsek, her iki kişiden birisi her gün Zuckerberg uygulamalarını kullanıyor. Bunun ne kadar stratejik ve kritik bir güç olduğunu düşünebiliyor musunuz?

Birçok kötü duyguyu körükleyen, toplumları, aileleri ve bireyleri darmadağın eden sosyal medyayı terk etmek size birşey kaybettirmez; aksine size özgürlüğünüzü ve zamanınızı kazandırır, iç huzuru bulmanıza yardımcı olur.

Anlık mesajlaşma uygulamalarında, diğer alt başlıkların aksine burada ne yazık ki rehberinizdeki kişilere biraz bağımlısınız… Nitekim rehberinizdeki hemen hemen herkes WhatsApp kullanıcısı iken diğer alternatifler için bunu söylemek mümkün değil. Fakat bu noktada sosyal çevrenize önderlik edebilir, onların da bu konuda farkındalık sahibi olmalarını sağlayabilirsiniz.

Sonuç

Bu başlık hakkında on binlerce sayfalık ansiklopediler yazılabilir… İnternette anonimlik seviyemizi çok daha artırmak mümkün fakat bu makalede interneti daha güvenli kullanmak için önemli bulduğum, her seviyede internet kullanıcısı tarafından uygulanabileceğini düşündüğüm, aklıma ilk gelen hususlara özetle yer vermeye çalıştım.

Bu makalede yer alan tüm alt başlıklar (ve hatta çok daha fazlası) hakkında uygulama ve hizmet tavsiyelerimi de zaman içerisinde paylaşmaya gayret edeceğim.

]]>
OECD Çalıştayı: COVID-19 ve Mahremiyet Sorunları https://mahremiyet.info/oecd-calistayi-covid-19-ve-mahremiyet-sorunlari/ Fri, 17 Apr 2020 23:55:36 +0000 https://mahremiyet.info/?p=6712

OECD Çalıştayı: COVID-19 ve Mahremiyet Sorunları

15/04/2020 tarihinde Ekonomik Kalkınma ve İşbirliği Örgütü (OECD) nezdinde, “COVID-19 ile Mücadele Kapsamında Veri Yönetişimi ve Mahremiyet Sorunlarının Çözümlenmesi” başlıklı bir çevrimiçi çalıştay düzenlendi.

Çalıştay’ın açılışını, OECD Dijital Ekonomi Politikası Departmanı Baş Analisti Elettra Ronchi yaptı. Sonrasında İngiliz Veri Koruma Otoritesi (ICO) Başkanı Elizabeth Denham ve OECD Bilim, Teknoloji ve İnovasyon Departmanı Direktörü Andrew W. Wyckoff konuştu. Çalıştay’a katılan diğer konuşmacılar arasında; OECD Veri Yönetişimi ve Mahremiyet Çalışma Grubu Başkanı Stewe Wood, AB Veri Koruma Denetçisi (EDPS) Wojciech Wiewiórowski, ABD Federal Ticaret Komisyonu (FTC) Başkanı Rohit Chopra, Google Küresel Mahremiyet Direktörü William Malcolm ve Apple Küresel Mahremiyet Direktörü Gary Davis de vardı. Dünyanın farklı ülkelerinden veri koruma otoriteleri yetkilileri, üniversitelerde bu konuya özel çalışmaları bulunan akademisyenler ve ilgili sivil toplum örgütlerinden uzmanlar konuşmalarını yaptılar.

Mahremiyet alanında çalışan birçok profesyonelin bir araya geldiği çalıştayda; COVID-19 ile mücadele sürecinde yaşanmakta olan mahremiyet tehditleri, hükümetler tarafından geliştirilen uygulamalarda dikkat edilmesi gereken hususlar, mevzuat hükümleri ve ülke uygulamaları masaya yatırıldı, tecrübe aktarımı yapıldı, Google ve Apple arasındaki işbirliğinin detaylarına yer verildi.

Google ve Apple işbirliğinde hayata geçirilen teknoloji aşağıdaki şekilde çalışıyor:

Bu teknolojinin kullanılması nedeniyle yaşanabilecek mahremiyet ihlâllerinin önüne geçilmek amacı ile alınan önlemler ise özetle şöyle:

  • Uygulamayı yalnızca rıza verenler kullanacak (opt-in)
  • Uygulama yalnızca temaslıların takibi için kullanılacak, ticari bir amaç güdülmeyecek
  • Konum verisi kullanılmayacak
  • Kişinin takip edilmesini engellemek için Bluetooth tanımlayıcıları her 15 dakikada bir değişecek
  • Eşleşme yalnızca cihaz üzerinden, kullanıcının kontrolünde yapılacak
  • Sunucuda yalnızca, kişileri tanımlama imkânı bulunmayan şifrelelenmiş anahtarlar tutulacak
  • Kullanıcılar, paylaşmak istedikleri tüm verileri kontrol edebilecek
  • Pozitif tanı alan kullanıcılar anonim kalacak, diğer kullanıcılar ile Apple ve Google bunu bilmeyecek
  • Google ve Apple, ihtiyaç kalmadığını düşünmesi hâlinde bu sistemi bölgesel bazlı pasif hale getirebilecek

Yapılan sunumda ayrıca, geliştirilen bu teknolojinin API aracılığı ile isteyen ülkelerin kullanımına sunulduğu, ülkelerin bu teknolojiyi kendi uygulamalarına entegre edebilecekleri ifade edildi (Meraklısı için Android ve iOS dokümanları burada).

Bilindiği üzere OECD, 1980 yılında “Özel Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeleri” yayımlamış ve buradaki ilkelerin neredeyse tamamına, 6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun mehazı niteliğindeki 95/46/EC sayılı AB Direktifi’nde de yer verilmişti. Veri Koruma Hukuku’nun ilk ve en önemli kilometre taşları arasında yer alan Rehber İlkelerin mimarı olan OECD, kişi mahremiyetinin çok ciddi tehditlere muhatap olduğu kritik bir dönemde önemli bir raporu yayımlamaya hazırlanıyor.

Bu önemli Çalıştay hangi platform üzerinden yapıldı diye soracak olursanız, cevabı belki ironik olacak: Zoom… Son dönemde hakkında çıkan güvenlik ve gizlilik ihlâli haberlerine karşın altyapı anlamında haklarını teslim etmek lazım, 50’ye yakın ülkeden yaklaşık 250 katılımcının bulunduğu toplantıda (katılımcıların kendi bağlantılarından kaynaklanan problemler dışında) hiçbir sorun yaşanmadı.

Yazımı bir magazin haberi ile noktalayayım: Dünyanın en etkili mahremiyet profesyonelleri arasında ilk sıralarda yer alan ICO Komisyoneri Elizabeth Denham, sağlığına çok dikkat ediyor. Video konferansta dahi ara öğünlerini es geçmeyen Denham, toplantının ciddi bir bölümünde atıştırdı 🙂

]]>
COVID-19 Araştırmaları Hakkında Genelge https://mahremiyet.info/covid-19-arastirmalari-hakkinda-genelge/ Fri, 17 Apr 2020 20:00:30 +0000 https://mahremiyet.info/?p=6735

COVID-19 Araştırmaları Hakkında Genelge

Türkiye İlaç ve Tıbbi Cihaz Kurumu (TİTCK) tarafından yayımlanan “COVID-19 Hastalarında Tedavi Yaklaşımları ve Bilimsel Araştırmalar” konulu, 16/04/2020 tarihli ve 2020/2 sayılı Genelge ile COVID-19 araştırmaları hakkında yeni düzenlemeler öngörüldü. Genelge’de:

  • COVID-19 Hasta Yönetimi ve Tedavisi Rehberi’nde tanımlanan ilaçlara “TİTCK Ek Onayı Alınmadan Kullanılabilecek Endikasyon Dışı İlaç Listesi” içerisinde yer verildiği,
  • Bu ilaçların “Endikasyon Dışı İlaç Kullanım Kılavuzu” ile “Yurt Dışından İlaç Temini ve Kullanımı Kılavuzu” hükümlerine göre kullanılması gerektiği,
  • Bu kapsamda hasta veya hasta yakınına Bilgilendirilmiş Hasta Olur Formu (BHOF) imzalatılması ve muhafaza edilmesi gerektiği,
  • Ülkemizde yürütülecek klinik araştırmalar, klinik araştırma yapılacak yerler, araştırma izin ve onay süreci, klinik araştırma yapılabilmesi için gerekli asgari şartlar ve ilgili diğer konuların 3359 sayılı Kanun‘un Ek 10 uncu maddesinde düzenlendiği,
  • İlgili maddede geçen tüm klinik araştırmaların yapılabilmesi için etik kurul onayının yanısıra Sağlık Bakanlığı veya bağlı kuruluşlarından izin alınması gerektiği,
  • Faz I, II, III ve IIII dönem çalışmalarının, Biyoyararlanım/Biyoeşdeğerlik çalışmalarının ve gözlemsel çalışmaların, anılan hükümde yer alan “ilaç ve terkiplerinin” klinik araştırmaları kapsamında değerlendirildiği,
  • Bu kapsamda olan klinik araştırmalar ile tıbbi cihaz klinik araştırmaları için yalnızca Klinik Araştırma Etik Kurul onayının yeterli olmadığı, TİTCK’dan da izin alınması gerektiği,
  • Bunlara ilaveten insanlar üzerinde yapılacak, doğrudan müdahale içeren ilaç dışı klinik araştırmaların yürütülebilmesi için de ilgili Etik Kurul ve konunun içeriğine göre Sağlık Hizmetleri Genel Müdürlüğü veya TİTCK’dan izin alınması gerektiği,
  • Etik Kurul toplantılarının sanal ortamda düzenlenebileceği,
  • Yapılması planlanan klinik araştırmalar için preklinik güvenlik ve etkililik verileri klinik güvenlilik verisinin (Faz I araştırmalar hariç) sunulması gerektiği,
  • Retrospektif araştırmalar da dahil olmak üzere tüm araştırmalarda kullanılması planlanan verinin elde edildiği ve ilgili hastaların takip edildiği bölüm/birimden hekim ya da hekimlerin araştırma ekibinde bulunması ve bu hususun etik kurullar tarafından göz önünde bulundurulması gerektiği,
  • Klinik araştırmalar dışında yürütülmesi planlanan retrospektif araştırmalar da dahil olmak üzere diğer tüm araştırmalarda Halk Sağlığı Yönetim Sistemi (HSYS) verilerinin kullanımı için Halk Sağlığı Genel Müdürlüğünden izin alınması gerektiği,
  • Tüm araştırmalarda kullanılacak kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve alt düzenlemelerine uygun bir şekilde elde edilmesi ve işlenmesi gerektiği,

ifade edilmektedir. Konuya ilişkin yürürlükteki mevzuatı ve bazı faydalı dokümanları aşağıda bulabilirsiniz:

Değişiklik (29/04/2020): Sağlık Bakanlığı tarafından yukarıda anılan düzenlemeler kapsamında https://bilimselarastirma.saglik.gov.tr adresli internet sitesi yayıma alınmıştır:

Yapılacak retrospektif veya prospektif araştırmalarda ihtiyaç duyulacak veriye ulaşımının kolaylaştırılması, gerektiğinde büyük seriler oluşturabilecek network kurulmasına destek verilmesi, çalışmaları karşılaştırılabilir kılacak kavram birliğinin tesisi ve TÜSEB yayın destek programına alınması amacıyla Bakanlığımız Sağlık Hizmetleri Genel Müdürlüğü bünyesinde COVID-19 Bilimsel Araştırma Değerlendirme Komisyonu oluşturulmuştur.

COVID-19 hastalığı ile ilgili olarak araştırmacılar tarafından başlatılması ve yürütülmesi planlanan, klinik araştırmalar dahil insanlar üzerinde yürütülecek tüm bilimsel çalışmalar ve retrospektif araştırmalar için etik kurul başvurusundan önce bu Komisyona bildirim yapılması gerekmektedir. Daha önce etik kurul izni almış COVID-19 konusundaki araştırmalar için de en geç 10 gün içerisinde Komisyona başvuru yapılmalıdır.​​​​​

Komisyon bildirim formları, https://bilimselarastirma.saglik.gov.tr adresinde bulunmakta olup online doldurulacaktır. Araştırmalar, komisyon tarafından en fazla 5 iş günü içinde değerlendirilecek ve geri dönüş sağlanacaktır. Vaka takdimleri bu kapsama dâhil değildir.

]]>
COVID-19 Kapsamında Mobil Takip Uygulamaları https://mahremiyet.info/covid-19-kapsaminda-mobil-takip-uygulamalari/ Tue, 14 Apr 2020 15:40:03 +0000 https://mahremiyet.info/?p=6578

Giriş

Dünya genelinde bir çok ülkenin COVID-19 ile mücadele sürecinde mobil takip uygulamaları önemli bir yer teşkil ediyor. Hemen hemen bütün ülkeler tarafından mobil uygulamalar geliştirildiğini, konum takibi yapıldığını, temaslı kişi grubunun belirlendiğini veya bilgilendirildiğini, farklı teknik yöntemlerle sosyal izolasyon kurallarına uyumun denetlendiğini görüyoruz.

Bu makalede öncelikle bu uygulamaların mevzuattaki yerine kısaca değinilecek, sonrasında hangi ülke tarafından nasıl bir uygulamaya gidildiğine yer verilecektir. Konuyla ilgili gelişmeler oldukça makalenin güncellenmesi hedeflenmektedir. Makaleyi kısa tutmak adına mevzuat ve duyurulara mümkün olduğunca yüzeysel değindim, merak edenler ilgili bağlantılar üzerinden detayları inceleyebilirler.

Mevzuat

Konum verilerinin ve sağlık verilerinin işlenmesine ilişkin ABD, AB ve Türkiye’de yürürlükte bulunan düzenlemeler aşağıdaki gibidir:

Amerika Birleşik Devletleri:

ABD’de kişisel verilerin korunmasına ilişkin federal düzeyde yürürlüğe konulmuş herhangi bir düzenleme bulunmamaktadır. Bununla birlikte sağlık verilerinin mahremiyeti, 1996 yılında yürürlüğe giren ve kısaltması HIPAA olan kanunla düzenlenmektedir. Sağlık ve İnsani Hizmetler Bakanlığı Medeni Haklar Ofisi tarafından yayımlanan kılavuzda, (45 CFR 164.502 – 164.512 arasındaki) HIPAA hükümleri çerçevesinde kişiye ilişkin COVID-19 pozitif bilgisi, açık rızası bulunmasa bile salgınla mücadele kapsamında yetkili kişi ve kurumlar tarafından işlenebilmekte ve aktarılabilmektedir. Bunlardan bazıları aşağıdaki gibidir:

  • Kişinin tedavi edilmesi için gerekli olması
  • Bu bilginin paylaşılmasının kanunlarda öngörülmesi
  • Salgını kontrol etme ve önleme amacıyla kamu sağlık otoritesinin bilgilendirilmesi
  • İlk/acil yardım ekiplerine virüsün bulaşma ihtimali bulunması

Diğer taraftan; 11 Eylül saldırıları sonrasında ABD’de yürürlüğe giren terörle mücadele yasaları kapsamında, özellikle kamu güvenliğinin söz konusu olduğu durumlarda her türlü kişisel veri kolaylıkla işlenebilmektedir.

Avrupa Birliği:

AB’de kişisel verilerin korunması, 2018 yılında yürürlüğe giren ve tüm AB ülkelerinde doğrudan uygulanabilir olan Genel Veri Koruma Tüzüğünde (GDPR), konum verilerinin işlenmesi ise 2003 tarihinde yürürlüğe giren ve 2009 tarihinde güncellenen (ayrıca çok yakında değişmesi beklenen) eMahremiyet Direktifinde düzenlenmektedir.

Genel Veri Koruma Tüzüğünün 6 ncı ve 9 uncu maddelerinde kişisel verilerin ilgililerinin açık rızası olmaksızın işlenmesine ilişkin hükümler bulunmaktadır. Buna göre kamu sağlığı kapsamında kamu yararının bulunduğu durumlarda veya kişilerin hayati çıkarlarının söz konusu olduğu durumlarda, anılan mevzuat hükümleri çerçevesinde konum ve sağlık gibi verilerin işlenmesi (bazı kurallara riayet edilmesi kaydıyla) mümkündür.

eMahremiyet Direktifi’nde ise kural olarak konum verilerinin ancak anonim olarak kullanılması veya ilgilisinin açık rızaalınmak suretiyle işlenmesi mümkündür. Bunun istisnasına Direktif’in 15 inci maddesinde yer verilmektedir. Buna göre AB üyesi ülkeler, ulusal güvenlik ve kamu güvenliği kapsamında yürürlüğe koyacakları yasal düzenlemeler ile bu kurala istisna getirebilmektedir.

Türkiye:

Ülkemizde kişisel verilerin korunmasına ilişkin düzenlemeler, AB düzenlemeleri doğrultusunda hazırlandığından büyük ölçüde benzerlik arz etmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun 6 ncı maddesi uyarınca kamu sağlığının korunması ve koruyucu hekimlik kapsamında kişisel sağlık verileri, ilgili kişilerin açık rızaolmaksızın yetkili kişi, kurum ve kuruluşlar tarafından işlenebilmektedir. Ayrıca Kanun’un 28 inci maddesinde kamu güvenliği ve kamu düzeninin söz konusu olduğu hâllerde kanun hükümlerinin uygulanmayacağı düzenlenmektedir.

Veri Koruma Otoriteleri

Amerika Birleşik Devletleri:

ABD’de, federal düzeyde veri koruma otoritesi muadili herhangi bir kurum bulunmamaktadır.

Avrupa Birliği:

AB Veri Koruma Kurulu (EDPB) tarafından yapılan duyuruda özetle; yürürlükteki mevzuatın COVID-19 ile mücadelede ülkelerin elini zayıflatmadığı ve engel teşkil etmediği, kamu sağlığının ve kamu güvenliğinin söz konusu olduğu durumlarda konum verilerinin ve sağlık verilerinin açık rıza olmaksızın işlenebileceği ifade edilmiştir.

AB Veri Koruma Kurulu tarafından konuyla ilgili soru-cevap yöntemiyle hazırlanan ayrı bir doküman da bulunmaktadır.

AB Veri Koruma Denetçiliği (EDPS) tarafından yayımlanan duyuruda ise özetle:

  • Büyük verinin büyük sorumluluk anlamına geldiğine,
  • Salgınla mücadele kapsamında elimizdeki araçları doğru bir şekilde kullanmamız gerektiğine,
  • Kişisel veri işleme faaliyetinin insanlığa/topluma hizmet etmesi gerektiğinin GDPR’da açıkça ifade edildiğine,
  • Kişisel verilerin korunmasının mutlak bir hak olmadığına; bunun diğer insan hakları ile dengeli ve ölçülü bir şekilde değerlendirilmesi gerektiğine,
  • GDPR’ın, sınır ötesi tehdit arz eden ciddi sağlık tehditleriyle mücadele edilmesi gibi kamu sağlığı kapsamında kamu yararının bulunduğu durumlarda özel nitelikli kişisel verilerin işlenebileceğine dair hüküm ihtiva ettiğine,

değinilmekte, bu duyuru ile tüm AB üyesi ülkelere COVID-19 ile mücadele için tek bir uygulama geliştirilmesine ve kullanılmasına yönelik çağrıda bulunulmaktadır. Bu uygulamanın; AB Veri Koruma Denetçiliği’nin gözetiminde, Dünya Sağlık Örgütü ve AB Kurumlarının koordinasyonunda geliştirileceği ifade edilmektedir.

Türkiye:

Kişisel Verileri Koruma Kurulu, 27 Mart tarihinde yaptığı kamuoyu duyurusunda;

Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Kişisel Verileri Koruma KuruluKamuoyu Duyurusu

demiş, COVID-19 salgınının kamu güvenliği ve kamu düzenini etkilediğini ifade etmiş ve 6698 sayılı Kanun m. 28/1-ç uyarınca salgınla mücadele kapsamında Sağlık Bakanlığı tarafından yapılacak veri işleme faaliyetlerinde kanun hükümlerinin uygulanmayacağını belirtmiştir.

KVK Kurulu tarafından 9 Nisan tarihinde yapılan bir diğer kamuoyu duyurusunda ise; “salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.” denilmiş ve anılan veri işleme faaliyetlerinin mevzuata uygun olduğu belirtilmiştir.

Diğer:

Yaklaşık 40 ülkenin veri koruma otoriteleri ile ilgili kurum ve kuruluşlar tarafından COVID-19 kapsamında yapılan açıklamalara, Küresel Mahremiyet Asamblesi’nin internet sitesinden (geneli İngilizce) ulaşılabilmektedir.

Ülkelerin Tercihleri

Ülkeler üzerinde bulunan işaretlere tıklayarak; hayata geçirilen mobil takip uygulamaları hakkında bilgi sahibi olabilir, veri koruma otoriteleri tarafından konuya ilişkin yapılan duyurulara erişebilirsiniz (Harita üzerindeki bilgiler daha sonra detaylı bir şekilde işlenecektir).

Bluetooth Uygulamaları

Diğer ülkelerde sıklıkla tercih edilen bir takım uygulamaların ülkemizde değerlendirilmemiş olmasının, hukuki ve/ya faydalı bulunmadığından tercih edilmediği düşünülmektedir.

Örneğin Bluetooth teknolojisini kullanmak suretiyle salgınla mücadele edilmesine yönelik uygulamalarının ülkemizde kullanılması gerçeklikten uzaktır. Bunun gerekçelerine kısaca değinmek gerekirse:

  • Herkesin akıllı telefonu bulunmamaktadır.
  • Akıllı telefon kullanıcılarının ancak kısıtlı bir bölümü günlük hayatta bluetooth özelliğini devamlı aktif tutmaktadır.
  • Belirli bir süre temasta bulunduğu tespit edilen kişilerden herhangi birisine COVID-19 pozitif tanısı konulduğunda diğer kişiye bilgilendirme yapılabilmesi için uygulamanın her iki tarafça yüklenmiş olması gerekmektedir.
  • Kalabalık ortamlarda duvarla bölünen bitişik yerlerde bulunan kişilerin, gereksiz yere panik yaşaması ihtimali bulunmaktadır.

Mobil uygulama kullanımının zorunlu tutulmadığı bir durumda bu uygulamadan ne kadar verim elde edilebilecektir? Şüphesiz herhangi bir mobil uygulama yüklenmesinin zorunlu tutulması; hukuki açıdan özgürlükleri kısıtlayıcı, müdahaleci ve sert bir önlem olarak değerlendirilmelidir. Bu halde uygulamanın yüklenmesi, ancak kullanıcılara sağlanacak bir takım teşvikler ile kısmen de olsa mümkün olabilecektir, fakat salgınla mücadelede kapsamı ve etkisi de sınırlı kalacaktır. Toplumun büyük bir kesimi tarafından (bluetooth özelliği bulunmayan telefon kullanmak, güvenlik endişesiyle uygulamayı indirmemek gibi) farklı gerekçelerle uygulamanın kullanılmaması durumunda ise etkisi yine çok kısıtlı olacaktır.

Ülkemizde Durum

Bilgi Teknolojileri ve İletişim Kurumu ve tüm GSM operatörleri ile yapılan işbirliği kapsamında Sağlık Bakanlığı tarafından geliştirilen Pandemi İzolasyon Takip Projesi kapsamında:

  • Evde izolasyon altında bulunması gereken kişilerin evlerini terk etmeleri halinde telefonlarına uyarı mesajı gideceği,
  • Otomatik çağrı teknolojisi aracılığıyla bu kişilerle iletişime geçileceği ve izolasyon altında bulunmaları gereken yere dönmelerinin isteneceği,
  • Uyarıya riayet etmeyen ve ihlâle devam edenler hakkında emniyet birimlerine bilgilendirme yapılarak gerekli idari yaptırımların uygulanmasının sağlanacağı,
  • Yolda kontrol yapan emniyet ekiplerinin entegrasyon ile sağlanan sorgulama yetkisi çerçevesinde izolasyon ihlâli yapılıp yapılmadığını görebileceği,

ifade edilmiştir. Bu proje kapsamında bir de mobil uygulama geliştirilmiş ve bu uygulama aracılığı ile:

  • Vatandaşların hastalık durumlarının periyodik bildirimlerle ve sorularla takip edileceği, COVID-19 riskinin arttığı durumlarda en yakın sağlık tesisinin ziyaret edilmesinin isteneceği,
  • Harita üzerinden hastalığın yoğunluk durumun gösterileceği ve böylelikle vatandaşın evde kalma motivasyonunun güçlendirileceği, akıllı algoritmalar sayesinde vatandaşın riskli kişilerle temas edip etmediğinin gözlemlenmesinin sağlanacağı,

belirtilmiştir. Şüphesiz COVID-19 salgını ile mücadelede %100 sonuç veren teknik bir önlem yoktur; burada hedef, temel insan hak ve özgürlüklerine en ufak müdahale ile en etkin mücadeleyi sağlayabilmektir. Sağlık Bakanlığı tarafından geliştirilen uygulamaların da tam sonuç vermesinin beklenmesi mümkün değildir. Nitekim ülkemizde, başkası adına kayıtlı hat kullanım oranı diğer ülkelere kıyasla bir hayli yüksektir, bu da izolasyon kurallarına kimlerin uymadığının tespitini ciddi anlamda zorlaştırmaktadır.

Bir diğer husus, İl İdaresi Kanunu‘nun Ek 2 nci maddesinde yapılan değişiklik, deprem ve çığ felaketlerinde gündeme gelen ve hazırlanan bir değişikliktir. O dönemde hazırlanmasına karşın salgın döneminde yürürlüğe giren değişiklik, salgınla mücadele adına alınan önlemler kapsamında değerlendirilmemelidir.

Sonuç olarak ülkemizde, COVID-19 ile mücadele sürecinde bugüne kadar başvurulan tedbir ve önlemlerin özel hayatın gizliliğine en az müdahalede bulunulacak şekilde yürütüldüğü, her ne kadar Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kanun m. 28/1-ç hükmü kapsamında Sağlık Bakanlığının tam muafiyet hâli kapsamında hareket edebileceği duyurulmuş ise de başta ölçülülük ilkesi olmak üzere veri koruma mevzuatında yer alan düzenlemelere en üst düzeyde riayet edildiği değerlendirilmekte, bu süreçte işlenen kişisel verilerin salgın riski sona erdiğinde imha edileceği vurgusunun önemli olduğu düşünülmektedir.

]]>