Dijital Dünyada Kişisel Veri Kavramı ve KVKK / GDPR Kapsamında Bir Değerlendirme

Gündelik, iş ve eğitim hayatımızın neredeyse tamamını çevreleyen dijital platformlar ve servisler, hemen her ihtiyacımıza cevap vermektedirler. Bu platform ve servisler, ihtiyaçlarımızı karşılarken bizlere daha iyi hizmet sunabilmek ve rakiplerinden sıyrılarak kârlılıklarını arttırmak adına ürünlerini ihtiyaçlarımıza göre kişiselleştirmek için bizi tanımaya, eğilimlerimizi anlamaya ve gelecekteki ihtiyaçlarımızı tahmin etmeye çalışmaktadırlar. Çoğu, büyük ölçüde ücretsiz olan bu servis ve platformlar bu kârlılığı sağlayabilmek için bizi tanıma, eğilimlerimizi anlama ve gelecekteki ihtiyaçlarımızı tahmin etmedeki uzmanlıklarını ticari bir kazanca dönüştürme gayretindedirler. Bu gayret kimi durumda kullanıcıların üst düzey ürün ve hizmetleri tamamen ücretsiz kullanmalarını sağlayacak ölçüde işine yaramakla beraber kimi durumda da bu denli önemli bilgilerinin küresel boyutlu şirketler tarafından çok da şeffaf olmayan bir biçimde toplanması, saklanması ve işlenmesi kullanıcılar açısından bilgi güvenliği risklerini gündeme getirmekte ve tartışmalara neden olmaktadır. Bu çalışma bu durumları masaya yatırarak; sorunları ve sorun olmayan konuları detaylı bir şekilde incelemektedir.

Anahtar Sözcükler: Veri, Dijital Veri, Kişisel Veri, KVKK, GDPR

ABSTRACT

The digital platforms and services which are encircle almost all of our daily, business and educational life, are helping us with nearly our every needs. These platforms and services try to know us, understand our predispositions and predict our future needs for giving us better services and increasing their profits through compete with their opponents during customization proses while helping us with our needs. And these platform and services which are mostly free, want to earn money with their expertise about knowing us, understanding our predispositions and predicting our future needs. This situation sometimes good for the customers. Because they can get really good service with no money. But sometimes there will be some discussions about glabol companies with our datas to know, to hide, to analyse in non transparency. Because this is a risk for data security. This study examines these problems and not problems.

Key Words: Data, Digital Data, Personal Data, KVKK, GDPR

1. VERİ NEDİR?

Veri, “ham (işlenmemiş) gerçek enformasyon (malumat) parçacığına verilen addır.” [1] Yani ölçme, sayma, deneme, gözlemleme ve araştırma sonucunda edinilen, herhangi bir konu ile alakalı bilgi sahibi olma ya da yorum yapma imkânı sağlamak amacıyla toplanan sayısal ya da metinsel öğelere veri denir. Bu tanıma uygun olarak; Türk harfleriyle yazılmış adımız, kilogram cinsinden kütlemiz, sahip olduğumuz banka hesaplarının sayısı, telefon numaramız, adresimiz, en sevdiğimiz film ve bütün bunların belli bir kurala ve düzene uygun şekilde yer aldığı liste ve tablonun her bir satır ve sütunu bir veridir. Toplanan veriler analiz edilebilir bir “enformasyon”a sonrasında da karar verme imkânı sağlayan bir “bilgi”ye dönüştürülebilirler. Bu dönüşüm, yıllık yoğun yağış verisi toplanan bir bölgede öncelikle bir sonraki sene de yüksek yağış olacağı yorumunu yapmamıza sonrasında da bu bölgede yoğun yağış isteyen buğdayın yetişebileceği bilgisini edinmemize imkân sağlar. Tabii ki bir tarımsal üretim kararı verilmesi için bu bilgi yeterli olmayacaktır. Bu noktada, bölgedeki toprağın kimyasal ve biyolojik uygunluğu, güneşlenme süresi, havanın nem oranı, ulaşımın kolaylığı, istihdama erişim gibi veriler de eklenince edinilecek enformasyonun sağlayacağı bilgi ile daha tutarlı sonuçlar elde edilebilir. Yani verinin doğruluğu, çokluğu, çeşitliliği ve bilime uygun şekilde yorumlanması ile birlikte; tarımda, sağlıkta, sporda, teknolojide, turizmde, ticarette ve eğitimde doğru ve doğru sonuca götüren kararlar verilmesi, veriler ile mümkün olacaktır. Sonuç olarak veri, her alanda çok önemli bir metadır denilebilir.

2. KİŞİSEL VERİ ve ANONİMLİK

Verinin önemine değindikten sonra günümüz dünyasında ve özellikle de dijital dünyada çok daha önemli bir yer tutan bir veri türünden bahsedebiliriz: “Kişisel Veri”. Kişisel veri nedir? 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre: “Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir.” [2] Yani tanımını ortaya koyduğumuz “veri” kavramının bir alt kümesi olarak “kişisel veri” belirli gerçek kişilerle ilişkilendirilebilen veri türüdür. Herhangi bir alanın herhangi bir konusunda sahip olunan çok, çeşitli, doğru ve tutarlı verilerin düzgün işlenmesi ve yorumlanması sayesinde alınacak kararların maddi, ticari, bilimsel, askeri ve daha bir çok farklı boyutta avantajlar sağlanabileceğini açıkladık. Aynı düzlemde kişisel verilerin toplanması, saklanması, işlenmesi ve yorumlanması bir ya da birçok sayıda insan hakkında etkileyici kararlar verilmesine, manipüle edici aksiyonlar alınmasına ve planlanmasına imkân verebilmektedir. Bu da beraberinde kişisel verilerin toplandığı, saklandığı ve işlendiği mecralarla alakalı soru işaretleri, çekinceler ve tepkiler getirmektedir. Özellikle de 21. yüzyılın ilk çeyreğinin son yılları itibariyle gündelik ve iş hayatının hiç olmadığı kadar içine dahil olan dijital ortamlarda bu gibi durumlara çok daha fazla rastlanmaktadır.

Bir taraftan kullanıcılarının birçok ürün ve hizmetten günlük ya da profesyonel amaçlarla ücretsiz olarak faydalanmasına imkân sağlayan bu işleyiş diğer yandan kullanıcıların akıllarında “kişisel verilerinin güvende olmaması ya da 3. kişilerle paylaşılması” konularında birer soru işareti bırakabilmektedir. Nitekim 1983 yılında Alman Anayasa Mahkemesi’nde verilen “bilgilerin geleceğini kendilerinin belirleme hakkı” olarak tanımlanabilecek “Informationelle Selbstbestimmung” kararına göre de bu kişisel veriler; yetkili kişiler tarafından ve meşru amaçlarla saklanmalı, işlenmeli ve yorumlanmalıdır. [3] Aynı şekilde 2014 yılında Avrupa Adalet Divanı tarafından Google hakkında verilen “kişilerin bazı durumlarda kendisi ile ilgili bilgilere yönlendirilen linkleri sildirebilme” kararı da buna örnek olarak verilebilir. Burada verilen kararın kamuoyundaki adlandırması da “Right to be Forgotten [4] (Unutulma Hakkı)” şeklinde olmuştur.

Tam da bu noktada “anonimlik” kavramına değinmeliyiz. Anonimlik, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda “Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.” şeklinde geçmektedir. [2]

Buradan hareketle özellikle dijital mecralardaki ürün ve hizmet geliştirmelerinde ya da özelleştirilmiş reklamlarla gelir düzeyini arttırma konularında “anonimlik” ilkesine riayet ederek, hukuki çerçeveler içerisinde kişisel verilerin güvenliğine dair bir sorun yaratmadan ticari faaliyetler sürdürülebilir denebilir. Buna ek olarak verilerin 3. kişiler tarafından zorla ele geçirilmesine de mahal verilmediği durumda az önce bahsettiğimiz kamuoyunun akıl ve vicdanlarında oluşabilecek soru işaretlerinin ortadan kaldırılabilmesi mümkün olacaktır.

3. KVKK ve GDPR

Kişisel verinin ne olduğunun belirlenmesi, saklanmasının ve işlenmesinin çerçevelerinin çizilmesi, haklarının korunması ve anonimlik kavramlarını kurumsal ve hukuki boyutta düzenlemek adına devletler tarafından kurullar oluşturulmuş ve kanunlar çıkartılmıştır. Bu kanunların ülkemizdeki örneği 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Aynı görevi ifa etmek amacıyla Avrupa Birliği Parlamentosu “General Data Protection Regulation (Genel Veri Koruma Tüzüğü)” düzenlemesini yapmıştır. Bu kanunlara göre verilerin sahibi olan gerçek kişiler ile bu verileri toplayacak, saklayacak, işleyecek ve paylaşacak yapılar arasında kişisel veri ve anonimlik kıstasları denetlenmekte ve gerektiğinde yaptırımlar uygulanmaktadır.

Türkiye’de 24.03.2016 tarihinde TBMM’de onaylandıktan sonra 07.04.2016 tarihinde yayınlanan resmî gazete yer alarak yürürlülüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu [2], içerdiği belirsizlikler [5], uygulamadaki eksiklikler ve kamuoyu açısından sahip olduğu bilinmezliklerden dolayı henüz istenilen temele oturtulamadığı gibi devlet kurumlarınca da tam olarak uygulanamamaktadır. Buna örnek olarak Türk Patent ve Marka Kurumu’nun internet sitesindeki “Patent Sorgulama” bölümünde yürütülen sorguların sonuçlarında kişilerin; başvuru konusu olan buluşlarının teknik bilgi, belge ve çizimlerinin yanı sıra (buraya kadar yayınlanan bilgiler patent mevzuatı açısından gereklidir ve KVKK kapsamında değerlendirilemez.) adı, soyadı ve adresi gibi kişisel bilgilerinin de erişilebilir olması verilebilir.

Bunun yanında KVKK kapsamında tanımlanan “veri sorumlusu” kavramıyla çerçevesi çizilmiş bir görev ile özel sektörde faaliyet gösteren ve kişisel veri toplayan, saklayan ve işleyen kişilerin kayıt altına alındığı bir VERBİS sistemi de mevcuttur. [6] Bu sistem ile kayıt altına alınan veri sorumluları; verilerin toplanma, saklanma ve işlenme konularında kanuna uygunluğa dair birer taahhüt vermek zorundadırlar ve kişisel verilerin korunmasına dair bir sorun yaşanma ihtimaline (bilgi dışı toplama, haksız işleme, kötüye kullanma ve 3. kişiler ile izinsiz paylaşma vb.) karşın muhataplar kayıt altına alınmış olur. Türkiye’de çerçevesi genel manada bu şekilde çizilmiş bir kanuna istinaden emsal teşkil edecek kararlar da alınmış durumdadır. Anadolu Ajansı’nın haberinde “Kişisel Verileri Koruma Kurulu, 2017’nin Haziran ayından 2019 sonuna kadar geçen sürede veri ihlalleri nedeniyle toplam 14 milyon 100 bin lira idari para cezası uyguladı.” şeklinde belirtildiği gibi Kişisel Verileri Koruma Kurulu Facebook’a verilerin korunmasının ihlâli kararı neticesinde 1 milyon 650 bin lira ceza vermiştir. [7] Uygulaması bu gibi örneklerle kısıtlı olan KVKK, tam anlamıyla amacına ulaşmış değildir ve Türkiye Cumhuriyeti vatandaşlarının kişisel verilerini korur hâle gelmesi için gerekli caydırıcılığa erişememiştir.

Avrupa Birliği vatandaşlarının kişisel verilerinin korunması için düzenlenmiş ve uygulanmakta olan GDPR ise 24.10.1995 tarihli Avrupa Parlamentosu’nun kişisel verilerin işlenmesine ilişkin olarak bireylerin korunmasına dair 95/46/EC sayılı direktifinin dijital dünyaya uyarlanmış hâli olarak Avrupa Konseyi tarafından 14.04.2016 tarihinde onaylanmış ve 25.05.2018 tarihinde yürürlüğe girmiştir. Bu konuda ülkemize göre çok daha önceden düzenlemeler yapmış olan AB, günümüzde kişisel verilerin korunması konusunda çok daha kapsamlı ve uygulanır bir tutum göstermektedir. GDPR kapsamında Google’a uygulanan 56.6 Milyon Dolarlık, H&M’e uygulanan 41 Milyon Dolarlık, Telecom Italia’ya uygulanan 31.5 Milyon Dolarlık, British Airways’e uygulanan 26 Milyon Dolarlık, Marriott’a uygulanan 23.8 Milyon Dolarlık vb. boyutlardaki şirketlere benzeri büyük miktarlarda uygulanan cezalar; caydırıcılığın boyutunu göstermektedir. [8] Bunun etkisiyle bu büyük şirketlerin özellikle de dijital ürün ve hizmetler sağlayan sistemlerinde, bu cezalara maruz kalmamak adına gerekli teknik düzenlemeler ve yasal bildirimler yapılmaktadır. Örnek olarak ABD merkezli bir şirket olan The Rocket Science Group, LLC’nin bir toplu e-posta gönderim servisi olan Mailchimp’in paneli üzerinden elinizdeki bir e-posta listesine toplu ileti göndermek istediğinizde; sistem bu listedeki adreslerin, sahiplerinin bilgisi dahilinde toplanıp toplanmadığını sorgulamaktadır ve yasaya aykırılık tespit ettiğinde gönderim imkânı vermemektedir. Ya da ziyaret ettiğiniz ve bilgilerinizi paylaştığınız internet sitelerinde verilerinizin işlenmesine imkân veren “Cookies” ya da “Çerezler”in ne şekilde çalıştıklarını içeren “Gizlilik Sözleşmeleri” mevcuttur. Hatta bu gibi internet sitelerinde yapılan ihlâlleri kullanıcıların iletmesini sağlayacak geribildirim formları da yer almaktadır.

Sonuç olarak KVKK’nın ve GDPR’ın temel olarak vurguladığı “Açık Rıza” (Explicit Consent) kavramına riayet eden uygulamalar; kullanıcılarının bilgisi dahilinde topladıkları kişisel verilerini yine onların bilgisi dahilinde saklama, işleme ve paylaşmaları durumunda kanuna uygun, insancıl ve kamuoyu vicdanında sorun yaratmayacak şekilde faaliyetlerini sürdürebilmektedirler. [9]

4. GAFAM ve BÜYÜK VERİ

Şu ana kadar soyut bir konsept ve hukuki bir terim olarak ele aldığımız “kişisel veri” kavramını, dünyadaki en büyük muhatapları özelinde örneklendirerek somutlaştıracağız. Literatüre GAFAM [10] (Google, Amazon, Facebook, Apple, Microsoft şirketlerinin adlarının baş harflerinin kısaltması) olarak geçen teknoloji devlerinin topladıkları, sakladıkları, işledikleri ve paylaştıkları “büyük veri”ler kapsamında kişisel verilerin korunması durumunu detaylıca inceleyeceğiz. Büyük veri “genel olarak kullanılan programların saklama, yönetme ve işleme kapasitesinin ötesindeki veri kümelerini anlatmak için kullanılan bir terimdir” [11] şeklinde ifade edilebilmektedir ve kişisel verilerden de oluşabilmektedir.

Dünyanın her yerinden yüz milyonlarca insanın büyük veri boyutundaki kişisel verileri GAFAM vb. teknoloji devleri ya da dijital girişimler tarafından toplanmakta, saklanmakta ve işlenmektedir. Zira bu teknoloji devlerinin çoğu zaman ücretsiz olarak sunduğu ürün ve hizmetlerden mahrum kalmak, dünyanın herhangi bir yerinde eğitim alan, çalışan, eğlenen kısacası yaşayan modern insanın pek de göze alabileceği bir durum değildir. Bir taraftan bu ürün ve hizmetlerden faydalanan kullanıcı diğer taraftan koruma altında olması gereken kişisel verilerini kendi eliyle bu ürün ve hizmetlerin sağlayıcısına vermektedir.

Örneğin; satın almak için bir bilgisayar arayan kullanıcı eğer Google’ı kullanırsa bir taraftan karşısına çıkan sonuçlardan alacağı bilgisayarı tercih etme, bilgi edinme ve karşılaştırma imkânına sahip olurken diğer yandan bilgisayar arıyor olma durumunun Google tarafından bilinmesine imkân vermektedir. Ya da Amazon’dan bir kitap satın alan kullanıcı, siparişinin kendisine ulaştırılması için gereken telefon numarası ve adres gibi bilgileri Amazon’a vererek bir taraftan ürünün kendisine kargolanmasına imkân sağlarken diğer yandan telefon ve adres gibi çok mahrem bilgileri Amazon’la paylaşmış olacaktır. Ya da internet üzerinden takip ettiği biriyle iletişime geçmek için Instagram profiline direkt mesaj gönderen bir kullanıcı bir taraftan istediği kişiye ulaşma imkânına erişirken diğer yandan yazdığı mesaj içeriğini Facebook, Inc. sunucularına yüklemiş olmaktadır.

Bu gibi örnekler Apple, Microsoft, Hepsiburada, Turkcell, Onedio, Superpeer kısacası tüm teknoloji devleri ve girişimleri için de çoğaltılabilir. Tabii ki bu bilgilerin aktarımı kullanıcının gönüllü aksiyonunun yanında bir “kullanım sözleşmesi” kapsamında bağlayıcı bir akit ile sağlanmaktadır. Bu akitle bilgileri alan teknoloji devi ya da girişimi bu bilgileri şifreleyerek sakladığı, bilginiz ve izniniz dışında doğrudan okumadığı / dinlemediği / izlemediği gibi taahhütler vermektedir. Özellikle de dünyanın her tarafından yüz milyonlarca insanın bu tür bilgilerinin dünyanın en büyük teknoloji devlerinde “büyük veri” boyutunda olduğunu bilmek, her ne kadar verilmiş bir taahhüt de olsa insanları zaman zaman endişelendiren bir durumdur.

Yakın zamanda oldukça popüler bir konu olarak Facebook’un anlık mesajlaşma uygulaması olan WhatsApp’ın Türkiye’de yürürlükte olan kullanım koşullarını güncellemesine gelen itirazları irdelersek bu endişenin boyutunu da kavrayabiliriz. Bu güncelleme ile kullanıcılarının mesaj içeriklerinden topladıkları bilgileri Facebook ile paylaşarak bu bilgilerle örtüşen türdeki reklamları görmenizi sağlayacaklarını belirten WhatsApp, kullanıcılarına 4 Ocak 2021 tarihinde gönderdiği bir bildirimle bu durumu duyurdu. 8 Şubat 2021’e kadar kabul edilmemesi hâlinde uygulamanın kullanılamayacağını bildiren WhatsApp, büyük bir tepki ile karşılaştı. [12]

Kitleler hâlinde Signal, Telegram, Bip gibi diğer anlık mesajlaşma uygulamalarına geçiş yaparak WhatsApp’ı kullanmayı bırakan kullanıcıların sayısı, WhatsApp’a geri adım attırdı ve yeni sözleşmenin Türkiye’de uygulanması durduruldu. [13] Peki buraya kadar bir dijital özgürlük savaşını andıran bu tepki ve sonrasındaki sonuç bize neler anlatıyor? Öncelikle Türkiye’de popüler ve popülist bir konuya dönüşen “WhatsApp Hizmet Koşulları Güncellemesi” vakasında sosyal medya paylaşımlarının da etkisiyle yaratılan dezenformasyon neticesinde çok sayıda kişi WhatsApp’ın kendi mesajlarını okuyabileceği endişesiyle uygulamayı kullanmayı bırakmıştır. Halbuki WhatsApp, kullanıcı mesajlarını uçtan uca şifreleyerek ilettiğini, mesajların okunmasının mümkün olmadığını belirtmektedir. [14] Öyleyse okunamayan mesajlardan nasıl bir bilgi edinilebiliyor ve bu bilgilerle kullanıcılara nasıl kişiselleştirilmiş reklamlar sunulabiliyor?

Burada veri hakkındaki veri yani üstveri ya da metadata kavramına değinmeliyiz. “Metadata veri hakkında bilgidir ve bu nedenle bir eserin yazarı, oluşturulduğu tarih, ilişkili çalışmalara bağlantılar vb. temel bilgileri sağlar.” şeklinde ifade edilen [15] metadata sayesinde verinin kendisi incelenmeden veri hakkındaki veri yorumlanmış olur ve istenen ilişkilendirmelerin yapılmasına imkân sağlanmış olur. Bunu şu şekilde açıklayabiliriz. Dijital dünyada yaptığımız her işlem bir iz bırakır. Eğer varsayılan ayarlarda kullanıyorsak; MS Word kelime işlemcisiyle bir metin yazdığımızda bilgisayarımızın adı, sistem saati, işletim sistemimizin sürümü gibi bilgiler de bu metin dosyasına kaydedilebilir. Ya da bir akıllı telefonumuzla bir fotoğraf çektiğimizde GPS ayarlarımız açıksa bulunduğumuz konum bilgisi bu fotoğraf dosyasına kaydedilebilir. Ya da bir e-ticaret sitesine girdiğimizde “çerezler”i kabul edersek sistem dilimiz, ülkemiz, sepetimize eklediğimiz ürünler arka planda çalışan yazılımlar tarafından kaydedilebilir.

GAFAM ve benzeri teknoloji devleri ya da dijital girişimler bu örneklerdeki gibi binlerce metadatayı, asıl verilerimizi (Word dosyasının içinde yazanlar, fotoğrafın içindeki kişiler, kredi kartı bilgileri vb.) görmeden toplayabilir, saklayabilir ve işleyebilir. Ve bu bilgiler gerçek bir kişi ile eşleştirilemediği durumlarda bir “kişisel veri” olmaktan çıktıkları için bunların toplanması, saklanması ve işlenmesinde herhangi bir kanuna aykırılık bulunmaz. Sonuç olarak mesajlarının okunduğundan endişe ederek WhatsApp kullanmayı bırakan kullanıcıların endişesi bu noktada yersizdir denebilir. Çünkü WhatsApp, sanıldığı gibi kendi içerisinde oluşturulmuş ve kendi sunucularında tuttuğu verileri kurcalayarak bir bilgi ediniyor değildir. Zaten dijital olarak üretildiği için dijital dünyanın tabiatına uygun olarak her aksiyonda bir iz bırakan ipuçlarını takip ederek gerçek sizin değil dijital yansımanız olan bir “avatar”ın ne gibi eğilimler göstereceğini tahmin etmeye çalışarak maddî kazanç sağlamaktadır. Bunu da topladığı binlerce metadatayı analiz ederek oluşturduğu profillerin satın alma eğilimlerine uygun reklamlar göstererek, satış potansiyelini arttırdıkları satıcılardan aldıkları komisyonla yapmaktadırlar. Bu da kullanıcıların “arkadaşımla bir telefondan bahsediyorduk, ertesi gün reklamını gördük” ya da “sırt ağrılarımdan şikâyet ediyordum bir süre sonra bir fizik tedavi uzmanının internet sitesinden bildirim aldım” gibi izlendiklerini ifade ettikleri cümleler kurmalarına neden olabilmektedir.

Oysaki dijital dünyada bıraktığımız izleri takip eden analitik pazarlamacılar, kabaca “daha önce telefonunun hafızasını temizleme konulu sayfalarda uzunca süre geçiren profiller şu marka yeni telefon reklamlarını görsünler” ya da “internet sitemizin bel ve sırt ağrıları ile alakalı sayfalarında uzunca vakit geçiren profillere şu fizik tedavi uzmanın yaptığı kampanya ile ilgili bir bildirim gönderilsin” gibi komutlarla ücretsiz olarak sundukları içerikleri monetize etmekte yani para kazandırır duruma getirmektedirler. Bu durum herkes için faydalı görünebilir. Ancak yaşanan bazı skandallar bu türden büyük verilere sahip teknoloji devlerinin kitleleri manipüle edebilme ihtimâlini de ortaya koymaktadır.

“Cambridge Analytica, seçim süreçleri sırasında dijital varlıkları, veri madenciliği, veri analizi ve stratejik iletişim ile birleştiren bir İngiliz siyasi danışmanlık firmasıydı.” [16] Facebook’un geliştirici platformunda yayınladıkları bir uygulama ile topladıkları büyük ölçekli verileri kategorize edip seçmenlerin profillerine göre farklı eyaletlerde farklı reklamlar göstererek seçmen eğilimlerini manipüle etmekle suçlanan şirketin, ABD başkanlık seçimlerine ve İngiltere’nin Brexit sürecine dolaylı şekilde müdahale ettiği düşünülüyor. Bu skandalın ortaya çıkması sonucunda ABD Federal Ticaret Komisyonu, Facebook’a 5 Milyar Dolar’lık bir ceza kesmiştir. [17] Bunun gibi olayların yaşanmaması adına az önce sözünü ettiğimiz WhatsApp hizmet koşulları vakasında Avrupa Bölgesi olarak adlandırılan ülkeler, Türkiye’de büyük tepkiye neden olan güncellemeden yasal engeller sayesinde muaftır. Türkiye de mevcut durumun dışında bir endişeye konu olan vaka neticesinde bu kullanım koşullarından muaf olmuştur ve Türkiye’den
kullanıcılar WhatsApp’ı eski koşullar ile ücretsiz bir şekilde kullanmaya devam etmektedirler. Bütün bunların ışığında şuna dikkat edilmelidir; teknoloji devleri, bütün bu bahsettiğimiz avantajları elde etmedikleri sürece kullanıcılarına kullanmak zorunda kaldıkları üstün ürün ve hizmetleri ücretsiz olarak sunamayacaklardır. Ancak bazı durumlarda sağladığımız bu avantajların bedeli, ücretsiz kullandığımız ürün ve hizmetlerin ederlerinden çok daha fazla olabilmektedir. Dolayısıyla bu denge; güçlü kurumlar, etkili düzenlemeler, caydırıcı yaptırımlar, toplumsal bilinç ve dijital okuryazarlıkla sağlanmak zorundadır.

5. SORUNLAR ve SORUN OLMAYANLAR

Önceki başlıklarda görüldüğü üzere kişisel verilerimiz çok büyük bir değere sahiptir. Bu değer kimi zaman, tanıdığımız hemen herkesle en hızlı şekilde mesajlaşmamızı, kimi zaman ihtiyaç duyduğumuzda evimize en yakın su tesisatçılarını en hızlı şekilde bulmamızı, kimi zaman henüz bilmediğimiz ancak çok seveceğimiz bir şarkıyı keşfetmemizi kimi zaman da finansal durumumuza en uygun yatırım araçlarından haberdar olmamızı sağlayabilmektedir. Ve bütün bunlar, kişisel verilerimizin ürettiği metadataları yorumlayıp analiz ederek bizi tanıyan, eğilimlerimizi fark eden ve nelere ihtiyaç duyabileceğimizi tahmin eden, neredeyse tamamen ücretsiz yazılımlar sayesinde mümkün olmaktadır. Bizler de kişisel verilerimizi; bu fayda karşılığında, ücretsiz servisler sağlayabilmek için kişisel verilerimizden edindikleri bilgileri bize kişiselleştirilmiş reklamlar göstermek için kullanan, bu yazılımların geliştiricilerine emanet etmekteyiz. Ancak bahsettiğimiz değer, kişisel verilerimizi emanet ettiğimiz yazılım geliştiricilerinin kötüye kullanımları ya da ihmalleri ile bize beraberinde riskler de getirmektedir.

Daha önce verdiğimiz örneklerdeki gibi kişisel bilgilerimizin bilgimiz dışındaki amaçlar için de değerlendirilmesi, üzerimizde bir manipülasyon aracı olarak kullanılması, şantaj malzemesi yapılması ya da bilinçli / bilinçsiz şekilde belirli / belirsiz 3. kişiler tarafından alınması / çalınması gibi durumlar da mümkün olabilmektedir. Bizler salt teknoloji kullanıcıları olarak bu gibi durumları denetleme, bunlara yaptırım uygulama gibi bir imkâna sahibiz denilemez. Bu gibi aksiyonları ancak tekelleşmeyi önleyici, geniş kitlelerin bilgilerine sahip kuruluşları şeffaf davranmaya zorlayabilecek düzenlemeler ve bu düzenlemeleri denetleyecek kamu kurumları yapabilecektir. Bize düşen ise yeterli bir dijital okuryazarlık ile kişisel bilgilerimizi bilinçli bir şekilde paylaşma ya da paylaşmama tercihinde bulunmaktır.

Örneğin, aldığımız bir e-postanın içindeki linki tıkladığımızda açılan sayfanın SSL ile şifrelenmiş bir güvenli bağlantı olmaması durumunda herhangi bir şifre, telefon numarası ya da kimlik bilgisini sayfadaki bir forma girmememiz gerekmektedir. Ya da tanımadığımız ve kurumsal olmayan bir telefon numarasından gelen çağrıları ya da kısa mesajları kredi kartı ya da banka hesap bilgilerimiz ile cevaplamamalıyız. Ya da sosyal medya profillerimizde paylaşım yaparken Türkiye Cumhuriyeti Kimlik Numarası gibi bilgilerimizi görünür bir şekilde yayınlamamalıyız. Bu gibi hassasiyetlerin dışında sosyal medya akımlarına katılmak adına sesimizi, fotoğraflarımızı, videolarımızı belli bir şablona uygun şekilde paylaşmamızın ya da akıllı telefonlarımızın kilit sistemlerini yüzümüz, parmak izimiz gibi biyometrik kişisel verilerimiz ile kullanmamızın da bir risk oluşturduğunu belirten görüşler de mevcuttur. [18]

Ancak bu durum eğer yeterince abartılacak olursa sokakta tanımadığımız insanların arasında yürürken kafamıza yüzümüz görünmeyecek şekilde bir kese kâğıdı geçirmemizin gerekliliğinden de bahsedilebilir. Nasıl ki bu durumda suçluların güvenlik kamerası kayıtları marifetiyle yakalanması mümkün olmayacaksa kişisel verilerimizi belli bir bilinç ve denetleme kapsamında uygun gördüğümüz kuruluşlarla paylaşmazsak şu an faydalandığımız birçok ürün ve hizmetten faydalanmamız da mümkün olmayacaktır.

Bu konuya bir de şu perspektiften bakabiliriz. Bir sosyolog, toplumsal bir araştırma kapsamında yüz yüze gerçekleştirdiği anketler sonucunda topladığı bilimsel verileri, devlet yetkilileri ile bir proje kapsamında paylaşarak toplumsal bir sorunun çözümüne büyük ölçüde fayda sağlayabilir. Örneğin belli bir bölgede eğitim ve gelir düzeyi düşük ailelerin aile planlaması hakkındaki bilgi ve bilinç düzeylerini araştıran bir araştırmacı, yaptığı görüşmeler esnasında aldığı bilgilerin sonucunda bu bölgede yaşayan insanlara gerekli eğitim kurslarının sağlanması ve sağlanan devlet destek ve imkânlarından haberdar edilmesi ihtiyacınız tespit edebilir.

Bu sorun tespitine uygun olarak gerekli adımları atan belediyeler, ilçe sağlık müdürlükleri vb. kamu kuruluşları toplumsal sağlık düzeyinin arttırılması adına önlemler alabilir. Bu bağlamda kişisel veri olarak bahsettiğimiz halk arasında “mahrem” olarak ifade edilen bilgilerin paylaşılıyor olması toplumsal bir iyi amaca hizmet etmiş olacaktır. Burada önemli olan bu bilgilerin, bilgileri verenlerin bilgisi dahilinde ve suiistimal edilmeden kullanılıyor olmasıdır.

Bu örneğe benzer olarak sosyal medya akımlarıyla ya da biyometrik şifre uygulamalarıyla toplanan kişisel verilerin, küresel ölçekteki teknoloji odakları ve istihbarat ajansları tarafından geliştirilen yapay zekâları besleyen ve kendimize doğrulttuğumuz birer silah olarak nitelendirmek de doğru değildir.

Faydalandığımız ve gelecekte faydalanacağımız birçok teknoloji altyapısının gelişmesinde büyük rol oynayan / oynayacak olan yapay zekâ sistemlerini zararsız ve bilinçli bir şekilde beslemek sonuçta bize ticaret, yatırım, eğitim, spor ve hatta sağlık alanlarında büyük nimetler olarak dönebilme potansiyelini içermektedir. Zira yapay zekânın en iyi dostu veridir. Yeter ki bu veriler belli bir bilinç ile paylaşılsın ve bu verilerin toplanma, saklanma, işlenme ve paylaşma koşulları güçlü devlet mekanizmaları tarafından iyi bir şekilde denetlensin.