Teknoloji hayatımızın her alanına girdikçe her birimiz elbet bir noktasından siber aleme bulaştık ve her an veri üreten kullanıcılar haline geldik. Sosyal medyada hayatlarımıza dair her türlü detayı paylaşmak oldukça sıradan günlük işlerimizden biri haline geldi. Bunun dışında da bilgisayarlarımız, mobil cihazlarımız, tabletlerimizle internette yaptığınız her hareket ya da telekomünikasyon şebekesinden aldığınız her türlü hizmet, teknoloji ve telekom şirketlerinin veri tabanlarında kayda geçiyor.
Kontrolümüz dışında arka planda üretilen bu verilerin şirketlerce ne amaçla ve nasıl kullanıldığı hakkında da çoğunlukla sınırlı bilgiye sahip oluyoruz. Bu verilerin şebekenin yönetilmesi, internet ve ses hizmetlerinin sağlanması veya faturalandırma gibi sektörün ve işletmecinin devamlılığını sağlayacak süreçler için kullanılması ve saklanması gerekiyor,ancak amacının dışındaki kullanımlar kişinin özel hayatına ve gizliliğine ihlal haline dönüşebilir. İşte tam da bu adımda yasal düzenlemeler kullanıcıları var gücüyle koruyacak yükümlülükleri sektörlere şart koşuyor çünkü “ ‘biz’e ilişkin olanın üzerindeki denetimimizi kaybettiğimiz noktada kendimiz olmamız ve bireysel özerkliğimizi korumamız da olanak dışına çıkacaktır.” [1]
Kişisel verilerin korunması konusunda en sistematik yasal altyapıya sahip bölge Avrupa Birliği ve 1995 yılında yayınlanmış 95/46/AT sayılı Kişisel Verilerin Korunması Yönergesi ile çerçeve kanun yaratılmış. Bunu takiben 2002 yılında 2002/58/AT sayılı Özel Yaşamın Ve Elektronik İletişimin Korunması Yönergesi ile iletişim sektöründe kişisel verilerin korunması ve işlenmesi süreçleri düzenlemiştir. Şu anda Türkiye’de kişisel verilerin korunmasını düzenleyen bir kanun bulunmuyor ancak yaklaşık 1995’ten beri tartışmaları süren bir kanun taslağımız mevcut. Halen tasarının son haline getirilerek yayınlanması ve kişisel verilerin korunması hakkında tüm sektörleri kapsayacak yasal çerçevenin oluşturulması bekleniyor. Diğer taraftan, kanunun yayınlanması beklenmeden elektronik haberleşme sektöründe kişisel verilerin gizliliğini düzenleyen yönetmelik ilk olarak 2004 senesinde elektronik haberleşme sektörünü denetleyen ve düzenleyen kurum BTK (kurumun adı o dönemde Telekomünikasyon Kurumu olarak geçerken 2008’de yayınlanan 5809 no’lu kanunla ismi Bilgi Teknolojileri ve İletişim Kurumu olarak değiştirilmiştir) tarafından yayınlandı. Bu yönetmelik ile “elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları”[6] belirlenmiş oldu. Yönetmelik bu sene Temmuz ayında revize edilerek yeniden yayınlandı ve yürürlük tarihi de Ocak 2013 olarak belirlendi. Bu zaman zarfında elektronik haberleşme sektöründe hizmet veren kuruluşlardan beklenilen, yayınlanan mevzuata uyumlu hale gelebilmesi ve kişisel verilerle ilgili süreçlerini hukuksal çerçevede tasarlamasıdır.
Kanun geldi, uygulama nerede kaldı?
Mevzuata uyum, en basit haliyle düzenleyici kurum tarafından yayınlanan bir hukuksal metne gerçek hayatta işleyen bir sürecin veya akışın adapte edilmesidir. Diğer deyişle kanun koyucunun hazırladığı ifade, sistemde bir süreç olarak tasarlanmalı veya işleyen sürece dahil edilmeli diye kabul ediyoruz. Ancak ne yazık ki bu işin planlanması her zaman operasyonunu yönlendirecek seviyede kurgulanamıyor ya da elektronik haberleşme sektörünün yaramaz çocuğu “yakınsama” tüm teknolojileri aynı platformda birbirleriyle entegre hizmet verebilir hale getirdiğinden “peki şimdi ben hangi veriye ne yapacağım?” diye soran sistem yöneticilerine veya mimarlarına elimizde yoruma açık metinlerle boş gözlerle bakar hale geliyoruz.
Elektronik haberleşme sektöründe düzenlemelerin hayata geçirilmesinde en temel sıkıntı, kuralları tasarlayanların hukukçu, kuralları sisteme tanıtanların mühendis olmasından kaynaklanıyor. İki birbirinden farklı altyapıya sahip uzmanlığın ortak bir paydada buluşması ve birbirini anlayabilmesi oldukça güç. Bunların yanında bir de hukukun düzenlemeye alıştığı gerçek dünyanın ölçütleri ne yazık ki iletişim teknolojilerinin bütününden oluşan siber alem dinamiklerini karşılamaya yetmiyor. 1993 yılında Norveç’te Dag Wiese Schartum isimli doktora öğrencisi, hazırladığı tezde [7] regülasyonlara istinaden hazırlanmış bilgisayar kodlarının birbirini ne ölçüde karşıladığını incelemiş ve sonuçta yazılımcıların, hukuk metinlerindeki genel ifadelerden dolayı kuralları yorumlayarak ve adeta düzenleyici otorite gibi davranarak programları tasarladıklarını tespit etmiştir. Bu çalışmada Schartum, her bir hukuk kuralını ve bu kuralları hayata geçirebilmek için tasarlanmış kod parçalarını semantik olarak birebir kıyaslamış ve birbirlerini karşılamadıklarını görmüş, muğlak ifadeler söz konusu olduğunda yazılımcının sistem mimarisi için en uygun seçimi yaparak çerçeveyi kendisinin belirlediği sonucuna varmıştır.[2]
Yoruma açık yükümlülük: Aydınlatılmış rıza
Veri paylaşımı, aktarımı, saklanması gibi konularda en tartışmalı süreç ilgilinin rızasını almak söz konusu olduğunda yaşanıyor. Regülasyonlardan doğan bir yükümlülüğün sistemde en sırıtan hali belki de rıza toplama sürecidir diyebiliriz.
Telefonunuzu açmak veya alışveriş yapmak istediğiniz sitede bir hesap yaratmak teknoloji şirketleriyle verilerinizi paylaşmak için yeterli aktivitelerdir. Bütün bu aktiviteler kapsamında kişisel verilerinizin onları paylaştığınız şirketlerce işlenebilmesi belli istisnalara tabidir. Bu istisnalardan en önemlisi ilgili kişinin rızasıdır. Yani siz görüntülediğiniz sayfada yer alan kutucukları işaretlediğinizde veya tabletinizde kendi kendine açılan pop-up mesajlara “izin ver” dediğinizde arka planda rıza göstermiş sayılırsınız. “İlgilinin rızası verilerin işlenmesinin en önemli meşruluk temellerinden biridir.”[1] Böylelikle işletmeci ilgilinin rızasını elde ederek kişisel verileri işleme konusunda önündeki tüm engelleri atlamış olur. Çünkü burada temel olan işletmecilerin veri işleme hakkına ilgilinin rızası ile kavuşabilmesidir. “Yani kişisel verilerin işlenmesi istisna, yasal temel ve ilgilinin rızası olmadan işlenememesi ise kural olmalıdır.” [3]
Peki işletmeci müşterinin rızasını nasıl toplar? Literatürde rıza beyanının taşıması gereken özellikler şöyle özetleniyor;
AB yönergesinde rıza kişinin kendisiyle ilgili verilerin işlenmesini kabul ettiğini gösteren belirli ve aydınlatılmış özgür ifadesinin her türlü işareti olarak tanımlanmıştır. Ayrıca yine yönergeye göre bunun bir hukuka uygunluk koşulu olarak değerlendirilebilmesi için, ilgili kişinin “şüpheye yer bırakmayacak” nitelikte, bir başka anlatımla “kesin” olması gerekir. [1]
İşte tam da hukukun yaratmak istediği düzenle iletişim teknolojilerinin sanal dinamikleri bu noktada çakışıyor. Bir yazılımcının kodlamakta olduğu uygulamaya “aydınlatılmış özgür ifade”, “kesin”, “şüpheye yer bırakmayacak şekilde” gibi genel ifadeleri tanıtma şansı yok. Bilgisayar kodları salt mantıksal döngülere ve algoritmalara sahip, bu durumda kesin dediğinizde neden bahsettiğinizi anlayabilmesi için bu tanımın algoritmasını bir formülle oluşturup kodlarla tanımlamanız gerekiyor. Hal böyle olunca tasarımcılar sistem için en uygun ve maliyetsiz çözümü geliştiriyorlar; derdini anlatan upuzun kullanım koşulları metinleri ve bu metinlerin altında yer alan ve kabul ettiğimizi beyan eden bir kutucuk.
Böylece hukuk kodun tasarımına eklenmiş oluyor ama bir farkla; uygulama amacının dışına çıkarak. Çünkü çoğunluk bu metinleri okumadan, okusalar bile işin uzmanı olmadıkları konuları anlamadan, sadece rızalarını vermiş oluyorlar. Yani pratikte kullanıcı aydınlatılmış bir özgür irade gösteremiyor. Aynı durum sitelerde sayfalarca yayınlanan gizlilik politikaları için de geçerli.
İşletmeciler gizlilik politikalarını uzun uzadıya anlatarak kullanıcıda güven yaratabileceklerini düşünüyor olmalılar ki hemen her sitede sayfalar süren örneklerine rastlayabiliyoruz. Amerikalı ünlü hukuk profesörü ve aktivist Lawrence Lessig Kod 2.0 isimli kitabında şu soruları soruyor; “Bütün bu gizlilik politikalarını birileri okuyor mu? Eğer okuyorlarsa bile bir siteden diğerine geçerken her birini akıllarında tutabiliyorlar mı? Amazon ile Google’ın gizlilik politikaları arasındaki farkları biliyor musunuz?”[4]
Neye rıza gösteriyorum?
Yükümlülüklerin özellikle dikkat çektiği üzere, önemli olan kullanıcının neye rıza gösterdiğini açık bir şekilde anlayabilmesi ve rıza vermesi halinde bilgilerinin ne şartlarla, nasıl kullanılacağının farkına varabilmesidir. Akıllı telefonunuza indirdiğiniz ve oynamak için sabırsızlandığınız o çok popüler oyun küçük bir pop-up ile sizin rızanızı aldıktan sonra siz oyunu oynarken rehberinizdeki kontakları kendi veri tabanına aktarıyor ve sonrasında da bunları ne iş yaptığını bilmediğiniz şirketlerle paylaşıyorsa rıza gösterdiğiniz oyunun mağduru durumuna düşebilirsiniz.
Bu bağlamda yaklaşık son 10 yıldır gelişimleri hız kazanmış gizlilik teknolojileri,veri paylaşımında kullanıcının kontrolünü arttıracak teknik çözümler üretmeye çalışmaktadır. Başlıca örneklerinden biri, gizlilik politikalarının uzun uzadıya metinler olarak yayınlanması yerine yazılım uygulamaları tarafından otomatik olarak algılanmasını sağlayanP3P (Platform for Privacy Prefences) teknolojileridir. P3P teknolojileri ile metinler, XML (Extensible Markup Language) işaretleme ve etiketleme dili ile standart bir formata sokularak, yazılımlar tarafından otomatik olarak okunabilir hale getirilir.
“P3P projesi internet sitelerinin gizlilik uygulamalarını kullanıcıların tarayıcıları tarafından otomatik olarak erişilebileceği ve kolaylıkla yorumlanabileceği standart bir formatta ifade edebilmesine olanak sağlar.”[5] P3P teknolojileri sayesinde arka planda kullanıcının tarayıcısı ve internet siteleri arasında kodlanmış gizlilik doğrulamaları gerçekleşecektir. Hatta kullanıcının yapacağı ayarlara uygun olarak sitenin her talebi kullanıcıya bir uyarı olarak gösterilebilir. Örneğin kullanıcı, bir sitenin telefon numarasına erişmek istemesi halinde tarayıcısında bir uyarı ekranının çıkmasını sağlayabilir ve o anda vereceği karara göre onaylayarak veya reddederek işlemine devam edebilir veya işlemi sonlandırabilir.Böylelikle kullanıcının sitenin her türlü sorgulamasına ve bilgi talebine karşı uyarılması ve bilinçlendirilmesi esas alınmış olur.
Bir diğer örnek ise kullanıcıların işlem yapmak istedikleri sitenin gizlilik durumlarını basit ve görsel yöntemlerle takip edebilmesine yöneliktir. Bu yapıya en güzel örneği uzun süre yazılım yapmış Amerikalı teknoloji uzmanı JonathanZuck verdi. Bu sene 4 Aralık’ta Brüksel’de üçüncüsü düzenlenen Avrupa Veri Korumasi ve Gizliliği Konferansı’nda yaptığı konuşmasında, kullanıcıların doğru bilgilendirilerek rızalarının toplanmasını sağlamak için geliştirdikleri uygulamaların önemini anlatırken o anda salonda yer alan katılımcılardan şu adrese girmelerini istedi : http://privacydashboard.s3.amazonaws.com/index.html
Katılımcılar, adrese girdiklerinde karşılarında örnek olarak hazırlanmış aşağıdaki bilgilendirme panelini gördüler:
Jonathan Zuck, kullanıcının sayfalarca metin içinde görmesini istedikleri önemli tüm gizlilik ayarlarının görsel olarak tek sayfada ifade edildiğini aktardı. Ek olarak elde edilecek verilerin ne amaçla kullanılacağı ve bu verilerin diğer partilerlene kapsamda paylaşılacağı detaylarınada görsel olarak ulaşmak mümkün hale geliyor.
Bunun dışında talep edilirse sayfanın üzerinde yer alan “Short Form” veya “Full Policy” başlıklarından gizlilik politikalarının özetine veya tam metnine erişilebiliyor.
Uyumlu mu? Uydurulmuş mu?
Teknoloji bu kadar hızlı dönüşürken hukuk ve sosyal bilimler onun peşinden koşup yakalamak için uğraşmaya muhtaç gözüküyor. Bilgi öyle müşterekbir hale geldi, öyle hızla yayılıyor ki bilgiye dayalı gelişen teknolojilerin yasal çerçevelerini ve sosyal etkilerini çok sonradan kurgulamak zorunda kalıyoruz. Diğer taraftan da alışılagelmiş yaklaşımlarla, sınırları olmayan bilgi teknolojilerini bir altyapıya oturtmaya çalışmak amacından sapan ve neredeyse gereksiz bir bürokrasi yaratan süreçlere dönüşebiliyor. Hal böyle olunca da mevzuata uyumlu hale gelebilmek için uydurulmuş çözümlerle işler daha da karmaşıklaşabiliyor. İşte verilerin işlenmesi için kullanıcıdan toplanan rıza tam da böyle amacından sapmış ve amiyane tabirle “dostlar alışverişte görsün” tadında bir örnek.
Sonuç
Sürecin, teknolojileri tasarlayan mühendisler ile yasal bir çerçeve yaratmaya çalışan hukukçular tarafından ortak yaratılacak bir dille kurgulanması gerekiyor. Birbirinden oldukça uzak gözüken iki çalışma alanı ortak bir paydada buluşabildiği sürece anlamlı ve güvenli bir platform yaratılabiliyor. Bir hukuk metninin içinde uygulamaya dair detaylar bulunmadığı, sadece genel çerçeveleri tasarlayan yüzeysel ifadeler yer aldığı ve o yükümlülüğü hayata geçirecek kişiye yol gösterecek örnekli açıklamalar bulunmadığı sürece tüm bu karmaşa devam edecektir. Özellikle elektronik ortamlarda kişisel verilerimizin korunması gibi hayati önem taşıyan konularda yasal veya teknolojik açıklar kabul edilemez bir boyuta ulaşmışken uygulaması sağlanamayan teorik bilginin faydası değil zararı dokunacaktır.
Kaynaklar:
[1] Küzeci, Elif. KişiselVerilerin Korunması. Ankara: Turhan Kitabevi, 2010. Print. [2] Klang, Mathias. Human Rights İn TheDigital Age. London: GlassHouse, 2005. Print. [3] Şimşek, Oğuz. Anayasa Hukukunda Kişİsel Verilerin Korunması. 1. baskı. ed.Cağaloğlu, İstanbul: Beta, 2008. Print. [4] Lessig, Lawrence. Code: Version2.0. 2nd ed. New York: Basic Books, 2006. Print. [5] RigoWenningandMatthiasSchunter. The Platform forPrivacyPrefences1.1 (P3P1.1) Spesification, 2006. W3C WorkingGroupNote, http://www.w3.org/TR/2002/REC-P3P-20020416/ [6] Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik, BTK, 24 Temmuz 2012, Madde 1 [7]Rettssikkerhetogsystemutvikling i offentligforvaltning, 1993, Oslo:Scandinavian UP. [box]Konuk Yazar: Merve GözüküçükİTÜ Matematik Mühendisliği bölümü mezunudur.Yüksek Lisans eğitimine Bilgi Üniversitesi Bilişim Hukuku bölümünde devam etmektedir. Tezini Kişisel Verilerin Gizliliği ve Sektörel Uyumluluk konusunda hazırlamakta ve telekom sektöründe uyumluluk uzmanı olarak çalışmaktadır. | Twitter | Blog [/box]
Gayet iyi hazırlanmış ve net anlatılmış. Elinize sağlık