Akışkan Veri ve Genel Veri Koruma Düzenlemesi

Akışkan Veri ve Genel Veri Koruma Düzenlemesi

Her gün masamın başına oturduğumda ilk yaptığım işlerden birisi her sabah belirlediğim gazeteleri günlük olarak ilgimi çeken konular için hızlıca okumaktır. İşim gereği sadece Türkiye’de çıkan gazeteleri değil yurtdışından da birçok gazeteyi takip ediyorum. Her sabah okuduğum gazetelerden birisi de Chicago’da bir konferans sırasında listeme giren Chicago Tribune’dür. 28 Mayıs 2018 sabahında sayfasını açtığımda artık Avrupalı okurlarına hizmet veremediklerini belirten ve en kısa sürede gerekli düzenlemeyi yapmaya çalıştıklarını yazan bir uyarı gördüm. Bu yüzden artık VPN bağlantısıyla erişmem gerekiyor. Sonradan başka gazetelerin de benzer uygulamalara geçtiğini gördüm. Bunun sebebi Avrupa Birliği’nde yürürlüğe giren General Data Protection Regulation (GDPR), yani Genel Veri Koruma Düzenlemesi diye çevirebileceğimiz uygulama.

ÇARPICI BİR ÖRNEK

2012’de ortaya çıkan bir olayda Amerika’nın bilinen perakende satış firmalarından Target’ta istatistikçi olarak görev yapan Andrew Pole, kullanıcı numarası, kredi kartı bilgisi, adı, e-posta bilgisi, adres bilgisi, ilgilendikleri ya da sepetlerine koydukları her şey yanında demografik bilgilerini de bir arada tutan bir veri tabanı sistemi oluşturur. Pole bütün bu veri setini kullanarak Target’ın bebek ürünleri için kayıtları bulunan kadınların önceki alışverişlerinin tarihçesini incelerken ilginç bir davranış kalıbı fark eder. Birinci kalıp, hamile kalan kadınların hamileliğin dördüncü ayından sonra yüksek miktarda kokusuz losyon aldıklarını fark eder. Pole’un yanındaki diğer bir araştırmacı da hamileliğin ilk 20 haftasında hamile kadınların kalsiyum, magnezyum ve çinko destekleri aldığını görür. Hatta hamile kalan kadınların çokça kokusuz sabun, büyük boy pamuk paketleri, el temizleyiciler ve yüz havlusu aldığını gözlemlerler. Pole bütün bu kalıpları daha rahat analiz edilebilir kriterlere çevirmeyi başararak alıcıların hamile olup olmadıklarını ölçebilecek 25 ürün belirler. Hatta küçük hesap hataları da olsa doğum yapmaları muhtemel tarihleri bile çıkarırlar. Böylece bu dönemin öncesinde Target, alıcılara indirim kuponları göndererek hamilelikleriyle ilgili ürünler almalarını sağlayabilecektir. Target bu analizlere dayanarak müşterilerine kuponlarını göndermeyi başlar. Minneapolis’in dışından Target’ı arayan kızgın bir adam müdürle konuşmak istediğini belirtir. Müdür’e “benim kızıma bunlar postadan geldi” diyerek Target’ın hamile kadınlar için gönderdiği kuponları elinde sallayarak sözlerine devam eder: “O hâlâ lisede ve siz ona bebek kıyafetleri ve beşiği kuponlarını niye gönderiyorsunuz? Onu hamile kalması konusunda teşvik mi ediyorsunuz?” der. Target’ın merkezinden yönetilen kupon sisteminin adamın kızını niye seçtiğinden habersiz olan Müdür, babadan özür dileyerek, kendisini teskin eder ve bir yanlışlık olduğunu söyler. Takip eden hafta kızına kupon gönderildiği için kızan babayı arayan Müdür ahizenin öte yanındaki babadan duyduklarından dolayı şaşkınlık içinde kalır. Baba kızının gerçekten hamile olduğunu ve Ağustos’ta doğuracağını söyler ve kendisine bağırdığı için özür diler. Target’ın bu analizinin 2012’de ortaya çıktığı göz önüne alınınca ve gelişen teknoloji düşünüldüğünde günümüzde yapılabilen tahminlerin tutarlılığının ne denli yerinde olacağı konusunu size bırakıyorum. Bu konuda literatürde iyi ve kötü olabilecek birçok örnek bulunuyor.

İnternete erişimin yaygınlaşması ve akıllı cihaz kullanımının artmasıyla birlikte kullanıcıların ürettiği veri de hızla artmaya başladı. Verinin bu denli artışı ve kişiselleşmesi kullanıcılar hakkında beklenenden daha fazla bilgi vermeye başladı. Düşünsenize hiç tanımadığınız bir insanın bilgisayardaki kullandığı programların geçmişine, çerezlerine -girdiğiniz web sitelerinin, bilgisayarınızda bıraktığı bir tür tanımlama dosyasıve geçirdikleri zamanlara bakarak hızlıca siyasi tercihleri, planları, hassasiyetleri, taraftar oldukları ve karşı oldukları konuları rahatça tahmin edebilirsiniz. Şimdi okuyucuların “nasıl bilgisayarıma girecekler?” diye sorduklarını duyar gibi oluyorum. Bilgilerinize ulaşmak için bütünüyle bilgisayarınıza erişmelerine gerek olmadığını söylemeliyim. Esasında her sabah bilgisayarımın başına oturup gazeteleri okumaya başladığımda gönüllü olarak internetteki bir bilgisayara girerek bir dosyayı okumaya başlıyorum. İşte o bilgisayar, gönüllü olarak verdiğim kim olduğum hangi IP’den bağlandığım, bilgisayar dilimin hangi dilde olduğu, hangi browser tipini kullandığı, hatta hangi işletim sistemini kullandığı gibi temel bilgilere hızlıca sahip oluyor. Hele bu gazete ya da Facebook gibi bir platform ise hangi haberler ve/ veya mesajlar üzerinde ne kadar vakit geçirdiğim bilgisine de hızlıca erişiyor.

Düşünsenize Youtube’a girdiniz ve araba modellerini inceliyorsunuz. Bu inceleme sırasında farklı alternatiflere bakıyorsunuz. Buna bağlı olarak Google’a giriyorsunuz ve beğendiğiniz parçaları almak için Google’da araştırma yapıyorsunuz. İşte Google, Youtube ve bütün ziyaret ettiğiniz siteler size ait bu bilgileri birleştirip bir profil oluşturmaya çalışıyor. Buna bir de alışveriş sitelerinden yaptığınız alışveriş verisini eklediğinizde sizin hakkınızda belki de en yakınınızdan daha fazla bilgiye sahip oluyorlar. Profillerin farklı veri işleyiciler tarafından incelenmesine dair son bir örnek verip esas konum olan GDPR düzenlemesine geçmek istiyorum.

Veri: Korunması Gereken Bir Varlık

İnsanların hiçbir tehlike görmeden paylaştıkları bilgilerle veri analizi yapan firmaların neler yapılabileceğini gören Avrupa Birliği kendi vatandaşlarını ve kendi menfaatini korumak için dört yıllık bir çalışmanın ürünü olarak 27 Nisan 2016’da Genel Veri Konuma Düzenlemesi’ni hayata geçirdi. Üye ülkelere bu düzenlemelerin hayata geçirilmesi için iki yıllık bir geçiş dönemi tanıdı. Bu düzenlemenin esas amacı kişinin kendi ürettiği veri üzerinde hâkimiyet sağlamasına izin vermekti. Öte yandan devletlerin vatandaşların verilerini korumak üzerinden bir anlayış getirdiğini söylemek de yerinde olacaktır. Böylece veri de korunması gereken bir varlık olarak devlet ve toplum ilişkisinin içindeki yerini aldı. Hızlı teknolojik gelişmeler ve küreselleşme, kişisel verilerin korunması için yeni zorluklar getirdi. Bir yanda hızla artan kişisel verilerin toplanması ve paylaşılması öte yanda hem özel şirketlerin hem de kamu otoritelerinin faaliyetlerini sürdürmek için daha önce görülmemiş bir ölçekte kişisel verileri işlemesine izin veren teknolojiler, verinin işlenme ve korunma sürecinin düzenlenmesi ihtiyacını doğurmuştur.

25 Mayıs 2018’te Avrupa Birliği’nde etkin olarak yürürlüğe giren bu düzenlemeyle birlikte Avrupa Birliği ile iş yapan, veri toplayan ya da herhangi bir bilgi işlem sistemi üzerinden verisi geçen sistemlerin Genel Veri Koruma Düzenlemesi’nin (GVKD) gereklerini yerine getirmesi zorunluluğu bulunmaktadır. Türkiye’de Kişisel Veri Güvenliği Kanunu sebebiyle birçok kurumun sizin verilerinizi işlemek için izin aldığı şu günlerde bu durum belki o kadar farklı gelmeyecektir. Kurumsal olarak yapılması gereken hazırlıkların olduğunu ve AB düzenlemesinin tüzel kişileri bu değişiklikleri yapmaya zorladığını ve yerine getirmezse 20 Milyon Euro’dan, ciro’un %4’üne kadar büyük cezalar verilebileceğini en başta belirtmem gerekiyor. AB bu düzenlemenin hayata geçirilebilmesi için gereken tedbirleri almayan özel ve tüzel varlıklara büyük cezalar vermeyi planlıyor.

Günümüzde verinin iyi bir gelir kaynağı olarak değerlendirildiğini ve bu alanın veri simsarlığı (brokerlığı) gibi bir meslek oluşturduğunu söylemeliyim. Veri toplayan ve satan firmaların ürünlerini kullanıcılara ücretsiz vererek, elde edecekleri veri üzerinden gelir sağlamak üzerine bir işletim modeli kurduklarının da altını çizmek isterim. Kişilerin ürettikleri verilerin farklı ellerde çok değişkenli modellemelerden geçirildikten sonra ürün satışından, belirli bir grup için gelecek tahminine kadar kalıpları çıkarabilmek için kullanıldığını biliyoruz. Kimi zaman ticari kurumlar kimi zaman STK’lar kimi zaman da devlet kurumları bu veriyi farklı yöntemlerle analiz ediyor. Veriler çoğu zamanda nerede üretildikleri (inşa edildikleri)ne bakılmaksızın farklı ülkeler tarafından kullanılıyor. Özellikle modelleme ve yapay zeka çalışmaları için veriye duyulan ihtiyacın artmasıyla birlikte veriyi üreten kişi hakkındaki bilginin bu farklı ve uzun yolculuğundan çoğunlukla habersiz oluyor.

GVKD: Rıza Olmadan Asla!

GVKD esas itibariyle veriyi üretenin ürettiği ürün üzerinde söz sahibi olması temeline göre yapılmış bir düzenlemedir. Kimsenin veri üretenin haklarını çiğnemesine izin vermemesi konusu dikkate alınarak inşa edilmiştir. GVKD’nin bu konuda ilk getirdiği önemli şart, veri sahibinin kendi rızasıyla verisinin kullanılmasına izin vermesidir. İlk adımda bu rızanın sadece görülen veriler için değil, sizin hakkınızdaki tüm veri kümesini içerdiğinin altını çizmeliyim. Öncelikle eğer Google kullanıyorsanız hemen browser’ın penceresine https:// myactivity.google.com/myactivity adresini yazdığınızda size ait aramaları ve yer bilgisini nasıl detaylıca tuttuğuna şahit olacaksınız. Siz bu kişisel aramalarınızın tutulması için Google’a rıza verdiniz mi? Diğer yandan Youtube’dan (https:// youtu.be/S0G6mUyIgyg) izlediğimiz videolar bize yanımızda taşıdığımız cep telefonlarının nasıl her hareketimizi kaydettiğini hatırlatıyor. Hangimiz telefonumuzun bize ait hareketleri kaydetmesini ve bilmediğimiz yerlere göndermesini isteriz ki? Ya da telefonlarımızdaki sesli destek sistemlerinin (https://www. usatoday.com/story/tech/columnist/komando/2017/09/29/ how-stop-your-devices-listening-and-saving-what-yousay/ 715129001/ ) bizim günlük konuşmalarımızı devamlı olarak dinlemesini ve analiz etmesini ister misiniz?

GVKD bu tür verilerin rıza olmadan işlenmesini yasakladı. Böylece veriyi toplayan kişi(ler) ve/veya kurum(lar) verinin esas sahibinden ne için işlemek için ve hangi şartlarda saklanacağının teminatını vererek açık ve net bir rıza belgesini onaylamasını ister. Rıza olmadan verilerin işlenmesi daha da zor hale gelecek fakat bu devlet kurumlarını nasıl etkileyecek henüz bilmiyoruz. Özellikle de farklı mazeretlerle veri toplayan devlet birimlerinin bilhassa istihbaratların saldırgan veri işleme tavırlarını dizginlemenin GVKD ile mümkün olup olmadığı göreceğiz. (Meraklısına not: Eğer seyretmediyseniz Citizen Four filmini seyretmenizi tavsiye ederim. Snowden’ın açıklamaları nasıl her adımımızın birileri tarafından kaydedildiğinin güzel ipuçlarını verir.)

Yeni düzenlemeyle esas sağlanmak istenen bir gizlilik kültürünün oluşmasıdır. Kişisel hakların ve özgürlüklerin bu ölçüde değişen çağda da korunabilmesidir. İlk hedeflenen dizayn temel gizlilik ahlakının bütün sistemlerde yerleşmesidir. Böylece veri sahiplerinin hakları ilk defa veri toplanırken bile korunmuş olacaktır. Bildiğiniz gibi siteler ya da yazılımlar ihtiyaçlarının ötesinde veriyi talep ediyorlar. Bir programı telefonunuza yüklediğinizde ihtiyacı olmadığı halde hangi dosyalara ve kameraya, mikrofona, yer bilgisine nasıl erişmek istediğine dikkatlice bakın. GKVD bu kontrolsüz bilgi açlığını kontrol etmeyi hedefliyor.

GKVD verileri sınıflarken kendi içinde verinin üretim sürecini ve ilgili yapıyı da belirlemektedir. İlk olarak tanımladıkları unsur bilginin kaynağı olan gerçek kişidir. Yönetmelikte bunu “ilgili kişi” (data subject) olarak tanımlamaktadır. GKVD, “kişisel veri nedir?” sorusunu da şöyle tanımlamaktadır: “Kişisel veriler”, tanımlanmış veya tanımlanabilir gerçek bir kişiyle (“ilgili kişi” data subject) ilgili herhangi bir bilgi anlamına gelir; Tanımlanabilir bir gerçek kişi, bir isim, bir kimlik numarası, konum bilgisi, çevrimiçi bir tanımlayıcı veya fiziksel, fizyolojik özel bir veya daha fazla faktör gibi bir tanımlayıcıya, ya da gerçek kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine ait olan verilerle özellikle doğrudan veya dolaylı olarak tanımlanabilen kişidir.

GKVD’yi Oluşturan Üç Ana Nokta

GKVD esas itibariyle üç ana noktadan oluşur, ilgili kişi, veri denetleyicisi ve veri işleyicisidir. İlgili kişi veriyi üretir, bir işlemi için veri sorumlusu firmaya rıza karşılığı verir, veri sorumlusu bu veriyi korumakla yükümlüdür. Fakat günümüzde iş modellerindeki veri analizini yerine getirme süreci çoğunlukla veri sorumlusu firma tarafından yerine getirilmediği için veri işleyici diye üçüncü bir kurum da GKVD’de yerini almıştır.

GKVD’ye göre “Veri Denetleyicisi”, kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan doğal veya tüzel kişi, kamu makamı, ajans veya diğer organlar anlamına gelir. Örneğin bankanız size ait verileri tutan ve nasıl işleneceğine karar veren veri denetleyicinizdir. Bankanızın işlemek üzere verileri verdiği kişiye ya da kuruma da “veri işleyicisi” ismi verilmektedir.

GKVD’nin getirdiği düzenlemelerin bir yanı da siber güvenliğin etkin olarak sağlanarak buradan doğacak zararın minimuma indirilmesini temine çalışmaktır. Siber güvenlik dünyasında kabul gören tek gerçek bütün yapıların hacklenebileceğidir. Eğer bu önkoşulla yola çıkarsak o zaman iş dünyası için en önemli problem ne kadar kısa sürede işleyişin normale döneceğidir. Bunu da esnek-dayanıklılık dediğimiz (resilience) kavramıyla açıklayabiliriz. Bu yazımın konusunun dışında olduğu için bu konuyu gelecek yazılara bırakıyorum.

Son yıllarda gördüğümüz bütün saldırılarda ana problem saldırıya hedef olan şirketin, hacklendiğini fark etmesine rağmen piyasadaki itibarının zedelenmemesi için bu durumu ilgili kişilere bildirmemesidir. Örneğin Linkedin’in 117 milyon hesabı hacklenmesine rağmen hesap sahiplerine haber vermeden dark web’te hackerlarla pazarlığı devam ettirmesi bunun en güzel örneğidir. Linkedin’in uğradığı zarar zincir halinde ek zararlara sebep oluyor. GKVD, her işletmenin saldırıları zamanında fark etmesi için gereken metotlar ve temel yöntemleri netleştiriyor. Eğer kaçınılmaz bir şekilde sistemlerde bir ihlal gerçekleşmiş ise sistem sahibine bu saldırıyı 72 saat içinde veri sahiplerine bildirme zorunluluğu getiriyor. GKVD esas itibariyle bütün kullanıcıların ve uygulayıcıların bu düzenlemelerin hepsinin gereğini yerine getiremeyeceğinin farkında fakat düzenleme esasında ilerleme kaydedilmesini bekliyor.

GKVD’nin siber güvenlik kültürünü inşa etmek için alınmasını gerekli gördüğü teknik tedbirler şunlardır:

1-Kişisel verilerin şifrelenmesi ve verilerin anonimleştirilmesi,

2-Bilişim sistemlerinin gizliliği, entegrasyonu ve erişilebilirliği, esnek dayanıklığını (resilience) temin etmek,

3-Fiziki ya da teknik bir olaydan sonra verilerin erişebilirliği ve ulaşılabilirliğini sağlamak,

GKVD’nin üç temel maddeye sığdırmaya çalıştığı bu şartlar aynı zamanda siber güvenliğin temel taşlarını oluşturmaktadır. GKVD siber güvenlik kültürünü inşa ederken verinin gizliliğini ve bütüncüllüğünü de yaygınlaştırmaya çalışıyor. Günümüzde artan veri üretimine bağlı olarak iyileşen veri analiz metotları ve bunların doğru tahminlerde bulunabilmesi için devasa boyutlarda veriye duydukları ihtiyaç ister istemez, veri toplayanların bütün imkânlarıyla veri depolaması alışkanlığını oluşturdu. AB’nin bu düzenlemesiyle birlikte veri brokerları ve veri işleyen kuruluşlar ellerindeki veriyi niçin, hangi şartlarda ve hangi süreyle tutacakları sorularını cevaplamak zorunda kaldılar. Bunun yanında düzenleme veri toplayan kurumları da rızanın hangi koşullarda alındığını ve sınırlarını netleştirmeye zorlar. Bütün bu soruların ortasında kalan ama veri sahibinden çok, sadece veriyi elinde tutan kişinin bilebileceği hassas noktalardan birisi de verinin taşınabilirliği konusudur. Söz konusu toplanan verinin AB dışındaki sunuculara taşınıp taşınmayacağı GKVD için önemlidir. Bu özellikle çokuluslu yapılı şirketleri ve portalları yakından ilgilendirmektedir. Geçtiğimiz yıl bu konuda hassas olan Çin hükümeti Apple’da icloud hizmeti için vatandaşlarının bilgisini ülke sınırlarında tutacak şekilde bir düzenleme yapmasını beklediğini belirtti. Apple firması da Çin’deki kullanıcıları için icloud hizmetini yerel sunucularda tutarak hükümetin talebini yerine getirdi (https://www.theverge.com/2018/2/28/17055088/ apple-chinese-icloud-accounts-government-privacy-speed). Verinin taşınması kendi içinde büyük bir sorun olarak karşımıza çıkar. Bunu biraz fiziksel sınırlarla dijital sınırların üst üste oturması olarak da görebiliriz. Farklı bir açıdan bakacak olursak, devletlerin kendi vatandaşları tarafından üretilen verinin ticari meta haline dönüşünü fark ettikleri ve bu kazançtan kolayca başka aktörlerin üstünlük sağlamasını temin edecek şekilde vazgeçmeyeceklerini ortaya koyduğunu da söyleyebiliriz.

Ev Ödevi: İş Akışına Eklenecekler

GKVD esas itibariyle veri toplayan ve işleyen firmaların yeni düzenlemeye bir an önce geçemeyeceklerinin farkında olarak bazı adımlar atmalarını bekliyor. Bu beklenti kolay görünmekle birlikte bu adımların iş akışına eklenmesi düşünüldüğü kadar kolay olmayacaktır. Hepsinin yapılması ve çalışır hale gelmesinin zaman alacağını AB yöneticilerinin tahmin ettiğini düşünüyorum. Şirketler bu adımlar sayesinde yönetmeliğin hayata geçişi için başlangıç düzeyinde hamleler yapmış olacaktır:

1- Şirketlerdeki ilgili bölümlerin kanunun değiştiğini ve bir kısım etkilerinin olacağını bilmesi,

2- Hangi kişisel verilerin tutulduğunun ve nereden geldiğinin ve kimlerle paylaşıldığının kayıt altına alınması,

3- Hâlihazırdaki gizlilik uyarılarını gözden geçirip, gerekli değişiklikleri yapmak,

4- Bireylerin sahip olduğu yeni hakları yerine getirebilmek,

5- İstekleri olursa belirtilen sürelerde gerekli bilgilerin nasıl sağlanacağının planlamasının yapılması,

6- Her veri işleme aktivitesi için gerekli hukuki temelleri tanımlamak ve belgelemek,

7- Rızanın aranması, tutulması ve kaydedilmesi süreçlerinin incelenmesi,

8- Veri ihlallerini belirleyecek, raporlayacak ve soruşturacak süreçlerin varlığından emin olmak,

9- Veri koruma gereklerini yerine getirecek bir veri koruma memuru atamak,

Bütün bu zorlamaya rağmen bilişim altyapı teknolojisinin problemlerini aşmak sanıldığı kadar kolay olmayabilir. GVKD’nin veriyle ilgili olarak düzenlediği noktalardan birisi de “bireyin verdiği bilgiyi düzeltme ya da silme hakkının saklı tutulması” dır. Bunu tamamlayıcı diğer madde de veriyi toplayanın “rıza biter bitmez de birey hakkında toplanmış veriyi silmesidir”. Bütün bu maddeler alt alta konulduğunda bireyin verilerinin silinmesi için talepte bulunduğu zaman veriyi toplayan özel/tüzel kişilerin iyi niyetle davranarak silmiş olacağını varsayacağız. Şeytanın avukatlığını yapacak olursak, AB Google’ın bu verileri sildiğinden ve bütün algoritmaya ait değerlendirmelerden çıkardığından nasıl emin olacak ya da bunu nasıl kontrol edecek?

Bauman’dan ödünç aldığım “akışkan” kavramıyla niteleyeceğim gibi -akışkan veri, verinin kırılganlığını, geçiciliğini, zafiyetini ve sürekli değişkenliğini ifade eder-, veri sürekli olarak değişirken ve bütün sistemler geleceği anlamak için veriyi kullanmak üzere kurgulanmışken veriyle ilişkimizin piyasa, devlet ve vatandaş arasında nasıl şekilleneceğini tahmin etmek sanırım epey zor. Yapay zekaların hızla arttığı günümüzde var olan veri ihtiyacını da göz önüne aldığımızda saldırgan biçimde veri toplayan firmaların önüne bu tür düzenlemelerin geçip geçmeyeceğini ve verilerimizin kontrolünün hâlâ bizim elimizde olup olmadığını yaşayıp göreceğiz.