Büyük kişisel veri üzerinden sorguya dayalı çevrim içi hizmetlerin gelişiminin, kişisel hak ve özgürlüklere verebileceği zararların yanı sıra ileride ulusal bir güvenlik problemine dönüşebilecek derinlikte olması kanaatiyle burada yazma gereği duydum. Dayanaklarımıza biraz açıklık getirelim:
Reklam amaçlı kısa mesaj (SMS) iletileri gönderilmesi kişisel verilerin işlenmesi faaliyetinin bir örneğidir. GSM Operatörü abonesinin yaşını ve cinsiyetini abonelik kaydından bilebilir. İzin vermişseniz istatistiki değerlendirme ve belki de pazarlamada kullanabilir. Fakat GSM operatörünün tanıtım sayfasında görüldüğü üzere, abonelerinin bahis oynamaya ya da eğlence türlerine ilgisini, abonelik kaydından çıkarmadığı açıktır. Bu tür verileri, ziyaret ettiğiniz internet siteleri, gittiğiniz yerlerin coğrafi koordinatları, alışveriş yaptığınız sitelerin türleri gibi iletişiminizin içerik takibi ile aldıkları iyi bir ihtimaldir. Kötü ihtimaller de var ama belirtmeyeceğim. Bu durumda iletişim içeriği uçtan uca iletişim kripto ile korunmuş bir uygulama olan WhatsApp’i haftalarca güvenlik problemi ilan edenler nerede? Diğer yandan, WhatsApp dahil tüm kriptolu iletişim uygulamalarını cep telefonu ile kullanmak, işletmek ve yaymak TC yasalarına göre “suç” olarak tarif edilmekte… (Bakınız: https://onedio.com/haber/berk-ustundag-yazio-kanun-whatsapp-ya-da-telegram-kullananlara-100-000tl-idari-para-cezasi-mi-ongoruyor-967305 ). Suç olmaması gerekliyse Elektronik haberleşme yasası ya da ilgili yönetmelik neden yıllardır düzeltilmiyor? Suç ise neden savcılar işlem yapmıyor?
Verinin türü kadar büyüklüğü ve niteliği de (korelasyon, diklik gibi özellikler) önemlidir. Zira, kayıt edilmiş verinin miktarı ve niteliği yeterli ise sadece GSM abonesinin coğrafi konum değişimini analiz ederek bile 6698 sayılı Kişisel Verileri Koruma Kanunu’nda belirtilen özel nitelikli verilerin çıkartımı mümkündür (manifold veri ilişkisi). Bu çıkartımın mümkün olduğu veri tabanında sorgu yapılabilir olması ve buna dayalı hizmetler sunulması ile doğrudan özel nitelikli veri kaydının tutulması arasında uygulamada bir fark yoktur. Burada muhtemel kelime oyunlarına dikkat edilmelidir. Sorgu sonucu da bilgisayar ortamında bir veridir. Dolayısı ile doğrudan kişisel hassas veriyi kaydetmek ile bu hassas veriyi çıkartan sorgu cümlesini yeterli miktarda ve özellikteki veri beraberinde tutmak uygulama hedefi açısından pek de farklı değildir. KVKK’nın 6. Maddesinde özel nitelikli veri şu şekilde tanımlanmıştır:
“MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
KVKK’nın Avrupa Birliği’ndeki karşılığı olan yasal düzenlemenin adı GDPR’dır. GDPR’ın 4. bendi KVKK’daki kişisel veri tanımı ile ilişkili hükümlere yer vermektedir (https://gdpr-info.eu/art-4-gdpr/ ). GDPR’ın bu tanımları içinde KVKK’dakinden farklı olarak, analiz edilerek diğer verilerin de edilebildiği konum ve hareket (movement) verisi dahil daha geniş bir kapsam söz konusudur.
CİMER üzerinden GSM operatörlerine veri kullanımı konusunda sorular gelmektedir. Örneğin, “ilk defa bir belediye sınırına girdiğinizde, telefonunuza otomatik ve size özel olarak gelen mesajda abonenin anlık konum verisini gönderen nasıl elde etti” diye sorulduğunda, GSM operatörü yanıt olarak, mesajı atana kim olduğunuzun bildirilmediği, gönderenin yalnızca mesaj gönderilme koşullarını belirlediği ve anlık olarak takip edilen verileriniz bu sorguya uyduğu anda size mesajın ulaştırıldığı belirtilmektedir. Bu durum biraz “Elinle tutamazsın ama eldivenle istediğini yap, dokunmamış olursun” gibi de algılanabilir.
Peki siz buna izin vermiş miydiniz? Ya da “Farkında olmadan da olsa izin vermiş olduğunuzu sorgulayıp, kolayca iptal edebileceğiniz bir yol var mıdır?”. Yasal olarak en önemli gereklerden bir bu son sorudur. Dini inanç, siyasi düşünce gibi konularda yüksek doğrulukla çıkartım yapılabilen bir veri tabanı ve sorgu sisteminin özel şirket personelinin parmakları ucunda olması, bunları denetleyen ve düzenleyenlere de çok büyük bir sorumluluk getirir.
Bazı operatörlerin iddiası abonelik sözleşmelerindeki paket indirimlerinin genellikle bununla ilgili olduğu yönünde olabilir. Fakat bunu tespit edip kolaylıkla iptal edebiliyor olma hakkınızın korunması gerekir. İptal halinde hakkınızda toplanmış ve makine öğrenmesi teknikleri ile çeşitlendirilmiş olabilecek verinin nasıl imha edildiği de ilgili makamlarca denetlenebilmelidir.
e-posta veya SMS gönderimi için alıcı hedeflemede kullanılan kişisel verilerin elde edilmesi ile ilgili olarak Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 sayılı ilke kararı bulunmaktadır. Kurulun bu kararı, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için, konunun 5271 sayılı Ceza Muhakemesi Kanununun 158’inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği” hükmünü içermektedir.
Sizin hassas verilerinizin kullanılması karşılığında, GSM operatörü bazı müteşebbislere normal SMS’in 5 katı bedelle (7 kuruş yerine 35 kuruş) toplu SMS satabilmekte, alıcılar da piyasa da alternatifi olmayan şekilde size mesaj gönderebilmektedir. Yasal sorun oluşmaması için de gönderen numarası yerine operatör yazılmaktadır. Oysa “Sultanbeyli Belediyesi” ya da “ xxx kablo TV kampanyası” şeklinde mesajın içeriğinden gönderen açıkça anlaşılmaktadır. Sultanbeyli Belediyesi CİMER’de de kayıtlı bir bildirim dahilinde, ilçe sınırlarına girenlere sorguya dayalı anlık mesaj göndermiş olduğu için bir örnek olarak burada adını belirttim.
İletişim başta olmak üzere teknolojik hizmet sektörlerindeki abonelik koşulları konusunda tedarikçilerin ortak hareketleri ile yeni normalleri oluşturmasına karşı, 4054 sayılı “Rekabetin Korunması Hakkındaki Kanun”un 6. maddesinde “hakim durumun kötüye kullanılması”na bağlı hukuka aykırılık tanımındaki “birlikte davranışlar” ifadesi dikkate alınabilir. Bu kanunun bazı hükümleri, özel tarife karşılığı hassas kişisel verinizin üçüncü kişilerle başka ticaretlerinin ifasında kullanılmasının tek ekonomik alternatif haline getirilmesi ile örtüşmektedir. Örneğin aylık konuşma ücretleriniz 200TL civarında tutmaktadır ama iki senelik anlaşma taahhüdünde bulunursanız aylık 100TL’ye şu kadar dakika konuşma ve internet tarzında teklifler sunulmaktadır. Bu tür tekliflerin içinde, dolaylı açıklamalarla kişisel verilerinizin kullanımına izin veriliyor olabileceğine dikkat edilmelidir. Bu verilerin birikimi üzerine sorgu sonucu özel nitelikli (hassas) kişisel veri sınıfına dönüştürülerek başka ticari hizmetlerde kullanımı söz konusu ise, kanunda belirtilen açık onay şartının sağlanması gereklidir. Piyasa ve lisans haklarını düzenleyici makamlar, sektörün birlikte hareketi ile hassas verinin ticarileştirilmesi sonucunu yaratabilen abonelik koşullarının olağanlaştırılması konusuna dikkat etmelidir.
Kişisel verinin yaygın bir kötüye kullanım hali de bazı hizmet şirketlerinin kurumsal itibar ve yasal risklere karşı adeta “ben almadım ama cebime koymuşlar” yaklaşımıdır. Hizmeti veren şirket yerine, sizin hassas verinizi nasıl elde ettiğini açıklayamayan ya da oltalayan (Phishing) pazarlama şirketleri “xxx kablo TV aboneliği” ya da “yyy Telekom Şirketi” adını vererek aramakta ya da mesaj atmaktadırlar. Aslında kişisel verilerin kullanımı bakımından yasal zemini sorunlu pazarlama taktiklerini kendileri dışında yaptırmaktadırlar. Zira arayan eleman önce, “sayın xxx konuşmalarımız kayıt altındadır” tarzında sanki gerçek şirket temsilcisi gibi bir girişten sonra “yyy Telekom ya da TV Şirketi” adına arayıp başka bir şirket ile mevcut aboneliğinizin bittiği tarzında bir konuşma yapmaktadır. Bunun yasa dışı olduğunu söylediğinizde arayan elemanın ifadesi “biz aslında “yyy Telekom ya da TV Şirketi” değiliz, onların anlaşmalı pazarlama şirketiyiz vb türden açıklamalara dönüşmektedir. “yyy Telekom ya da TV Şirketi”ni arayıp veri kaynağı ya da yetki sorduğunuzda da “bizden habersiz bayilerimiz ya da işten ayrılan bayi çalışanları bu tür girişimlerde bulunmuş ya da veri paylaşmış olabilir” türünde yanıtlar vermektedirler.
Aslında körler ve sağırlar birbirlerini ağırlamaktadır. Piyasanın düzenlenmesi ve tüketicinin korunması için KVKK ve Rekabet konusunda farkındalık arttırılmalı, gerekirse yasalar güncellenmeli, ilgili Kurullar yasal yetkileri çerçevesinde yeni yönetmelikleri acilen çıkartmalı ya da mevcutları da güncellemelidir. Aksi halde, bireylerin hakları bir yana, hassas verinin kontrolsüz toplulaşması, veri işlemede artan yapay zeka yetenekleri beraberinde milli güvenlik açısından da risk oluşturabilecektir.
Son zamanlarda sıklaşarak karşılaşılan bir durum da “siber saldırıya uğradık verilerimiz çalındı, KVKK’ya bildirdik durumudur. Bu gerçekten böyle mi yoksa, eski bir bilgi işlem personelinin intikamı ya da aşırması mı veya başka bir sürecin aklanması mıdır tespiti gerçekten zor. Ancak “tedbir alınmış mıydı” veya “KVKK ihlali” belirlenirse caydırıcı bir cezası var mıydı, konusunu incelemek gerekir. Öncelikle Kişisel Verileri Koruma Kurumu’nun bu konuda yeterince şeffaf olmadığı ve aktif bir süreç işletmediğini iki örnekle belirtmek isterim. Örneğin CİMER üzerinden “xxx şirketine kesilen 900.000TL tutarındaki ceza hangi kritere göre belirlendi” ya da “ABD kurul tarafından güvenli ilan edilmemişken Amazon şirketi yurt dışına kişisel verilerin gönderilmesi için güvenli yer ilanında kurul hangi kriteri uyguladı” gibi yanıtı net sorulara bile “Bunlar Mütalaadır Bilgi Edinme Yasası Kapsamına Girmez” ya da bu konuda açıklama olmadığı halde “İnternet sitemizden takip edin” tarzında yanıtlar verilmiştir. (Elimizde CİMER yanıt örnekleri mevcut olduğu için bu kadar açıklıkla yazabiliyorum).
Trafik cezasının her yıl açıklanan tarifesi ve ilan edilmiş net kriterleri vardır. Kırmız ışıkta geçmenin cezası 2016 yılında 199 Lira iken 2021 yılında 314 TL’dir. Ancak Kişisel Verileri Koruma konusundaki yasaya aykırı durumda uygulanabilecek idari para cezasının üst sınırı 2016 yılında ne ise 2021 yılında da odur. Kurula cezanın tarifesi ya da kriterini sormak yasaların eşit uygulanmasına ilişkin Anayasal bir hakla ilişkilidir. Cezanın kriter ve tarifesi, bunu belirlemek ve uygulamakla yükümlü kurul tarafından mütalaa olarak değerlendirilirse, “900.000 TL ceza” tam olarak üst sınıra gelirse daha fazlasına yer kalmaz, aşağısı da caydırıcı olmaz tarzında, “olsa olsa” yöntemiyle belirlenmiş izlenimini uyandırabilmektedir. Bu durum yasal düzenleme ile kişi ve kamunun korunmasında yasa ihlaline karşı caydırıcılığı düşürebilmektedir.
Kişisel Verilerin Korunması Kanunu (KVKK) konusunda bir ihlalin para cezasının üst sınır 6698 sayılı yasanın 18. maddesi “ç” bendine göre 2016 yılında 1.000.000 TL’ idi, 2021 yılında da 1.000.000 TL’dir. Diğer bir deyişle verilerimizin değeri trafik cezalarına oranla bile düşmektedir. Oysa elektronik ortamda kayıt edilmiş kişisel veri miktarı ve ticari kullanım oranı ticaret bakanlığının e-ticaret verilerinden de görüleceği üzere üstel olarak artmaktadır.
Siber güvenlik için önlem maliyeti ortalama bir e-ticaret platformu için Türkiye’de son beş yılda %500’den fazla yükselmiştir. Bu yükselişte, artan kullanıcı sayısı, döviz kur değişimi ve yaygınlaşarak çeşitlenen siber güvenlik tehdit türleri etkili olmuştur. Nitekim siber güvenlik cihazlarının lisans bedelleri de ağ trafiği ve kullanıcı sayısı gibi değişkenlere bağlıdır. Hatta, sektör dışındaki okuyuculara tuhaf gelecek uygulamalar da var. Örneğin yabancı güvenlik duvarı tedarikçilerinden bazı önde gelenler, satın aldığınız ürünü kullanmadığınız bir yıl olursa, tekrar lisansı güncellemek istediğinizde, kullanmadığınız yılın da geriye dönük olarak ücretini istemektedirler (Markaları geçirmemek için vermedim). Kaldı ki siber güvenlikte çeşitlenen risklere bağlı olarak yeni yazılım ve donanım türleri de ihtiyaçlara eklenmektedir. ABD’de bir dava konusu olan Halkbank dahil pek çok bankamız ABD menşeili siber güvenlik firmalarının DDOS koruma, DNS yönlendirme türündeki internet üzerinden verilen hizmetlerine her yıl milyonlarca dolar ödemektedir.
Geçen haftalarda Tarım ve Orman Bakanlığı’nın verilerinin bir siber-korsan tarafından şifrelenerek fidye istendiği haberi basında yer aldı. Bu verilerin şifrelenmesi siber-korsanın sistem güvenliğini aşarak veriye ulaştığı anlamına da gelmektedir. Peki burada yeterli güvenlik önleminin alınıp alınmadığı, fidye yazılımına karşı koruyucu (anti-ransomware) kullanılmamış olması vb incelenip KVKK kapsamında bir ihlal belirlendi mi? Bu tür incelemelerde hangi tedbirlerin alınmış olmasının yeterli olabileceği ya da yükümlülük olduğu bile aslında tartışma konusudur ve güncellenen yönetmeliklerle kriterler netleştirilmez ise işletenlerin sorumlulukları da belirlenemez. Bunun sonucu olarak kamu zarar görür. Çok dikkat edilmesi gereken başka bir konu da sorumluluğun ölçeğidir. Örneğin 1000 müşterili ve küçük ölçekli bir çevrim içi ticari bir faaliyet ile 1 milyon müşterili bir e-ticaret faaliyetinde verilerin korunması için teknik yükümlülüklerin maliyet karşılığı, “siber güvenlik sigortası” risk primleri ile orantılı olarak artmalıdır ki işletenleri de veriyi gerçekten koruma yönünde basiretli ve dikkatli davranmaya motive etsin.