GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü) 25 Mayıs 2018’de Avrupa Birliği’nde yürürlüğe girdi. GDPR, bireylerin kendi haklarında toplanan ve paylaşılan veriler üzerinde daha çok kontrol sahibi olabilmesini hedefliyor ve kullanıcılara yeni haklar tanıyor. GDPR’ye uygun hareket etmeyen şirketleri ise ağır cezalar bekliyor. Bu nedenle GDPR, bugüne kadarki en güçlü dijital mahremiyet hakları koruyucusu olarak nitelendiriliyor. GDPR, ilk başta sadece AB vatandaşlarını ilgilendiriyormuş gibi görünmesine karşın internetin sınırsız doğası nedeniyle AB sınırları dışındaki internet kullanıcıları da GDPR’nin getirilerinden yararlanacak. Ayrıca başka ülkeler de GDPR’yi örnek alan kanunlar hazırlıyorlar.
Avrupa, mahremiyet hakkında ABD’ye göre çok daha hassas bir tutuma sahip. Naziler’in vatandaşların özel verilerini, Yahudiler’i ve diğer azınlıkları tespit etmek için kullanmış olması hâlâ akıllarda. Kapı kapı dolaşan Alman nüfus memurları, delikli kartlara (punch cards) insanların milliyetlerini, anadillerini, dinlerini ve mesleklerini girmiş ve daha sonra bu delikli kartların sayımında ilk veri işlemcilerden olan IBM’in Hollerith makinelerinden yararlanmışlardı. Naziler ve IBM arasındaki işbirliğinin ayrıntıları 2001’de yayımlanan IBM and the Holocaust: The Strategic Alliance Between Nazi Germany and America’s Most Powerful Corporation adlı kitapta anlatılıyor. Naziler ve IBM arasındaki işbirliğinin boyutu hakkında bazı tarihçilerin itirazları olsa da nüfus sayımı verilerinin yalnız devletin işleyişi için değil insanlara zarar vermek için de kullanılabileceği hakkında hemfikirler.
Soğuk savaş yıllarında da (özellikle Doğu Almanya’da) hükümetler, insanların arkadaşlıklarından cinsel alışkanlıklarına kadar çeşitli konularda veri toplamaya devam ettiler. 1970’lerde Batı Almanya’da kişisel verilerin korunmasını hedefleyen adımlar atıldı ve 1983’te Federal Anayasa Mahkemesi, GDPR’nin temeli olarak kabul edilen ‘veri üzerinde öz belirlenim hakkı’nın temel bir hak olduğunu ilan etti. 1990’larda iki Almanya’nın birleşmesi ve soğuk savaşın sona ermesiyle beraber Avrupa Topluluğu’na üye devletler arasında veri paylaşımını kolaylaştırmak amacıyla bir veri koruma standardının oluşturulması gündeme geldi. Veri koruma kanunlarındaki farklılıklar devletler arasındaki veri paylaşımında yasal belirsizliklere neden oluyordu. 1995 yılında, 95/46/AT sayılı AB Veri Koruma Direktifi bu sorunu çözmek amacıyla yürürlüğe girdi. Direktif, kişisel verilerin işlenmesinde bireylerin haklarının korunması ve verinin üye devletler arasında serbest dolaşımı hakkında bir çerçeve sunuyordu.
Ancak AB Veri Koruma Direktifi sadece bir çerçeve sunmakla kalıyor ve AB üyesi devletlere doğrudan uygulanamıyordu. Bu direktiflerin ulusal kanunlara aktarılması gerekiyordu. Veri Koruma Direktifi’nin aktarımında farklılıklar olması kaçınılmazdı ve Direktif, devletlerin farklı veri koruma standartlarını uyumlulaştırmada başarılı olamadı. Bir AB ülkesinde yasal olan veri işleme etkinliği bir başka AB ülkesinde yasadışı olabiliyordu. Direktifin yetersizliğinin yanında sosyal ağlar, bulut bilişim ve elbette büyük veri (verinin hacmindeki, verinin analiz ve birikim hızındaki, veri çeşitliliğindeki artış) kavramının ortaya çıkışı 2012 yılında AB veri koruma kurallarında bir reforma gidilmesini gündeme getirdi. Reform önerisi AB Konseyi’nde ve AB Parlamentosu’nda tartışılmaya başlandı. 2014’te önce AB Parlamentosu, hemen ardından da AB Konseyi reform hakkında görüş birliğine vardı. Bu reforma karşı dijital ekonomi şirketlerinin yoğun kulis faaliyetleri vardı. Ayrıca Akıncı’nın (2017) belirttiği gibi AB’nin karar organları Avrupa Komisyonu, Konsey ve Parlamento’nun farklı güdüleri arasındaki çelişkiler de süreci etkiledi. Örneğin Komisyon, ekonomik gelişme ve güvenliği öncelikli görürken Parlamento için temel bireysel haklar daha ön plandaydı. Ayrıca üye devletler arasında mahremiyetin ne olduğu hakkında da görüş ayrılıkları vardı. Sonuçta, “insanın evi kendi kalesidir” gibi dar bir mahremiyet tanımının ötesinde, güncel teknolojilerdeki gelişmelerin ve içerdiği risklerin farkında olan ve buna karşı önlem almaya çalışan bir metin ortaya çıktı.
2016 yılının Nisan ayında da 95/46/AT sayılı AB Veri Koruma Direktifi yerini GDPR’ye bıraktı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girdi. Fakat AB üyesi ülkelere GDPR’yi kendi iç hukuklarına eklemeleri için iki yıl süre tanındı ve 25 Mayıs 2018 tarihinde internette GDPR dönemi başladı.
Bu bağlamda, AB’de tüzükler (regulations) ile direktifler (directives) arasındaki farka dikkatinizi çekmek isterim. Tüzükler, AB üyesi her devlette hukuki zorunluluğa sahiptir ve tüm üye devletlerde belirli bir tarihte yürürlüğe girer. Direktifler ise ulaşılması gereken belirli hedefleri ortaya koyar ama üye devletler, direktiflerin ulusal yasalara nasıl dönüştürüleceğine karar vermekte serbesttir. Bu nedenle GDPR, AB Veri Koruma Direktifi’ne göre daha bağlayıcı ve etkili olacaktır (http://www.usda-eu.org/eu-basics-questions/difference-between-a-regulation-directive-and-decision/).
Mayısın son haftasında AB sınırları içinden de erişilebilen çeşitli web siteleri kullanıcılarına mahremiyet politikalarını değiştirdiklerini bildiren e-postalar göndermeye başladılar. Örneğin, bilişim teknolojileri hakkında yayımladığı kitaplarla tanınan Amerikan şirketi O’Reilly Media müşterilerine/kullanıcılarına (herhangi bir nedenle O’Reilly Media’ya e-posta adresini vermiş olanlara) gönderdiği 26 Mayıs 2018 tarihli e-postada 25 Mayıs 2018 tarihinde mahremiyet politikasını GDPR doğrultusunda güncellediğini duyurdu. Ne e-postayı gönderen O’Reilly Media ne de onu alan kişilerden biri olan ben, AB sınırları içindeyiz. Ama AB sınırları içindeki müşterilerine ulaşmak isteyen O’Reilly Media’nın mahremiyet politikasını GDPR’ye uyumlu olacak biçimde güncellemesi gerekiyordu. Ben de AB sınırları içinde yaşamıyor olmama rağmen bu güncellemeden yararlanabiliyorum. O’Reilly Media gibi birçok şirket AB için ayrı diğerleri için ayrı bir mahremiyet politikası hazırlayarak içinden çıkılmaz bir duruma düşmektense genel bir politikayı tercih ediyor. GDPR’den en çok başı ağrıması beklenen (ve umulan!) Google ve Facebook uzun süredir mahremiyet politikalarını GDPR’yle uyumlu hale getirmek için çalışıyorlar. Los Angeles Times, Chicago Tribune ve New York Daily News gibi ödevini vaktinde yapmayan web siteleri, Avrupalı ziyaretçilerine kapılarını kapattılar. USA Today ise Avrupalılar’ı ziyaretçilerden daha az veri toplayan, kendilerine ait başka bir siteye yönlendirmeye başladı (https://www.theverge.com/2018/5/25/17393894/gdpr-news-websites-down-europe).
Peki GDPR’yi bu kadar önemli yapan ne? GDPR, internetin işleyişini nasıl değiştirecek?
GDPR’nin Temel İlkeleri
99 maddeden oluşan GDPR’nin orjinal metnine https://gdpr-info.eu/, Türkçe çevirisini de https://www.kisiselverilerinkorunmasi.org/mevzuat/avrupa-birligi-genel-veri-koruma-tuzugu-gdpr-turkce-ceviri/ adreslerinden erişilebilir. Kısaca GDPR, bireylere haklarında toplanan ve paylaşılan veriler üzerinde daha fazla kontrol hakkı sağlayan ve buna uymayan şirketlere caydırıcı cezalar getiren bir düzenleme. GDPR’ye aykırı hareket eden bir şirket 20 milyon Avro veya küresel cirosunun %4’üne varan para cezaları (bu ceza Facebook için 1.6 milyar dolar anlamına geliyor) ödemek zorunda kalabilir. GDPR hakkındaki haberler genellikle bu büyük ceza üzerinde duruyor ve AB sınırları içinde iş yapmak isteyen şirketlerin GDPR’ye uyum için yapması gerekenleri tartışıyor. Ama GDPR’nin asıl ruhunu oluşturan bireylere tanınan haklar. Bu yazıda, GDPR’nin üzerinde yükseldiği temel ilkeleri ve bireylerin haklarını aktarmaya çalışacağım. Hukukçu değilim, GDPR’deki maddeleri layıkıyla aktaramayabilirim. Ama en azından yazıyı tamamladığınızda BBC’de GDPR hakkındaki bilginizi test eden sınavdan (https://www.bbc.com/news/technology-44224802) iyi bir not alabileceğinizin garantisini verebilirim :).
GDPR, kişisel verilerin şirketler, devlet kuruluşları ve diğer örgütler tarafından nasıl işlenebileceğini düzenliyor. ‘Kişisel verinin’ ve ‘işleme’nin (processing) GDPR’de nasıl tanımlandığı önemli bir konu. 4. maddeye göre kişisel verinin tanımı şöyle: “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi”. Bu tanıma göre ad, soyad, doğum tarihi, pasaport numarası, banka hesapları, bireye ait görüntü kayıtları, sosyal ağdaki postalar, sağlık kayıtları, ip adresi gibi veriler GDPR kapsamında değerlendiriliyor. İşleme faaliyeti (processing) ise yine aynı maddede verinin çok çeşitli kullanımlarını içerecek biçimde açıklanıyor: “otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri kümeleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi”.
5. Maddede GDPR’nin aşağıdaki yedi temel ilke üzerine kurulu olduğu belirtiliyor:
- Hukuka uygunluk, adalet ve şeffaflık
- Amacın sınırlandırılması
- Verilerin en az seviyeye indirilmesi
- Doğruluk
- Saklama süresinin sınırlandırılması
- Bütünlük ve gizlilik (güvenlik)
- Hesap verebilirlik
Hukuka Uygunluk, Adalet ve Şeffaflık
GDPR’de yer alan bu ilkeler aslında birbirini destekleyen iç içe geçmiş ilkelerdir. Hukuka uygunluk, GDPR’nin 6. maddesinde ayrıntılı olarak açıklanmakta ve veri işlemenin hukuka uygun olabilmesi için aşağıdaki durumlardan en az birini sağlaması gerekmektedir:
- Kişinin belirli bir (veya daha fazla) amaç için verilerinin işlenmesine izin vermesi (Rıza),
- Veri öznesinin taraflarından biri olduğu bir sözleşmenin yerine getirilmesi için gerekli olması (Sözleşme),
- Yasalara uyum için gerçekleştirilmesi (Yasal Zorunluluk),
- Veri öznesi ya da bir başka gerçek kişinin hayatını korumak için olması (Yaşamsal Çıkarlar),
- Kamu çıkarları doğrultusunda bir görevin yerine getirilmesi için gerekli olması (Kamu Görevi),
- Veri kontrolörünün veya üçüncü tarafların (bireyin kişisel verilerini korumak için daha geçerli bir nedenin olmadığı durumlarda) meşru çıkarlarının olması (Meşru Çıkarlar)
Adaletlilik ise kişisel verinin insanların beklentileri doğrultusunda kullanılmasıdır. Kişisel verilerden yararlanan kuruluş bunu yapmaya hakkı olup olmadığını da dikkate almalıdır. Bu bağlamda, kişisel verilerin nasıl elde edildiği adaletliliğin değerlendirmesinde önemli bir parametredir. Şeffaflık da bununla ilişkilidir. Veriyi işleyenler en başından itibaren kim oldukları, verileri nasıl ve hangi amaçla kullanacakları hakkında dürüst olmalı, hedeflerini açık ve yalın bir dille ifade etmelidir.
Amacın Sınırlandırılması
Veriyi toplayan ve işlem için bireyin rızasını alan kuruluş, veri toplarken açıkladığı amacına sadık kalmalıdır. Veri işleme süreci içinde ilk baştakinden farklı bir amaç ortaya çıkmışsa bireyin bunun için de rızasının alınması gerekmektedir. Örneğin bir doktorun hasta listesini seyahat acentesi işleten eşiyle paylaşması ve eşinin bu verileri hastalara tatil paketi satmak için kullanması GDPR’nin bu ilkesine aykırı bir durumdur.
Verilerin En Az Seviyeye İndirilmesi
Kuruluşların verdikleri hizmetin işleyişi için gerekli olmayan bir veriyi bireylerden paylaşmalarını istememesi gerektiğini ifade etmektedir. İşlenen veri, yeterli, yerinde ve gerekli olanla sınırlı olmalıdır. EFF (Electronic Frontier Foundation) yöneticisi Danny O’Brien bu durumu açıklamak içim doğum günü pastası örneğini veriyor. Diyelim ki doğum günü pastaları yapan bir şirket pastanın üzerine adınızı yazmak için adınızı istedi. Bunun gerekli olduğunu düşünmüyorsanız adınızı vermeyi reddedebilirsiniz. GDPR’ye göre bu ret, şirketten pasta hizmetini almanızı engelleyebilecek bir durum değildir. Pasta şirketi, “adınızı söylemediğiniz için size pasta satamıyorum” diyemez. GDPR, artık kanıksanan, “alınan hizmete karşılık kişisel veriler” zorlamasının önüne geçecek ve şirketleri, iş modellerinde değişiklik yapmaya zorlayacak gibi görünüyor. Örneğin, doğum tarihi, bir web sitesinden alınan hizmetin verilmesi için gerekli değilse kullanıcı bunu girmeye zorlanamayacak ve kullanıcı “bu bilgiyi vermiyorsan hizmetlerimden yararlanamazsın” denilerek reddedilemeyecek (https://www.nytimes.com/2018/05/23/technology/personaltech/what-you-should-look-for-europe-data-law.html).
Doğruluk
Verinin işlenme amacı göz önünde bulundurularak güncel ve doğru tutulması ile ilgilidir. ICO’nun işaret ettiği gibi GDPR’de doğrunun (accurate) ne olduğu tanımlanmamıştır. Ancak 2018 Veri Koruma Kanunu’na göre doğru olmayan (inaccurate), yanlış veya bir konuda yanıltıcı olan anlamına gelmektedir. Verinin kullanılış amacı da doğruluğunu etkileyen bir parametredir. Buna göre herhangi bir kişisel kaydın zaman içinde değişmesi, ilgili kayıt tarihsel bir kayıt olarak değerlendirildiği sürece kaydın doğruluğunu etkilemez. Örneğin kişi Ankara’dan İstanbul’a taşınmışsa kişinin şu an Ankara’da yaşadığını belirten kayıt doğru değildir ama kişinin belirli bir zamanda Ankara’da yaşadığı doğrudur. Bunun yanında GDPR’nin doğruluk ilkesi doğrultusundaki en önemli adımı bireylere haklarındaki yanlışlığı düzeltme hakkı sunmasıdır.
Saklama Süresinin Sınırlandırılması
Veri toplayan kuruluşlar gereğinden fazla veri sakladıkları gibi topladıkları veriyi hiç silmemeye eğilimlidir. GDPR’de ise artık gerek duyulmayan kişisel verinin yalnız işlenme amaçlarının gerektirdiği sürece saklanması gerektiği belirtilmektedir. “Bir gün belki gerek olur” diye veri istiflenmemelidir. Kişiler artık gerek duyulmayan verilerinin silinmesini talep edebilirler. Ancak kişisel veri anonimleştirildiğinde silme işlemine gerek kalmayabilir. Ayrıca veri, kamu yararı için arşivleniyor, bilimsel ve tarihsel araştırmalar veya istatistiksel amaçlar için tutuluyorsa bu ilke gevşetilebilmektedir. Ancak bu amaçlar için saklanan veri, daha sonra başka amaçlar için kullanılmamalıdır.
Bütünlük ve gizlilik
Saklanan verilerin güvenliği ile ilgilidir. GDPR’ye göre veri “uygun teknik ve düzenlemeye ilişkin tedbirler” göz önünde bulundurularak güvenli biçimde işlenmelidir. Bu bağlamda, GDPR önceki kişisel veri koruma kanunlarını takip etmektedir. Fakat GDPR farklı olarak veri işlemenin güvenliği, ne yapılması gerektiği, enformasyon risklerinin nasıl değerlendirileceği ve uygun güvenlik önlemlerinin uygulanması hakkında daha ayrıntılı bir yaklaşım içermektedir. Ayrıca daha önceki düzenlemelerde genel olarak iyi ve en iyi pratikler önerilirken şimdi bunlar yasal gereklilik haline gelmiştir.
Kişisel verilerin, bilgisayar korsanlarının hedefinde olması kaçınılmazdır. GDPR, saldırılara ve sızıntılara karşı kullanıcıların kişisel verilerini depolayanlara çeşitli sorumluluklar yüklemektedir. GDPR’nin 33. ve 34. maddelerinde, bu tip durumlara karşı ve veri ihlali sonrasında neler yapılması gerektiği yazmaktadır. Hiçbir şey olmamış gibi olayın üzerini örtmek yerine ihlalin etkilerini en az düzeye indirmek için veriyi işleyenlerin “ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini” yetkili makamlara bildirmeleri gerekmektedir.
Hesap Verebilirlik
Tanımlar bölümünde yer alan ‘kontrolör’ (controller) ve ‘işleyici’ (processor) tanımları da kuruluşların sorumluluklarını tariflemek açısından önemlidir. Kontrolör, “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ”, işleyici ise “kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlanmaktadır.
Yukarıdaki altı ilke kontrolörlere verilmiş öğütler değildir; yine 5. maddede kontrolörlerin bu ilkelere uygun davranmaları ve bunu göstermek zorunda oldukları yazmaktadır. 1998 Kanunu’nda bu sorumluluklar üstü kapalı olmasına karşın GDPR’de açık seçik belirtilmektedir. 24. Maddede, “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.” denilmektedir. Ayrıca Akıncı’nın (2017) yazdığı gibi,
GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır.
GDPR ve Haklar
GDPR, bireylerin var olan haklarını genişletiyor ve onlara yeni haklar sağlıyor: Bilgilendirilme hakkı (right to be informed), erişim hakkı (right of access), düzeltme hakkı (right to rectification), silme hakkı (right to erasure), işleme faaliyetini kısıtlama hakkı (right to restrict processing), veri taşınabilirliği hakkı (right to data portability), itiraz hakkı (right to object), profilleme de dahil olmak üzere otomatik işlemelere ilişkin haklar (Rights related to automated decision making including profiling).
Bu hakların AB sınırları dışında yaşayan bizler için bir anlam ifade etmediği düşünülebilir. Ama bu haklar iki açıdan önemlidir. Birincisi, şirketlerin interneti sınırlara göre bölmesi zor olacağından çoğu şirket tüm kullanıcılar için geçerli tek bir mahremiyet politikası oluşturmayı tercih etti. Microsoft (https://www.microsoft.com/en-us/servicesagreement/faq.aspx), Twitter (https://help.twitter.com/en/rules-and-policies/update-privacy-policy), Facebook (https://newsroom.fb.com/news/2018/04/terms-and-data-policy/), LinkedIn (https://blog.linkedin.com/2018/march/8/updates-to-our-terms-of-service) ve Google (https://www.blog.google/topics/public-policy/our-preparations-europes-new-data-protection-law/) GDPR’yle uyumluluk doğrultusunda kişisel veriler hakkındaki politikalarını güncellediklerini duyurdular. Bu güncellemelerden biz de yararlanıyoruz. Fakat bu hakların ihlali durumunda ülkemizde kişisel veriler GDPR ile değil 24/03/2016 tarihinde TBMM Genel Kurulu’nda kabul edilen “6698 sayılı Kişisel Verilerin Korunması Kanunu” ile korunduğundan GDPR’de belirtilen bazı haklardan yararlanamayacağız. GDPR’nin ikinci önemi de tam bu noktada ortaya çıkıyor. GDPR’de belirtilen haklar kişisel veriler hakkındaki ufkumuzu genişletiyor ve 6698 sayılı Kanunu’nun ilerletilebileceğini ve ilerletilmesi gerektiğini gösteriyor.
Bilgilendirilme Hakkı
GDPR’nin 12-14. maddelerinde yer alan bilgilendirilme hakkı, şeffaflık ilkesiyle ilişkilidir ve kişilere verileriyle ne yapıldığı hakkında bilgi vermeyi zorunlu kılmaktadır. Kontrolörler ve işleyiciler şimdiye kadar yaptıkları gibi karmaşık ve hukukçu olmayanların anlamakta zorlandığı bir üslupla yazılmış, araya tuzak maddeler sıkıştırılmış gizlilik metinleriyle bireylerin karşısına çıkamayacaklar. Artık bu bilgiyi açık, anlaşılabilir ve kolay erişilebilir bir biçimde sunmaları gerekiyor.
Eğer kontrolör, kişisel verileri satmak veya başka bir kuruluşla paylaşmak istiyorsa (istisnai bir durum yoksa) insanları bunun hakkında bilgilendirmelidir. Verileri alan kuruluş da bir ayı aşmadan gizlilik politikasını verileri toplanan bireylere iletmelidir. Eğer veri, toplanırken belirtilenden farklı bir amaç için kullanılacaksa ya da farklı kaynaklarda yer alan verilerle birleştirilecekse bunun mutlaka bildirilmesi gerekmektedir. Kişisel verilere YZ (yapay zeka) uygulanacaksa YZ’nin kullanım amaçları hakkında dürüst olunması, işleme sürecinde amacın değişmesi durumunda kişilerin bu amaç değişikliği hakkında bilgilendirilmeleri gerekmektedir. YZ, bireyler üzerinde hukuki veya benzer etkileri olabilecek otomatik karar verme süreçlerinde kullanılacaksa bunun için hangi enformasyonun kullanıldığı, yapılan işlemle neden ilgili olduğu ve olası etkilerinin nasıl olacağı açıklanmalıdır.
Bireyler bu haklardan yararlanmak için ek bir ödeme yapmazlar. Ama taleplerin asılsız ve ölçüsüz olduğu durumlarda kontrolör makul bir ücret talep edebilir ya da talebi tamamen reddedebilir. Kontrolör, talebin asılsızlığını ve ölçüsüzlüğünü göstermekle yükümlüdür.
Erişim Hakkı
GDPR’nin 15. maddesi veri sahibine kişisel verilerinin bir kopyasına ulaşabilme, verilerinin nasıl ve neden kullanıldığını anlayabilme ve yapılanların yasal olup olmadığını kontrol edebilme hakkı sağlamaktadır. Bu maddeye göre bireyler, kişisel verilerinin işlenip işlenmediğinin teyidini ve kişisel verilerinin bir kopyasını talep edebilirler. Kontrolörler ve işleyiciler ayrıca aşağıdaki konulardaki taleplere yanıt vermelidir:
- işleme amaçları
- ilgili kişisel veri kategorileri
- kişisel verilerin açıklandığı veya açıklanacağı alıcılar veya alıcı kategorileri
- kişisel verilerin saklanması açısından öngörülen süre veya bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler
- bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
Bireylere bu kapsamda sağlanan bilginin özlü, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dilde olması gerekmektedir. Örneğin, bireyin talebi üzerine gönderilen raporda A, B, C gibi kodlar kullanılmışsa bunların karşılığı raporda açıklanmalıdır.
Örneğin Twitter’a bu hak doğrultusunda eklenen bir sayfa var (“Ayarlar ve Gizlilik”e tıklandıktan sonra açılan sayfanın sol tarafındaki menüde yer alan “Twitter Verilerin” adlı bağlantıya tıklanarak erişilebilir). “Twitter Verilerin” başlıklı sayfanın başında kullanıcı hesabı hakkında kullanıcı adı, e-posta, hesap oluşturulma tarihi gibi temel bilgiler var. Twitter’a cinsiyetinizi veya doğum tarihinizi yazmadıysanız Twitter paylaşım ve takipleriniz doğrultusunda istatistiksel tahminlerde bulunarak sizi profilliyor. Örneğin, benim hesabımda cinsiyet kısmında erkek yazıyor ve altında da şu not var: “Cinsiyet eklemediysen, profiline ve etkinliğine dayanarak hesabınla en güçlü ilişkiye sahip bilginin bu olduğunu bilmeni isteriz. Bu bilgi herkese gösterilmeyecektir.” Yaş bölümünde, “13-54, >65” yazıyor ve altına da “bu yaş aralıkları, deneyimini kişiselleştirmek için kullanılır. Bunlar profiline ve etkinliklerine dayalıdır” notu düşülmüş. Doğru değilse profilimde düzeltebileceğim belirtiliyor. Cinsiyet ve yaş bilgisinin yanında “Twitter’a göre belirlenen ilgi alanları”m da profillenmiş ve 105 ilgi alanım olduğu belirtilmekte. Yine aynı sayfanın sonunda, “Twitter verilerini indir” başlığının altında şunlar yazmakta: “Senin için en uygun ve en yararlı olduğuna inandığımız bilgileri içeren bir dosya isteyebilirsin. İndirilmeye hazır olduğunda bildirim alırsın”. Bu bilgiler birkaç saat içinde hazırlandıktan sonra tüm Twitter geçmişinizi indirebiliyorsunuz.
GDPR’ye uyum için kullanıcıların kişisel verilerini toplayan web siteleri Twitter’daki gibi açıklayıcı sayfalar yapmak ve kullanıcıların kişisel verileri nasıl kullandıklarını açıklamak zorundalar.
Düzeltme hakkı
GDPR’nin 16. maddesine göre bireyler haklarındaki yanlış bilgilerin düzeltilmesini veya eksik bilgilerin tamamlanmasını talep edebilirler. Bu hak, 5. maddede belirtilen doğruluk ilkesiyle ilişkilidir. Örneğin, doktor hastaya bir teşhis koydu. Daha sonra bu teşhisin yanlış olduğu ortaya çıktı. Yanlış teşhisin veritabanında yer almasında bir sorun yoktur. Ama teşhisin yanlış olduğu ortaya çıktıktan sonra, teşhisin yanlış olduğu bilgisi de girilmelidir. Hastanın bu düzeltmeyi talep etme hakkı vardır. Ayrıca hastane, hastanın verisini paylaştığı diğer kuruluşlara da bu düzeltme talebini iletmelidir.
Silme Hakkı
Bireyler düzeltmenin yanında, kişisel verilerinin tamamen silinmesini de talep edebilir. Bu hak, unutulma hakkı olarak da bilinmektedir. Unutulma hakkı, yeni değildir; en azından 1974’te İngiltere’deki Suçluların Rehabilitasyonu Yasası’na kadar geriye gitmek mümkündür. Bu hakka göre kişi geçmişteki bir suçunun cezasını çektikten sonra sabıkası yaşamının geri kalanını etkileyecek biçimde (örneğin iş başvurularında) tekrar tekrar karşısına çıkmamalıdır. Unutulma hakkı, internetle beraber yeni bir boyut kazanır. 2014 yılında İspanya vatandaşı Mario Costeja Gonzalez’in Google İspanya ve Google Inc. şirketine karşı açtığı dava unutulma hakkında önemli bir kilometre taşı olur. Gonzalez, 1998 yılında bir gazetede yapılan habere ilişkin kısayolun arama motoru sonuçlarından kaldırılmasını talep etmektedir. Mahkeme arama motorlarını veri kontrolörü olarak değerlendirir ve Gonzalez’in talebini kabul eder.
Unutulma hakkının temelinde, kişilerin kendi gelecekleri hakkında özerk olması ve geçmişte yaptıklarının bunu olumsuz etkilememesi vardır. Daha öncesinde de bu hakkı tanıyan mahkeme kararları olmuştur. Fakat GDPR, bireylerin kendilerine ait kişisel verileri kontrol edebilme hakkı doğrultusunda (belirli koşullar altında) söz konusu verilerin veritabanlarından tamamen silinmesini de talep edebileceğini güvence altına alan bir hukuki düzenleme getirmektedir. 17. maddede bu hakkın hangi koşullarda geçersiz olabileceği açıklanmaktadır.
İşleme Faaliyetini Kısıtlama Hakkı
18. ve 19. maddelerde bireylerin verilerinin tamamen silinmesi yerine veri işleme faaliyetinin kısıtlanmasını da talep edebileceği ve bunun hangi koşullarda geçerli olduğu belirtilmektedir. İşleme faaliyetinin kısıtlandığı durumlarda veri saklanır ama kullanılmaz. Kısıtlama çoğunlukla belirli bir süre içindir. Örneğin, “kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi halinde, kontrolörün kişisel verilerin doğruluğunu teyit etmesini sağlayan bir süre boyunca” işleme faaliyeti kısıtlanabilir. Kişinin rızası, diğer şahısların hakları, yasal gerekçeler ve kamu çıkarları dışında veri sadece saklanabilir; başka bir işleme faaliyetinin içine giremez. Kontrolör, verinin işleme faaliyetini kısıtlamak istediğinde bunu,
- veriyi geçici olarak bir başka işleme sistemine taşıyarak
- veriyi kullanıcılar için kullanım dışı yaparak
- yayınlanmış bir veriyi web sitesinden çıkararak
yapabilir.
Veri Taşınabilirliği Hakkı
Özel mülkiyetli platformlardaki en büyük sorunlardan biri de verilerin bu platformların sınırları dışına çıkamamasıdır. GDPR’nin 20. maddesi bu sorunun aşılabilmesi için önemli bir adım atmaktadır. 20. maddeye göre, “veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı” ve “kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı” bulunur.
Web sitesi kullanım tarihçesi veya arama etkinlikleri, trafik ve konum verisi, akıllı sayaçlar ve giyilebilir teknolojiler gibi bağlı cihazlardan elde edilen ham veriler bir platformdan diğerine taşınabilir. Ancak bu verilerden türetilen veya çıkarılan veriler taşınabilirlik kapsamında değildir.
Veri taşınabilirliği hakkı, platform değiştirmenin zorluğundan yararlanarak rekabeti engelleyen Facebook, Uber, Airbnb gibi şirketlerin iş modelini sarsabilir.
İtiraz Hakkı
21. maddeye göre bireyler, kişisel verilerinin işlenmesine itiraz edebilirler. İtiraz hakkı her koşulda aynı derecede geçerliliğe sahip değildir. Örneğin veri sahibinin, doğrudan pazarlama amacıyla yapılan işleme faaliyetine itiraz hakkı mutlaktır. Bireyler, veri toplamanın amacının kamu çıkarları veya daha başka meşru çıkarlar olması durumunda da itiraz hakkına sahiptir. Ama bu durumda itirazın gücü daha zayıftır. Ayrıca verinin işlenme amacı bilimsel veya tarihsel araştırmalar, istatistiksel amaçlar ise itiraz hakkı daha sınırlı olacaktır.
Profilleme de Dahil Olmak Üzere Otomatik İşlemelere İlişkin Haklar
Veriyi düzeltme, silme veya işlenmesine itiraz gibi haklar son derece önemli olmakla beraber gündelik yaşamın algoritmik düzenlenmesi ayrıca üzerinde durulması gereken bir konudur. Yasal düzenlemeler doğal olarak teknik gelişmelerden sonra gelirler. Buna rağmen GDPR’nin güncel olduğunu, henüz yeni yeni filizlenen ve müdahale edilmediğinde çeşitli toplumsal sorunlara neden olan algoritmik düzenlemelere karşı kritik bir adım olduğunu düşünüyorum. Bireyleri profilleyen (kişisel verileri, bireyler hakkında bazı değerlendirmeler yapmak için değerlendiren) ve otomatik kararlar alan (insan müdahalesi olmaksızın çeşitli algoritmalara göre alınan kararlar) sistemler karşısında bireylerin hakları önemli bir sorunsaldır. Kredi taleplerinde, iş başvurularında, sigortacılıkta profillemeden ve otomatik kararlar alan algoritmik sistemlerden yararlanılmaktadır. Bu yaklaşımın çeşitli avantajları olmasına karşın Cathy O’Neil’in Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy kitabında ayrıntılı olarak ele aldığı ve benim de 4. Endüstri Devrimi ve toplum mühendisliği yöntemleri: Nasıl yönlendiriliyoruz? (Bilim ve Gelecek, sayı 166) başlıklı yazımda bazı örneklerini aktardığım gibi bu sistemler sorumsuzca kullanıldığında yıkıcı sonuçlar doğuruyorlar.
Bu nedenle bireylerin algoritmik düzenlemelere karşı haklarını ifade eden 22. maddenin özel bir önemi var. Fakat Dickson’un (2018) işaret ettiği gibi verinin günümüzdeki bir çok yapay zeka uygulamasının temeli olduğu düşünülürse yalnız 22. maddenin değil genel olarak GDPR’nin YZ üzerinde yükselmeye başlayan iş modellerini olumsuz etkilemesi kaçınılmazdır. YZ şirketleri şimdiye kadar kişisel veriler hakkındaki zayıf düzenlemelerden sonuna kadar yararlandılar. Kullanıcılar aldıkları ücretsiz hizmetlerin karşılığını kişisel verileriyle ödediler. Şirketler bu verileri YZ algoritmalarını eğitmek, kullanıcılarının dijital profillerini oluşturmak, davranışlarını tahmin etmek ve daha iyi hizmet sağlamak için kullandılar. Böylece milyar dolarlar kazandılar.
Dickson (2018) yeni koşulların YZ şirketlerine üstesinden gelinemeyecek bir sorun yaratmadığını öne sürmektedir. YZ şirketleri bir yandan insanların mahremiyet hakkına saygı gösterirken diğer yandan YZ teknolojilerini geliştirmenin yeni yollarını bulmak zorundalar. GDPR oyunun kurallarını değiştiriyor. Şirketler çalışmalarında şeffaf olmalılar ve kendi verisine ulaşmak ya da onu tamamen silmek isteyenlerin taleplerine kulak vermeliler. Dickson (2018), bu yeni durumun şirketler için iki temel zorluk içerdiğini düşünüyor. Birincisi şirketler, kişiler platformlarından ayrılsalar bile ayrılan kişilerin verilerini diğer kullanıcıların davranış örüntülerini tahmin etmek için kullandıklarından silmek istemezler. Ama şimdi bu verileri ya silmek ya da anonimleştirmek zorunda kalacaklar. Ayrıca silinmek istenen veri şirketin YZ algoritmalarını eğitmek için üçüncü taraflarla da paylaşılmaktaydı. Şimdi bu verilerin de izini sürmek gerekecek.
Dickson’un (2018) işaret ettiği ikinci zorluk ise kullanıcılar bu algoritmaların işlevselliğine maruz kaldıklarında bunun hakkında bilgilendirilmelerinin gerekmesi. Ayrıca algoritmik kararların arkasındaki mantığın da açıklanması lazım. Bilgilendirme işlemi kolay olmasına karşın algoritmaların mantığının açıklanmasına karşı şirketler bunun ticari sırları olduğunu öne sürebilirler ya da isteseler de algoritmaların nasıl çalıştığını açıklayamayabilirler. Çünkü bazen kara kutu (blackbox) olarak adlandırılan derin öğrenme ve derin sinir ağlarının davranışlarını açıklayabilmek onları inşa edenler için bile karmaşık ve kimi zaman da olanaksızdır. YZ, sağlık, hukuk, krediler ve eğitim gibi alanlara uygulandığında kara kutu sorunu daha ciddi olumsuzluklara neden olmaktadır. Artık bireyler, insanların yaşamı üzerinde büyük etkileri olan algoritmik kararların nasıl alındığına dair açık seçik bir açıklama talep etme hakkına sahip olacaklarından yıkıcı YZ uygulamaları kontrolsüz bir biçimde yaygınlaşamayacak.
YZ şirketlerinin insanların açık rızası olmadan topladığı ve işlediği veriler üzerine kurulu iş modelleri GDPR’yle başlayan yeni dönemde devam edemeyecek. Bundan sonra GDPR’nin (çağımızın sihirli kelimesi) inovasyonların ortaya çıkmasını engellediği hakkında haberler okumaya hazırlıklı olalım. Ama Dickson’un (2018) vurguladığı gibi YZ şirketlerinin halihazırdaki çalışma tarzları alternatifsiz değildir. İnsanlara verilerinin nasıl kullanıldığı hakkında açıklamada bulunabilen şeffaf çözümler mümkündür. Şeffaflığı ve katılım kolaylığını savunan ademi merkeziyetçi YZ (https://bdtechtalks.com/2018/01/10/decentralized-ai-blockchain/) ve insanların anlayabileceği yapay zeka algoritmaları geliştirmeyi hedefleyen açıklanabilir YZ (https://en.0wikipedia.org/wiki/Explainable_Artificial_Intelligence) gibi farklı seçenekler oluşmaktadır.
GDPR’den eMahremiyet’e
Türkiye’de kullanıcıların kişisel verilerini koruyan “6698 sayılı Kişisel Verilerin Korunması Kanunu”nun hazırlanışı sırasında o zaman yürürlükte olmayan GDPR’den değil, 95/46 sayılı Direktif’ten yararlanıldı. GDPR’nin “sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirdiğini” belirten ve “başta veri işleyen tarafların artırılmış sorumluluk rejimi, unutulma hakkının kanunla tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması yoluyla caydırıcılığın güçlendirilmesi olmak üzere veri taşınabilirliği ve etki değerlendirmesi ile tasarımdan itibaren güvenlik gibi yenilikçi yaklaşımların 6698 sayılı Kanun’a ve uygulamaya yansıtılmasının faydalı olacağı”nı savunan Akıncı’ya (2017) katılıyorum. GDPR yeni haklar için de bir ilham kaynağı olacaktır.
GDPR benzeri yasalar Avrupa’yla sınırlı kalmayacak gibi görünüyor. Brezilya, Japonya, İsrail ve Güney Kore, AB’yi takip ediyorlar ve daha şimdiden benzer kanunlar hazırladılar. Avrupalı yetkililer de Silikon Vadisi’nin ancak birleşik küresel bir yaklaşımla engellenebileceğini düşündüklerinden dolayı GDPR’nin diğer devletler tarafından kopyalanmasını teşvik eden bir çalışma yürütüyorlar. AB, teknoloji devlerine daha sıkı antitröst yasaları ve vergi politikalarıyla karşı koymaya hazırlanıyor (https://www.nytimes.com/2018/05/24/technology/europe-gdpr-privacy.html).
GDPR kişisel verilerin izinsiz ve şeffaf olmayan biçimlerde kullanımından kaynaklı sorunları hemencecik çözemeyecek; kişisel verileri GDPR’ye aykırı biçimlerde kullanmak isteyenler yine olacaktır. Ama cezaların caydırıcılığı birçok kötü niyetli girişimi durduracak ve daha önce olduğu gibi yasal boşluktan yararlananlar eskisi gibi rahat hareket edemeyecekler. Üstelik Avrupa, GDPR’den sonra eMahremiyet Tüzüğü ile yeni bir hamle yapma hazırlığında. eMahremiyet iletişimin gizliliğini koruyor ve GDPR’ye göre daha sıkı kurallar getiriyor. eMahremiyet, Avrupa Parlamentosu’nda kabul edildi ve AB Konseyi’nde görüşmeler devam ediyor.
GDPR ve eMahremiyet birbirini tamamlayan yasalar olmasına karşın kapsamları farklı. GDPR şirketlerin ve kuruluşların işlediği kişisel veriler hakkındayken eMahremiyet Direktifi’nin devamı olan eMahremiyet Tüzüğü’nün hedefi elektronik iletişimin gizliliğini korumak. eMahremiyet Tüzüğü, WhatsApp, Facebook Messenger, Skype, iMessage ve video oyunlarında oyuncular arası mesajlaşmalar gibi kişiler arası iletişimin yanında nesnelerin interneti (IoT) cihazlarını da kapsıyor. İletişime ait üstveriyi (metadata) koruma altına alıyor. eMahremiyet’e göre şirketler kullanıcıların cihazlarına takip kodu yerleştirmeden veya iletişim verilerini toplamadan önce açık izinlerini almak zorunda kalacak. Birkaç yıl önce GDPR’yi engellemeye çalışan şirketler şimdi de eMahremiyet’e karşı yoğun kulis faaliyeti yürütüyorlar ve eMahremiyet’in Avrupa’nın dijital ekonomisinin gelişimini baltalayacağını öne sürerek yasaya karşı bir kamuoyu oluşturmaya çalışıyorlar. Bu şirketlere göre internet kararacak, bağımsız medya ve dijital büyüme yenilgiye uğrayacak (https://www.nytimes.com/2018/05/27/technology/europe-eprivacy-regulation-battle.html).
eMahremiyet yasa taslağını sunan AP üyesi Birgit Sippel, Cambridge Analytica skandalını hatırlatarak bir tıkla, yüz binlerce veya milyonlarca insanın yönlendirilebildiğini (manipulate), bu nedenle mahremiyetin korunmasının özellikle dijital ortamda daha önemli hâle geldiğini savunuyor. Ayrıca Sippel’in oylama öncesinde Avrupa Parlamentosu’nda yaptığı konuşmada ifade ettiği gibi lobicilerin yaydığı yalanların aksine yasanın temel amacı, iletişim verilerinin kontrolünü kullanıcılara geri vermek ve dijital ortamda iletişimin gizliliğini sağlamak. eMahremiyet, her türlü reklamı değil gözetim odaklı reklamı kısıtlıyor ve kullanıcı izlenmeyi kabul ettiğinde bu kısıtlama da ortadan kalkıyor. Şirketlerin telaşının asıl nedeni kullanıcının haberi olmadan yapılan gözetimin artık yasadışı olması.
GDPR ve eMahremiyet, Avrupa’nın insanlığın karşı karşıya olduğu tehlikenin farkında olduğunu gösteriyor. Bu farkındalıkta ekonomik çıkarlarının da etkisi var. Lobi faaliyetlerinin arkasındaki güçler hemen pes etmeyecektir. 26 Ekim 2017’de Avrupa Parlamentosu’nda yapılan oylamada 318 kişi eMahremiyetin lehinde, 280 kişi de aleyhinde oy kullandı; fark azdı. Şirketler politikacıları, mahremiyetin çağımızda gereksiz olduğuna ve eMahremiyet’in daha iyi hizmet verebilmelerini engellediğine ikna etmeye çalışacaktır.
Her şeye rağmen mahremiyetin büyük veri, YZ, nesnelerin interneti gibi güncel teknolojiler ışığında tartışılması ve güçlü yasaların hazırlanması umut verici bir gelişme. GDPR’nin ve AB Konseyi’nden geçerse eMahremiyet’in ne kadar etkili olacağını insanların bu haklarına ne kadar sahip çıktıkları belirleyecek.
Kaynaklar
Akıncı, A. N. (2017), Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler Ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Yayın No: 2968
Dickson, B. (2018), GDPR is an opportunity for AI companies to build trust, https://thenextweb.com/syndication/2018/06/08/gdpr-is-an-opportunity-for-ai-companies-to-build-trust/, son erişim 14 Haziran 2018
İlk Yorumu Siz Yapın