Veri gizliliği, veri güvenliği, veri koruma, mahremiyet… Eğer kişisel verilerinizin hangi başlıkta değerlendirildiğine karar veremiyorsanız sakın korkmayın. (Konu uzmanları bile hâlâ bu konuda ağız birliği edebilmiş değil.)
Özellikle iş dünyasında veri güvenliği ve veri gizliliği terimlerini genellikle birbirinin yerine kullanılması eğilimi vardır. Ancak bu iki kavram arasındaki önemli fark; veri gizliliği, verilere kimin erişimi olduğunu tanımlarken veri güvenliği, verilere erişimi fiilen kısıtlamak için araçlar ve politikalar tarafından sağlanır. Veri güvenliğine ilişkin hukuki düzenlemeler, kullanıcıların gizlilik taleplerinin şirketler tarafından yerine getirilmesini sağlamaya yardımcı olur ve şirketler kullanıcı verilerini korumak için önlemler almaktan sorumludur. Eğer kişisel verilerin korunması hususunda, ülkemiz ve içinde büyüdüğümüz sıcak kanlı coğrafyamız için benimsenmesi en zor gereksinime gelirsek işte o zaman mahremiyet kavramı karşımıza çıkıyor. Belirli bir miktarda mahremiyet, güvenlik duygumuzu ve akıl sağlığımızı korumamıza yardımcı olabilir. Ama söz konusu yazılı olmayan kurallar ve dijitalleşme adı altında internet alemi olduğunda mahremiyet bireyler için bir lüks olarak kalıyor.
Özellikle 20. yüzyılın ikinci yarısından günümüze dek teknolojideki önüne geçilemez gelişime ve bu gelişimin dönüştürücü etkisine tanıklık ediyoruz. Bu etki öyle büyük ki gelecek kuşaklar, içinde yaşadığımız yılları önceki dönemlerden ayırt edici şekilde nitelemek istediklerinde kuşkusuz ki dijitalleşmeye vurgu yapacaklar. Yalnızca iş yapma biçimimizi değil ticaretten sosyal yaşama, ekonomiden günlük yaşam rutinlerimize kadar yaşamın her alanına etki eden bu değişim, 21. yüzyılda daha da belirgin bir şekilde tüm dünyayı yönlendiriyor. Teknolojinin bu soluksuz yolculuğunda ise, her şey tam yolunda gidecek ve hayatımız kolaylaşacak derken karşımıza siber güvenlik riskleri, veri güvenliği tehlikeleri çıkıveriyor. Siber risklerin gelişen ve değişen niteliği, gelişmekte olan teknolojilerin (emerging technologies) pratik hayata aktarımı ile kişisel verilerin işlenmesinin yaygınlaşması, veri işleme ve saklama ortamlarının çeşitlenmesi, sektörel düzenlemelerin artması veri koruma ve mahremiyet alanlarında dünyada olduğu gibi ülkemizde de iyiden iyiye kendini hissettiriyor.
Bilişim ve iletişim teknolojilerinin hayatın her alanında egemenliğini ilan eden dijital dönüşüm, bu teknolojiler karşısında bireyi ve verilerini korumaya yönelik taleplerin artmasına, bu alanda yeni bir regülasyon dalgasının başlamasına sebep oluyor. Devletler, vatandaşlarının dijital mahremiyetlerini en üst düzeyde korumak için yasal düzenlemeler yapmak, mevcut düzenlemelerini mevcut risklere göre güncellenmek ve bu alanda kurallarını uluslararası standartların ve özellikle ticari anlaşmaların ışığında mümkün olduğunca yaygınlaştırmaya çaba gösteriyor.
Tüm yaşanan gelişmeler ve kişisel verilerin dijital seyahatinin kolaylaşması sonrasında, ülkemizde geç kalınmış bir karar ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kanun 7 Nisan 2016 tarihinde yürürlüğe girmesi aslında özellikle hukuk çevrelerinde uzunca zamandır beklenen bir gelişmeydi. KVKK ile Türkiye’de kişisel veri olarak değerlendirilen verilerin kullanılması, işlenmesi, paylaşılması, saklanması gibi her türlü veri ilişkili faaliyetin sınırları belirlenmiş ölçüde ve uluslararası standartlara tabi olacak şekilde düzenlenmesi ve güvence altına alınması amaçlandı ve dünya pazarında varlığını sürdürebilmesi için önemli bir adım atıldı. Kişisel verilerimiz, yalnızca KVKK yürürlüğe girdikten sonra değil, günümüze gelinceye dek farklı yöntemlerle işlenmeye devam ediliyordu. Bu sebeple KVKK’nın yürürlüğe girmesinden sonra ülkemizde genel adaptasyon süreci ilk aşamada çok kolay olmadı. Bugüne bakarsak teknolojinin ulaşmış olduğu nokta, internet kullanımının yaygınlaşması ve dijitalleşme akımı kişisel verilerin bilişim ortamlarında hareket edebilirliğini kolaylaştırırken bu da verileri tehditlere açık hale getiriyor. Kanunun yürürlüğe girmesindeki etmenlerden belki de önemlisi, teknolojik ekosistem gereksinimleridir. Veri güvenliğine ilişkin risklerin artışı ve takip edilmesi ihtiyacı artık hukuki bir zeminin oluşmasını kaçınılmaz kılıyor.
Dünya genelinde veri güvenliği her geçen gün daha da önemsenmeye devam ediyor. Sıklıkla gündemi meşgul eden veri güvenliği ihlal vakaları son yıllarda giderek artıyor. Kişisel verilere ilişkin farkındalığın ilk gündeme gelişi, Avrupa Birliği (AB) kapsamında Türkiye’den yılar önce, 1953 yılında yürürlüğe giren İnsan Haklarının Korunmasına ve Temel Özgürlüklere İlişkin Avrupa Konvansiyonu ile oldu. Son olarak AB Komisyonu tarafından kabul edilen Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR-General Data Protection Regulation) 25 Mayıs 2018’den itibaren yürürlüğe girdi. GDPR’ın yürürlüğe girmesi ile veri işlenmesi sırasında göz önünde tutulacak hesap verilebilirlik, privacy by design, one-stop shop mekanizması, veri koruma sorumlusu atanması ve risk tabanlı yaklaşım gibi yeni ilkeler getirilmiş oldu.
Dünyadaki örnek uygulamalarda olduğu gibi ülkemizde de KVKK’nın yürürlüğe girmesiyle birlikte, kanunun caydırıcı niteliğini destekleyecek, kurumlara ve işletme sahiplerine ciddi idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur. KVKK resmi kurumlar dahil, kişisel verileri işleyen tüm kurum, işletme ve şirket sahiplerini kapsamaktadır.
Kişisel verilerin güvenliğine ilişkin adaptasyon sürecinin tamamlanmasının ardından gerçek kişiler olan biz vatandaşlar, cep telefonları, bilgisayarlar, tabletler gibi her türlü teknoloji aletleri üzerinden “açık rıza” denilen, kişisel verilerimizin ne amaçla işlendiği konusunda bizleri bilgilendirmeyi hedefleyen ve özgür irademizle açıklanan rızamızın talep edildiği formlar ve bununla birlikte birçok aydınlatma metni ile baş başa kaldık. Özellikle uyum süreci için verilen iki yıllık sürenin tamamlanması sonrası 2018 ve 2019 yılları ülke genelinde kişisel veri güvenliği ve seferberliği çalışmaları ile geçti dersek yalan söylemiş olmayız.
Kişisel veri güvenliği konusunda hâlâ gelişmeye açık ve zaman zaman sorunlara sebep olan konu ise GDPR ve KVKK arasında bazı önemli farklar bulunmasıdır. GDPR, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları (lokasyonları) fark etmeksizin GDPR uyumluluğu ile yükümlülerdir. Ayrıca, KVKK'da “veri sorumlusu” kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kurumu’na karşı sorumlu tutulurken GDPR'da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda ‘Principles of Data Protection-Veri Kontrolörü’ kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. Ülkemizde yapılan çalışmalarla veri güvenliği yolculuğuna bizden önce başlamış olan ülkelerle paralel yapılar hedeflense dahi özellikle dijital imza, bulut bilişim (cloud computing), yapay zeka (AI) gibi başlıklar hâlâ çözüm bekliyor.
Dünyanın her yerinde olduğu gibi birçok farklı sektörden kurumlar kişisel veri güvenliğini ihlal edecek her türlü faaliyet sebebi ile yüksek oranlarda idari para cezası ödüyor. Kişisel Verilerin Korunması Kurumu tarafından resmi internet sitesinde belirlenen ceza ve kararların şeffaflık ilkesi ile kamuoyuna paylaşılması ise şirketlerin itibar kaybı kaygısını artırarak kanuna uyumlu olmak konusunda farkındalığı arttırmayı hedefliyor. KVKK’nın yürürlüğe girmesi sonrasında özellikle geçtiğimiz seneden itibaren bankacılık sektörü, elektronik haberleşme sektörü, iletişim sektörü, sağlık sektörü gibi kişisel verilerin sıklıkla kullanıldığı birçok sektör yeni hukuki düzenlemeleri yürürlüğe alarak kanun çerçevesinde veri güvenliğine yer verdiği de görülüyor.
Son yıllarda kişisel veri güvenliği ihlalleri için belirlenen büyük cezalar, yasa koyucuların tüketici verilerini gerektiği gibi korumayan kuruluşlar konusunda daha ciddi hale geldiğini gösteriyor. Yaşanan en büyük veri güvenliği ihlallerinin listesi uzayıp gitmekte, ancak en bilinen ihlal vakalarına örnek olarak Marriott International, Kasım 2018'de saldırganların yaklaşık 500 milyon müşterinin verilerini çaldığını duyurmasının ardından 124 milyon dolarlık para cezasına çarptırılması, Equifax ise 2017’de yaklaşık 150 milyon kişinin kişisel ve finansal bilgilerini kaybetmesi üzerine, 575 milyon dolar ödemeyi kabul etmesi, 2019'da Facebook 533 milyondan fazla kullanıcı verisini kaybetmesini ya da geçtiğimiz ay 700 milyon LinkedIn kullanıcısına ait verilerin bir dark web forumunda satışa sunulması ve 756 milyon kullanıcıdan oluşan toplam LinkedIn kullanıcı tabanının yüzde 92'sini etkilediği verilebilir. 2021’in kalan yarısında da kişisel veri güvenliğinin ihlal edilmesinden kaynaklı cezaları duymaya devam edeceğimiz kaçınılmaz.
Günümüzde özellikle dijital pazarlama, yeni düzende ekonomi için önemli bir itici güç olmuştur. Dijital ortamlardaki yönelimler ise birçok örgütsel ve teknolojik yeniliklerin çevrimiçi ortama nüfuz ederek şekillenmesine katkıda bulunmaktadır. Bu yönelimlerin en önemli olanlarının başında ise bilgiye erişim ve insanlar arasındaki etkileşim geliyor. Çevrimiçi reklamlar ile doğrudan insanların farklı algılarına ulaşmak hedeflenir. Doğru hedeflere ulaşılmasını sağlayansa çoğu zaman çeşitli çevrimiçi platformlarda bireylerin kendi elleriyle halka açık (public) olarak paylaştıkları kişisel verilere dayanabilir. Yapılan araştırmalara göre, her türlü çevrimiçi faaliyetimiz, demografik dağılım, kişisel tercihler, lokasyon bazlı değerlendirmeler, günlük rutinler vb. bilgilerimizin izlenmesi sonucu anlamlı pazarlama verilerine dönüştürülen bir büyük veri (big data) havuzunda yerlerini alıyor. İnsanlara giderek daha etkili ve tam hedefi tutturan reklamlar gönderme yeteneği ise toplanan büyük miktarda kişisel verimizi toplayan algoritmik yapıların analitik dizaynı ile sağlanıyor. 2015 yılında The Guardian tarafından detaylı olarak paylaşılan, 2014 yılından bu yana konuşulan fakat bir sonuca ulaşılamayan, büyük bir psikolojik manipülasyon olarak adlandırılan ve dataların kötü amaçlarla kullanıldığı Cambridge Analytica ve Facebook hikayesinde, Cambridge Üniversitesi tarafından ABD seçmeni hakkında ayrıntılı psikolojik profil çıkarmayı amaçlayan bir anket uygulaması geliştirildiği ve bu uygulama o dönemde geliştirilen çoğu uygulama ve oyunun yaptığı gibi kullanıcıların Facebook bilgilerine erişerek sadece kullanıcıların kendilerine ait olan bilgileri değil kullanıcıların bağlantı içinde olduğu arkadaşlarının bilgilerini de topladığı ortaya çıkmıştır. Benzerleri sonrasında yaşanmaya devam etse de söz konusu durumun spekülatif olması ve emsal teşkil etmesi sebebiyle bu olay iletişim platformları üzerinde belgesel olarak ele alınmıştır.
Özellikle kişisel veri güvenliğinin yasal düzenlemeler ile sınırlarının belirlenmesi sonrasında teknoloji ve hukukun işbirliği çok daha önemli bir hale gelmiştir. Normatif bir bilim olan hukukun matematiğinde; birey, kurum ve devlet olmak üzere ana etkenlerin ortak menfaati gözetilecek şekilde hak ve özgürlüklerin korunması, ancak küresel dünya ile kucaklaşmış bir ulusal teknoloji zenginliği ile sağlanabilir. Bu sayede ülkeler küresel hukuk sahnesinde kanun koyucu lokomotif niteliğini teknoloji güçleri ile vurgulayabilirler. Ulusal ve uluslararası veri güvenliğinin etkin bir şekilde sağlanabilmesi; verileri paylaşmamak değil, paylaşılan veriyi koruyabilmek demektir. Bu anlamda internetin böylesine yaygın kullanıldığı bir dünya düzeninde teknolojinin dünyayı saran kollarına sırt dönmeden en güvenli yöntemleri belirlemek ve bunu bir kültürel değer olarak kabul etmek asıl başarılması gereken sınavımız olacak gibi görünüyor.
Bütün bu teknik bakış ve dünya genelinde oluşan veri güvenliği ekosisteminin bir parçası olabilmenin en önemli parçalarından biri ise mahremiyet kavramıdır. Sosyal medya, e-ticaret, veri madenciliği gibi sektörlerden firmalar kişisel verilerimizi büyük veri kazanlarında veri analitiği yöntemleri ile dünya pazarına yön verecek tabaklarda sunarken verilerimizin güvenliğini sağlamak biraz da biz son kullanıcılara düşüyor. Mahremiyet ise kişilerin koydukları sınırlardan öteye geçmemek anlamında coğrafyalar arasında şekilden şekle girebiliyor. Yazılı kuralların/yasaların yanına yazılı olmayan kültürel alışkanlıklar/kültürel farkındalık eklenebilirse veri güvenliği dizaynının parçaları yerine oturuyor. Kültürel alışkanlıklar ise ancak zamanla kendini yenileyebiliyor. Mahremiyet kültürü, ayaküstü kahve sohbetlerinde üçüncü şahıs verilerini paylaşırken mahremiyet filtrelisini veya açık perdeli bir evin önünden geçerken mahremiyet gözlüğünü kullanabildiğimizde toplumsal bir harekete dönüşebiliyor.
Tek ihtiyacımız olan, kişisel verilerimize göz kulak olan siber dayanıklılığı güçlü, hukuki uyumu sağlamış şirketler ve kendi kişisel verisini korumayı bilen, başka kişilere ait verilere de bu hassasiyeti gösteren bilinçli bireyler.