Blog

internet.com haber web sayfasında yer alan Kişisel verilerin mahrimiyeti ile ilgili güzel bir yazı var. Aynen Paylaşıyorum.

1981’den 2014’e… Avrupa Konseyi bünyesinde hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, 28.1.1981 tarihinde diğer Konsey üyeleriyle birlikte Türkiye tarafından da imzalanmıştır. Ancak o günden bu yana, taslaklar da hazırlanmasına karşın Türkiye’de herhangi bir yasa çıkarılamadı. Bu sözleşmeyi imzalayan ülkeler arasında, “Kişisel Verilerin Korunması” kanunu olmayan tek ülke durumundayız.

Halen Ankara’da sürmekte olan ve Barolar Birliği tarafından düzenlenen 8ci Uluslararası Hukuk Kurultayı [1][2] çerçevesinde, “Kişisel Verilerin Korunması” başlıklı bir sunum yaptık. Bu sunumun metin halini turk-internet.com okuyucuları için aşağıda veriyoruz :

Bu sunum, panelin “Yasa” ve “Hukuk” tarafını anlatan hukukçuları arasında, katılımcılara “kişisel verilerin korunması” konusuna farklı bir bakış sağlamak için hazırlanmıştı :

1981’den 2014’e… Avrupa Konseyi bünyesinde hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, 28.1.1981 tarihinde diğer Konsey üyeleriyle birlikte Türkiye tarafından da imzalanmıştır. Ancak o günden bu yana, taslaklar da hazırlanmasına karşın Türkiye’de herhangi bir yasa çıkarılamadı. Bu sözleşmeyi imzalayan ülkeler arasında, “Kişisel Verilerin Korunması” kanunu olmayan tek ülke durumundayız.

Ama bu konunun tartışılmasını hukukçulara bırakıyoruz…

Önce “Kişisel Verilerin Korunması” konusu neden çok konuşulmaya başlandı buna bir bakalım;

Bir bilişimci olarak böyle bir kavramla söze başlıyorum; “big data” tanımını kaç kişi duydu? Fazla kişinin duymadığını biliyorum. Big data yeni bir şey değil. Örneğin bankalar zaten big data ile çalışıyor yıllardır. Ama bu data basit. Ahmet Bey şuraya eft yapmış, buraya havale göndermiş, hesabının faiz gideri/geliri şudur vsvs.. Bütün bilgiler hesabının içinde. İyi bir donanım ve hesap yazılımı ile bu işi halledersiniz. Türkiye çapında yüzbinlerce ve hatta milyon kişiye hizmet veren bankaların verileri de büyük olur tabi ki.

Para Ödemiyorsanız, Ürün Sizsiniz

Ama bugün konuştuğumuz big data bunu anlatmıyor. Bugün konuştuğumuz big data; analizi ve bu verinin kullanılabilirliğini (hatta anlık) anlatıyor.

Big Data’nın hayatımıza getirdiği paradigma ise; “para ödemiyorsanız, ürün sizsiniz”

Şöyle anlatayım; Gmailiniz var diyelim; filan arkadaşınızdan gelen aptal karikatürü, filan firmanın tanıtımını ve binlerce mailinizi orada tutuyorsunuz. Güzel ama siz para ödemediğinize gore, kim ödüyor ve hizmeti. Öyle ya; adamlar bunu amme hizmeti olarak bile yapsalar, bir sürü makinaya, yazılıma, bant genişliğine, personele ihtiyaçları var.

Kim ödüyor bunları? Ya da Gmail’in para kazandığı ürün nedir?

Cevap ; “Ürün Sizsiniz”[3]. Gmail sizi satıyor. Kime satıyor. Reklamcılara ama bu arada başka amaçlı satışları da var mı? NSA Skandalı bunu düşündürttü. Birazdan NSA’e değineceğim.

Önce reklam tarafına bakalım; Çünkü kişisel verilerin değerini neden yükseldiğini anlamamız lazım..

Reklamcılığın Hikayesi

İçinizden “Eskiden de böyle değil miydi? TV’ları da bedava seyrediyorum, karşılığında da reklamlara bakıyorum. O zaman neden kişisel veriler bu kadar konu oluyor?” diyenleriniz olabilir. Bu nedenle kısaca reklamcılık dünyasının gelişmesine göz atalım;

• 1800’lerin sonunda sanayi devrimi ve uzantısındaki tüketim ürünleri ile birlikte hayatımıza reklam girdi.
• Reklam önceleri ağaç gövdelerine ya da duvarlara yapıştırılan ve yeni bir keşfin nasıl çalıştığını anlatan sayfalardı. Bunlarda örneğin; “vacuum cleaner” yani elektrikli süpürge nasıl çalışıyor o anlatılırdı; “Borunun ucundaki süpürgeyi tuttuğunuz yerdeki tozları emer ve size tozlardan kurtarır.”
• Ama çok sayıda benzer ürün çıkınca 1920’lerde gündeme “marka” geldi. Ürünler kendilerini markaları ile ayrıştırmaya başladı.
• Ama çok sayıda marka da ortaya çıkınca bu sefer markaları ayrıştırmak gerekti ve 1960lara geldiğimizde hayatımıza hala etkinliğini sürdüren ve hatta reklam sektörünün dışına çıkan “imaj oluşturma” kavramı girdi. Örnek vestel – dost teknoloji. Robotlar ve bu sloganla, Vestel imaj yaratmaya çalışıyor.

Reklamcılıkta Devrim; İnternet ve Cep Telefonu ile Geldi; Kişiye Özel Reklam

• Ancak reklamcılık sektöründe en büyük değişiklik internet ve ondan daha büyük değişiklik akıllı cep telefonları ve tabletlerle oldu.
• Bu değişiklik şu; bu noktaya kadar anlattıklarımız “kitlesel reklam” ile ilgiliydi. Örneğin TV’lar ya da dergi ya da gazeteler ve hatta billboard’lar. Buralara verilen reklamları çok kişi izler. Bu kişiler kimdir bilemezsiniz. En fazla kadınların seyrettiği sabah programı, ya da erkeklerin seyrettiği spor programı diye hedef kitle belirleyebilirsiniz.
• İnternet ve akıllı cep telefonları, tabletlerle birlikte reklamcılığının odağına “kişiye özel reklam” oturdu.
• TV’na verdiğiniz örneğin 100.000 TL’lik bir araba reklamını onu alamayacak olan köydeki Mehmet Bey ile şehirdeki orta seviyedeki Ahmet Bey, Hülya hanım tarafından da seyrediliyor Ama siz aslında pahalı bir araba almayı planlayan Ayşe Hanım tarafından seyredilmek istiyorsunuz. Yani örneğin 1000 kişilik bir reklam verirsiniz ama reklamınızı görmesi gereken kişi sadece 50 olabilir. % 5.
• Diğer yandan, internet’te araba sitelerini dolaşan Ahmet bey varsa, onun baktığı sitedeki reklama, o pahalı arabanın bannerını yerleştirebilirsiniz. Zaten hangi arabalara baktığını bile biliyorsunuz. Yani 50 kişilik reklam verirsiniz ve size bu 50 kişi görür. Kişisel reklamın kişi bazında daha pahalı olmasına karşın, toplamda 1000 kişilik reklamın daha pahalı olduğu şüphesizdir.
• Hele bu reklamı cep telefonu üzerinden kişiye özel sunabiliyorsanız, fevkalade olur.
• Bir de şu açıdan bakalım; TV’daki reklamınızı bu arabayı görmesini istediğiniz 50 kişi için veriyor olabilirsiniz. Ama o 50 kişiden belki 25’I zaten yeni araba almışsa ve arabanızla ilgilenmiyorsa yine oran düşüyor.
• Ama araba sitelerine girip, arabalara bakan kişiye sunacağınız reklam, zaten araba arayan birisine sunduğunuz reklamdır. Tadından yenmez.

Reklam Uygulamaları Kişisel Verilerin Gizliliğini Tehdit Ediyor

Şimdi konumuza geri dönelim; İnternet, akıllı telefon ve tabletlerle birlikte, reklam dünyasındaki bu dönüşüm, hayatımıza kişisel gizliliği tehdit eden bir tablo sunuyor. Acaba verileriniz kimlerin kimlerin ellerinde ve acaba o kimler neler yapıyor?

Daha henüz devletlerin kendi ya da diğer ülkelerin vatandaşları konusunda casusluk amaçlı bilgi toplamalarından bahsetmiyorum bile.

Ama bahsetmemiz de lazım. Belki 2’si birbirinden ayrılmıyordur. Yani 1 taşla aslında 2 kuş vuruluyor da olabilir. Alın size bir örnek…

Phorm Ticari mi, Devletsel mi?

Örneğin size Phorm adlı bir uygulamadan bahsetmek istiyorum. Aranızda Phorm’u duyan var mı? Çok duyulmadığını biliyorum. Halbuki her gün karşılaşıyor olabilirsiniz.

Nasıl mı?

Phorm ABD’de ortaya çıkan bir reklam uygulaması. Kendilerini şuna benzer bir şekilde tanımlıyorlar;

Sizi gezdiğiniz siteler, tıkladığınız reklamlar, izlediğiniz videolar, doldurduğunuz formlar vb. aracılığı ile profilliyor. Elde edilen profile göre ticari olan/olmayan içerikler sunuyor. Yani İnternette neler yaptığınızı/davranışlarınızı izleyip ona uygun reklamlar ve içerikler sunuyor.

Phorm için kısa bir bilgi verelim; daha çok bilgi almak isteyenler turk-internet.com sitesinde detaylı bulabilirler[4].

Phorm Ülkemize TTnet ile ve habersiz (kullanıcı rızası alınmadan) geldi. 2006-2007’lerde ABD’de ve İngiltere’de aynı şekilde gelmiş. Yani kullanıcılara her seferinde nedense “biz artık bu profilleme aracı ile size izleyecek ve sizin canınızı sıkmayacak reklamlar görmenize yardımcı olacağız” dememişler.

Nerede? ABD’de de, İngiltere’de de, Türkiye’de de. Hep gizlice uygulamaya alınmış.

Ama sonra kullanıcılar bu konuda uyanmış ve itiraz etmişler. Kendi ülkesi olan ABD’de kullanılamıyor. İngiltere’ye BT getirmiş ama kullanıcıların şikayeti ve AB komisyonunun İngiltere’ye yaptığı uyarı ile kullanımı durmuş.

Ama ülkemizde hala kullanılıyor. TTnet ilk başta sessiz sedasız devreye aldı. Kullanıcılar tepki gösterip, BTK’ya şikayet edince, BTK da göstermelik bir ceza kesti ve ancak izin veren kullanıcılara uygulanacağını hükme bağladı.

Evet ama Yetmez…

Phorm’un en önemli özelliği “Deep Packet Inspection (DPI)”dir. İnternet haberleşmemizi paketlerle yaparız. Standart büyüklükteki veri paketlenir ve gönderilir. Geriye o paketin karşıya ulaştığına dair bir cevap döner. İkinci paket gönderilir. İşte Phorm bu paketleri inceliyor. Bu paketlerle de insanları profilliyor; “Mehmet Bey, futboldan çok hoşlanıyor. Haberlerini de solcu yayınlardan okuyor. Ama en zayıf yönü; devamlı seks sitelerine bakıyor. Bu zayıflığı kullanılabilir. Şunlarla da mailleşiyor. Hatta maillerinde şunları da diyor.”

Sadece Phorm mu? Ya Facebook, Google? Şeffaflık Raporları Ne Anlama Geliyor?

Ama bu deep packet inspection’a gelene kadar, Wikileaks kurucusu Julian Assange’ın 2010’da işaret ettiği daha vahim bir konuya bakalım. Assange dedi ki; “Facebook gelmiş geçmiş en korkunç casus aracıdır”[5].

Yani birilerinin deep packet inspection yapmasına bile gerek yok. Facebook’da resimlerimizi ve en gizli kişisel bilgilerimizi, düşüncelerimizi biz kendi elimizle veriyoruz. Bir savcı bey söylemişti aranızdan; “Facebook hesabımı kapattım çünkü ben bir şey demesem bile, arkadaşlarımın yaptığı konuşmalar benim kim olduğumu” ortaya koyuyor.

Bu sadece Facebook da değil, Google, YouTube, Instagram, Twitter.. hepsi hepsi.. olabilir. Bu firmaların belirli periyotlarda açıkladıkları “şeffaflık raporu” ne anlatıyor? Bana göre sadece kendilerini temize çıkarmaya çalışıyorlar[6]. Örneğin bu raporlarda dikkatimizi çeken husus, Türkiye’nin taleplerine çok cevap verilmediği şeklinde. Ama ya elini daldırıp, istediği sunucudan istediği bilgiyi alan ABD? Bu ABD gerektiğinde bazı bilgileri müttefiklerine de veriyor olabilir mi?

Ama biz bunları konuşuyorken; herkesin senelerdir “komplo teorisi” olarak söylediği bir konu şak diye karşımıza çıktı; 6 haziranda eski bir CIA elemanı ortaya NSA skandalını döktü[7]. Buna gore hepimizin en çok kullandığı; Facebook, Microsoft, YouTube, Google vs benzeri 9 firma sunucularını NSA’in hizmetine doğrudan açmışlar. NSA elini daldırıyor ve bu 9 firmanın bilgileri arasından ne gerekiyorsa onu alıyor.

Sadece Dinleme Yok, Artık Kaydetme ve Gerektiğinde Kullanma Var

Bu arada ÇOK ÇOK ÖNEMLİ bir konuyu da not edelim; NSA sadece dinleme yapmıyor. Daha kötü bir şey yapıyor; KAYDEDİYOR ve SAKLIYOR[8]. Yani örneğin; diyelim ki bir gün kendilerinin hoşuna gitmeyen bir şey dediniz; “çıkar bakalım şu adam son 6 ayda ne yapmış, hangi sitelere girmiş, kime mail atmış, telefonla kimlerle konuşmuş, bu haberleşmelerin herbirinde neler demiş?”

İşte Big Data denilen şey de bu..

Dolayısıyla ……Kişisel Verilerimizin geldiği nokta da bu..

Ama son olarak şunu belirteyim; arka planda bir gelişme var. BTK’nın sayfalarına 18 temmuzda bir karar düştü[9]. Kararı turk-internet.com sayfalarında bulabilirsiniz. Bu karar İnternet Servis Sağlayıcılarına yönelikti ve diyordu ki; “tüm trafiğinizi Ankara’ya getirip, bana bir kopyasını anlık olarak sağlayacaksınız”.

Yani.. her vatandaşın internet ve telefon üzerinde yaptığı tüm haberleşmeyi ben göreceğim diyor. Mahkeme kararı filan değil. Şu anda da bazı söylentiler var. MİT’e boru çekilmiş, mahkeme dışı dinleme yapılmış vsvs ama bu gelen daha planlı çünkü kanuna dayandırılıyor. Ülke güvenliği sorununa[10].

Bunun bireylerin anayasal hakları olan “haberleşme hakkı” ve “haberleşmenin gizliliği” kurallarına ne kadar uyduğu ayrı bir soru ama yanısıra şirketlerin (yerli ya ya da yabancı) ticari sırları açısından haberleşme gizliliğine ne kadar aykırı. Bunu hep birlikte düşünmemiz lazım.

Ek olarak NSA konusunda tekrarladığım hususu yeniliyorum; TİB daha kurulmadan önce açılan ihale belgelerine bakarsanız, sadece dinleme değil, yanısıra kaydetme yeteneği istediğini görürsünüz. O yıllarda aylık 2 milyar maili depolayacak bir donanım isteniyordu mesela.

Dolayısıyla bütün bu davalar, Ergenekon’lar, balyozlar, 3 bakanın oğlu ile başlayan soruşturma hareketleri ve diğerleri hepsinin altında acaba bu takipler var mı? Bu takipleri kim yapıyor? Biz mi? Yani Türk devleti mi? Yoksa Phorm gibi uygulamalar ve hatta işbirlikleri ile başka birileri mi?

Bu davaların haklılığı ya da haksızlığı yanısıra bu konuları da düşünme kapsamına almamız gerekmiyor mu? Burada her birimize karşı çekilmiş bir tetik hazır beklemiyor mu?

Bu soruyla sunumumu bitiriyorum…

http://www.turk-internet.com/portal/yazigoster.php?yaziid=45336