Kişisel veri konusundaki güncel gelişmeleri paylaşmak ve olumlu bir gelecek inşasına katkıda bulunmak için oluşturduğumuz bültenimizin bu sayısına veri koruma gününden kısaca bahsederek başlangıç yapmak istedik. Türkiye'nin de taraf olduğu "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme" 28 Ocak 1981 yılında imzaya açılmıştı. Avrupa Konseyi 2007 yılında bu tarihi Avrupa Veri Koruma Günü ilan etti. 2016 yılında söz konusu sözleşmenin onaylanması ve Kişisel Verilerin Korunması Kanunu'nun kabulüyle birlikte ülkemizde de 28 Ocak "Veri Koruma Günü" olarak kutlanmaya başladı.
Son yıllarda artan kişisel veri ihlalleri ve veri sızıntıları, kişisel veri gizliliğinin önemini bir kez daha ortaya koydu. Kişisel verilerimizin ne olduğu, nasıl kullanılabileceği veya işlenebileceği, açık rızanın önemi gibi konularda farkındalığın arttığı bir yıl olması temennisiyle :)
Gelecek bugün,
Biliyoruz!
Tuba Tosun
Teknolojinin insanların gözlerine, kulaklarına hatta hislerine hitap ettiği yeni bir döneme başlangıç yapıldı. Sanal evren Metaverse'de pek çok marka ile işbirliği yapılması ile Metaverse'in popülerleşmesi hızlandı. Geleceğin bir işareti olarak bir dizi marka Metaverse’e giriş yapıp özel koleksiyonlar dahi oluşturdu. Metaverse evreni şu ana kadar sanal moda şovlarına dahi ev sahipliği yaptı.
Hedefli bir reklamcılık merkezi olan Meta’nın Metaverse üzerindeki iddiasını ortaya koymasıyla birlikte bazı uzmanlar, sürükleyici reklamcılığın kullanıcı gizliliği, güvenliği ve rızası için sahip olacağı belirli sonuçlar üzerinde durmaya başladı.
Amerikan hukuk firması Foley Hoag'ın danışmanı ve sürükleyici ortamlarda gizlilik ve güvenlik uzmanı Brittan Heller, Euronews Next'e verdiği demeçte, "XR'de reklam vermeyi düşündüğünüzde, bunu ürün yerleştirme yerine ürüne yerleştirme olarak düşünmelisiniz. Reklamcılığın bu bağlamlarda çalışma şekli biraz farklıdır çünkü deneyimleri seversiniz ve araştırırsınız. Sanal gerçeklikteki bir reklam, dijital avatarınız için tasarımcı bir ceket satın almak gibi görünebilir ancak bu, vücudunuza giydiğiniz bir giyim firmasının reklamıdır.”
Heller'e göre buradaki sorun, meta veri tabanında, biyometrik verileri toplama ve bu hassas verileri size özel reklamları hedeflemek için kullanma yeteneğinin, Facebook'un halihazırda tüketici profillerimizi oluşturmak için kullandığı önemli miktarda verinin çok ötesine geçmesidir. Meta'nın vaat ettiği teknoloji meyve verirse, istemsiz biyolojik tepkileri izleyen bir hedefli reklam biçiminin çoğalma riski oluşmaktadır.
Heller, VR kulaklıkların bu ortamda çalışması için göz bebeklerinizi ve gözlerinizi takip edebilmeleri gerektiğini söyleyip, bu durumdan sonra reklamların görsel dikkatinizi neyin çektiğine veya tuttuğuna ve buna fiziksel olarak nasıl tepki verdiğinize göre uyarlanabileceği anlamına geldiğini ifade etmiştir.
Heller, kişinin biyometrik bilgilerinin hedeflenen reklamcılıkla bu kombinasyonu için biyometrik psikografi terimini kullanmıştır. Heller, bir varlığın uyaranlara yanıt olarak istem dışı gerçekleşen bedensel göstergelere yani biyometrik verilere erişebilmesi ve bu verileri mevcut hedeflenen reklam kümeleriyle birleştirmesinin aynı zihin okumaya benzediğini ifade etmiştir. Kişisel verileri koruma yasaları düşünce ve dürtülerimizi korumak yerine genellikle kimliğimizi korumaktadır. Ancak Metaverse gibi bir sanal alemde hislerimizin, dürtülerimizin ve yönelimlerimizin başkaları tarafından algılanabilir olması da bir anlamda kişilik haklarına saldırıya neden olabilir.
Şirketlerin Metaverse'deki insanları korumak için şeffaf olması gerekliliği yeniden ortaya çıkmıştır. Teknoloji kuruluşlarının sanal ortamlarda kullanıcıların dijital haklarını korumayı garanti edebilmeleri için geliştirdikleri teknoloji hakkında açık olmaları gerekmektedir. Heller bu konuyu, "Şirketlerin yalnızca niyetleri ve iş planlarıyla değil, aynı zamanda bunun nasıl işleyeceği ve teknolojilerinin işlevselliği konusunda daha şeffaf olmalarını isterim." şeklinde ifade etmiştir.
İNGİLTERE OKULLARINDA YÜZ TANIMA TEKNOLOJİSİNİN KULLANIMI ASKIYA ALINDI[2]
İngiltere'deki bir grup okul, öğle yemeklerine ödeme yaparken çocukların kimliklerini doğrulamak için kullanılan tartışmalı yüz tanıma yazılımının kullanımını askıya aldı. İskoçya'daki North Ayrshire'daki dokuz okul ekim tatilinin bitimiyle bu teknolojiyi kullanmaya başladı. Teknolojiyi kullanmanın COVID-19 salgını sırasında kartlarla veya parmak izi tarayıcılarıyla ödeme yapmaktan daha hızlı ve daha hijyenik olduğu belirtildi.
Yüz tanıma teknolojisinin kullanılması ile öğrencilerin biyometrik yüz verisi sisteme kaydedildi. Öğle yemeği saatinde yemek sırası için kasada bekleyen öğrenciler yüzlerini okutarak okulun sunucularında kayıtlı öğrenci yüz verileri ile sistemde yapılan eşleştirme neticesinde ödemeyi gerçekleştirdi. Belediye, velilerin yüzde 97'sinin pin sahtekarlığıyla mücadele etmek ve okul yemekleri için temassız bir ödeme yöntemi sağlamak için tasarlanan yazılım için onay verdiğini iddia etti.
İngiltere'nin Bilgi Komisyonu ICO sözcüsü, yüz tanıma teknolojisini kullanan kuruluşların veri koruma yasasına uyması gerektiğini belirterek, "Veri koruma yasası çocuklar için ek koruma sağlıyor ve kuruluşların bunu yapmadan önce biyometrik veri toplamanın gerekliliğini ve orantılılığını dikkatlice düşünmeleri gerekiyor. Aynı hedefe daha az müdahaleci bir şekilde ulaşılabiliyorsa, kuruluşlar farklı bir yaklaşım kullanmayı düşünmelidir." dedi.
İngiltere'nin Bilgi Komisyonu Ofisi (ICO) soruşturmalarının ardından Belediye Konseyinin yüz tanıma sistemi kullanımının duraklatılacağını ebeveynlere ilettiği bildirildi. Böylelikle uygulama ancak 1 hafta kadar kullanımda kalmış oldu. [3]
YENİ BİR ARAŞTIRMAYA GÖRE ANDROİD TELEFON KULLANICISI GİZLİLİK SORUNUYLA KARŞI KARŞIYA[4]
İskoçya'daki Edinburgh Üniversitesi ve İrlanda'daki Trinity College Dublin ekipleri tarafından yürütülen araştırma[5] büyük markaların Android destekli akıllı telefonlarının kullanımıyla ilgili bir dizi gizlilik sorununu ortaya çıkardı.
Dublin Trinity College'dan Profesör Doug Leith, Edinburgh Üniversitesi'nden Dr Paul Patras ve Haoyu Liu ile birlikte Samsung, Xiaomi, Huawei, Realme, LineageOS ve e/OS tarafından geliştirilen Android işletim sisteminin altı çeşidi tarafından gönderilen verileri inceledi. Yapılan inceleme ile cihaz minimum düzeyde yapılandırılmış olsa bile satıcı tarafından özelleştirilmiş Android varyantlarının işletim sistemi geliştiricisine ve önceden yüklenmiş sistem uygulamalarına sahip Google, Microsoft, LinkedIn, Facebook gibi üçüncü taraflara önemli miktarda bilgi ilettiği tespit edildi.
Bu araştırma ile açığa çıkan verilerin büyük bir bölümünü telefon görüşmelerinin zamanlaması ve süresinin oluşturduğu ortaya konuldu. Araştırmaya göre, Xiaomi cep telefonu, her uygulamanın ne zaman ve ne kadar süreyle kullanıldığı da dahil olmak üzere, bir kullanıcı tarafından görüntülenen tüm uygulama ekranlarının ayrıntılarını Xiaomi'ye gönderiyor. Huawei cep telefonunda ise, Microsoft ile zaman içinde uygulama kullanımının ayrıntılarını paylaşanın Swiftkey klavye olduğu belirtildi.
Edinburgh Üniversitesi Enformatik Okulu'nda doçent olan Dr Paul Patras bu durumu, "Etki, insanların web sayfaları arasında hareket ederken etkinliklerini izlemek için çerezlerin kullanılmasına benzer" şeklinde açıklamıştır.
Araştırmada, Samsung, Xiaomi, Realme ve Google tarafından "kullanıcı tarafından sıfırlanabilir reklam tanımlayıcılarının" yanı sıra donanım seri numarası gibi uzun ömürlü cihaz tanımlayıcılarının toplandığı anlaşılmıştır. Genellikle cihazın altında veya arkasında bulunan donanım seri numarası, tanımlama ve envanter amacıyla kullanılan benzersiz bir numaradır. Kullanıcıya özeldir ve genellikle bir telefon hırsızlığını polise bildirirken kullanılmaktadır.
Kullanıcının reklam kimliğine gelince, amacı, reklamverenlerin kullanıcı reklam etkinliğini sözde anonim olarak izlemesine izin vermektir. Cihaz veya işletim ortamı tarafından atanır ve doğrudan cihazın kendisinde saklanır. Android sistemlerinin bu verileri depolayabilmesi gerçeği ile "bir kullanıcı bir reklam tanımlayıcısını sıfırladığında, yeni tanımlayıcı değerinin önemsiz bir şekilde aynı cihaza yeniden bağlanabileceğini ve potansiyel olarak kullanıcı tarafından sıfırlanabilir reklam tanımlayıcılarının kullanımını baltalayabileceği" görülmektedir.
Patras, "Son yıllarda AB üye ülkeleri, Kanada ve Güney Kore de dahil olmak üzere birçok ülkede kişisel bilgiler için koruma yasalarının kabul edildiğini görmemize rağmen, kullanıcı verileri toplama uygulamaları yaygınlığını koruyor. Daha da endişe verici olanı, bu tür uygulamalar, kullanıcıların bilgisi olmadan ve bu tür işlevleri devre dışı bırakmak için erişilebilir bir araç olmadan akıllı telefonlarda 'başlık altında' gerçekleşiyor. Yine de gizlilik bilincine sahip Android varyantları ilgi görüyor ve bizim bu bulgularımız pazar lideri satıcıları aynı şeyi yapmaya teşvik etmelidir." dedi.
SEÇMEN VERİLERİNİ SIZDIRAN C-PLANET ŞİRKETİNE NOYB’UN ŞİKAYETİ ÜZERİNE 65 000 € PARA CEZASI KESİLDİ[6]
Malta’daki seçmen verilerinin sızdırılmasından sorumlu C-PLANET IT Solutions şirketine karşı NOYB tarafından Kasım 2020’de şikayette bulunuldu. Seçmenlerin doğum tarihleri, telefon numaraları, oy verme ve siyasi parti eğilimlerinin sızdırıldığı olayda 330.000’den fazla kişinin etkilendiği bildirilmiştir. Bilgi ve Veri Koruma Komiseri (IDPC), verilerin GDPR’ın 6. ve 9. maddeleri uyarınca herhangi bir yasal dayanak olmadan işlendiğini tespit etti. C-PLANET tarafından yapılan açıklamada verilerin müşterilerinden biri tarafından verildiği iddiası ise açıklığa kavuşmadı. Nitekim söz konusu müşteri de iddiaları reddetti.
IDPC, C-PLANET'in veri ihlaline yol açan riske uygun teknik ve organizasyonel önlemleri uygulamada başarısız olduğu sonucuna vardı. Karar ayrıca, C-PLANET'in kişisel veri ihlalini IDPC'ye zamanında bildirmediğini ve etkilenen bireyleri bilgilendirmediğini doğruladı. IDPC, bireyler üzerindeki potansiyel ciddi etkiyi ve onların hak ve özgürlüklerine yönelik yüksek riski de dikkate alarak şirkete 65.000 € para cezası verdi.
Bu olayı Kişisel Verileri Koruma Kanunu açısından değerlendirdiğimizde Kanun’un 6. maddesine göre kişilerin siyasi düşünce ve yönelimleri özel nitelikli kişisel verileri oluşturmaktadır. Özel nitelikli kişisel veriler hassas veriler olup ilgilinin açık rızası olmadan bu verilerin işlenmesi yasaktır. Seçmenlerin doğum tarihi gibi genel nitelikli kişisel verilerinin yanı sıra oy verme eğilimleri gibi özel nitelikli verilerinin de kişinin rızası olmadan işlenmesi insan haklarına aykırıdır.
NOYB Kimdir?[7]
Avrupa Dijital Haklar Merkezi Avusturya’nın başkenti Viyana’da 2017 yılında kurulmuş kar amacı gütmeyen bir kuruluştur. Organizasyon My Privacy is None Of Your Business Mottosu ile kısaca NOYB olarak biçimlendirilmiştir.
NOYB özel sektördeki mahremiyet sorunlarına ve mahremiyet ihlallerine odaklanarak GDPR 80. maddesi uyarınca kar amacı gütmeyen kuruluşların harekete geçmesini veya kullanıcıları temsil etmesini sağlamaktadır. GDPR, E-Gizlilik Düzenlemesi ve genel olarak bilgi gizliliğini desteklemek için stratejik davalar ve medya girişimleri başlatmayı amaçlamaktadır.
KAYNAKLAR :
[1] https://www.euronews.com/next/2021/12/03/reading-your-mind-how-eyes-pupils-and-heart-rate-could-be-used-to-tnext/2021/10/18/schools-in-scotland-start-using-facial-recognition-on-children-paying-for-lunch [3] https://www.ardrossanherald.com/news/19666190.north-ayrshire-suspend-school-facial-recognition-software-week/ [4] https://www.euronews.com/next/2021/10/15/how-much-do-you-trust-your-android-smartphone-a-new-study-suggests-its-spying-on-you [5] https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf [6] https://noyb.eu/en/data-breach-malta-65000-eu-fine-c-planet [7] https://en.wikipedia.org/wiki/NOYB