Dijital mahremiyet ne kadar mümkün?

Dijital mahremiyet ne kadar mümkün?
İSMAİL GÖKHAN BAYRAM

80’li yılların sonları ve 90’lı yılların başlarında bir bölgedeki herkesin telefon numaralarının isimleri ile eşleştirilmiş olarak sarı renkli bir kitapta alfabetik sıra ile yayımlanması olağan bir durumdu. Bu verilerin kötüye kullanıldığı vakalar o zaman da vardı elbette ama ne verilerimiz bugünkü kadar çeşitliydi ne de verilerimizin kullanım değeri bugünkü kadar yüksekti. Kişisel verilerimizin davranış analizinden tutun da dolandırıcılığa dek geniş bir skalada kullanılabilir olduğunun ayırdına varılması ve bu verileri olanca çeşitliliği ile toplamanın teknik olarak mümkün hale gelmesi ile birlikte telefon numaralarının sarı sayfalarda yayımlandığı dönem kapandı. Verilerimiz ise dijital dünyanın ham maddelerinden biri haline geldi. Alınıp satılan, işlenilip kullanılan bir hammadde…

Adını sanını duymadığınız bir vakıftan gelen bir kısa mesaj, Internet aboneliğinizin taahhüt süresinin bittiğini iddia eden robotik bir kadın sesi ile açılan bir arama, daha dün bir alışveriş sitesinde göz attığınız bir ürünün benzerinin reklamı… Her biri verilerimizin dev bir dijital pazarın itici güçlerinden biri olduğunu hatırlatan olgular. Ücretsiz olarak kullanabildiğimiz hemen her çevrimiçi servis, maliyetini ve çoğunlukla da daha fazlasını verilerimizden tahsil ediyor. Verilerimizden yapılan tahsilat sadece verilerimizin doğrudan mali değer üretme gücüyle sınırlı değil. Dünyanın dört bir yanında politik aktörler verilerimize dayalı mikro ölçekte hedeflenmiş reklamlar aracılığıyla seçmen davranışlarını değiştirmeye çalışıyor. İktidarların ve devlet kurumlarının vatandaşlara ait kişisel verileri fişleme ve benzeri amaçlarla kullanması birçok ülke için rutin ve sıradanlaşmış bir hak ihlali. 

Geniş bir kitle, kişisel verilerimizi edinmek için pusuda bekliyor

Küçük web sitelerinden devasa çokuluslu şirketlere, politik aktörlerden dolandırıcılara geniş bir kitle her biri kendi mali, politik ya da stratejik çıkarlarını biraz daha ilerletmek amacıyla kişisel verilerimizi edinmek için pusuda bekliyor. Kişisel verilerimizin analizi ve bu analiz yolu ile nokta atışı hedeflenmemiz üzerine kurulu dijital reklamcılık sektörünün büyüklüğü 2023 yılında 679 milyar dolara ulaştı. Uluslararası veri simsarlığı pazarının büyüklüğünün ise 2023’te 280 milyar doları aştığı tahmin ediliyor. Sadece bu iki pazarın yıllık hacmi neredeyse 1 triyon dolar. Şimdi bunlara verilerimizin diğer kullanım alanlarını da ekleyin. Pek çok aktörün verilerimizin peşinde koşmasının sebebi de biraz daha anlaşılır olacaktır.

Kişisel verilerin toplanmasının ve kullanımının giderek artmasıyla birlikte 2010 yıllardan itibaren birçok ülke kişisel verilere dair yasal çerçevelerini oluşturmaya çalıştı. Türkiye’de de 2016 yılında Kişisel Verileri Koruma Kanunu (KVKK) yürürlüğe girdi ve Kişisel Verileri Koruma Kurumu oluşturuldu. Kanun, öz itibarıyla kişisel verilerimizin kullanımını temelden engellemeye yönelik değil, kullanımı belirli sınırlar içinde düzenlemeye dönük bir kanundu. 

Bu düzenlemenin ne düzeyde işleyebildiğini anlamak için KVKK Başkanı Faruk Bilir’in 2023 mayısındaki açıklamalarından başlayabiliriz. Bilir’in AA muhabirine yaptığı açıklamaya göre KVKK’ya dayanarak 6 yılda 232 milyon lira idari para cezası kesildi. Kuruma yapılan veri ihlali başvurusu sayısı ise yine aynı açıklamaya göre “700 civarında” idi. Eğer 232 milyon lira ceza gözünüze çok gözüktüyse bu yanılsamayı hemen ortadan kaldıralım. Kurumun kestiği en ağır cezalardan biri olan Yemeksepeti sızıntısında 21 milyonu aşkın kullanıcının isim, adres, telefon numarası, e-posta adresi, şifre ve IP adreslerinin sızmasının cezası olarak Yemek Sepetine sadece 1,9 milyon lira ceza uygulandı. Bilgileri sızan kişi başına yaklaşık 9 kuruşa tekabül eden bu ceza benzer nitelikteki verilerin veri simsarı fiyatlarının bile oldukça altındaydı. Yine bu verilerin nitelikli bir şekilde korunması için alınacak tedbirler ve çalıştırılması gereken kadro gözetildiğinde nitelikli iki ağ güvenlik uzmanının bir yıllık maaş ve giderlerinin altında olan 1.9 milyon liralık cezanın ilgili tedbirleri almak ve yeterli sayıda kadro çalıştırmaktan “daha kârlı” bir yaklaşım olduğunu iddia edebiliriz.

Kişisel verilerimizin korunması için caydırıcı cezalara ihtiyaç var

Kişisel verilerimizin gizliliği ve korunması temel bir hak. Ancak bunun günümüz Türkiye’sinde nasıl mümkün olabileceğini çözmek zor. Girdiğimiz hemen her web sitesi, kullandığımız hemen her uygulama verilerimizi topluyor. Alışveriş yaptığımız pek çok mağaza telefon numaramızdan başlayarak tutabildiği kadar verimizi kayıt altına alıyor. Ne kullandığımız web siteleri ve uygulamaların ne de alışveriş yaptığımız mağazaların verilerimizi makul düzeyde koruyup korumadığını bilmemizin bir yolu var. Siyasetçilerin elinde her seçim döneminde kısa mesaj atmak için oluşturulmuş dev telefon numarası havuzları var. Sosyal medya şirketleri zaten hem verilerimizle beslenip semiriyor hem de içeriklerimizle var oluyor. Türkiye’de yaşayan 80 milyonun en temel kimlik bilgileri illegal sorgu panellerinden üç kuruşa sorgulanabiliyor. Devletin ve kamu kurumlarının verilerimizi ne şekilde kullandığına dair yeterli şeffaflık yok. Mevcut veri koruma yasaları ise caydırıcılıktan uzak. Tüm bu şartlar altında verilerimizi koruma işi de ister istemez bize düşüyor.  

Bilgisayarınızda alabileceğiniz basit teknik tedbirlerden tutun da size rutin bir şekilde telefon numaranızı soran kasiyere vereceğiniz “Kişisel verilerimi işlemenize izin vermiyorum” yanıtına, internette neyi kimle paylaştığınıza dikkat etmekten kamu kurumu/şirketlerin verilerinizi işleme şekillerine dair hesap sormaya uzanan devasa bir kişisel tedbirler paketi kişisel verilerinizin sınırlı da olsa korunmasını sağlayabilir. Ancak böyle bir bireysel tedbirler paketinin geniş çapta uygulanmasını sağlamak da kolay değil. Yaygın bir bilgilendirme ve aydınlatma kampanyasıyla on binlerce kişinin bu pratikleri hayata geçirmesi anlamsız değil elbette ama bu tip kampanyaların sorunun özüne dokunmayan yara bantları olarak kalması da kaçınılmaz. Kişisel verilerimizin kurumlar ve şirketlerce kullanımını düzenlemeyi esas alan yasalara değil kişisel verilerimizin tam olarak mevzu bahis kurum ve şirketlerden azami düzeyde korunmasını temel alan bugünkünden çok daha caydırıcı yasalara ihtiyacımız var. Dolayısıyla illa bir çıta koymamız gerekirse çıtayı yasaların kişisel verilerin gizliliğini bugünkünden çok daha katı bir şekilde koruyacak hale getirilmesi talebine koymak gerek.

Dünün casus yazılımları, bugün yeni ve yaldızlı” araçlar olarak pazarlanıyor

Sadece son bir ayda biri Google diğeriyse Microsoft’tan olmak üzere ilk bakışta işlevsel görünen ancak biraz detaylı değerlendirince ağır düzeyde kişisel veri ihlali riski taşıyabilecek iki yeni teknoloji tanıtıldı: Google’ın telefon konuşmalarınızı dinleyerek sizi telefon dolandırıcılarına karşı uyaran geniş dil modeli destekli uygulaması ve Microsoft’un bilgisayarınızda yaptığınız her şeyi ekran görüntüleri halinde kayıt altına alarak bu görüntülerin geniş dil modeli teknolojileri ile yorumlanması sayesinde size “yardımcı olan” asistanı. Üstelik Google ve Microsoft bu eğilimlerinde yalnız değil. İrili ufaklı pek çok şirket yeni teknolojileri uyarlarken topladığı veri miktarını da maksimize etmeye çalışıyor. Düne kadar casus yazılım olarak adlandırabileceğimiz bu teknolojiler bugün “yeni ve yaldızlı” araçlar olarak pazarlanıyor. Bu teknolojilerin tuttuğu kayıtların nasıl ve ne şekilde baskıcı partnerler, kötü niyetli kişiler, şirketler ve devletler tarafından kötüye kullanabileceği, ne düzeyde veri gizliliği ihlali yaratabileceği daha uzun ve çoğunlukla da teknik bir tartışmanın parçası. Ancak söz konusu teknolojilerde pratikte vücut bulan teknoloji tekellerinin yaptığımız her şeyi gözlemeyi normalleştirmeye çalışması, kişisel verilerin gizliliği konusunda bugünkünden çok daha karanlık bir geleceğe doğru gittiğimize işaret ediyor.