Yasalar, Kişisel Verileri Koruyabilecek mi?
Avrupa Birliği, internette kişisel verilerin korunması ve özel hayatın gizliliğine yönelik geniş kapsamlı hukuki düzenlemeleri önümüzdeki ay yürürlüğe sokuyor.
Yıldız Sekban Türkmen / Anadolu Ajansı
Avrupa ve Amerika Birleşik Devletleri’nde (ABD) halk arasındaki yaygın inanışa göre, Silikon Vadisi’ndeki teknoloji devlerinin internet ortamında özel hayatın gizliliğine riayet etmeleri ancak hukuki bir düzenlemeyle mümkün görünüyor. Buna karşılık, anılan düzenlemeler, internet dünyasına öncülük eden Facebook ve Google’ın hakimiyetini güçlendirmelerine hizmet etmekten öteye geçemiyor.
Bu bağlamda, önümüzdeki ay Avrupa Birliği’nde (AB) yürürlüğe girecek olan kişisel verilerin korunması ve özel hayatın gizliliğine yönelik geniş kapsamlı hukuki düzenlemeler göze çarpıyor. Kişisel verilerin işlenmesi halinde, teknoloji şirketlerine, ilgili kişilerin rızalarını alma zorunluluğu getiren kurallar, esasen Facebook ve Google’ın elini güçlendirebilir. Zira söz konusu kişisel veriler olduğunda, tedbirli tüketiciler henüz tanınırlığı olmayan yeni girişimlere nazaran bilinen isimlere daha çok güvenmeye eğilim gösteriyor. Ayrıca anılan düzenlemeler, yeterli kaynaklara sahip olmayan yeni girişimleri, büyük şirketlerle rekabet etmekten caydırıyor.
İnternette özel hayatın gizliliğine ilişkin geçmiş yıllardaki hukuki girişimler de büyük teknoloji şirketlerinin gücünü azaltmakta başarılı olamadı ve netice olarak onlara zarar vermek bir yana, nemalanmalarına sebep oldu.
Özel hayatın gizliliğine ilişkin kuralların rekabetin işleyişi üzerindeki etkilerine bakıldığında, hukuki düzenlemelerin daha çok görevlilere yardımcı olduğu görülüyor. Bu bağlamda, özel hayatın gizliliğine ilişkin kuralların rekabetçilik karşıtı etkilerinin olduğu gözlemleniyor. Zira kişisel verilerin işlenmesine ilişkin kullanıcılardan alınması gereken rıza, köklü şirketlere kıyasen genç girişimcilere daha pahalıya mal oluyor.
Yine de Facebook ve Google’ın bu kurallar silsilesine binaen gücüne güç katması uzak bir ihtimal gibi görünüyor. Nitekim Silikon Vadisi şirketleri aylardır kişisel verileri toplama ve işleme yöntemlerine ilişkin inceleniyor. Geçtiğimiz günlerde Cambridge Analytica adlı siyasi araştırma şirketinin yaklaşık 87 milyon Facebook kullanıcısının rızaları olmaksızın topladığı kişisel verilerin, ABD Başkanı Donald Trump’ın seçim kampanyasında kullanıldığı ortaya çıktı. Cambridge Analytica skandalı olarak gündeme damgasını vuran olay, Facebook’u ciddi ölçüde sarstı. Şirketin kurucusu Mark Zuckerberg’i ABD Kongresi önünde ifade vermeye kadar götüren skandal neticesinde, Zuckerberg milyonlarca kullanıcısının kişisel verilerini layığıyla koruyamadığı için özür diledi.
Google da YouTube üzerinden sunmakta olduğu video barındırma hizmetine ilişkin benzer sorunlarla mücadele ediyor. Arama motoru devinin -daha fazla olmasa da- en az Facebook kadar dayanıklı bir veri toplama mekanizması olduğuna inanılıyor. Buna karşılık Google, özellikle veri koruma otoritelerinin bu inancını savuşturmaya çalışıyor.
Bu gelişmeler üzerine Arjantin ve Brezilya gibi ülkeler de hedefli reklamlar için, Facebook gibi ortamların kullanıcı veri tabanlarını kullanan şirketleri dikkate alarak, Avrupa tarzında özel hayatın gizliliğine ilişkin kuralları araştırıyor. Benzer şekilde ABD’deki kanun koyucular da Zuckerberg’in ifadesi üzerine, Silikon Vadisi’ne yönelik hukuki düzenleme yapma konusuna daha ılımlı yaklaşıyor.
Buna karşılık, özel hayatın gizliliğiyle ilgili geçmişteki hukuki düzenlemeler, teknoloji şirketlerinin gücünü azaltmaya yönelik kayda değer ilerleme sağlayamadı. Gerçekten de Facebook, Google ve diğer şirketlerin gücünü test etme girişimleri akabinde Avrupa’da meydana gelen gelişmeler bu tespiti doğruluyor.
AB’nin en yüksek mahkemesi olan Avrupa Birliği Adalet Divanı, insanların internet ortamında “unutulma hakkı”na sahip olduğuna karar verdi. Buna göre, kişilerin Google ve diğer arama motorlarına, arama sonuçlarından ilgili bağlantıların kısmen kaldırılması talebinde bulunmaları mümkün hale geldi. Anılan kararın verildiği günden bu yana Google, Avrupa’da hangi bilginin internet ortamında tutulacağına karar veren mercii pozisyonunu korumaya devam ediyor. Zira her bir talebi değerlendirme ve karara bağlama görevini, “unutulma hakkı”nın yükümlüsü olarak Google yerine getiriyor.
Bir başka gelişme, 2011 yılında Avrupa Birliği’nde “çerez” kullanımına ilişkin yürürlüğe giren direktif özelinde yaşandı. Buna göre web sitelerine, ziyaretçilerini çerez aracılığıyla izlemeleri ve böylelikle elde ettikleri tarama geçmişi bilgilerini kullanarak veri toplamaları halinde uyarıda bulunma yükümlülüğü getirildi. Ancak anılan düzenleme, şirketlerin işleyişini değiştirmek yerine, bilgi akışını kesintiye uğratarak kullanıcılar için web sitesi deneyimini rahatsız edici hale getirdi. Dolayısıyla kullanıcılar, genellikle izlemeye ilişkin açıklamaları okumaksızın, bir an önce uyarı pencerelerinden kurtulmak için web sitelerinin çerezleri aracılığıyla izlenilmeye onay veriyorlar.
Kişisel verilerin korunması ve özel hayatın gizliliğine ilişkin devam eden karmaşa, Facebook ve Google’ın ne işlerini ne de kullanımını azaltıyor. Nitekim Zuckerberg’in açıklamalarına göre, Cambridge Analytica skandalının Facebook’un işlerinde önemli bir etkisi olmadı. Hatta geçtiğimiz hafta açıklanan bilançoya göre, Facebook’un yılın ilk çeyreğinde satış gelirlerinin yüzde 50, net karında ise yüzde 63 artış gösterdiği görülüyor. Yine Google, büyümeye devam eden reklam işlerine binaen ilk çeyrekte yüzde 26 gelir artışı açıkladı.
AB’de 25 Mayıs 2018 tarihinde yürürlüğe girecek olan Genel Veri Koruma Tüzüğü teknoloji şirketleri bakımından önem arz ediyor. Zira tüzük, şirketlerin kişisel verileri toplaması, saklaması ve işlemesine ilişkin birtakım kısıtlamalar getiriyor. Buna göre, şirketlerin kişisel verilerin hangi amaçla işleneceğini açık ve anlaşılır bir dille açıklama ve bu verilere kimlerin, hangi amaçlarla erişebileceğini ayrıntılı biçimde anlatma yükümlülükleri bulunuyor. Dolayısıyla artık şirketler, anlaşılması güç ve genellikle göz ardı edilen hizmet koşullarının arkasına saklanamıyor; kullanıcıların kişisel verilerinin işlenmesine ilişkin bilgilendirilmeyi yaparak rızalarını almaları gerekiyor.
Avukatlar ve danışmanlık şirketlerine göre ise Tüzük esasen büyük teknoloji şirketlerini dizginlemeyi amaçlamıyor. Benzer şekilde, bazı özel hayatın gizliliği destekçileri, Tüzük’ün halihazırda güçlü teknoloji şirketlerine avantaj sağlayacağı iddiası karşısında dehşete kapılıyor. Teknoloji devleri de anılan basmakalıp iddiayı gelecekteki hukuki düzenlemelere engel olmak için ileri sürüyor.
AB’deki hukuki düzenlemeler, veri aktarımını sınırlandırarak belirli kitlelerin ilgi alanlarını hedefleyen reklamları engelliyor olabilir. Ancak reklam verenlerin daha geniş kitlelere erişim sağlayan internet ortamındaki hizmetlere eğilimi göz önüne alındığında, Facebook ve Google’ın hâlâ avantajlı konumda olduğu görülüyor. Nitekim Facebook’un 2,2 milyar, Google’a ait olan YouTube’un ise 1,5 milyar aylık kullanıcısı bulunuyor.
Tüzük’ün hazırlık çalışmalarında yer alan Avrupa Veri Koruma Denetçisi Giovanni Buttarelli’ye göre, hukuki düzenlemelerin etkisini, yasayı yürürlüğe koyanlarla, iyi şekilde finanse ve organize edilmiş lobiciler ve avukatlarla mücadele edenler belirleyecek. Avrupa merkezleri İrlanda’da olan Facebook ve Google, İrlanda Veri Koruma Otoritesi tarafından denetime tabi tutuluyor. Buttarelli tüm Avrupa ülkelerinde yaklaşık 2 bin 500 kişinin denetime ilişkin çalıştığını söylüyor. Ancak Avrupa Komisyonu ve Parlamentosu’nun da bulunduğu Brüksel ve Strasburg’daki lobicilerle karşılaştırıldığında, bu rakamın kayda değer olmadığını belirtiyor. Teknoloji devlerinin avantajlı konumunu kabul eden Buttarelli, buna karşılık Tüzük’ün özellikle daha çok veri işleyen şirketleri mercek altına alacağını ekliyor. Bu bağlamda, teknoloji devi olmanın hem avantaj hem de dezavantaj olduğuna değinen Buttarelli, küçük ve orta ölçekli şirketlerin farklı düzenlemelere tabi tutulacağını dile getiriyor.
Kullanıcıların rızasının alınması söz konusu olduğunda, Avrupa’nın Facebook ve Google’ı daha sıkı kurallara tabi tuttuğunu söylemek yanlış olmaz. Anılan teknoloji devlerinin ürün ve hizmet sunumlarını WhatsApp, Instagram gibi diğer uygulamalarla veri paylaşımı koşuluna bağlaması artık mümkün değil, çünkü rızanın bilgilendirilmeye dayalı olmasının yanı sıra, özgür iradeyle de açıklanması gerekiyor. Ancak söz konusu kural, küçük ölçekli şirketler bakımından uygulama alanı bulamıyor. Yine de büyük ölçekli şirketlerin Tüzük’e uyum çalışmaları sürecinde yer aldığını belirtmek gerekir.
Geçtiğimiz haftalarda Facebook, -sadece Avrupa’daki değil- tüm dünyadaki kullanıcılarına yönelik, hedefli reklam kullanımı ve yüz tanıma özelliğine onay vermeleri için bir rıza formu yayınladı. Ayrıca reklam veren şirketlerin Acxiom, Experian gibi veri simsarlarından satın aldıkları verilerle hedefli reklamlar oluşturmasını engelleyeceğini dile getirdi.
Yıllardır yeni düzenlemelere uyum çalışmaları yürüten Google, hedefli reklam gösteriminde kullanmak üzere kullanıcılarının Gmail iletilerini taramaya son verdi. Yakın zamanda yayıncılar için piyasaya sürdüğü yeni pazarlama ürünü ise, kişisel veriler yerine kullanıcıların ziyaret ettiği herhangi bir web sitesindeki haberler veya içeriğe dayanan reklamlar gösteriyor.
Öte yandan Facebook’un yeni rıza formları, kullanıcıların geniş ölçekte bilgi paylaşımını teşvik etmeye devam edeceği gerekçesiyle kamuoyunda kabul görmedi. Ayrıca Google, Avrupa’da güncellediği bir veri kullanım ilkesinin açık uçlu bir dille kaleme alınmış olmasından ötürü eleştirilerin hedefi oldu. Zira anılan ilke, rızanın genel nitelikli olmayıp belirli bir duruma özgülenmiş olması ve ilgili kişinin isteminin açık ve kesin bir göstergesi olması yönündeki şartlarını bir arada bulundurmuyordu.
Tüzük’e umut bağlayanların sayısı giderek artıyor; ancak vaatlerini yerine getirip getirmeyeceği, Tüzük’ün uygulanma biçimiyle şekillenecek.
[İstanbul Sabahattin Zaim Üniversitesi Hukuk Fakültesi Medeni Hukuk Anabilim Dalı’nda araştırma görevlisi olan Yıldız Sekban Türkmen, kişisel verilerin korunması alanında çalışmalarını sürdürmektedir]
HABERE YORUM KAT