Kişisel veriler nedir ve nasıl toplanıyor? Bunun etkileri neler ve bu alan nasıl düzenlenmeli?
REKLAMKişisel verilerin ne olduğu ve nasıl toplandığı modern toplumun en ciddi meselelerinden biri haline geldi.
2023 başlarında, Brüksel TikTok'un Avrupa Birliği (AB) kurumlarında çalışan personelin cihazlarında bulunmasını yasakladı.
Amerika Birleşik Devletleri'nden (ABD) İngiltere'ye kadar pek çok batılı hükümet benzer adımları attı. Bunun nedeni veri toplama konusunda artan endişelerdi.
Sadece Avrupa'da bile tahmini 150 milyon TikTok kullanıcısı var.
Kullanıcılar platforma girerek çok sayıda kişisel verilerini paylaşmayı kabul etmiş oluyor.
Batılı hükümetler de bu verilere Çin hükümeti tarafından erişilme potansiyeli konusunda ciddi endişeler taşıyor. Pekin ise tüm iddiaları ve suçlamaları reddediyor.
Ancak veri toplayan sadece TikTok değil ve veri toplamayla ilgili sorunlar, popüler sosyal medya platformunun yükselişinden çok önce ortaya çıktı. İnternetteki arama geçmişiniz, tarayıcı tercihleriniz ve girdiğiniz bilgilerden büyük miktarda kişisel veri toplanabiliyor.
Kişisel veriler nedir ve nasıl toplanır?
Kişisel veriler, diğer başka pek çok şeyin yanı sıra temel olarak bir kişinin adı, yaşı, adresi, iletişim veya e-posta adresi gibi bilgileri içerir ve bir kişiyi tanımlamak için kullanılabilir.
Bu veriler bazen güvenlik için "rumuz" haline getirilir ve bu şekilde kişinin kimliğinin tespit edilmesi zorlaştırılır. "Anonim" kalmak tüm kişisel tanımlayıcıların kaldırıldığı, böylece bir bireyin artık kimliğinin tespit edilemeyeceği anlamına gelir.
İster IP adresleri, gezinme verileri, tanımlama bilgileri veya formları doldururken sağladığımız bilgiler olsun ister diğer kişisel bilgilerimiz olsun bilgilerin sanal ortamda elde edilebileceği birçok yol vardır.
Gönderileri ve paylaşımları 'beğenerek' veya farklı tepkiler verdiğimizde de sosyal medya aracılığıyla kendimiz hakkında birçok veriyi dağıtmış oluyoruz. Bu gibi eylemler, biz farkına bile varmadan hassas verilerimizi açığa çıkartabilir.
Nerede olduğumuz, kiminle olduğumuz, ne yaptığımız, tercihlerimiz, cinsel yönelimler, sağlık verileri, politik veya dini bağlantılar, ırk, etnik köken, kazancınız...vb gibi daha pek çok bilgi ifşa edilmekte. Bu da tacize, ayrımcılığa ve hatta kimlik hırsızlığına yol açabilmekte.
Genellikle veri toplama ve potansiyel sızıntı tehlikesiyle ilgili endişelerin odak noktası bu türden hassas veriler.
Veri toplanmasının faydaları ve tehlikeleri
Veri toplamak yeni bir şey değil. Ancak, verilerin sanal ortamda toplanma şekli yeni. Bugün benzeri görülmemiş miktarda veri toplanıp saklanmakta.
Dijital çağda verilerimiz dijital ekonominin giderek daha önemli bir parçasını oluşturuyor. Yalnızca AB'de toplanan verilerin değeri birliğin toplam GSYİH'sinin yüzde 3,6'sına denk geliyor. Bir AB raporuna göre, 2030 yılına kadar bu değer 1 trilyon euroya yakın bir miktara ulaşacak.
Veri toplama fikri biraz endişe verici görünse de, aslında o kadar da kötü değil. Bankacılıktan sağlık hizmetlerine kadar pek çok şey için kullanılan verilerle toplumun işleyişi anlamında büyük faydalar da sağlanıyor.
Örneğin, hastaların geçmişteki hastalıkları ve tedavileri hakkında ne kadar çok veri toplanırsa, doktorlar o kadar çok hastanın sağlık durumunu daha iyi anlayıp çözüm üretebiliyor.
Ancak son yıllarda dijital ekonominin büyüme hızı, yasa koyucular için bu alanın takibini ve kötüye kullanımların engellenmesini zorlaştırdı.
REKLAMAvrupa Dijital Haklar Programı (NOYB) direktörü Robert Romain şöyle diyor:
“Veri güçtür. Veri insanlara erişim, içerik sağlama, bazı içerikleri sansürleme, siyasi davranışlarını etkileme gibi birçok şeye erişim sağlar, imkan tanır."
Verilerin gücünün en somut ve yakın geçmişteki kötü örneklerinden biri, Amerikan sosyal medya devi Facebook'un 87 milyon kişinin kişisel verilerinin toplanmasını sağlayarak 2016 Amerikan seçimlerinin dışardan yönlendirildiğinin ortaya çıktığı Cambridge Analytica skandalıydı.
Kullanıcıların izni olmadan toplanan bu veriler, ABD başkanlık kampanyası sırasında eski ABD Başkanı Donald Trump adına seçmenlerin profilini çıkarmak ve onların siyasi tercihlerini belirlemek için kullanıldı.
AB'de dünyanın en katı veri gizlilik yasası yürürlükte
AB, Mayıs 2018'de bloğun modern dijital çağ için ilk büyük veri gizliliği ve güvenliği yasası olan 'Genel Veri Koruma Yönetmeliği'ni (GDPR) yürürlüğe koydu.
REKLAMDünyadaki en katı gizlilik yasası olduğuna inanılan GDPR, 27 farklı Avrupa ülkesinde yasal olarak bağlayıcı. Ayrıca, birlik dışından olsa bile AB vatandaşları hakkında veri toplayan tüm firmalar ve kuruluşlar için geçerli.
Verilerin korunması, GDPR'de temel bir hak olarak kaydedildi. Kişisel veriler "adil ve yasal" bir şekilde korunmak ve kullanılmak zorunda. Yani daima belirli bir amaç için ve kişinin rızasıyla toplanmalı. Bir kişinin ayrıca kendisi hakkında toplanan verilere erişme ve yanlış kaydedilmiş her şeyi değiştirme hakkı var.
Kuruluşlar ana ilkelere bağlı kalmak zorunda aksi halde büyük para cezaları ile karşı karşıya kalıyorlar.
Kuralların beş yıl önce yürürlüğe girmesinden bu yana, örneğin Google, Amazon ve Meta gibi dünyanın en büyük şirketleri ihlaller nedeniyle ayrı ayrı yüz milyonlarca euro ve toplamda milyarlarca euro para cezasına çarptırıldı.
Bugüne kadarki en büyük ceza GDPR kriterlerine uymadığı için Amazon'a 2021'de verilen 746 milyon euroluk ceza oldu.
REKLAM"GDPR'nin daha da ileri gitmeli"
AB, dünyanın en güçlü veri koruma yasası olmasına rağmen, GDPR'nin daha da ileri gitmesi gerektiğine karar verdi.
Politika yapıcılar şimdi Dijital Hizmetler Yasası (DSA) ve Dijital Piyasa Yasası'nı (DMA) birleştiren 'Dijital Hizmetler Yasası' paketini getirdi.
DSA, kullanıcıları sanalda görüntülenen hedefli reklamlar üzerinde daha fazla kontrol sahibi yapacak. Bu şekilde yasa dışı veya zararlı içeriğin yayılması sınırlanacak.
DMA da daha küçük dijital şirketlerin daha büyük şirketlere karşı rekabet etmesine yardımcı olarak dijital ekonomiyi güçlendirmeye ve tüketicinin elini güçlendirmeye odaklanıyor.
Uygulama sorunları
Bu kadar katı yasaları uygulamak kolay değil. AB ülkeleri genelinde, her ülke için 27 ulusal 'veri koruma yetkilisi kurum' (DPA) mevcut.
REKLAMDPA'lar, Avrupa Veri Koruma Kurulu (EDPB) içerisinde birlikte çalışıyor ve Brüksel'deki Avrupa Veri Koruma Denetçisi tarafından yönetiliyor.
“İki veya üçten fazla ülkeyi kapsayan uluslararası bir davada GDPR'yi uygulamak son derece karmaşık bir hal alıyor" diyen Romain, "Kusurları gidermek için AB Komisyonu 2023 yazında yeni kurallar getiriyor" haberini vererek Komisyon'un yaptırım ayağında bir sorun olduğunun farkında olduğunu vurguluyor.
Yine de genel olarak GDPR, AB genelinde kişisel veri güvenliğinde büyük bir gelişme sağladı. Şirketlerin artık büyük ölçüde yeni kurallara uymasıyla, vatandaşlar dijital haklarının dünyanın herhangi bir yerinden daha iyi korunduğuna eminler.
AB üyesi bir devletin bu anlamda dev şirketlere karşı ali çok güçlü oluyor çünkü şirketler tek bir ülkeyi gözden çıkarabilecek olsalar da tüm AB'yi karşılarına alamıyorlar.