Teknoloji

ABD’de İnternet Mahremiyeti ve Bizdeki Durum


Teknoloji

Malum, Donald Trump’ın “ulusal güvenlik” tedbirlerini hepimiz duyuyoruz. Birkaç saat sonra ABD Temsilciler Meclisi’nde internet servis sağlayıcılarının hizmetlerindeki “mahremiyet yasası” oylanacak. Oylanacak yasa beraberinde, tüketicilerin internet servis sağlayıcılarındaki kişisel verilerinin kullanılması ve paylaşılmasına dair yetkinin son kullanıcıların elinden alınmasını getirecek. Meclis bu hakkın tüketicilerden alınmasını reddetse bile Trump’ın yasayı onaylaması bekleniyor.

Normalde sistem nasıl işliyor?

İnternet servis sağlayıcıları, tüketicilere; hangi verileri topladıklarını, bu verilerle ne yaptıklarını ve bu verileri kimlerle paylaştıklarını açıklamak zorunda. İnternet servis sağlayıcıları, tüketicilerin verilerini korumak için gerekli tedbirleri almak zorunda. Aynı zamanda herhangi bir ihlal durumunda da kanun koruyucuları bilgilendirmekle yükümlü. Tüketiciler hassas gördükleri sağlık, finans, vatandaşlık numarası (sosyal güvenlik numarası), internet tarayıcı geçmişi ve uygulama verileri gibi verileri de ancak kendi izinleri doğrultusunda üçüncü şahıslarla paylaşabiliyor. Ayrıca tüketicilerin en az zahmetle bu onay süreçlerini tamamlayabilmeleri için gereken kolaylığın sağlanması temel prensip sayılıyor.

Denetim nerede?

Şimdi burada iki yapı var; biri Federal Ticaret Komisyonu diğeri de Federal İletişim Kurulu. Federal İletişim Kurulu tüketicilere yönelik riskler gerçekleşmeden önceki (önleyici) tedbirler ile ilgilenirken, Federal Ticaret Komisyonu ise risk gerçekleştikten sonra yani kişisel verilerin yasadışı ve yetkisiz kişilerce kullanılmasının sosyal, ekonomik vb. sonuçları ortaya çıktıktan sonra devreye giriyor. (Federal Ticaret Komisyonu daha çok tüketici hakları, rekabet koşulları, tekelleşme gibi uygulamalarla ilgileniyor. Federal İletişim Kurulu ise daha çok bizdeki RTÜK ile TİB’in birleşimiş versiyonu gibi çalışıyor, ki bizde TİB OHAL kapsamındaki 671 sayılı KHK ile kapatıldı, şimdi BTK onun işlevini sürdürüyor.)

Tabi bir de işin internet servis sağlayıcıları tarafı ile internet sitesi/yazılım şirketi tarafı var. İnternet servis sağlayıcıları tüketicilerin hemen hemen bütün trafiğini, konumunu, cihazlarını vb. biliyor. İşin site/yazılım şirketi tarafı ise bu trafik içindeki küçük bir bölümünü bilebiliyor. Bunu söylememin sebebi ise şu; bugün ABD’li bir internet kullanıcısı, canı istemediğinde e-posta sağlayıcısını, arama motorunu, sosyal ağ üyeliğini vb. hizmetlerini anında değiştirebilir fakat internet servis sağlayıcısını aynı kolaylıkla değiştiremez. İşte burada, Federal İletişim Kurulu’nun internet sitesi/yazılım tarafında hiçbir yaptırımı olmuyor, fakat meclis bu noktada şirketlere dur diyebilir. Yani Meclis, Federal İletişim Kurulu’nun tavsiyeleri ile tüketicileri korumak amacıyla yasa teklifinde bulunabilir (veya yasaları çıkarabilir).

ABD’deki durumu özetlemek gerekirse; internet servis sağlayıcıları, kullanıcı verilerini en yüksek fiyatı verene satma yetkisine kavuşmadan önce Amerikalılar’ın son saatleri olduğunu söyleyebiliriz.

Tamam da bizde durum nasıl?

Şimdi bu durumu ülkemizle kıyasladığımızda BTK’nın pek çok önlem aldığını ve tavsiyelerde bulunduğunu görebiliyoruz (http://internet.btk.gov.tr adresinden detaylı bilgi alabilirsiniz). Ayrıca http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf adresinden 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu (ve 671 sayılı KHK’yı) incelemenizi şiddetle tavsiye ederim. Bu noktada Kişisel Verileri Koruma Kurumu ve gerekli teşkilatlanmaların kurulması da sevindirici. Fakat endişelendirici bir nokta da yok değil. Hala internet servis sağlayıcılarının hizmet sözleşmelerinde (küçük puntolarla yazmak yasaklanmış olsa bile) “hizmetin sürekliliğini sağlamak için bazı izinlerin peşinen verilmesi” gerektiğine dair ali cengiz oyunları yer aldığını biliyoruz.

Sözleşme imzalama aşamasında bazı küçük kutucuklar işaretlendiğine (ki bu kutucukların şirket çalışanları tarafından işaretlenmemesi için kutucuklar “işaretlenmemeye göre” tasarlanmışlardır) ya da işaretlenmediğinde verilerimizi pazarlamaya izin vermiş/vermemiş oluyorsunuz. Halbuki bu iş küçük onay kutucuklarıyla hiç yapılmamalı. Bu tür izinler için sözleşmelere, mahremiyetle ilgili olan ve hizmeti hiçbir şekilde kesintiye uğratmayan hükümler ile bağlanmış ek sözleşmeler olmalı. Kutucuklar değil ek sözleşme tamamen imzalandığında onaylanmış olmalı.

Akıntıya Karşı Kürek Çekmek

Aslında hepsini bir kenara bırakacak olursak, bugün bütün bu kanunları tek bir KHK ile rafa kaldırmak mümkün. Dolayısıyla “dönüp dolaşıp Trump’ın başkanlığındaki duruma gelmememiz için hiçbir sebep yok” da diyebiliriz. Gerçi siyaseten düşündüğümüzde, bizde bu tür konuları tartışmaya pek lüzum da yok sanırım çünkü ülkemizde bu işlerin kağıt üzerinde çok iyi korunmuş gibi görünse de pratikte çok esneyebildiğini biliyoruz. Bununla yaşamaya da alışığız. (Bakın haberleşme özgürlüğü, sansür vb. konulara girmiyorum. O iş beni aşar, o yüzden işin teknolojik kısmında kalıyorum.)

15 Temmuz öncesinde yani TİB‘in yasadışı dinlemelerle gündeme gelerek KHK ile kapatılmasından önce mahremiyetimiz yerlerdeymiş. Doğru, nerden bakarsak bakalım, gerçekten yerlerdeymiş. Fakat aynı yetkiler BTK’ya geçtiğinde daha iyi mi korunmuş olduk ya da bu sefer bizi bizim güvenliğimiz için dinlediklerine inanalım mı? E hadi bunları da bir kenara bırakalım, son kullanıcı açısından yine bir şey değişmiş olmuyor. Yetki aynı, uygulama aynı, zaafiyetler aynı, sadece insanlar farklı. Sonuç olarak orada kurumun tasfiye edilip başka bir kuruma teslim edilmesinden başka yeni bir şey yok gibi görünüyor. Ulusal güvenlik meselesi elbette önemli ve KHK da bu sebeple çıkarılmış. Ulusal güvenlik standartları ile internet sağlayıcılarının hizmet standartları bambaşka iki konu. Fakat ikisi şu an bir potada BTK çatısı altında eritiliyor. Ben, ne dün TİB döneminde, ne de bugün BTK döneminde kişisel verilerimizin yeterince korunmadığına inanıyorum. İnternet servis sağlayıcılarının bugün yaptığı uygulamaların tüketici lehine geliştirilmesi namına da; BTK’nın pratikte daha kullanıcı dostu davranması, daha özgür ve kişisel verilerin korunması ile ilgili ilerleme kaydedebilmiş bir pozisyona gelmesi gerektiğine inanıyorum. Tabi bunların gerçekleşmesi için yasama, yürütme ve yargının güçlerinin bağımsız hareket edebilmesi gerekir. Ülkede olağanüstü hal varken de son kullanıcılar lehine bir gelişme beklemek polyannacılık olur. İnternette mahremiyeti aslında biraz da fantastik görmüyor değilim fakat birilerinin kişisel verileri ortalığa saçmadan ya da ona buna satmadan önce sorumlu davranması gerekiyor. Yani ülkemizdeki durumu özetlemek gerekirse de, bardağın yarısı dün de boştu, bugün de boş.

@mehmetcanyilmaz