TEKNOLOJİ

DigitalAge | 03.05.2018 - 15:34

Facebook / Cambridge Analytica skandalının veri koruma çabalarına etkisi

Artık hepimiz biliyoruz veya bilmemiz gerekir ki, 25 Mayıs’ta AB Genel Veri Koruma Yönetmeliği (GDPR )yürürlüğe giriyor. Peki, ABD’de böyle bir mevzuat olsaydı, Facebook ve Cambridge Analytica skandalının verdiği zarar bu raddeye gelir miydi? Bir soru daha soralım: ABD’de böyle bir mevzuat olmamasına rağmen ve belki de çıkarmayacak olmasına rağmen, bundan sonra da bu tarz skandallar olabilir mi?

Facebook
Twitter
Linkedin
+

Ülkemizde ses getirmemiş olan ve ülkemiz vatandaşlarının, belki de kendi verileri kullanılmadığı düşüncesiyle, aklına gelmemiş olan en önemli hukuki gelişme ABD ve İngiltere’de 71 milyon’dan fazla kişinin Facebook’a ve Cambridge Analytica’ya karşı dava açmış olması. Dava detaylarını incelediğimizde hukuka aykırı olarak ele geçirilmiş verilerin sadece 2016 ABD seçimleri için değil, çok daha öncesinden başka amaçlarla da, mesela Birleşik Krallık’ın AB’den ayrılmasına ilişkin, Brexit diye bilinen referandum kampanyasında da kullanıldığına ilişkin iddialar görüyoruz. İddianın temeli, uluslararası devletler üstü insan hakları sözleşmeleri ve anayasalar tarafından korunan iletişim hakkının, mahremiyetin, kişilik haklarının ihalal edilmesi ve bu ihlal sonucu elde edilen kabiliyetlerin demokratik süreçleri etkilemekte kullanılması.

Dava detayları içinden de teyid edebileceğimiz gibi Facebook hedeflenmiş sosyal medya reklamları ile her yıl yüz milyarlarca dolar gelir elde ediyor. Diğer taraftan gerek bazı ABD eyaletlerinde (Illinois), gerekse Kanada ve AB’de biyometrik veri toplamak ve işlemek anlamına gelen yüz tarayan ve kimlik tesbiti yapan Facebook Moments uygulamasının, yüz tarayacak şekilde çıkarılmaması yönünde mahkeme kararları çıkıyor. Yani, hukuk her gün bu konuyla o veya bu şekilde meşgul, düzenlemeler geliyor.

Facebook, YouTube ve Twitter gibi dijital medya mecraları üzerinde yaptığımız “like”lar, paylaşımlar, takip ettiğimiz kişiler, gruplar, kanallar, yaptığımız özel yazışmalar, post ettiğimiz içerikler ve Google gibi arama motorları üzerinde yaptığımız aramalar, ziyaret ettiğimiz sayflara verdiğimiz çerezler (cookie) bizim “kim olduğumuzu, neyi sevdiğimizi ve ne istediğimizi” çok net olarak sergiliyor. Milyarlarca kişinin bu verileri sayesinde coğrafya, yaş, cinsiyet, gelir düzeyi, dinî/siyasî/felsefî/ideolojik profilleme, cinsel tercih gibi bir çok parametreye göre kolaylıkla kategorize edilerek, tam da istediğimiz gibi veya hatta istemediğimiz gibi reklamlara veya siyasi kampanyalara maruz bırakılabiliyoruz.

Bu veriler, eğer gerekli önlemler alınmazsa, zaman zaman da alınsa bile, sadece bu internet hizmetleri için değil, onların iş ortakları, yüklenicileri, sunucuları, çalışanları, hatta devletlerine ve istihbarat örgütlerine (Snowden’ın ifşa ettiği gibi) kadar erişilebilir oluyor.

ABD’de bir mevzuat olsaydı, işler buraya gelir miydi?

Artık hepimiz biliyoruz veya bilmemiz gerekir ki, 25 Mayıs’ta AB Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe giriyor. Peki, ABD’de böyle bir mevzuat olsaydı, Facebook ve Cambridge Analytica skandalının verdiği zarar bu raddeye gelir miydi? Bir soru daha soralım: ABD’de böyle bir mevzuat olmamasına rağmen ve belki de çıkarmayacak olmasına rağmen, bundan sonra da bu tarz skandallar olabilir mi?

Hemen altını çizelim ki, GDPR, şirketleri hizmetlerini kullanan kullanıcılardan kişisel verilerini alabilmek, bunları işleyebilmek ve paylaşabilmek için “tam bilgilendirilmiş, segmente edilmiş ve açık izin” alması şartını koşuyor. Eğer işleme, kullanma amacı veya paylaşım şartlarında değişiklik olması halinde iznin buna uygun güncellenmesini arıyor. Bir diğer çok önemli husus ise Facebook / Cambridge Analytica tarzı bir sızma / haksız kullanım skandalının öğrenilmesinden itibaren 72 saat içinde şirketten düzenleyici kurumlara açıklama yapılması şartını getiriyor.

Biz bugün biliyoruz ki, ne izinler doğru alınmış, ne alınan izinler doğru kullanılmış. Hatta Facebook bu hukuka aykırılığı öğrenmesinin üzerinden neredeyse üç yıl geçmiş ve yine de kendisi proaktif olarak bildirim yapmamış. Yani, işi neresinden tutarsanız, tutun, elinizde kalıyor. Böyle bir durumda GDPR’ın Facebook gibi malî gücü ve geliri çok yüksek şirketler için yıllık gelirinin yüzde 4’üne kadar oranda para cezası uygulama yetkisi olacak. Bu mevzuat ABD’de olmadığı için, ABD’nin düzenleyici kurumları ve mahkemeler bu gerekliliklerin zaten var olduğuna ve para cezasına hükmedemez mi?

Bence kesinlikle hükmedebilir. Zira Facebook’un ve Cambridge Analytica’nın fiilî her bakımdan hem “contractual” hem de “criminal tort” yani sözleşmesel ve cezai haksız fiil. Çünkü hem kullanıcı sözleşmesi hem verilen izinler ihlal edilmiş vaziyette. Diğer taraftan en başta belirttiğim üzere temel hak ve hürriyetler kasten ihlal edildiği gibi, bunlar üzerinden çeşitli menfaatler sağlanmış, hiç izin vermeyenlerin iletişim sistemleri ve mahremiyetleri kasten ihlal edilmiş ve bu ihlalin farkına varıldıktan sonra mağdurlar ve düzenleyici kurumlar haberdar edilmemiş.

Facebook uyum adımlarını atmaya çoktan başladı

Aynı sonuca ülkemiz mevzuatı bakımından da rahatlıkla ulaşabiliriz. Zaten Kişisel Veri Koruma Kanunu’muz çıkmadan önce de aynı fiileri Anayasa, Borçlar Kanunu, Ceza Kanunu, Medeni Kanun, elektronik haberleşme mevzuatımız yasaklıyor ve düzenliyordu. Hal böyleyken bile dünyanın hiçbir yerinde düzenleyici kurumlar bu işi genel hükümlere ve mahkemelere bırakamaz. Zira, ne olursa olsun özel ve detaylı düzenlemeler, uygulama rehberleri ve cezalar ihdas edilmesi şarttır ve tüm dünyada bunu yapmakta. Zuckerberg de ifadesi esnasında GDPR düzenlemelerin globale yayılacağını ve Facebook’un uyum adımlarını atmaya çoktan başladığını açıklıyor.

ABD, AB ve Japonya gibi yetki bölgelerinde artık büyük kullanıcı verisi toplayan şirketlerin özel teminat fonları kurmalarına, teknolojik Ar-Ge amacıyla toplanan veriyle, hedeflenmiş reklamla varlığını ve gelirini sürdüren şirketlerin bu amaçla aldığı verinin farklı alım ve kullanım şartlarına, mesela ödeme karşılığı alınabilmesine ilişkin düzenlemeler tartışılıyor. Tabii, spesifik para cezaları, hürriyeti bağlayıcı cezalar, sürekli olarak düzenleyici kurumlara bildirim yapma yükümlülükleri, bildirim yükümlülükleri, acil durum cevap sistemleri ve güvenlik önlemleri gibi spesifik düzenlemeler de hazırlanıyor.

Facebook veri skandalı ve sonrasında ortaya çıkan gelişmeler gösterdi ki, ne bu münferit skandal, ne de günümüzün yeni değer birimi olan veri üzerindeki kavga bitecektir. Önümüzdeki dönem veri ihlalleri, alışverişi, siber güvenlik ihlalleri ve bunların çevresinde gelişen bir mevzuat ve içtihatlar dönemi olacaktır.

Burçak Ünsal, NY & İstanbul Baroları Avukatı