İnternet Sitelerine Üyelikte Okumadan Kabul Ettiğimiz Sözleşmeler Başımıza Bir İş Açar mı?

2 eylül 2017'de abd gazetelerinin hemen hepsinin manşeti aynıydı, kredi raporlama kurumu equifax'ten 143 milyon müşterinin kişisel bilgileri(ki bunların arasında abd'liler için kritik öneme sahip sosyal güvenlik numarası da bulunmaktaydı) sızdırılmıştı. bir iki hafta boyunca yer yerinden oynadı, şu anda baktığımızda çoğu kişi olayı o kadar da önemli görmüyor.

ülkemizde bir benzeri seçim bilgilerinin sızdırılmasıyla oluşmuştu. şu anda baktığımızda sanki başka bir zamanda başka bir yerde olmuş gibi geliyor, durumun ciddiyetinde değiliz.

aktif kullandığım mail adresimi haveibeenpwned sitesinde arattığımda (pishing sitesi değil, güvenilir diye umduğumuz bir site. tabi ki internette mail adresimizi isteyen her yere sorgulayıcı gözle bakmalıyız), heroes of newerth, last.fm, linkedin ve zomato sızıntılarında kişisel bilgilerimin bir bölümünün hatta hash halindeki şifrelerimin de sızdırıldığını görüyorum. (hash halindeki şifre: belirli bir kriptolama algoritması ile gizlenen şifreler. kullanılan algoritmaya göre kırılması kolay ya da zor olabiliyor ama asla imkansız değil!)

farkında olmadan şirketlere çok fazla kişisel bilgi veriyoruz, bu verilerin korunma noktasında ise soru işaretleri var. biraz düşününce zomato'da dolaşırken baktığınız restoranlardan beslenme alışkanlıklarınız, gelir durumunuz ve çoğunlukla gittiğiniz yerlerin çıkabileceğini görüyoruz. farklı farklı çok daha fazla şey çıkabilir ve bu sadece bir site için geçerli.

ihtiyacımız olduğunda kullandığımız cep telefonlarımızı her an yanımızda taşıyoruz. cebimizde kocaman bir harita taşımadan gitmek istediğimiz kafeyi bulmamıza yardım ediyor, o anda aklımıza takılan şarkının sözlerinin tamamına erişebiliyoruz, ilkokulda kendisinden hoşlandığımız kızın çirkinleştiğini görüp iyi yırtmışım diyebiliyoruz ama (genelde ama'dan önce söylenenler sonra söylenenlerin karşısında anlamsızdır) 

bu ücretsiz(?) hizmetlerin karşılığında mahremiyetimizden ne kadar ödün veriyoruz?

başkalarıyla etkileşimimizde saklamak istediklerimizi paylaşmamamızı, saklamak istemediklerimizi de paylaşma ölçümüzü mahremiyet olarak tanımlayabiliriz. anneme söylemek istemediğim bir şeyi arkadaşıma söyleyebilirim, arkadaşıma söylemek istemediğim bir başka şeyi de anneme söyleyebilirim. bu özgürlüğe geniş çerçevede kısaca mahremiyet diyebiliriz.

facebook, google, youtube gibi siteleri günlük hayatımızda defalarca kullanıyoruz. bu kullanımlarımızda pek de farkında olmadan çok büyük hacimlerde veri üretiyoruz. google'ı öğrenmek istediklerimizi aramak için kullanıyoruz, google ise bu aramaları bireyleri tanımlamak için kullanıyor. google'da aranılan her şey veritabanlarında kişilerle ilgili olan profile ekleniyor. bir tek google değil, amazon-facebook-uber-tinder hepsi bunu yapıyor. facebook kullanıcı profillerine ek olarak beğenileri ve postları ekliyor. cep telefonlarında açılan konum servisleri sayesinde ne zaman uyuyup ne zaman uyandığımız, spora gidip gitmediğimiz, o gün belirli bir alandan geçip geçmediğimiz öğrenilebiliyor.

firmaların büyük çoğunluğu bunu onayımız olmadan yapmıyor, kayıt olurken okumadan kabul ettiğimiz kullanım koşullarında bu verilerin toplanıp işlenebileceği ve üçüncü partilerle paylaşılabileceği geçiyor. 

istediğimize ulaşmak için özel hayatımızın büyük bölümünü firmalarla paylaşıyoruz, teknolojinin faydaları karşılığında özel hayatımızı bu sitelerle paylaşıyoruz. ortalama bir internet kullanıcısının kullanım koşullarını okuyup bütünüyle anlayabilmesi çok güç, yaptığımız takasın ayrıntılarını pek çoğumuz bilmek istese de anlayamıyor. anlayamayacağımız kullanım politikalarını okumaktansa kutucuğu işaretleyip yolumuza devam ediyoruz. hukuki olarak sitelere bilgilerimizi kendi ellerimizle veriyoruz ancak gerçekten buna izin veriyoruz diyebilir miyiz? okumadığımız bir şeye "okudum ve kabul ettim" dediğimizde onu kabul etmiş sayılmalı mıyız?

sağlık durumumuzu veya ilişkide olduğumuz kişileri saklamak isteyebiliriz. ancak bunu google'dan ne kadar saklayabiliyoruz? hasta olduğumuzda aklımıza ilk gelen google'da arama yapmak oluyor. ayrıca konum servisleri vasıtasıyla kimlerle buluştuğumuz ortaya çıkabiliyor. bu verilerin çoğu pazarlama dünyasında ise yarıyor. belirli bir lokasyonda seçili zaman aralığında bulunan, 18-30 yaş arasında ve aylık 5000lira ortalama geliri olan bir erkek bireye yeni açtığımız kuaförün reklamını gösterebiliyoruz. (çok benzer kısıtlar koyulabiliyor.)

"benim saklayacağım bir şey yok, neden korkayım ki? istedikleri bilgiyi toplasınlar" diyebiliriz. 

öte taraftan herkesin başkalarından saklamak istediği, eğer başkaları öğrenirse basına iş açabilecek (ilişkinin bozulması, işten kovulma, çok sevdiğimiz bir arkadaşımızın kalbini kırma...) kişisel bilgileri bulunur. veritabanlarında saklanan bu verilerin ne kadar güvenlikli korunduğu ise büyük bir muamma. sadece belirli algoritmaların çözümleyebileceği kompleks şifreleme sistemleriyle korunuyor olabilirler ama ne kadar emin olabiliriz?

normalde şifreli şekilde tutulması ve sistem dışına çıkmaması gereken seçim bilgilerinin açık şekilde tutulduğu ve sistem dışına çıkartılabileceği yaşadığımız sızıntıda ortaya çıktı. ortalama üstü bir kullanıcı bu bilgileri bilgisayarına indirip istediği gibi inceleyebildi.

pek farkında olmadığımız tarayıcı çerezlerimizden veya eklentilerimizden veri toplayıp satan ufak tefek yüzlerce şirket var. 

bu şirketler genellikle bilgilerimizi anonimleştirerek (hangi verinin kime ait olduğunu gizleyerek) sunuyor. bu şirketlerle iletişime geçildiğinde test verişi olarak birkaç yüz binlik veriye ücretsiz ulaşılabiliyor. bu veride 12345 no'lu kullanıcının gezinme geçmişi, sitelerde yaptığı etkinlikler yer alabiliyor. bu veri anonim olduğu sürece pek bir sorun teşkil etmeyecek gibi, elbette bu verinin anonimliğini çözme yöntemleri mevcut, o kadar da zor değiller. yüzbinlerce, milyonlarca kişinin gezinme geçmişine görece olarak kolaylıkla ulaşabiliyoruz. sevmediğimiz üst komşumuzun metresi olduğunu öğrenebilir, bunu ona karşı kullanabiliriz veya bize terfi vermeyen yöneticimizin kullandığı uyuşturucuları koz olarak kullanıp yükselmemizi kolaylaştırabiliriz. büyük pencereden bakıldığında devlette kritik bir pozisyonda olan bir politikacının bilgilerine ulaşıp o kişiye istediğimiz şeyi yaptırabiliriz.

bu verilerin satılması yasal değil ancak satanlara bir şey yapılamıyor. 

yurt dışında bulunan firmalara yaptırım uygulama gücü ne abd'de ne avrupa birliğinde ne de türkiye'de bulunmuyor. verilerimizi istedikleri gibi satıp istedikleri gibi at koşturabiliyorlar.

google, facebook gibi büyük firmaların sahip oldukları kaynaklar sayesinde verilerimizi güçlü algoritmalar ile saklayıp hackerlara önlem aldıklarını düşünebiliriz ancak daha ufak şirketlerin verileri nasıl tuttuklarını bilemiyoruz. çok iyi korunduğunu düşündüğümüz facebook-google'daki verilerimiz bile pazarlama araçlarında bize karşı kullanılırken korunmasız duran verilerle neler yapılabilir. bu şirketler hayatımıza o kadar girdi ki bu şirketlere bilgi vermeden yaşanılan bir hayatı yarım olarak düşünebiliriz. veri sağlayarak daha rahat yaşıyoruz ve mahremiyet gittikçe daha önemsiz bir hal alıyor.

bir yerde bu bilgiler kullanılarak hayatımızı değiştirebilecek kararlar verilebilir. 

çin'de kullanılması planlanan sesame credit ( (bkz: #57547278) entrysinde detaylıca anlatılmış) internetteki ve sosyal hayattaki davranışlarımızı inceleyerek bize bir puan veriyor ve bu puan kurulacak sosyal ilişkilerden alınacak krediye, devlette bir işe girilip girilemeyeceğinden çocukların yakındaki devlet okuluna kaydettirilip kaydettirilemeyeceğine kadar hayatı etkiliyor. puanlamadaki en ilginç etkenlerden biri büyüklerimizi ziyaret edip etmediğimiz, ziyaret ediyorsak daha yüksek puan alıyoruz. 

puanlamanın pozitif diyebileceğimiz yönü ise puanlamada kullanılan etkenler ve ağırlıkları biliniyor. insanlar hayatlarını yüksek puan alabilecekleri şekilde değiştirirlerse (internetin hayatımızı etkilemesi mi demiştik?) daha yüksek puanlar alabilirler. bu tür puanlamaların diğer ülkelerde yaygınlaşıp yaygınlaşmayacağı soru işareti, hangi devlet kendi düşüncelerine paralel olan insanları kendi bünyesinde çalıştırmak istemez ki? abd yakında patriot score çıkartıp vatanseverleri ise almaya yönelebilir veya türkiye anti-fetö puanlaması çıkartıp fetö'yu en az destekleyenleri memur kadrolarına alabilir.

bireysel olarak bu sistemde yapabileceğimiz çok fazla şey bulunmuyor. daha iyi korunan ürünlere yönelip verilerimizin istemediğimiz ellere düşmesini zorlaştırabiliriz.

şirketlerin güvenlik ve gizlilikle ilgili attıkları adımların çoğunun arkasında devlet mevzuatlarının dayatmaları bulunuyor. 

çoğu teknoloji şirketinin bulunduğu abd'de şirketlerin lobi faaliyetleri sayesinde kısıtlamalar gevşekken lobilerin daha az etkili olduğu avrupa birliğinde mevzuatlar şirketleri kısıtlıyor. avrupa birliğinde 2018 yılı içinde yürürlüğe girecek olan general data protection regülation (gdpr) şirketlere kişisel verilerin korunumu ile ilgili kısıtlamalar getiriyor. şirketlerden gelen taleplerle tasarı aşamasında yapılan 3000'den fazla değişiklik başvurusu ile avrupa birliği tarihinde en çok değiştirilmek istenen yasa tasarısı ünvanını elinde bulunduruyor. ne kadar çok yeri rahatsız ettiği değişiklik talep sayısı ile görülebilir. 

lobi faaliyetlerinin başarısız olması sayesinde bu başvurulardan pek çoğu reddedildi. yürürlüğe girmesi ile beraber avrupa birliği vatandaşlarının verilerini işleyen bütün şirketler gdpr'a tabi olacak ve gerekli önlemleri almak durumunda kalacak. ülkemizde ise gdpr'a paralel hazırlanan kişisel verilerin korunması kanunu 7 ekim 2016 tarihinden itibaren hayatımızda. bu kapsamda türkiye vatandaşlarının verilerini kullanan şirketler verilerimizi belirli standartlarda saklamak/işlemek durumunda.

veri sızıntılarında uygulanacak yaptırımlar sebebiyle şirketler olası sızıntılara karşı toplayacakları veriler konusunda daha seçici olmaya başlayabilirler, en azından ümit o yönde.

kaynak: çeşitli internet siteleri olmakla beraber çerçeveyi the inquiry belirlemiştir.