Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez

Transkript

1 Çevrimiçi Davranışsal Reklamcılık (ÇDR) kapsamında "Kişisel Verilerin Korunması Kanunu Tasarısı" hakkında Alternatif Bilişim Derneği'nin görüşleri 1 (v.04) 1. Aşağıdaki görüşler Internet Geliştirme Kurulu'nun 26/12/2012 tarihinde Kadir Has Üniversitesinde düzenlediği toplantı kapsamında ağırlıklı olarak Kişisel Verileri Koruma (KVK) Kanunu Tasarısının Online Davranışsal Reklamcılık (ÇDR) - Online Behavioural Advertising (OBA) kısmıyla ilgilidir. 2. Tasarının 29. maddesinde Bu kanun uygulamasına ilişkin yönetmelikler ilgili kurum ve kuruluşların görüşleri alınarak Kurum (Kişisel Verileri Koruma Kurumu) tarafından çıkarılır denilmektedir. ÇDR bu yönetmeliklerden birinin konusu olmalıdır. 3. ÇDR dünyada ve Türkiye'de Internet ortamında yaygın olarak kullanılmaktadır. Buna rağmen sıradan Internet kullanıcısı bu durumdan habersizdir. ÇDR kapsamında kullanıcıların başkalarıyla e-posta iletişimi, Internet aramaları ve ziyaret ettikleri siteler çeşitli yazılım ve donanım araçlarıyla analiz edilmektedir. Bu analiz sonucunda kişilerin tüketim alışkanlıklarıyla birlikte siyasal, dinsel, felsefi ve cinsel eğilimleri ve siyasi parti, sendika ve dernek gibi kuruluşlara üyelikleri ortaya çıkarılmaktadır. ÇDR'nin amacı tüketim alışkanlıklarına uygun reklam göstermek olmasına karşın açığa çıkan diğer özelliklerinin kişileri fişlemek için kullanılması oldukça kolaydır. Bu yönden denetimsiz ortamlarda ve kanuni düzenlemenin olmadığı şartlarda yapılan ÇDR kişilik haklarına açık bir saldırı olarak tanımlanabilir. Kişilerin ÇDR kullanımından edindikleri yararın sınırlı olması ve ÇDR vasıtasıyla izlendiklerinden habersiz olmaları durumu daha da ağırlaştırmaktadır. Halen Türkiye'de olan budur. 4. ÇDR işlerliği kişilerin ziyaret ettikleri sitelerin sınıflandırılması ve kişisel iletişimlerinin analizi (özellikle Google firması tarafından yaygın Gmail e-posta sisteminin kullanımıyla) yoluyla yapılmaktadır. Bu işlerlik fazlasıyla rahatsız edici olmakla birlikte, bunlardan daha da tehlikelisi DPI (Deep Packet Inspection - Derin Veri Analizi) yöntemiyle yapılan ÇDR'dir. DPI postanede mektupların sadece zarf üzerindeki adreslere iletilmesi yerine zarfların açılarak içeriklerinin 1 Tasarının birçok versiyonu mevcuttur. Bu yazıda Internet Geliştirme Kurulunun web sitesindeki 31/05/2012 tarihli versiyonu temel alınmıştır:

2 okunmasına benzer bir teknolojidir. Bu teknoloji vasıtasıyla Internet ortamında gönderilen mesajlar ve ziyaret edilen siteler ilgisiz kişi ve kuruluşlar vasıtasıyla gözetlenebilir ve engellenebilir. DPI vasıtasıyla ÇDR ülkemizde TTNET ile işbirliği yapan Phorm isimli şirket tarafından gerçekleştirilmektedir. Gittiği her ülkeden uzaklaştırılan bu karanlık organizasyon ülkemizde de büyük tepki görmüş (bkz. bu tepkilerin sonucunda BTK geçtiğimiz günlerde TTNET ve Phorm aleyhinde soruşturma başlatmıştır. Bu şirketin diğer ÇDR şirketlerinden bir başka farkı da faaliyetlerini TTNET ile ortaklaşa yürütmesidir. Bilindiği gibi TTNET Türkiye'de Internet omurgasının sahibi olup tüm Internet trafiği bu omurgadan geçmektedir. Phorm'un yöntemi, sınırlı işortaklığı temelinde yürüyen klasik izlemenin tersine deyim yerindeyse suyun başını tutarak kullanıcıya hiçbir kaçış imkanı bırakmamaktadır (AB, 2010). Phorm şirketinin eylemleri insan haklarına ve kişisel mahremiyete saygılı bir ülkenin izin vermemesi gereken durumlara örnekler teşkil etmektedir. Bu nedenle bu metinde yeri geldiğinde bu eylemlerden bahsedilecektir. 5. DPI teknolojisinin kişisel denetim, gözetim ve profilleme için kullanımı kişisel verilerin korunması ilkesinin ve haberleşme hürriyetinin açık şekilde ihlalini oluşturmaktadır. Bu nedenle ÇDR amaçlı olsun veya olmasın bu teknolojinin Türkiye'de kullanımı yasaklanmalıdır. Ancak, kişisel mahremiyet haklarını ihlal etmeyecek şekilde ağ optimizasyonu, ağ üzerinde yük dağılımı ve benzeri teknik amaçlar için DPI kullanımı istisna olarak kabul edilebilir. 6. Tasarının beşinci maddesinin birinci fıkrasında Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez denilmektedir. Bu olumludur. Ancak, gerçek hayatta bu hükümlerin ÇDR işlerliğinde nasıl hayata geçirileceğinin düşünülmesi de gerekmektedir. Örneğin, TTNET-Phorm ortaklığının Gezinti sistemi teorik olarak kullanıcılara sistem dışında kalma imkanı vermektedir (opt-in). Ancak, sıradan kullanıcı ilgili bilgi penceresini kapatmak suretiyle anlamadığı ve benimsemediği bu işten kurtulmaya çalışırken sistem tarafından "içeri alınmakta" ve bundan haberi olmamaktadır. Açıkça hile ve yanıltma içeren bu işlerlik konusunda BTK'nın TTNET hakkında soruşturma açması olumludur.

3 Diğer bazı sistemlerinde kullanıcıya bu kadar bile bilgi verilmemektedir. Basit yöntemler kullanılarak yapılacak bir teknik analiz (örneğin, Windows ve Linux ortamlarında netstat komutu çıktısının analizi veya Firefox tarayıcısında Collusion ve Ghostery eklentilerinin oluşturduğu veriler) sıradan bir Internet kullanıcısını dehşet içinde bırakacak şekilde nasıl ve kimler tarafından gözetlendiğini ortaya çıkaracaktır. Bu gözetleme için kullanıcılardan herhangi bir izin alınması sözkonusu değildir. Bu sadece Türkiye'ye özgü bir durum da değildir. Örneğin, AB müktesebatında (2009/136/EC) (AB, 2009) kişiler hakkında bilgi toplamak veya kişilerin cihazlarında bulunan bilgilere (çerezler vasıtasıyla) erişim ancak ilgili kişininin açık ve ayrıntılı bir şekilde bilgilendirilmesinden sonra kendisinin vereceği onayla gerçekleşebilir denmesine rağmen gerçek hayatta bu şart yerine getirilmemektedir. ENISA'ya (European Network and Information Security Agency - Avrupa Ağ ve Bilgi Güvenliği Kurumu) göre Avrupa'da Internet Servis Sağlayıcılarının (ISS) yüzde sekseni çerezler vasıtasıyla kendi aboneleri hakkında bilgi toplamaktadırlar (ENISA, 2011). Bu bilgiler asıl olarak ÇDR amacıyla kullanılmakta olup kullanıcılara gözetlendiklerine dair herhangi bir bilgi verilmemekte veya bilgi sıradan kullanıcının okumadan imza attığı Hizmet Sözleşmesinin derinliklerinde anlaşılmaz teknik jargonun arkasına gizlenmektedir. Ayrıntıları sadece belli düzeyde teknik bilgisi olan Internet kullanıcıları tarafından farkedilen bu durum, sıradan bireyleri de rahatsız etmektedir. Bir Eurobarometer (2011) anketine göre Avrupa'lıların çoğu elektronik araçlarla toplanan kişisel bilgileri konusunda endişelidir. Avrupa Birliğinde ÇDR düzenlemesi asıl olarak iki Direktif tarafından belirlenmektedir. Bunlardan birincisi Veri Koruması Direktifi (95/46/EC) (AB, 1995), diğeri ise Elektronik Ortamda Kişisel Mahremiyet (eprivacy) Direktifi'dir (2002/58/EC) (AB, 2002). Bunlardan ikincisi Yurttaş Hakları Direktifi (2009/136/EC) ile belli konularda değişikliğe uğramıştır. Üye devletler bu değişiklikleri kendi kanunlarına Mayıs 2011 itibarıyla yansıtmak durumundadırlar. Ancak, ÇDR konusunda bunun genellikle gerçekleşmediği, gerçekleşse bile uygulanamadığı görülmektedir. Nitekim, 2002/58/EC numaralı AB Direktifi (AB, 2002) web sitelerine kişisel veri toplanması ve çerez kullanımı ile bilgilendirme notu koyma zorunluluğu getirmesine rağmen sitelerin çok

4 küçük bir kısmı buna uymaktadır. Elektronik Ortamda Kişisel Mahremiyet Direktifi'nin (2002/58/EC) 5(3) maddesi önemli olup ÇDR kapsamında çerez kullanımını düzenlemeye yöneliktir. Bu maddeye göre kullanıcının bilgisayarına ÇDR uygulaması gereği çerez yerleştirilmesi bir anlamda dışardan müdahale olarak kabul edilmektedir. Yine bu maddeye göre bu işlem için mutlaka kullanıcının aydınlatılmış bilgisi ve onayı gerekir. Yine AB kapsamında faaliyet gösteren Article 29 Data Protection Working Party e ait 22/6/2010 tarihli ve Opinion 2/2010 on Online Behavioural Advertising başlıklı dokümana (AB, 2010) göre Internet kullanıcılarının ÇDR şirketleri tarafından izlenmeleri durumunda bu durumu açıklıkla kullanıcıya izah etme ve iznini alma zorunluluğuna uyulmamaktadır. Aynı doküman ÇDR şirketlerini kullanıcılara açık anlatım ve açık onay alma ile birlikte a. izleme faaliyetini ancak belli bir zaman süreci boyunca yapmalı, b. kullanıcının verdiği onayı kolaylıkla kaldırabilmesini sağlayacak düzenlemeler yapmalı, c. izlemenin gerçekleştiği süre boyunca görünebilir işaretlemelerle bu durumu sürekli olarak kullanıcıya anlatmalıdırlar. Bu ilkeler KVK Kanunu kapsamında oluşturulacak ÇDR yönetmeliğinin de temellerini teşkil etmelidir. Herhangi bir bağlayıcılığı olmayan bu ilkeler halen Türkiye'de ÇDR şirketleri tarafından gerçek hayatta uygulanmamaktadır. Zira bu şirketler bu koşulları uygulamaları durumunda izledikleri kullanıcıların bir kısmını kaybetmekten çekinmektedirler. Dolayısıyla, halen ÇDR kapsamında AB'nin kişisel veri koruması ile ilgili olarak önerdiği koşullar havada kalmaktadır. Şirketlerin gücü bu koşulların uygulanmasının önünde engel oluşturmaktadır. ÇDR yönetmeliği mutlaka bu koşullara uyumu sağlayacak yaptırımları da içermelidir. 7. Tasarının altıncı maddesinin birinci fıkrasında Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olup bunların işlenmesi yasaktır denilmektedir. Bu olumludur. Ancak Tasarının Kabahatlerle ilgili 27. maddesi büyük kapsamlı

5 hak ihlallerini önlemek konusunda yetersizdir. Örneğin, son günlerde ortaya atılan bir iddiaya göre SGK 72 milyon kişinin sağlık bilgilerini 72 milyon liraya özel kuruluşlara satmıştır: Bir an bu haberin SGK'nın iddia ettiği gibi yanlış olduğunu düşünsek dahi, ilerde buna benzer durumlar olabilir. Bu durumlar kurum kaynaklı olabildiği gibi kötü niyetli bireylerden de kaynaklanabilir. Zira ne kadar önlem alınırsa alınsın yeterli teknik bilgiye sahip tek bir veritabanı yöneticisi bile bu veriyi kopyalayabilir; daha sonra da bu işlemin izlerini silebilir. Dolayısıyla 27. maddedeki para cezaları (en fazla TL) büyük kapsamlı hak ihlallerini caydırıcılıktan uzaktır. Bu cezalar işlenen suça mütenasip olmalıdır. Ayrıca bu maddenin 2. fıkrasında Kamu kurumu niteliğindeki veri sorumlularının, birinci fıkrada sayılan yükümlülüklere aykırı davranması halinde, idarî para cezası sadece ilgili kurum amiri hakkında verilir denilmektedir. Bu hüküm de sorunludur. Zira suç kurum yöneticisinin kararıyla işlenebildiği gibi bireysel olarak da işlenebilir. Fıkra birinci durumu yeterince kapsamasına rağmen ikinci durumda potansiyel suçluları adeta ceza almayacakları varsayımıyla suça teşvik etmektedir. Tasarının yedinci maddesinin birinci fıkrasında Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen artık ihtiyaç bulunmayan kişisel veriler silinir, yok edilir veya anonim hale getirilir denilmektedir. Bu ifade sorunludur. Zira gerek kamuda gerekse özel sektörde anonimleştirme işleminin hakkıyla gerçekleştirildiğinin denetimi imkansızdır. Bilgisayar ortamında verilerin anonimleştirilmesi birkaç satırlık kodla yapılabilir; hemen akabinde de bu kodun değiştirilmesiyle ortadan kaldırılabilir. Hatta buna bile gerek kalmadan "anonimleştirilen" veri işlemden önce başka bir fiziki ortama kopyalanabilir veya günlük "yedeklemeden" geri döndürülebilir.

6 Denetlemenin imkansız olduğu ve yüksek derecede kar potansiyelinin bulunduğu bu gibi durumlarda özellikle ticari kuruluşlardan anonimleştirme beklemek fazla anlamlı değildir. Nitekim, Phorm şirketi herbirine birer kimlik numarası verip tüm bilgilerini topladığı kişilerle ilgili verileri anonimleştirdiğini, diğer bir deyişle bu bilgilerle gerçek kişilerin bağını kopardığını iddia etmektedir. Ancak, - ABD'den, AB'den, İngiltere'den, Güney Kore'den ve Romanya'dan kişisel mahremiyet ihlalleri suçlamasıyla uzaklaştırılan, - Ürünleri anti-virüs programları tarafından zararlı yazılım muamelesi gören, - Kuruluşundan bu yana hiç bir yıl kar etmemesine ve toplam olarak 250 milyon doların üzerindeki zararına rağmen nereden geldiği belli olmayan kaynaklarla beslenen, - Daha birkaç hafta önce Türkiye'deki hileli işlemleri resmi düzeyde tespit edilip hakkında soruşturma açılan bir şirkete kadar güvenilebilirse Phorm şirketinin anonimleştirme iddiasına da o kadar güvenilebilir. KVK Kanunu kapsamında çıkarılacak ÇDR yönetmeliği ticari şirketlerin kişisel verilerin bireylerle irtibatını kolaylıkla kurabileceği (IP numarası vb. araçlarla) varsayımıyla hazırlanmalıdır. Bu irtibat imkanı Internet kullanıcılarına açıklıkla ifade edilebilir nitelikli olmalı ve ÇDR uygulaması ancak bundan haberdar olan bireyin açık ve her an geri alınabilir rızasıyla yapılmalıdır. Birçok durumlarda verilerin gerçek sahibine ihtiyaç duyulmayıp istatistiksel analiz için toplu veri kullanılması gerekebilir. Bu durumlarda verilerin en baştan gerçek ve tüzel kişilerle irtibatını kurmayacak şekilde toplanması gerekir. 8. Tasarının yedinci maddesinin dokuzuncu fıkrasında Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlarla ilgili kişisel veriler, ilgili kişinin rızası dışında üçüncü kişilere ve yurtdışına aktarılamaz denilmektedir. Bu fıkradaki altı çizili ibarelerin altıncı maddenin birinci fıkrasındaki ibarelerle kısmen değil, tam uyumlu olması beklenir:

7 Kişilerin ırkı, etnik kökeni, siyasî düşüncesi, felsefî inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, özel nitelikli kişisel veriler olup bunların işlenmesi yasaktır. 9. Tasarının sekizinci maddesinin ikinci fıkrasında Kişisel veriler, ilgili yabancı ülkede yeterli koruma bulunması ve bunların aktarılmasına ilişkin bu Kanunda belirlenen esas ve usullere uygun olması kaydıyla, yurtdışına aktarılabilir. Yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilir denilmektedir. Ancak, ÇDR kapsamında bu maddenin de uygulanabilirliği zordur. Zira, kullanıcı bilgisayarlarındaki çerezler sadece ziyaret edilen web sitesi tarafından oluşturulmamaktadır. Açılan herhangi bir web sayfasının içeriği genellikle ziyaret edilen siteyle birlikte kullanıcının hiç bilmediği siteler tarafından oluşturulur. Bu siteleri, kaynaklandıkları ülkeleri ve bu ülkelerdeki veri koruma kanunlarını incelemek hem kullanıcı hem de devlet için imkansıza yakındır. Ayrıca, pazardaki en büyük paya sahip Google firmasının arama motorunun ve Gmail uygulamasının kişiler hakkında topladığı bilgiler Türkiye'de değil, yurtdışındaki sunucularda depolanmaktadır. Bu bilgilerle ÇDR'nin ötesinde ne yapıldığı konusunda da fazla bir bilgi yoktur. Dolayısıyla, bu fıkra ancak ÇDR haricindeki uygulamalar için anlamlı olabilir. Bu noktada Google firması yönünden diğer bir sakınca da kişisel verilerin toplanmasında kullanılan yöntemdir. Bu firma açık bir mahremiyet ihlali yaparak olması gereken opt-in düzeninde değil, opt-out düzeninde çalışmaktadır. Diğer bir deyişle, Google ürünlerini kullanan kişiler kendileri hakkında bilgi toplanmasını önlemek için belli bir yöntem izlemek zorundadırlar. Ancak, Internet kullanıcılarının ezici çoğunluğunun ne bundan ne de Google aracılığıyla kendileri hakkında bilgi toplandığından haberi vardır. 10. Tasarının onuncu maddesinde Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; (a) Kişisel veri işlenip işlenmediğini öğrenmek, (b) Verileri işlenmişse buna ilişkin bilgi talep etmek, (c) Verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenmek

8 (ç) Yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilmek, (d) Verilerin eksik veya yanlış olması hâlinde bunların düzeltilmesini istemek, (e) 7 nci maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek, (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, imkânsız olmamak veya orantısız çaba gerektirmemek kaydıyla, verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek, (g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek, (ğ) Verilerinin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek, hakkına sahiptir. Bu hakların kullanılmasına ilişkin talepler yazılı olarak veya Kurulca belirlenecek yöntemlerle iletilir" denilmektedir. Bunlar olumlu olmasına rağmen ÇDR yönetmeliği uygulamadaki işlerliği net bir şekilde tanımlamalıdır. Bu tanım belli bir zamana kadar ÇDR kapsamına dahil olup sonradan çıkmak isteyenleri de kapsamalıdır. Bu kişiler kendileriyle ilgili o ana kadar toplanmış verilerin yok edilmesini isteme hakkına sahip olmalıdır. Gerçek hayatta bunun nasıl gerçekleştirileceği ve aksi halde uygulanacak yaptırımlar ilgili yönetmelikte açıkça belirtilmelidir. 11. Google Türkiye'de ve dünyada ÇDR konusunda faaliyet gösteren en büyük kuruluş olup Türkiye'de pazarın üçte ikisinden fazlasını kontrol etmektedir. Bu şirket Türkiye'deki yoğun ticari faaliyetlerine karşın uzun süre vergi vermemekte direnmiş, nihayet 2011 senesinde kesilen vergi cezasının akabinde kerhen vergi mükellefi olmayı kabul etmiştir. Ancak hala diğer ülkelerde olduğu gibi Türkiye'de de Bermuda gibi "vergi cennetlerini" kullanmayı da içeren çeşitli "hüllelerle" ödemesi gereken verginin çok az bir kısımını ödediği yönünde kaygılar bulunmaktadır. KVK Kanunu kapsamında çıkarılacak ÇDR yönetmeliği Google ve benzeri firmaların vergiden kaçınma yöntemlerini olmasa bile vergi kaçırma yöntemlerini önleyici hükümleri içermelidir. 12. Bazı ÇDR uygulamalarında kullanıcının bilgisayarındaki çerezler ziyaret ettiği web sitesi tarafından değil, ISS tarafından oluşturulmaktadır. Çerezde kullanıcıya verilen (fakat kendisinin haberdar olmadığı) bir kimlik numarası ile ziyaret ettiği web sitesinin adresi bulunmaktadır. Bu durum, Internet ortamındaki doğal işlerliğe uzak olup kullanıcının kandırılması anlamına gelmektedir. Diğer bir nokta da ziyaretçi bilgisayarlarında çerez bırakmayacağını açıklayan web sitelerinin durumudur. Sunucu yerine ÇDR uygulaması yapan ISS'lerin çerez bırakması ile sadece kullanıcı kandırılmamakta, aynı zamanda bu siteler hiç haketmedikleri halde güvenilmez

9 duruma düşürülmektedirler. 13. Birçok ÇDR uygulaması tarayıcıların kendi çerezlerini değil, Flash programının çerezlerini kullanmaktadır (Local Shared Objects). Örneğin, Phorm şirketinin kullandığı yöntem budur. Bu yöntemle teknik bilgisi fazla olmayan kullanıcıların ÇDR sisteminden isteseler de çıkamamaları amaçlanmaktadır. Zira, çerezler vasıtasıyla gözetlendiğini öğrenen sıradan bir kullanıcının doğal refleksi tarayıcısındaki çerezleri temizlemek olacaktır. Ancak, tarayıcılardaki "çerezleri temizle" fonksiyonları LSO'ları temizlemez. Bu çerezlerin temizlenmesi için disk üzerinde yerlerinin bilinmesi gerekir ki, kullanıcıların ezici çoğunluğunun ne LSO'ların varlıkları, ne de disk üzerindeki yerleri konusunda herhangi bir bilgileri yoktur. Bu nedenle ÇDR yönetmeliği ÇDR uygulamalarının tarayıcılar vasıtasıyla silinebilir çerezlerle sınırlandırılmasını hükme bağlamalıdır. Ayrıca, ÇDR uygulamalarının silinen çerezleri istenmeksizin tekrar oluşturması engellenmelidir. 14. Bilişim sistemleri esas olarak insan faaliyetlerinin soyut düzeye yansımasından oluşur. Bu yansıma sayısız şekilde tezahür edebilir. Son zamanlarda Web 2.0 olarak adlandırılan kavram değer üretimi ve metalaşma sürecinde yeni ve çok ilginç bir aşamayı temsil etmektedir. Bu kavramla kişilerin bilgisayar ve Internet ortamındaki faaliyetleri hiç böyle bir niyetleri olmamasına rağmen pazarda alınıp satılabilen soyut bir mal haline getirilmektedir. Diğer bir deyişle kişi bilgisayar adı verilen metayı kullanırken durum tersine dönmekte ve bizatihi kendi davranışları meta haline gelmektedir. Üstelik, bu değeri üreten bireylerin çoğu ürettikleri değerden habersizdirler. Dolayısıyla, ürettikleri değer üzerinde herhangi bir hak talepleri bulunmamaktadır. Tüm bunların doğal sonucu üretilen değerin gerçek sahiplerinden izinsiz olarak alınıp kullanılmasıdır. Bu durum hukuki olarak açık bir hak ihlalidir. Denetimsiz yapılan ÇDR tüm bunları gerçekleştirdikten sonra bir adım daha ileri gitmekte ve insanları metalaştırmaktan öte onların kişisel mahremiyetlerini ayaklar altına alacak şekilde siyasal, dinsel, felsefi ve cinsel eğilimleriyle birlikte sendika, dernek ve parti üyeliklerini ilgisiz kişi ve kurumlarca bilinir kılabilmektedir. Tüm bunların anlamı ÇDR vasıtasıyla kişinin iki yönden zarar görmesidir: Hem kendine ait bir değere izinsiz ve bedeli ödenmeden el konmakta, hem de bu süreçte en temel insan haklarından biri olan kişisel mahremiyeti ortadan kaldırılmaktadır. Tüm bu nedenlerle "kişisel verileri korumak" iddasıyla ortaya çıkan bir kanunun ÇDR konusunda her türlü hak ihlalini ortadan kaldıracak önlemleri alması gerekir.

10 15. BTK'nın Phorm şirketinin faaliyeti konusunda TTNET hakkında soruşturma açtığını açıklayan 14/12/2012 tarihli kararında şöyle denilmektedir: Kişisel verilerin işlenmesine ilişkin olarak Gezinti.com hizmeti aracılığıyla abonelerden/kullanıcılardan alınan onay sürecinde abonelerin/kullanıcıların kişisel bilgilerinin hangi kapsamda ve hangi süre ile işleneceğine ilişkin gerekli açıklamaları yapmayarak ve aboneleri/kullanıcıları eksik bilgilendirerek Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği nin 'Şeffaflık ve bilgilendirme' başlıklı 6 ncı maddesini, Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğin 'Telekomünikasyonun Gizliliği' başlıklı 8 inci maddesini ve aynı Yönetmeliğin 'İzin ve Süre' başlıklı 9 uncu maddesi ve ilgili diğer mevzuat hükümleri kapsamında ihlal ettiği değerlendirilen TTNET AŞ hakkında soruşturma başlatılması Bu ifade doğru olup tümüyle halihazırda ÇDR yöntemini kullanan diğer şirketler için de geçerlidir. Çünkü bu şirketler de yaptıkları iş konusunda kullanıcıları bilgilendirmemektedirler. Dolayısıyla bu şirketlerin de aynı muameleye tabi olması beklenir. 16. ÇDR Internet reklamcılığı konusunda tek yöntem değildir. Etkinlik düzeyleri ÇDR kadar olmamakla birlikte Internet ortamında birçok reklam yöntemi mevcuttur. Bu yöntemlerin ÇDR'nin mevcut kullanımındaki ağır hak ihlallerinin aksine kullanıcılara herhangi bir zararı yoktur. ÇDR vasıtasıyla sağlanan fazladan reklam etkinliğinin ise kamuya herhangi bir yararı bulunmamaktadır. Tam tersine, ÇDR uygulayıcıları genellikle Google ve Phorm gibi yabancı şirketler olup bu şirketler "geleneksel" Internet reklamcılığı yapan yerel şirketler aleyhine pazar paylarını büyültme eğilimindedirler. Dolayısıyla, KVK kapsamında çıkarılacak ÇDR yönetmeliğinin son derece dar menfaatleri değil, kamu yararını gözetecek şekilde, başıboşluğu ve teknolojinin suistimalini önleyecek nitelikte olması beklenir. 17. ÇDR uygulamaları oldukça sofistike olup belli düzeylerde teknik yetkinlik gerektirmektedir. Dolayısıyla, bu uygulamaların denetlenmesi için de aynı düzeyde teknik ve yönetimsel olgunluk gerekir. Bu nedenle Türkiye'de ÇDR uygulamalarının kanun ve yönetmeliklere uygun olarak yapılmasını sağlayacak ve hak ihlalleri karşısında yaptırım gücüne sahip olan bir Kurulun oluşturulması önerilir. 18. Sonuç olarak Alternatif Bilişim Derneği olarak yukarda anlatılan nedenlerden ötürü Kişisel

11 Verilerin Korunması Kanunu kapsamında ÇDR'nin halihazırdaki uygulamasının a. Kişi mahremiyetine açık bir saldırı niteliğinde olması, b. Internet kullanıcılarının kişisel özelliklerini ve mahrem bilgilerini i. haber vermeden, ii. izin almadan, iii. bedelini ödemeden maddileştirip pazarda satılabilir bir değer haline getirmesi, c. Mevcut Kanun ve Yönetmeliklerde ne yazılırsa yazılsın gerçek hayatta itiraz ve engelleme imkanının olmaması, d. Profillemenin gitgide daha sofistike yöntemlerle yapılmasından ötürü durumun farkında olan az sayıdaki kullanıcılara bile kaçış imkanı vermemesi, e. Phorm şirketinin yaptığı gibi kişisel verilerin yurtdışına çıkarılması nedeniyle milli güvenlik konusunda suistimale uygun olması, f. "Fişleme" amacıyla kullanıma açık olması nedenleriyle yasaklanmasını talep ediyoruz. KVK Kanunu ve ilgili yönetmelikleri ÇDR'yi yukarda belirtilen AB kriterleri kapsamında düzene sokmalı ve mevcut durumdaki yaygın hak ihlallerini ortadan kaldırmalıdır. Alternatif Bilişim Derneği KAYNAKLAR: AB (1995). "DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data." uri=celex:31995l0046:en:html AB (2002). "DIRECTIVE 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)".

12 AB (2009). "DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009 amending Directive 2002/22/EC on universal service and users rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws." celexplus!prod!celexnumdoc&lg=en&numdoc=32009l0136 AB (2010). "Article 29 Data Protection Working Party: Opinion 2/2010 on online behavioural advertising". sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0cc0qfjaa&url=http%3a%2f %2Fec.europa.eu%2Fjustice%2Fpolicies%2Fprivacy%2Fdocs%2Fwpdocs %2F2010%2Fwp171_en.pdf&ei=N7PaUJ3iB8yVswbsr4GQCw&usg=AFQjCNHZGsXPFGpbxmNq Wul0Fnbrvl9QlA&bvm=bv ,d.Yms EUROBAROMETER (2011). " Attitudes on Data Protection and Electronic Identity in the European Union". ENISA (2011). "Bittersweet Cookies: Some Security and Privacy Considerations".