Ekonomi Politik Açıdan Kişisel Verilerin Korunması

Transkript

1 Ekonomi Politik Açıdan Kişisel Verilerin Korunması Serpil Karlıdağ * Özet: Post-fordist üretim tarzı ve enformasyon teknolojileri, kişisel verileri sermaye birikimine katkıda bulunan meta haline getirmiştir. Enformasyon teknolojilerinin kullanımıyla, kişisel veriler kolaylıkla toplanıp, depolanıp, üçüncü taraflara aktarılmakta ancak gizliliğin korunması sorun olmaktadır. Kâr amacıyla hareket eden firmalar, gizliliğin korunmasını ikinci plana atarken, yasalar ve uluslararası düzenlemeler de tek başlarına etkin olamamaktadır. Teknoloji iki taraflı kullanılmakla birlikte, ticari baskılarla verileri korumaktan çok toplayıp, saklama yönünde tasarlanmıştır. Tüm bu sorunlar bağlamında bu makalenin amacı, yasa, piyasa ve teknolojinin birbirine geçtiği kişisel veri korumasını ekonomi politik açıdan ele alarak 2003 yılından itibaren bekleyen yasa tasarısıyla ilgili tartışmalara katkıda bulunmaktır. Anahtar Kelimeler: Kişisel veri koruması, post-fordizm, yeni iletişim teknolojileri, gözetim, gizlilik. Personal Data Protection from the Political Economy Perspective. Abstract: The Post-Fordist mode of production and information technologies have turned personal data into commodities. Thanks to the information technologies, personal data can be easily compiled, stored, and transferred to third parties. Yet, the protection of privacy constitutes a problem. While firms, acting on profit making motives, tend not to prioritize privacy protection, laws and international regulations fail to maintain efficacy by themselves. Although technology is utilized to both ends, it is designed more for compiling and storing data due to commercial concerns rather than protecting them. Within the context of all the aforementioned issues, this article aims to contribute to the ongoing debate about the draft law awaiting enactment since the year 2003 by elaborating with a political economy approach on personal data protection where the law, market, and technology commingle Key Words: Personal data protection, post-fordism, new communication technologies, surveillance, privacy. GĐRĐŞ Türkiye de Veri Koruma Yasasıyla ilgili yasa taslağı 2003 yılından itibaren beklemektedir. Hukukçular ve bilişimciler başta olmak üzere pek çok kişi yasanın çıkmasını isterken, tasarıya eleştiriler olmaktadır. Kişisel verilerin korunması, bir taraftan veri toplamakta önemli bir biçim olan gözetim ve ona karşı çare olarak görülen gizliliğin korunması, diğer taraftan bu gizliliğin korunmasına * Dr. Başkent Üniversitesi Đnsan Kaynakları ve Kariyer Yönlendirme Merkez Koordinatörü, 06530, Etimesgut/Ankara/Türkiye. Amme Đdaresi Dergisi, Cilt 46, Sayı 1, Mart 2013, s

2 128 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 karşı verilerin serbestçe dolaşımının sağlanması gibi çelişkileri ve çeşitli aktörleri içermektedir. Dolayısıyla kişisel veri korumasının bütüncül bir açıdan incelenmesini sağlayacak ekonomi politik yaklaşımla ele alınması uygun olmaktadır. Bu çalışma da yasa, teknoloji ve piyasa gibi farklı boyutları olan kişisel veri koruma alanındaki güç/iktidar ilişkilerini çözümlemeyi, oluşturulan siyasaları, alınan kararları ve bu kararlar sonucunda kimlerin kazanıp, kim kaybettiği sorularına, toplumsal değer yargılarını içeren bir eleştirel ekonomi politik yaklaşımla yanıt aramayı amaçlamaktadır. Kişisel verilerin korunması geçmişte de önemli olmuştur ancak post-fordist üretim tarzı ve bu üretim tarzı içerisinde örgütlenen yeni iletişim teknolojileri, kişisel verilerin değişim değerini artırıp, büyük bir piyasa haline gelmesine yol açmıştır. Günümüzde kamu ve özel kuruluşları çok fazla veri toplamaktadırlar. Toplanan verilerden oluşturulan ve pek çok değişkene sahip kişisel veri tabanları çeşitli amaçlara yönelik ilişkilerin kurulmasını sağlamaktadır. Nitekim tüketici verilerinin gittikçe önem kazandığı bir dünyada yaşanırken, tüketiciler kendi bireysel enformasyonlarının hem üreticisi hem de tüketicisi olmaktadırlar (Acquisti, 2010: 8). Bu üreten-tüketiciler, 1 kendileri için kullanım değeri olan verilerin kendi bilgileri dışında üçüncü taraflara verilmesini istemezken, şirketler de ekonomik gözetim yoluyla elde ettikleri kişisel verileri önemli şirket varlıkları olarak görmekte ve sermaye birikimini artırmakta kullanmaktadırlar. Günümüzde, çevrimdışı elde edilen bireysel verilerin, farklı web siteleri, reklam ağları ve sosyal medya gibi her türlü çevrimiçi alanlardan toplanan bireysel verilerle birleşmesi sonucunda tüketicilerin her türlü demografik özelliklerine ulaşılabilmektedir. Büyük miktardaki verilerin şirketler tarafından toplanıp, depolanması, işlenmesi, analiz edilmesi sonucunda oluşturulan veri tabanlarının özellikle bankacılık (kredilendirme faaliyetleri) ve mal-hizmet ticareti (pazarlama) yapan şirketlere satılması, satıcı tarafı açısından bir değişim değeri yaratırken; alıcı tarafındaki şirket için de bir kullanım değeri oluşturmaktadır. Ancak, yeni iletişim teknolojileri yoluyla bireylerin günlük yaşamlarının onların bilgisi dışında izlenebilmesi, gizlilikle ilgili kaygıları da artırmaktadır. Bireysel kaygılarla sermaye kaygıları çatışmaya girdiğinde kamu otoritesi, toplumdan topluma değişmekle birlikte birey yararı gibi görülen bir tutumla gizlilik isteğini bir hak olarak tanımlama ve koruma yoluna gitmektedir. Bu hak ulusal yasalarda doğrudan yer aldığı gibi insan hakları çerçevesinde de tanımlanabilmektedir. Gizlilik, AB de temel insan hakkı olarak kabul edilirken, ABD de şirketlerin kendi düzenlemelerine bırakılmıştır. 1 Đlk kez 1980 lerin başında Alvin Toffler tarafından ekonomik ve siyasal demokrasinin yeni bir biçimde gelişini, özerk emek, yerel üretim ve kendi kendine özerk üretim gibi olumlu anlamlarda kullanılan üreten- tüketici (prosumer) terimi, Fuchs tarafından medya yapı ve pratiklerindeki önemli değişiklikleri betimlediği için eleştirel biçimde kullanılabileceği belirtilmiştir (Fuchs, 2010: 190;2011a: 297; 2011b: 152).

3 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 129 Yeni iletişim teknolojilerinin kullanımı yoluyla bazı şirketlerin çok büyük miktardaki kişisel verilerin toplanıp, işlenmesine ve kolaylıkla üçüncü taraflara aktarılmasına izin vermesi, teknolojinin nasıl yanlı kullanılabileceğini ortaya koymaktadır. Teknoloji kendiliğinden ya da tesadüfen ortaya çıkmadığı gibi, belirleyici de değildir. Teknolojinin çeşitli biçimlerde kullanılabilme kapasitesi şirket çıkarları tarafından sınırlanmaktadır. Eileen R. Meehan da teknolojinin şirket gereksinmeleriyle nasıl biçimlendirilip, tek yönlü hale getirildiğinden söz etmektedir (1988: ). Çalışmanın birinci bölümünde, post-fordist üretim sistemi içerisinde önemli bir yeri olan kişisel veri tabanlarının panoptik tür bir gözetimle nasıl oluşturulduğu, değer üretimine nasıl, ne ölçüde katkı yaptığı üzerinde durulurken, ikinci bölümde veri tabanlarının korunması ya da korunmaması durumuna ekonomik açıdan bakılarak, ticari değer olabilecek kişisel verilerini çeşitli ortamlarda (telefon konuşması, e-posta, e- bankacılık, e-ticaret vb.) ifşa edenlerle, bu verilere el koyup, işleyip satanların sağladıkları fayda ve gördükleri zarar ele alınmaktadır. Üçüncü bölümde, verilerin gizliliğinin sağlanmasıyla ilgili olarak, birbirleriyle son derecede zıt görüşler içerisinde bulunan AB ve ABD deki düzenlemelerden söz edilmektedir. Son bölümde ise, veri koruma düzenlemelerinin Türkiye deki yansımaları ile 2003 yılında taslağı yapılan ve 2008 yılından itibaren de Mecliste bekleyen yasayla ilgili tartışmalara yer verilmektedir. Böylece kişisel verileri oluşturanlar ile bu verileri sahiplenenler arasındaki ilişkiler önce mikro düzeyde, piyasa mekanizması açısından irdelendikten sonra, makro düzeyde ulusal ve bölgesel düzenlemeler çerçevesinde değerlendirilecektir. Bu doğrultuda, değişik aktörlerin yanı sıra ekonomi, siyaset, hukuk, teknoloji, iletişim ve pazarlama gibi farklı alanların yöndeştiği veri koruması alanına bütüncül yaklaşarak, söz konusu yasayla ilgili tartışmalara katkıda bulunmak hedeflenmektedir. KĐŞĐSEL VERĐLERĐ EKO OMĐ POLĐTĐĞĐ Post-Fordizmde, sermaye bir taraftan Fordizmin krizlerinin üstesinden gelmeye çalışırken diğer taraftan otomasyona tabi tutarak emek sürecini esnek üretimi yapılandırmaya çalışmaktadır. Bu tür bir esnek üretim tarzı için, bir önceki dönemde örgütlenen kamu hizmetleri özelleştirilerek piyasa mekanizmasına bırakılmıştır. Özelleştirmeler sonucunda firmalar, rekabetçi piyasaların isteklerine hızla yanıt verebilecek esneklikte emek ve teçhizat geliştirirken, kitle halinde markasız mal üretmek yerine farklı tüketici gruplarının değişik zevk ve tercihlerine göre ürün üretmeyi de daha kârlı bulmuşlardır. Bu yeniden örgütlenme için enformasyon teknolojilerinden oldukça yararlanmışlardır. Aglietta (2000: 423), Kapitalist Düzenleme Kuramı kitabında, enformasyon teknolojilerini yoğun olarak kullanan şirketlerin, emeğin uluslararası işbölümünü teşvik etmenin yanı sı-

4 130 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 ra, iş sürecinin örgütlenmesini de dönüştürdüklerinden bahsetmiştir. Hall de, Post-Fordist dönemin özelliklerinden bahsederken, yeni enformasyon teknolojilerine olan eğilim ile daha esnek, merkezi olmayan emek süreci ve iş örgütlenmesiyle birlikte azalan eski üretim tarzı ve gittikçe büyüyen bilgisayar temelli endüstrilere vurgu yapmıştır (Amin,1995: 4). Hall ün burada açıkça ortaya koymadığı nokta, eski (Fordist) üretim tarzının üçüncü dünyaya montaj sanayi olarak kaydırılırken yeni iletişim teknolojilerinin gelişmiş ekonomilerin yeni örgütlenme tarzı olduğudur. Son yirmi yıldır bilimsel yönetimin direktifleri doğrultusunda üretime katılan yeni iletişim teknolojileri, üretim ilişkilerinin yeniden örgütlenmesinde etkin bir biçimde kullanılmış; aynı zamanda emek sürecinde hangi düzenlemelerin artı değerin 2 büyük bir kısmını yaratacağını da belirlemiştir. Post-Fordist kapitalist birikim sürecinde bilgi yoğun, elle tutulamayan ve daha çok sembolik ve iletişimsel üretime dayalı metalar, materyal ya da fiziksel metalara göre daha çok ekonomik değer içerirken, tüketicilerle ilgili pek çok enformasyona sahip kişisel veri tabanları 21. yüzyılın meta üreten fabrikaları olarak işlev görmekte ve artı değer üretiminde önemli rol oynamaktadırlar (Zwick, 2009: ). Kişisel verilerin kamu kuruluşları ve büyük şirketler tarafından çok büyük miktarda toplanması, biriktirilmesi ve eşleştirilmesi, gizlilik ve gözetim tartışmalarını da beraberinde getirmektedir. Gizlilik, bireye ve onun özgürlüğü üzerine odaklanan liberal söylemde, bir taraftan kapitalizmde özel mülkiyetin korunması biçiminde ele alınıp evrensel hale getirilirken, diğer taraftan şirketlerin kâr amacıyla bireylerin yaşam pratiklerini gözetleyerek gizliliğin ihlal edilmesini meşrulaştırmaktadır (Fuchs, 2011b: 144). Bir anlamda, şirketlerin daha fazla sermaye birikiminde bulunmak isterken, çalışanları ve tüketicileri konusunda olabildiğince çok bilgi sahibi olmak istemeleri gözetime yol açmaktadır. Şirket çıkarlarının yanı sıra sosyo ekonomik eşitsizlikler ve yapılan işlemlerde, kurulan ilişkilerde gerekli olan güven sorunu da gözetim için zemin oluşturmakta bu da gizlilik haklarını tehdit etmektedir. Nitekim Fuchs un ifadesiyle, gizlilik idealleri ile gözetim arasındaki karşıtlık kapitalizmi oluşturmaktadır (Fuchs, 2011b: 144). Gözetim, genelde internetin, özelde world wide web in son on yıldır geçirdiği değişiklikler sonucunda ortaya çıkan sosyal paylaşım ağları yoluyla çok büyük miktarda kişisel verilerin toplanmasına olanak sağlamıştır. 2.0 web olarak anılan Wikipedya, MySpace, Google, Facebook, YouTube, Blogger gibi sosyal paylaşım siteleri, kullanıcıların da tıpkı profesyoneller gibi içerik oluşturup, paylaşmasını sağlarken ekonomik gözetim işlevini de yerine getirmektedirler. Christian Fuchs, dünyanın en kârlı kuruluşları arasında bulunan Google, Fa- 2 Artı değer üzerinden elde edilen kazanç, ya işgücü zamanını uzatmakla (mutlak artı değer) ya da işgücünü değersizleştirmekle (göreli artı değer) elde edilir.

5 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 131 cebook gibi Web 2.0 şirketlerinin nasıl kâr yaptığını açıklarken, kullanıcıların çok büyük miktarda oluşturdukları içeriğin gözetim yoluyla alınmasını, değerlendirilmesini ve reklamcılara satılan meta haline getirilmesini ayrıntılarıyla ortaya koymaktadır (2011a: 289). Google kullanıcılarının anahtar kelimeler ile yaptıkları aramaların yanı sıra yükledikleri her türlü metin, yorum, resim, imaj ve karşılıklı iletişim yoluyla oluşturdukları içerik reklamcılara satılmaktadır. Fuchs, Web 2.0 birikim stratejisini, ücret ödenmeyen emeğin oluşturduğu artı değer ile açıklamaktadır. Başlangıçta Google ın yatırım sermayesini oluşturan altyapı ve teknoloji harcamaları ile ücretli emeğin oluşturduğu Google hizmetleri (Google search, YouTube, GMail gibi) kullanıcılara ücretsiz olarak sunulmaktadır. Bu ücretsiz hizmetler, çok büyük sayıdaki kullanıcının kendilerine para ödenmeden farklı faaliyetler yoluyla ürettikleri verilere ulaşmakta ve toplamakta önemli rol oynamaktadır. Bir anlamda, kullanıcıların oluşturdukları büyük miktardaki veri, ekonomik gözetim yoluyla toplanmakta ve reklamcılara satılarak başlangıçtaki yatırılan sermaye arttırılmaktadır (http: //english.unak.is/ static/files/ Nordmedia2011/Fuchs Christian.pdf). 104 milyar Dolara halka arz edilen Facebook da aynı birikim stratejisini izleyerek kullanıcılara, ücretsiz olarak hizmetlerine ve platformlarına erişim hakkı tanırken, onların büyük miktarda ürettiği içeriği üçüncü taraf olan reklamcılara satmaktadır. Ne kadar çok kullanıcı profili olursa o kadar yüksek oranda reklam geliri elde edilmektedir. Burada kullanıcılara satılan bir ürün yoktur ancak kullanıcılar metalaştırılarak reklamcılara satılmaktadır. Elbette burada metalaştırılan kullanıcıların ürettikleri içerik için harcadıkları emek zamandır. Facebook, ücretli çalışanlarının yanı sıra ücret ödemeden çalıştırdığı bu kullanıcılar için ne sabit ne de değişken yatırım maliyetine katlanmaktadır. Dolayısıyla bu üretentüketici (prosumer) durumundaki kullanıcılar artı değer yaratırken sermaye birikimi de sağlanmaktadır. Kapitalist üretim sürecinin temelini oluşturan emek çekildiğinde nasıl birikim olmuyorsa, bu üreten-tüketici durumundaki kullanıcılar da facebook ve benzeri sosyal paylaşım sitelerini kullanmaktan vazgeçtiklerinde, reklamcıların satın alacakları bir ürün kalmayacak ve bu hizmet sağlayıcısı şirketler de iflas edeceklerdir. Bu tür iflaslar çoğaldığında da ekonomi krize girecektir (Fuchs, 2011b: 153). Google, Facebook, Facebook a rakip olarak çıkarılan Google Buzz ve Youtube gibi paylaşım sitelerinde, üreten- tüketici kullanıcılar sürekli olarak içerik üretip paylaştıkları için bu sitelerin web platform operatörleri ve onların reklam şirketi müşterileri de daimi olarak buralarda üretilen kişisel verileri izlemekte ve kaydetmektedirler. Kayıt edilip, toplanan veriler birleştirilip analiz edilmektedir. Dolayısıyla, sürekli olarak gözetlenen üreten-tüketicilerin ürettikleri ve kullanım değeri olan kişisel verileri reklamcılara satılarak değişim değerine dönüştürülmekte ve metalaştırılmaktadır (Fuchs, 2011a: ; Fuchs, 2011b: 154). Buradaki değişim değeri, para karşılığında, reklamcıların kullanıcı

6 132 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 bilgilerine ekonomik gözetim yoluyla ulaşılabilmelerine izin vermekle oluşmaktadır. Đnternet ve sosyal paylaşım ağlarındaki sermaye birikimini Marxist açıdan açıklayan Fuchs, Marx ın zamanında sadece ücretli emeğin proleterya olarak adlandırıldığını, oysa günümüzde, daha geniş bir anlamda düşünülebileceğini ve doğrudan ya da dolaylı olarak artı değeri oluşturan ve sermaye tarafından sömürülen herkesin proleterya sınıflandırmasında yer alabileceğini belirtmekte ve ev kadınlarını, işsizleri, göçmenleri, emeklileri, geçici olarak çalışanları, öğrencileri, Web 2.0 şirketleri ve diğer internet sitesi kullanıcılarını da proleterya olarak değerlendirmektedir (2011a: 297). Kültür endüstrileri konusunda çalışmalar yapan Hesmondhalgh, emeğin ücretli olup olmamasına göre tanımlanamayacağını ve her ücretsiz emeğin sömürü olarak nitelenemeyeceğini söylemektedir (2010: 267). Genelde ücretsiz emeğin eşitsizlik ve adaletsizlikle ilişkilendirilme eğiliminin olduğu, oysa ücretsiz emeğin kendi başına bir sorun oluşturmadığı ve gelecekte hayal edilen en iyi toplumlarda bile ücretsiz emeğin kaçınılmaz olarak var olacağından söz etmektedir (Hesmondhalgh, 2010: 277). Kapitalizmin çok büyük miktarda artı değeri nasıl oluşturduğunu açıklayan sömürünün, tarihsel olmasının yanı sıra karmaşık bir baskı kavramını da içerdiğini belirten Hesmondhalgh, dijital çağdaki kültürel üretimde kullanılan ücretsiz emeğin güç ve kontrol ilişkilerine konu olabileceğini ancak ücretsiz emeğin sömürüyle birlikte kullanılmasının inandırıcı olmadığını belirtmiştir 3 (2010: 274 ve 276). Fuchs ise, kapitalizmin içinde bulunduğu safhayı Facebook un tipik biçimde ortaya koyduğunu belirtirken, üretken emek zamanının sermaye tarafından sömürüldüğünü ileri sürmekte ve bunun daha önce de belirtildiği gibi bir taraftan ücretli çalışanlar yoluyla diğer taraftan da çevrimiçi kullanıcıların/üreticilerin harcadıkları zamanla gerçekleştiğini açıklamaktadır (Fuchs, 2010: 191). Ücretsiz emek sonsuz biçimde sömürülürken, internetteki üreten-kullanıcılar sömürünün son noktasını oluşturmaktadırlar. Nitekim artı değeri oluşturan bu emek, kapitalist üretimde yeni bir tarzda ortaya çıkarken kullanım değeri, değişim değeri ve artı değeri somut bir biçimde ortaya koymaktadır (Fuchs, 2010: 191). Ayrıca bu tür ticari amaçlı sosyal paylaşım sitelerine alternatif ortamların az ya da hiç olmaması üreten-tüketicileri de seçeneksiz bırakmakta ve kendilerine dayatılan kullanım koşullarını kabul etmek zorunda kalmaktadırlar. Böylece, Fuchs a göre üreten-kullanıcılar ya çevrimiçi kazananlardan (online-winners) ya da özel ve profesyonel anlamdaki iletişim ve 3 Hesmondhalgh, sömürü kavramının çok yaygın olarak kullanılmakla birlikte, kavramın asıl olarak Marxist anlamda, sınıflar arasındaki tarihsel ilişkileri açıkladığını ve Eric Olin Wright ın Marxist anlamda sömürü olabilmesini de üç ilkeye dayandırdığını belirtmiştir. Bu ilkelerin birincisi, bir sınıfın materyal olarak refahının ancak diğer bir sınıfın yoksunluğuna bağlı olarak gerçekleştiği, diğer bir ifadeyle, çalışan sınıf olmadan kapitalist sınıfın olamayacağıdır, ikincisi, çalışan sınıfın mülkiyet gibi ana üretken kaynaklardan dışlanması olurken üçüncüsü de sömürülen emeğe el konulmasıdır. Sömürünün olabilmesi için el koymanın diğer iki ilkeyle birlikte olması gerekmekte, sadece emeğe el koymak sömürü olmamaktadır (Hesmondhalgh, 2010: 274).

7 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 133 fırsatlardan yoksun kalarak çevrimdışı kaybedenlerden (offline-losers) olacaklardır (2011a: 303). Fuchs özel ve kamu alanı arasındaki belirsizliğin yanı sıra oyun ve çalışma alanı arasındaki ayırımın da çöktüğünü ve bu çökmenin sermaye tarafından sömürüldüğünü belirtmektedir (2011b: 159). Dolayısıyla kullanıcılar oyun, eğlence gibi hoşça vakit geçirmek amacıyla, özel yaşamlarında interneti kullandıklarında da sermaye birikimi için artı değer üretiyor olmaktadırlar. Oyun ve çalışmanın birleşmesiyle de sermayenin sömürmediği boş bir zaman bulunmamakta ya da tersinden söylediğimizde tüm zamanlar artı değer üretimi için sermaye tarafından sömürülmektedir (Fuchs, 2011b: 159). Mutlak artı değerin dışında emeğin üretkenliğini artırarak aynı zaman diliminde daha fazla meta ve daha fazla artı değer üretimini sağlayan göreli artı değer üretimi, hedef reklamcılık (targeted advertising) ile sağlanmaktadır. Geleneksel medyada aynı anda tüm izleyiciler aynı reklamı izlerlerken, internet ve sosyal medya sitelerinde aynı zamanda çok sayıda reklam kullanıcıların dikkatine sunulmaktadır. Aynı anda farklı gruplar tarafından farklı reklamların izlenmesini sağlayan hedef reklamlar, kısmen reklam şirketleri tarafından kısmen de internet ve sosyal medya kullanıcıları tarafından üretilmektedir (Fuchs, 2011b: 148). Kullanıcıların oluşturdukları verilerin gözetlenip değerlendirilmesi ve kişiselleştirilmesiyle daha çok hedefe uygun reklamlar oluşturulmakta ve daha çok satış gerçekleştirilmektedir. Dolayısıyla, aynı zaman içerisinde daha fazla reklamın gösterilmesine izin veren çevrimiçi hedef reklamcılık Fuchs tarafından göreli artı değer olarak yorumlanmaktadır (2011b: 148). Haluk Geray da, sosyal paylaşım ağlarının toplamış olduğu kişisel bilgileri nasıl kullandıkları hakkında araştırmacı gazetecilik yapan The Wall Street gazetesine göndermede bulunduktan sonra, en popüler paylaşım sitesi Facebook ile arama motoru Google gibi çevrimiçi tekellerin, yerleştirmiş oldukları ek yazılımlar/çerezler (cookies) yoluyla kullanıcılar hakkında her türlü kişisel bilgiye kolaylıkla sahip olabildiklerini ve bu bilgileri üçüncü taraflarla paylaşabildiklerini belirtmiştir (Tehlike beğen, 09/06/2011). Ek yazılımlardan bazıları, paylaşım düğmesi kullanılmasa bile kullanıcının hangi siteleri ziyaret ettiği, hangi bilgileri paylaştığı ve nelere ilgi duyduğunu ilgili yönetime bildirmektedir (Tehlike beğen, 09/06/2011). Facebook, çerezler yoluyla elde etmiş olduğu kişisel bilgilerle kimlik numaraları arasında kurulan bağlantının üçüncü taraflara verilmediğini savunmakta, ancak kanıtlar öyle olmadığını göstermektedir (Tehlike beğen, 23/06/2011). Üçüncü taraf olarak adlandırılan firmalar, paylaşım siteleri ve arama motorlarından aldıkları bilgilere ek olarak, kendi yerleştirdikleri çerezlerle de, kullanıcının her türlü çevrimiçi davranışını, özellikle de satın alma faaliyetini belli bir kimlik numarasıyla bir dosyada topladıktan sonra reklamcılarla, reklam verenlere satmaktadır. Reklam verenler yaptıkları sınıflandırma ve değerlendirme sonucunda ortaya çıkan gruplarla ellerindeki ürünleri buluştur-

8 134 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 maktadırlar. Ancak reklam verenler bununla da kalmayarak, çerezleri kullanan sitelere para aktararak, kullanıcılarla ilişkilendirilen sayfalara reklam vermektedirler. Böylece kullanıcılar hakkında her türlü bilgi toplama yeteneğine sahip arama motorları ve paylaşım siteleri hem topladıkları bilgileri satarak hem de reklamları çekerek büyük kârlar elde etmektedirler (Tehlike beğen, 23/06/2011). Gandy, panoptik sınıflandırma (panoptic sort) diye adlandırdığı ve kişisel verilerin toplanmasında önemli olan gözetim biçimini birbirleriyle ilişkili üç farklı aşama ile açıklamaktadır (1996). Đlk aşamada, tüketicilerin adları, adresleri, telefon numaraları, vatandaşlık numaraları ve ne iş yaptıkları gibi kimlik bilgilerinin toplanmasından sonra bu bilgiler, sahip oldukları ortak özelliklere göre belli gruplara ya da sınıflandırmalara dahil edilmektedirler. Sınıflandırma ve değerlendirmenin iç içe olduğu ikinci ve üçüncü aşamaların sonunda firmalar olası müşterilerinin tüketim davranışlarını daha etkin bir biçimde saptama ve maniple edebilme olanağına kavuşmaktadır (Gandy,1996: ). Facebook un tam bir panoptik sınıflandırma makinesi olduğunu ileri süren Fuchs da (2011c: ), Facebook kullanıcılarının sunulan hizmetlerden yararlanabilmeleri için öncelikle, girmek zorunda oldukları her türlü kişisel verilerin; tüketici grupları olarak sınıflandırıldığını, karşılaştırmalı olarak değerlendirildiğini ve son olarak da bu bilgilere uygun olan reklamlarla eşleştirilerek kullanıcılara aktarıldığını belirterek Gandy yi desteklemektedir. Gözetimin iki taraflı olduğunu belirten Lyon a (2008) göre, doğru amaçlarla kullanıldığında, kimlik doğrulama, koruma, denetleme, uygun sınıflandırma gibi yararları olurken, büyük sistemlerde her zaman risk ve tehditlere neden olabilmektedir. Nitekim 2006 Ağustos unda AOL tarafından yirmi milyon sıradan insanın, çevrimiçi araştırma sorularının açıklanması bu konudaki riski açıkça ortaya koymuştur. Araştırma yapanların kimliklerini saklamak için numarasıyla açıklanan bilgiler çeşitli başlıklar altında sunulmuşsa da araştırma bilgilerinin isimlerle birleştirilmesi çok da zaman almamıştır. Dolayısıyla bireyleri gizleyememiştir (Lyon, 2008; New York Times, 2006). Gözetimin olumsuzluklarını vurgulayan Fuchs (2011c: 142), Facebook ve benzeri kâr amaçlı sosyal paylaşım sitelerinin neden sorunlu ve zararlı olduğu sorusuna şu açıklamaları getirmektedir: Öncelikle sosyal paylaşım sitelerinde kullanıcılara dayatılan kullanım koşulları ve gizlilik politikaları demokrasinin eksikliğini göstermektedir. Kullanıcılar, bu sitelerin kendilerine sunduğu hizmetlerden yararlanabilmek için, otomatik olarak sunulan kabul tuşuna basarken, özde kullanım için belirtilen tüm koşulları ve maddeleri kabul etmemektedirler. Çünkü, kullanım koşulları ve gizlilik politikasıyla ilgili metinlerin çok uzun, karmaşık ve hukuk diliyle yazılmış olması bu kuralların milyonlarca kullanıcı tarafından ayrıntılarıyla okunup anlaşıldığı ve kabul edildiği konusunu belirsiz kılmaktadır. Bu olumsuzluğun yanı sıra kullanıcıların eşit beceriye sahip olma-

9 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 135 ması, bir anlamda dijital donanım konusunda eşitsizliğin olması da kullanıcıları, ticari Web 2.0 platformlarında dezavantajlı konuma koymaktadır. Öyle ki, bu kullanıcılar gizlilik mekanizmaları ya da reklamı dışlama seçeneği olduğunda onu kullanmakta ve kendilerini korumakta başarısız olmaktadırlar. Đnternetin gittikçe ticarileşmesi de kullanıcıların sürekli olarak reklamlarla karşılaşmasına yol açarken bu reklamları finanse edebilen büyük şirketlerin küçük şirketler ya da ticari olmayan kuruluşlar karşısında üstünlüklü olmalarını sağlamaktadır. Bu da piyasaların yoğunlaşmasına ve tekelleşmesine neden olmaktadır. Özetle, ekonomik gözetim süreci, sermaye birikimine ve hedef reklamlara hizmet ederken, kullanıcıları kişisel verilerini girmeleri için zorlamakta, buna karşın reklamların dışlanması gibi bir seçeneğin kullanılmasına çoğu zaman izin vermemektedir. En önemlisi de, yaratılan ekonomik değer sonucunda oluşan kârdan, bu ekonomik değerin oluşmasına katkıda bulunan kullanıcıların pay alamamalarıdır (Fuchs, 2011c: ). Gözetimle ilgili sıralanan tüm bu olumsuzluklar, aslında kapitalist ilişkilerin yeniden üretilmesinde gözetimin asli işlevini ortaya koymaktadır. TÜKETĐCĐLER VE ŞĐRKETLER AÇISI DA KĐŞĐSEL VERĐLERĐ KORU MASI Gözetimin olumsuzluklarına karşı çare olarak görülen gizlilik, kişisel veri korumasının özünü oluşturmaktadır. Gizlilik, liberal demokrasinin temel aldığı siyasi-felsefi çerçevenin de önemli bir öğesini oluşturmaktadır. Liberal demokrasi, devlete rağmen, bireyin özgürlüğünü ve özerkliğini koruduğu özel alan ile kamusal alan arasındaki ayırıma dayanmaktadır. Gizlilik de, özel alanın çekirdeğini oluştururken kamusal alanın biçimlendirilmesinde vazgeçilmez öğe olarak düşünülmektedir (Medosch, 2010). Özde karmaşık bir konu olan gizliliğin korunmasına ekonomi açısından bakıldığında, farklı durumlarla karşılaşılmaktadır. Çoğunlukla mikro düzeyde statik dengeye dayanan analizler yapan neo-klasik ekonomide, eksik enformasyon piyasa başarısızlığının önemli nedenlerinden birisi olmaktadır. Tersine, tüketici/alıcı ve üretici/satıcı arasındaki enformasyon doğru bir biçimde taşındığında ve iletişim kanalları açık olduğunda iki taraf da rasyonel kararlar alabilmekte ve işlem maliyetinden tasarruf edilebilmektedir. Gizlilik konusuna, güç/iktidar ilişkilerini ele alan ekonomi-politik açıdan bakıldığında ise, gizliliğin zenginleri, büyük şirketleri ve sermayeyi koruduğu görülmektedir. Bundan da öte, büyük kârlarla, zengin-yoksul arasındaki uçurumun gizlenmesinin bu eşitsizlikleri meşrulaştırdığı ve yeniden ürettiği düşünülmektedir (Fuchs, 2011b: 144). Đsviçre deki bankalar, banka hesaplarını sır olarak nitelerken bazı ülkelerdeki şirketler de kârlarını finansal gizlilik gerekçesiyle açıklamaktan kaçınmaktadırlar. Kapitalizm özel mülkiyeti, zenginliği ve şirketlerin gizliliğini korurken, tüketicilerin ve vatandaşların gizliliğini aynı ölçüde korumamaktadır. Nitekim tüketi-

10 136 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 cilere, çalışanlara ve vatandaşlara ait kişisel verilerin gün geçtikçe iş yaşamının her alanında önemli olması, onların alınıp satılmasına ve sınır ötesi aktarımına yol açmaktadır. Ne var ki, tüketicilerin kişisel bilgilerinin kendilerine haber verilmeden üçüncü taraflara aktarılması, ekonomik anlamda olumsuz dışsallıklar 4 yaratmaktadır (Varian, 1996). Başka bir deyişle, tüketicilerin gönüllü olarak, yarar sağlamak amacıyla bir firmaya verdikleri verilerin başka firmalara aktarılması, onlara bu işleme doğrudan dahil olmadıkları halde küçük ya da büyük maliyetler yükleyebilmektedir Acquisti (2010), tüketicilerin kendileriyle ilgili bilgileri firmalara aktarmalarını, boş çek benzetmesiyle açıklamaktadır. Tüketicilerin imzaladıkları boş çek onlara hiç dönmeyebileceği gibi, spam benzeri küçük, can sıkıcı mesajlarla ya da kimliklerinin hırsızlığa karıştırılması gibi büyük zararlarla dönebilmektedir. Firmaların veri tabanlarını iyi koruyamamaları sonucu, ortaya çıkan kimlikle ilgili hırsızlık ya da dolandırıcılık olayları artış göstermektedir. Bu biçimdeki veri ihlalleri, tüketicilerin iş, kredi, sigorta gibi taleplerinin kabul edilmesini önlediği gibi para ve zaman kaybıyla karşılaşmalarına da yol açmaktadır. Bazen cezai yaptırım ya da psikolojik çöküntüye de uğrayabilmektedirler (Acquisti, 2010). Bu durumda, tüketiciler veya çalışanlar bilgilerinin korunamaması ya da ihlal edilmesinden dolayı dava açabilmektedirler. Tüketici bilgilerinin bulunduğu dizüstü bilgisayarın kaybolmasından, bu bilgilerin bulunduğu dosyaların bilgisayar korsanları (hacker) tarafından saldırıya uğraması gibi geniş bir yelpazede oluşan veri ihlalleri karşısında, şirketler yasal cezalarla karşılaşabilmektedirler. Sağlıkla ilgili sigorta şirketi Healt Net in iki milyondan fazla tüketicinin özel sağlık bilgilerini içeren disketi kaybetmesi sonucunda, Connecticut savcılığının açmış olduğu dava bu konudaki örneklerden birisidir. Yine Đngiltere de bir danışmanlık örgütünün başında bulunan kişinin, 3217 çalışanın bireysel bilgilerini 40 dan fazla büyük şirkete satması, mahkeme tarafından 5000 pound para cezasıyla çarptırılması hükmünü getirmiştir. Birçok çalışanın haksız nitelemelerle böyle bir veri tabanında, bir anlamda kara listede yer alması ve iş bulamaması nedeniyle bu ceza çok hafif bulunurken, sendikalar 1999 yılında geçirilip de uygulanmayan kara listeyle ilgili yasanın uygulanmasını istemişlerdir (Ian Kerr admits selling secret information on workers, The Sunday Times, 2009). Yasal yaptırımların dışında, tüketicilerin tepkisi de şirketler üzerinde etkili olabilmektedir yılında Google ın yeni sosyal ağ aracı olan Google Buzz la ilgili olarak kullanıcılardan gelen büyük tepki, bu kuruluşun söz konusu yeni ağı tekrar gözden geçirmesini sağlamıştır. Gittikçe yayılan gmail hesabına sahip arkadaşlara ilişkin toplanan bilgilerle ilgili yeterli şeffaflığın olmadığı 4 Dışsallık bir ekonomik faaliyet sonucunda bu faaliyete katılmayan üçüncü kişilerin de olumlu ya da olumsuz olarak etkilenmesidir. Bir anlamda bir ekonomi içinde faaliyette bulunanların/karar verenlerin toplumdaki diğer insanlar üzerindeki etkileri hesaba katmamaları sonucunda dışsallıklar ortaya çıkmaktadır (Samuelson,-Nordhouse 1989: 972).

11 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 137 konusundaki tepkiler; şirketlerin hangi amaçlarla kişisel bilgileri topladıkları ve işledikleri konusunda bireylere bilgi vermelerinin önemini ortaya koymuştur. Bu olay, şirketlerin ayrıca hangi pratikleri ve politikaları benimsedikleri konusunda da açık olmaları gerektiğini göstermiştir (Bennett, 2011: 491). Tüketiciler kişisel veri tabanlarını koruma konusunda yeterince duyarlı olmayan şirketlerle alış verişlerini keserek ve dava açarak da onları cezalandırmaktadırlar. Tüketici bilgilerini koruyamayan ya da kötü amaçlarla kullanan şirketlerin borsa değerleri de düşmektedir. Ancak bu konuda çalışma yapan Acquisti ve arkadaşları bu olumsuz etkinin uzun sürmediğini ortaya koymuştur ( Acquisti, 2006; Acquisti, 2010). Özde, ekonomik amaçlarla kullanıcı verilerini sömüren Facebook gibi sosyal paylaşım sitelerinin faaliyetlerinin, gizlilik sorunuyla bağdaştırılamayacağını belirten Fuchs a göre, bu sitelerin gizlilik politikası kullanıcıları kullanıcılara karşı korurken reklamcılara karşı korumamaktadır (2011b: ). Facebook un gizlilik koşullarında, kullanıcı bilgilerinin paylaşıldığını ve bu paylaşmanın ne ölçüde, kimlerle yapılacağı konusunda kullanıcıların söz sahibi olduğu vurgulanırken, reklamcıların da kullanıcıların kimliklerine atıf yapmadan bu özellikleri kullanabileceklerine izin verildiği yer almaktadır. Örneğin, dalgıçlıkla ilgilenen kişilere bu konudaki reklamlar gösterilirken, kişinin kim olduğu dalgıçlık firmasına bildirilmeyecektir. Ancak daha önce de belirtildiği gibi bu uzun ve karmaşık metinde yazılanlar çoğu kullanıcı tarafından okunmazken, kullanıcıların oluşturduğu her türlü veri ve davranışın satıldığından söz edilmemekte, onun yerine enformasyon paylaşımı ndan söz edilmektedir (Fuchs, 2011b: 150). Enformasyon paylaşımının, hizmetlerin sunulabilmesi için mantıken gerekli görüldüğünde ve kullanıcıların izin vereceğine inanıldığında yapıldığı da metinde belirtilmektedir. Oysa kullanıcılara, kişisel bilgilerinin hedef reklamlar için gerekli olduğu ve onların da buna rıza gösterip göstermedikleri asla sorulmamakta, bunun için herhangi bir onay ya da dışlama mekanizması bulunmamaktadır. Facebook, Google gibi paylaşım sitelerinde uygulanan bu gizlilik koşulları, ABD de şirketlerin kendi düzenleme (self-regulation) rejimine dayanmaktadır (Fuchs, 2011b: ). Sermayenin ve şirketlerin çıkarını koruyan bu rejim, ABD de gizlilik alanında da yaygın olurken, Avrupa ülkelerindeki uygulamalardan farklılık göstermektedir. Türkiye deki kişisel verilerin korunması konusunu ele almadan önce bu farklı iki yaklaşıma yakından bakmanın uygun olacağı düşünülmektedir. KĐŞĐSEL VERĐLERĐ KORU MASI VE ĐKĐ FARKLI YAKLAŞIM Post-Fordist birikim rejiminin istikrarlı olabilmesi için düzenleme tarzıyla birlikte olması gerekmektedir. Her birikim rejiminin kendisini eşleştirdiği yasalar, normlar ve göreneklerden oluşan bir toplumsal düzenleme tarzı bulunmaktadır ki bu birliktelik kapitalizmin kendisini yeniden üretmesini sağlamaktadır

12 138 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 (Lipietz, 1985 den aktaran Ook Lee - Wainwright, 2010: 565). ABD, Post- Fordist üretim tarzı içerisinde, küresel rejimleri teşvik ederken, başta AB olmak üzere rejimlerin uyum içerisinde olmasını istemektedir. Ancak kişisel verilerin korunması konusunda AB ile uyumu sağlayamamaktadır. ABD Veri Tabanı Koruması Kişisel veri tabanlarının bu kadar önem kazanması, korunmasını dolayısıyla sahipliği tartışmalarını da beraberinde getirmektedir. Büyük şirketler kişisel veri tabanlarını önemli bir şirket varlığı olarak görürken, tüketiciler de kişisel verilerin korunması konusunda endişe duymaktadır. Yapılan araştırmalar tüketicilerin kendi verileri üzerinde kontrol sahibi olmak istediklerini ve kendilerine sorulmadan kişisel verilerinin amaçları dışında kullanılmasına karşı çıktıklarını göstermektedir (Pew Internet & American Life Project Poll, May 2000 and December 2006). Ancak, ABD de örf hukukuyla genel bir kişisel veri koruma sistemi geliştirilemezken, bu konudaki anayasal koruma da sınırlı kalmaktadır. Çünkü, ABD Anayasasında gizlilikle ilgili bir kavram bulunmamaktadır. Gelişen yeni enformasyon pratikleriyle birlikte artış gösteren gizlilik kaygılarına karşı, Amerikan hükümeti ilk kez 1973 yılında HEW 5 Komisyonu nun hazırladığı bir rapor ile yanıt vermiştir. Hem enformasyonun toplanmasına olanak veren hem de bireysel gizliliği koruyacak ilkeler içeren bu raporun yasal bir girişimle sonuçlanması kamu ve özel sektörden gelen baskılar sonucu engellenmiştir yılında çıkarılan Gizlilik Yasası ise, kamu sektöründeki veri işlemesini buradaki ilkelerle uyumlu hale getirirken, özel sektörü kendi haline bırakmıştır (Purtovayılı 2009: 513). Daha sonraları da 1978 yılındaki Finansal Gizlilik Hakkı Yasası ve 1988 yılındaki Video Gizlilik Koruma Yasası gibi istisnalar bir kenara bırakıldığında, özel sektör için veri koruma standardı oluşturan bir yasa yürürlüğe konulmamış, şirketlerin kendi-düzenlemelerine (self-regulation) bırakılmıştır. Dolayısıyla, ABD de, veri koruması ve gizlilikle ilgili sorunlara karşı kapsamlı bir yasa bulunmamakta, var olan gizlilik yasaları da parçalı ve yetersiz bulunmaktadır (Stradford - Stradford, 1998: 17). Özel sektörün insiyatifine bırakılan ve gönüllülük esasına dayanan bu kendidüzenlemeler (self-regulation), doğal olarak, düzenleyicilerinin çıkarına karşı olmayacağı için, tüketicileri ve vatandaşları korumamaktadır. Kişilerin beklentilerini karşılamayan bu kendi-düzenlemeler, kişisel verilerin metalaşmasında artışa yol açarken, bazen hiç uygulanmayabilmektedir. Yapılan bir çalışma, şirketlerin ancak kendilerine tehdit oluşturabilecek potansiyel yasa tasarıları olduğunda bu düzenlemeleri uyguladığını, tehdit geçtiğinde de bir kenara bıraktıklarını göstermiştir (Electronic Frontier Foundation, 2011). Kişisel veri korumasına ilişkin bu şirket düzenlemeleri, ABD Ticaret Bakanlığı nın rehberliğinde yapı- 5 Sağlık, eğitim ve refah (health education,wealth /HEW) la ilgili danışma kurulu.

13 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 139 lırken iş çevrelerinin ve teknolojinin çıkarlarına öncelik verilmektedir. ABD deki siyasi kültürün, iş çevrelerinin finansal katkılarına Avrupa ülkelerine göre daha bağımlı olması, siyasetin iş çevrelerinin çıkarlarına duyarlı olmasına yol açmaktadır (Heisenberg, 2006). Đş çevrelerinin kurdukları lobiler Senato ve diğer siyaset kurumları üzerinde etkili olmaktadır. Bu bağlamda, ABD de hiçbir yasa, gözetlemek için kullanılan çerezlerin (cookies), kullanıcıların bilgisayarlarına yüklenmeden önce onların onaylarının alınması konusunda reklamcılara, bir zorunluluk getirmemektedir (King ve Jessen, 2010: 22). Görüldüğü üzere, ABD de kapsamlı bir veri koruma sistemi bulunmamakta, var olan sektörel düzenlemeler de tepkisel ve tutarsız olarak değerlendirilmektedir (Reidenberg, 2000). Nitekim kredi almak isteyen kişilerin bilgilerini toplayıp, kayıt altına alan kredi kuruluşları belli düzenlemelere tabi tutulurken, doğrudan pazarlama yoluyla bu bilgilere sahip olan kuruluşlar hiçbir düzenlemeye bağlı bulunmamaktadır (Reidenberg, 2000). ABD veri koruma sisteminde, özel sektörün kişisel verileri işleyip, koruması konusundaki eksikliğin giderilmesi konusunda çeşitli öneriler olmaktadır. Bu önerilerden birisi, gizlilikle ilgili haksızlıklara karşı daha çok yasal düzenlemeler getirmek olurken, diğeri kişisel enformasyonun kişinin özel mülkiyeti haline getirilmesiyle ilgilidir (Purtova, 2009: 514). Ancak bu konuyla ilgili çeşitli tartışmalar süregitmektedir. Öncelikle, yeni iletişim teknolojilerinden dolayı kişisel enformasyon üzerindeki denetimin, sıradan insanlar için zorlaştığı öne sürülmüş, daha sonra, tüketicilerin, kendi gizlilikleri konusunda firmalarla pazarlık yaparken, uzman olmadıkları için yeterince güçlü davranamayacakları vurgulanmıştır (Purtova, 2009: 517). Ayrıca gizlilik konusunun sadece bireysel olmayıp, daha geniş bir toplumsal değeri, başka bir ifadeyle kamu yararını da ilgilendirdiği için kişisel verilerin, kişinin özel mülkiyetinde bulunmasının uygun olmayacağı belirtilmiştir (Purtova: ). Litman da, gizlilik hakkının bu biçimde mülkleştirilmesini, fikir ve sanat ürünlerinin fikri mülkiyet hakları ile korunmasına benzeterek, bu tür bir denetimin diğer insanların dışlanmasına neden olacağını söylemiştir (Purtova, 2009: 520). Kişisel verilerin kişilerin özel mülkiyeti haline getirilmesiyle ilgili karşıt görüşlere katılmayan Lessig ise, mülkiyetin, hem kişilerin gizliliğin değişim değeri konusunda daha çok farkındalık geliştirmelerini sağlayabileceğini, hem de veri koruma mekanizmasının gerçekleştirilmesinde motor güç oluşturabileceğini belirtmiştir (Purtova, 2009: 520). Kişiler, verilerini korumak için yeni iletişim teknolojilerinden de yararlanabilmektedirler. Ancak iki taraflı kullanılabilen yeni iletişim teknolojileri, web sitesi sahiplerinin ve reklamcıların baskısı üzerine kişisel enformasyonu korumaktan çok, verileri toplayıp, aktarmak üzerine tasarlamıştır. I. Bölümde de belirtildiği gibi arama motorları kullanıcılar için önemli enformasyon sağlarken, gözetim işlevini de yerine getirmektedir. Bütün bu teknolojik faaliyetler gerçek-

14 140 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 te gizlilikle ilgili politikaları saklamakta ve kullanıcı için yeterince açık ve anlaşılır olmamaktadır (Reidenberg, 2000). Dolayısıyla, kişisel verilerin korunması konusunda, yasal düzenlemelerden çok piyasaya ağırlık veren ABD de, piyasa kendi başına çözüm üretmekten uzak görünmektedir. Şirketlerin kâr amaçları kişilerin ve kamu yararının önüne geçmektedir. Kişiler de kendilerine ait verilerin üçüncü taraflara aktarılmasıyla, kendi enformasyonları üzerindeki denetimlerini yitirmektedirler. AB Veri Tabanı Direktifi Avrupa da, gizlilik temel insan hakkı olarak kabul edilirken, hükümetlerin de bu hakkı vatandaşlarına sağlamakta sorumlu oldukları düşünülmektedir (Movius - Krup, 2009: 172) yılında benimsenen AB Veri Tabanı Direktifi de hem gizlilik hakkına açıkça değinmekte hem de ekonomik, toplumsal ve ticari gelişme ile kişisel verilerin serbestçe dolaşımına yer vermektedir. Direktifin 25. maddesine göre Birlik üyesi olmayan ve yeterli veri korumasını sağlayamayan ülkelere veri aktarımı yapılmamaktadır. Buradaki yeterli düzey Direktifte çeşitli koşullar açısından değerlendirilmektedir. Bununla birlikte yeterli koruma olmasa da, üçüncü ülkelere veri aktarımının yapılabilmesi için, 26. madde bazı istisnalarla esnetilmiştir. Bu istisnalar; kişinin bilgilerinin aktarılması için açıkça onay vermesi, yapılan bir sözleşmenin sonuçlandırılması, kamusal yararın korunması, kişinin yaşamsal çıkarının olması ve kamuya bilgi sağlamak için aktarımın herkese açık olan kayıtlardan yapılması olarak belirtilmiştir. Böylece kapsamlı bir gizlilik ve kişisel veri koruma yasası olmayan ABD ile olan Bağışıklık Sözleşmesi (Safe Harbor) gerçekleştirilebilmiştir. Kişisel verilerin korunmasında, AB ve ABD arasındaki farklılığa çözüm getirerek karşılıklı olarak veri transferinin sağlanabilmesi için yapılan bu Sözleşmenin, ABD nin elini güçlendirdiği düşünülmektedir (Heisenberg, 2006). AB Direktifi gereksinmelerine göre daha esnek olan Bağışıklık Sözleşmesiyle, kişiler gizliliğe daha az önem veren ABD şirketlerinin kendi düzenlemesine bırakırken, başka hiçbir ülkeye böyle bir olanak sağlanmamıştır. Ne var ki, AB nin kapsamlı yasal modeline karşı ABD nin kendi kendini düzenleyen modeli arasında zayıf bir uzlaşma sağlayan Bağışıklık Sözleşmesi etkin bir koruma sağlayamamış ve yoğun eleştirilerle karşılaşmıştır (Electronic Frontier Foundation, 2011). Bağışıklık Sözleşmesi, özellikle 11 Eylül 2001 saldırıları sonrasında karşılaşılan iki olay sonucunda ciddi biçimde zorlanmıştır. Bunlardan birincisi, 11 Eylül 2002 saldırıları sonrasında, terörle ilgili yapılan düzenlemeler uyarınca, havayolu yolcu kayıtlarının (passenger name records /P R) ABD ye aktarılması konusunda olmuştur. Yolcu ve mürettebat listelerinin yanı sıra yolculara ilişkin kredi kartı bilgileri ve hassas olarak nitelenebilecek din ve sağlık konularındaki tutumları gösteren yiyecek tercihlerine ilişkin verilerin aktarılması sorun yaratmıştır. Karşılıklı görüşmeler ve AB Parlamentosu ile Konseyi arasında çıkan ça-

15 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 141 tışmalar sonucunda 2007 de anlaşmaya varılmıştır (Birnhack, 2008: ). Ancak verilerin ABD de hangi birimlere aktarılacağının belirlenmemesi, verilerin saklanma süresinin ABD tarafından 3.5 yıldan 7 yıla çıkarılması ve verilerin amacının dışında kullanılması durumunda hangi hukuksal yolların izleneceğinin de kesin olarak bildirilmemesi, sorunların tam olarak çözüme kavuşmadığını göstermektedir (Küzeci, 2010: 186). Đkinci olay ise, yılda milyonlarca sayıda finansal işlem yapan Belçika kökenli SWIFT in ABD Hazine Departmanı nın talebi üzerine verilerini aktararak ABD Direktifini ihlal etmesi olmuştur. SWIFT den uzun süredir ABD Hazine Departmanı na yapılan sistemli, kitlesel ve gizli kişisel veri transferlerinin şeffaflıktan uzak ve hiçbir yasal dayanağı olmadığı belirtilirken, bu işlemlerin bağımsız yasal otorite tarafından denetlenmemesi de veri konusundaki Avrupa ilkelerinin ihlali olarak değerlendirilmiştir (Art.29 Press Release den aktaran Birnhack, 2008: 518). ABD Hazine Departmanı nın talep ettiği verileri sınırlandırması ve daha farklı veri koruma garantisi sağlaması sonucunda 2007 yılında anlaşmaya varılmıştır (German Presidency Press Release, 2007 den aktaran Birnhack, 2008: 518). AB Veri Koruma Direktifi ne çeşitli eleştiriler olmuştur. ABD li akademisyenlerden Tim Wu, ABD nin fikri mülkiyet hakları konusundaki zorlayıcı denetim aracı olan özel 301 ile AB Veri Koruma Direktifi arasında paralellik kurarken, Salbu da Direktif in veri akışı konusundaki koşullarının AB dışındaki ülkeler için tehdit oluşturduğunu belirtmiştir (Birnhack, 2008: 518). Bergman ise, gizliliği koruma amacında olan Direktif te gizliliğin yeterli bir tanımının yapılmadığı ve neyin korunacağının açık olmadığını belirtirken, Direktif in hangi soruna çare getirdiğini sorgulamıştır (2002: 41). Bergman a göre, AB Direktifi kişisel verilerin toplanıp işlenmesini ve onların yararlı biçimde kullanılmalarını sınırlamaktadır. Oysa verilerin uygun ve yararlı biçimde kullanılmaları onların zararlı ya da uygun olmayan biçimde kullanılmalarından daha yaygındır. Dolayısıyla, AB Direktifi kişisel verilerin gizliliğinin korunması ile enformasyonun serbestçe dolaşımı arasında denge kurmakta başarısız kalmıştır (2002: 42). Direktif i gizlilik konusunda yeterli bulmayan Gutwirth e göre de, gizlilikle ilgili kaygılar pazar önceliğinin yanında ikinci planda kalmaktadır (Birnhack, 2008: 512). Üye ülkelerdeki kişisel verileri korumak için oluşturulmuş AB Veri Koruma Direktifi, üye olmayan ya da Direktif e uyum göstermeyen ülkelere uygulanmazken, piyasa ve şirketler açısından bazı karmaşık noktalar içermekte ve uygulamada zayıflıklar ortaya koymaktadır. Özellikle internet ve www deki gelişmeler kişisel verilerin korunmasını güçleştirirken, yeni mücadele alanları da oluşturmaktadır. Öyle ki, üreten-tüketiciler tarafından oluşturulan enformasyona el koyabilmek için, reklam şirketlerinin bu enformasyonu kişisel olmayan veriler şeklinde nitelemesi, internet kullanıcılarının çıkarlarını koruyan Atlantik

16 142 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 Ötesi Tüketici Diyaloğu (Trans Atlantic Consumer Dialogue /TACD) nu harekete geçirmiştir (Baker, 2011). Uygulamadaki yetersizlikler ve yapılan eleştirilerin dışında AB Veri Koruma Direktifinin, 2005 yılından beri Birlik üyeleri arasında uyumu sağlayamamış olması da Direktifin yeniden ele alınmasını gerekli kılmıştır. Nitekim 2010 yılından itibaren gözden geçirilen Direktif, 2012 Ocak ayında Avrupa Komisyonu nun kapsamlı önerileriyle güncellenmiş ve kapsamı genişletilmiştir. Önerilen düzenlemelerle, kişiler unutulma hakkına sahip olacaklar ve bilgilerinin tutulması için geçerli bir gerekçe olmadığında silinmesini isteyebileceklerdir. Kişiler kendi verileri üzerinde daha fazla kontrol sahibi olurken verilerinin güvenli biçimde korunduğundan emin olacaklardır. Güvenli ortam Avrupa ülkeleri dışında ve internet ortamında da sağlanacaktır. Bunun için ulusal denetim organlarının yetkileri güçlendirilecek, şirketlerin ve servis sağlayıcılarının sorumlulukları artırılacaktır. Ulusötesi şirketler, merkezlerinin bulunduğu ülkenin veri koruma otoritelerine karşı sorumlu olacaklardır. Kişisel verilerin işlenmesi söz konusu olduğunda, onların bunu kabul edeceklerini varsaymak yerine açıkça onaylarını almak gerekecektir. Özlüce bakıldığında, Avrupa Komisyonu dijital ekonomide hızlı büyümeyi teşvik ederken, çevrimiçi gizliliği sağlamayı planlamaktadır. Başka bir deyişle, kişilerin/tüketicilerin internete ve çevrimiçi ticarete güveni arttıkça iç pazar harekete geçecek, büyüme sağlanacak, yeni iş olanakları artacak ve innovasyon güçlenecektir (http: //ec.europa.eu/justice/data-protection /document/review2012/ ctsheets/1_en.pdf). ABD hükümeti bu güçlendirilmiş veri tasarısı için hemen harekete geçmiş ve zayıflatılması için baskıda bulunmaya başlamıştır. ABD nin bu yöndeki lobicilik faaliyetleri ABD Ticaret Bakanlığındaki üst düzey kişilerle yürütülürken tasarının uluslararası standartları bozacağı ve dünyadaki farklı gizlilik rejimleri arasındaki uyumu zayıflatacağı ileri sürülmüştür (Electronic Frontier Foundation, 2011). Avrupa Dijital Haklar Kuruluşu (European Digital Rights/EDRI) da uyum un çoğunlukla veri koruma yasası bulunmayan ABD ye verilerin aktarımı olarak anlaşıldığını söyleyerek ABD yi eleştirmiştir. EDRI ayrıca, ABD lobisinin hatalı ve çıkarcı davrandığını belirtirken amacının gizlilik standartlarını zayıflatmak olduğunu vurgulamıştır. Kişisel Verilerin Korunması, ABD ile AB arasındaki tarihsel ve kültürel farklılıkların yanı sıra iki sermaye arasındaki rekabeti de açığa çıkarmaktadır. AB bir taraftan, vatandaşların temel hakkı olarak gördüğü kişisel verilerin gizliliğini korumaya çalışırken, diğer taraftan küresel rekabette geri kalmak istememektedir. TÜRKĐYE DE KĐŞĐSEL VERĐLERĐ KORU MASI Kişisel verilerle ilgili veri tabanları Türkiye de de kuruluşlar arasında aktarılmakta, paylaşılmakta ve satılmaktadır. Boyner grubu tarafından Aralık

17 Ekonomi Politik Açıdan Kişisel Verilerin Korunması de çıkartılan Advantage Card ın 2002 yılında HSBC ye 75 milyon dolara satılmasıyla, Türkiye deki krizin olumsuz etkilerinden çıkılmış ve sermaye artırımına gidilmiştir. 288 üye kuruluşu, 1.5 milyonu aşkın kart kullanıcısı ve 5 binin üzerinde satış noktasında kullanılabilen Advantage Card la ilgili olarak Boyner Grubu, Advantage Card'ın kriz döneminde bile küçülmediği ve Türkiye ölçeklerinin dışına çıktığını belirtmiştir. Böylece, tüketicilerin başta Beymen olmak üzere tüm Boyner grubunun bazı promosyon, taksit ve indirim olanaklarından yararlanmak için gönüllü olarak verdikleri bilgilerle oluşan bu kart organizasyonu piyasada 75 milyon dolara alıcı bulurken, aslında kişisel verilerle ilgili piyasanın koşulları kuruluşlar tarafından oluşturulmuş ve tüketiciler de buna uymuştur. Türkiye de kişisel veriler, daha iyi hizmet sunmak için hem kamu kuruluşları hem de özel kuruluşlar tarafından düzenli olarak toplanmaktadır. Kimse ne kadar bilgisinin nerelerde kimler tarafından toplandığını ve saklandığını bilmemektedir. Buna karşın kişisel verilerin korunmasıyla ilgili doğrudan bir yasa halen bulunmamaktadır. Verilerin korunması Türkiye nin gündemine ilk kez, 1981 yılında Kişisel Verilerin Otomatik Olarak Đşlemesi Sırasında Gerçek Kişilerin Korunması Hakkındaki Avrupa Konseyi Sözleşmesi ile girmişse de, bugüne kadar bu konuda bir yasa yürürlüğe konulamamıştır. Hali hazırda kişisel veriler, Anayasadaki temel hak ve özgürlükler ile Medeni Kanun ve Borçlar Kanununun bazı maddeleriyle korunmaktadır. Kaynağını özel yaşamın gizliliğinden alan kişisel verilerin korunması ile ilgili olarak 1982 Anayasasında ayrı bir hüküm bulunurken, yeni hazırlanan Anayasa taslağının 20. maddesinde, uluslararası sözleşmelere paralel olarak bu konuya yer verilmiştir (turkhukuksitesi). Medeni Kanunun 24. ve 25. maddeleri kişinin, kişilik haklarının saldırıya uğraması durumunda başvuracağı yolları, Borçlar Kanununun 49. maddesi de şahsiyet hakkı nın hukuka aykırı biçimde tecavüze uğradığında tazminat davası açabileceğini belirtmektedir. Borçlar Kanunu nun daha çok ticari çıkarları koruduğu açık olurken, Medeni Kanun maddeleri de kişisel verilerin korunması için yeterli bulunmamaktadır (Küzeci, 2010: 277). Kişisel verilerin korunması konusunda, hem yeni iletişim teknolojilerinin Türkiye de yaygın biçimde kullanılmasıyla ortaya çıkan endişeler hem de bu konuda kapsamlı bir düzenlemeye sahip AB ile olan ilişkilerde yaşanan sorunlar, bu alandaki yasa eksikliğini iyice görünür yapmıştır. Bir önceki Bölümde de söz edildiği gibi, kişisel verileri AB Direktifi ne göre korumayan ülkelere veri transferinin yapılmaması sorunun kaynağını oluştururken, amaç kişilerin verilerini korumaktan çok kamu ve özel kuruluşlar arasındaki veri transferinde yaşanan güç dengesizliğini ortadan kaldırmak olmuştur. Karşılıklı olarak kamu kuruluşları ve şirketler arasındaki veri aktarımını sağlayabilmek için Adalet Bakanlığı tarafından 7 Eylül 2003 tarihinde Kişisel Ve-

18 144 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 rilerin Korunması Kanunu Tasarısı hazırlanmışsa da yasalaşmamıştır. Uygulamada karşılaşılan gereksinmeleri karşılamak amacıyla Telekomünikasyon Kurumu tarafından, 2004 yılında Telekomünikasyon Sektöründe Kişisel Bilgilerin Đşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik çıkartılmış; 5070 sayılı Elektronik Đmza Kanunu gibi yasalara veri korumasına ilişkin hükümler konulmuş ve Türk Ceza Kanununda veri korumasına ilişkin olarak bazı suçlar ve cezalar öngörülmüştür. Bununla beraber, bu düzenlemeler tek başına yeterli olamamış ve veri korumasının tanımını, kapsamını ve özelliklerini belirleyememişlerdir. Daha sonra veri korumasına ilişkin yasa yapma görevi, tarihinde sayılı Resmi Gazete ile Adalet Bakanlığına verilmiş ve 9 aylık bir sürenin sonunda yasayı yapması istenmiştir. Söz konusu süre içerisinde veri koruma yasasını çıkaramayan Bakanlık, 2003 yılında hazırlamış olduğu ilk tasarının üzerinde çalışarak, nihai metni Başbakanlığa iletmiş ve Başbakanlık tarafından da tarihi itibariyle Meclis e gönderilmiştir (bilgiedinmehakki.org). Tasarı genelde, 108 no lu Avrupa Konseyi Sözleşmesi ve Avrupa Birliği Veri Koruma Direktifini temel almıştır. Kişisel verilerin tanımı konusunda AB Direktifi temel olarak alınırken, kapsamı, kişisel verilerin işlenmesinde uyulması gereken kurallar ve hukuka uygunluk konusunda AB Direktifiyle uyum sağlanmaktadır. Ancak kişilerin ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ile her türlü mahkûmiyetleri gibi hassas verilerle ilgili olarak AB Direktifine göre daha dağınık düzenleme getirilmiştir (Özdemir, 2009b). Kişisel verileri işlenen kişilerin hakları ile söz konusu işlemeyi gerçekleştirecek kişi veya kurumların yükümlülüklerinin dışında, kişisel verilerin başka bir ülkeye aktarımı da tasarıda yer alırken, Direktif e uygun davranılmıştır. Tasarıda, kişisel verilerin korunmasıyla ilgili bir Kurul atanacağı belirtilirken, kişisel verilerin hukuka aykırı olarak işlenmesinde, kişisel hakları ihlal edilen kişilerin bu kurula başvurabilecekleri gibi Medeni Kanunun 24. ve 25. maddelerinden de yararlanılabileceği belirtilmiştir. Tasarıya pek çok tepki olmuştur. Kanun tasarısının kişisel verileri koruyucu bir yasa olmaktan çok kişisel verilere ulaşımı kolaylaştıracak bir uygulama getirdiği tartışmaların ana noktası olmuştur. Özellikle, tasarının TBMM Adalet Alt Komisyonu nda görüşülmesi sırasında Emniyet, MĐT ve Jandarma Đstihbaratının, suç ve suçluyla mücadele gerekçesiyle kamu ve özel kurumlardaki bilgilere erişim ve dosyalama yetkisi istemesi tartışmaları büyütmüştür. Çünkü koruma altına almak amacıyla bir araya getirilmesi düşünülen tüm kişisel bilgilerin kolaylıkla üçüncü taraflara aktarılabileceği görülmüştür. Tasarıda, ırk, din, her türlü inanç ya da siyasi düşünce gibi hassas verilerin kayıt altına alınması yasaklanmakla birlikte kamu yararı ya da resmi olarak verilmiş bir görevi yerine getirmek amacıyla istisna getirilmiştir. Ne var ki, bu istisnanın açıkça belirtil-

19 Ekonomi Politik Açıdan Kişisel Verilerin Korunması 145 memiş olması, kişilerin iş yeri amiri de dahil olmak üzere muhatap olduğu pek çok kişi ve kurumun bu bilgilere kamu yararı gerekçesiyle ulaşabileceğini ortaya koymuştur. Yasakların yanı sıra istisnaların da çok olduğu bu tasarının hazırlanış şekli, Türkiye Bilişim Vakfı Genel Sekreteri tarafından da, tüm bilgilere kolaylıkla erişebilen istihbarat kuruluşlarının ayrıca bir yetki istemelerinin doğru olmadığı belirtilerek, eleştirilmiştir (haber10.com). Kişisel veri koruması üzerine çalışmalar yapan ve benzer görüşleri dile getiren akademisyenler de, güvenlik güçlerinin suç ve suçun önlenmesi amacıyla gereksinimini duydukları düzenlemelere kendi özel yasalarında zaten sahip olduklarını belirtirken, kişisel veri koruma yasasının amacının bu tür uygulamaların ve kaygıların önüne geçmek olduğu, dolayısıyla, istisnalar bölümünde bu amaca aykırı yapılan düzenlemelerin yasanın kendisiyle bağdaşmayacağını vurgulamışlardır (Amaç Devleti Şeffaf Hale Getirmek, Radikal Đnternet.htm, 26/06/2008). Bununla beraber asıl sorunun içinde bulunduğumuz durum olduğunu belirten akademisyenler, şimdiye kadar kamu ve özel pek çok kuruluşa verdiğimiz bilgilerin alınıp, toplanıp, depolanırken, hiç birimizin bu bilgilerin ne kadar süre için saklandığını, üçüncü taraflarla paylaşılıp paylaşılmadığını ve kişisel haklarımızın neler olduğu konusunda bir soru sormadığımız gibi bu konularda bir çatışma olduğunda bizleri koruyacak özel kuralların ve hukuki bir koruma yasasının olmamasına da dikkati çekmişlerdir (Amaç Devleti Şeffaf Hale Getirmek, Radikal Đnternet.htm, 26/06/2008). Türkiye de veri korumasıyla ilgili yasal korumanın olmaması nedeniyle veri ticaretinin çok kolaylıkla yapılabildiğini ve tehlikenin arttığını belirten Alman yayın organı Deutsche Welle, bu konunun gündemin en önemli konusu olması gerektiğini öne sürmüştür. 14 Ağustos 2009 tarih ve Türkiye de Büyüyen Tehlike: Veri ticareti başlıklı haberde, Deutsche Welle, veri güvenliği konusundaki açıkların yanı sıra en çok bilgisayar korsanının (hacker) Çin ve Rusya dan sonra Türkiye de bulunduğunu ve veri hırsızlığının da bu verilerin satın alınmasıyla, dolaylı yoldan desteklendiğini bildirmiştir. Veri ticareti içinde, adresler, e-posta adresleri, banka, tapu ve adres bilgilerinin satılması öncelikli olurken, yasaların yetersiz olduğu, ancak yeterli olsa bile, bu yasaların toplum tarafından benimsenmemesi ve bilgisayar korsanlarına bir övünç kaynağı olarak bakılmasıyla, veri suçlarının önleyemeyeceğine vurgu yapılmıştır (Radikal Đnternet.htm, 26/06/2008). Bilgisayar korsanlarıyla ilgili olarak Türkiye de son yıllarda yaşanan ve medyaya yansıyan örneklerden birisi, 2006 yılındaki Gima olayı olmuştur kadar kredi kartı bilgisini kendi sisteminde tutan Gima nın e-ticaret sistemine sızan bir hacker, bu verilerin tamamına yakınını elde etmiştir. Kadıköy Cumhuriyet savcılığı nezdinde suç duyurusunda bulunduktan sonra Borsa ya açıklama yapan Gima yönetimi, kişisel bilgileri neden topladığını açıklamamış, sadece kredi kartlarının kopyalanmasıyla ilgili sahtecilik olayının müşterilerine

20 146 Amme Đdaresi Dergisi, Cilt 46 Sayı 1 verebileceği muhtemel zarardan ötürü üzüntü duyduğunu, ancak hiçbir müşterisinin bu olayın sonuçlarına katlanmak zorunda kalmayacağını taahhüt ettiğini duyurmuştur ( Sadece tüketicilerin değil, oy kullanma hakkı için gerekli kişisel bilgileri veren vatandaşların da bu konuda risk altında olduğu, 2009 yerel seçimlerinden sonra Yüksek Seçim Kurulu tarafından askıya çıkartılan kişisel verilerin internet üzerinden satışa çıkartılmasıyla ortaya konmuştur. Bir internet sitesinde bin 500 TL ye satılan program aracılığıyla 18 yaşından büyük tüm Türkiye Cumhuriyeti vatandaşlarının kimlik bilgilerine ve adreslerine ulaşılabilmektedir. Đnternet üzerinden Adres Rehberi adıyla satılan programın içerisinde 18 yaşından büyük 50 milyon kayıtlı kullanıcının adı, soyadı, T.C. kimlik numarası, anne ve baba adı, doğum yeri, bulunduğu il bulunmaktadır. Kısıtlı programa sahip bulunan Adres Rehberi nde ücretsiz olarak yapılan on sorgulamadan sonra program sorgulamaya izin vermemektedir. Bu bilgilerin haciz işlemleri yapmak isteyen avukatlara satıldığını, onların da zaten bu bilgilere her zaman ulaşabildiklerini ancak işlerini kolaylaştırmak için böyle bir uygulamaya gittiklerini belirten satıcı, bilgilerin yasa dışı yollarla toplanmayıp, Mart 2009 Yerel Seçimlerinde Yüksek Seçim Kurulu tarafından askıya çıkartılan seçmen bilgilerinin derlenmesiyle oluşturulduğunu söylemiştir (haber10, Skandal!Kimlik Bilgileri Satılıyor.htm). Yine aynı haberde, başka bir internet sitesinde de, adres bilgilerinin yanı sıra bankaların bile saklamasının yasak olduğu, kişilere ait ticari bilgilerin, Đstihbarat adlı program ile satışının yapıldığı belirtilmiştir. Söz konusu bilgiler, Merkez Bankası nezdinde kara listede bulunan firmaların yanı sıra, kredi kartı cezası alan, karşılıksız çek veren, senetleri protesto edilen ve kredi geri ödemesinde sorun yaşayanları da içermektedir. Haberde, telefonla ulaşılan firma yetkilisinin, Đstihbarat adlı bu pakette çeşitli sorunlar olduğu için satışının şimdilik durdurulduğunu söylediği bilgisi de yer almıştır (haber10, Skandal!Kimlik Bilgileri Satılıyor.htm). Türkiye'de kişisel verilerin korunmasının anayasal hak olmakla birlikte Türkiye de bu konuda özel bir yasanın olmadığını yineleyen Türkiye Bilişim Vakfı Yönetim Kurulu Başkanı, 2003 yılından beri bekleyen yasa taslağının yürürlüğe girmesinin de yeterli olmayacağını belirtmiş ve bireylerin arama motorları, kredi kartı şirketleri, güvenlik sistemleri ve bilgisayarlar tarafından gözetlendiğini söylemiştir. Sabancı Üniversitesi tarafından düzenlenen Mahremiyet: Başlangıç mı Son mu? konulu uluslararası konferansta yaptığı konuşmada, arama motorlarında yapılan sorgulamaların büyük veri tabanında saklandığını ve herkese açık bilgi haline gelebildiğini belirten yönetim kurulu başkanı, örnek olarak Google daki bu tür aramaların gizli tutulmasına karşın bağımsız bir şirketin bu motordan sadece bir gün önceki sabah saat 06.00'da 2 milyar 280 milyon arama yapıldığını açıkladığını ve kullanıcıların izin vermesi durumunda, Google'daki