Mobil platformlarda veri toplama ve veri yönetme faaliyeti, masaüstü, dizüstü bilgisayarlar gibi çevrimiçi ve çevrimdışı platformlara nazaran farklı teknik altyapı modelleri ile desteklenmekte ve bu konuda gün geçtikçe yeni iş modelleri oluşturulmaktadır. Bu farklılık, aynı zamanda mobil verilerin niteliğini, kalitesini ve önemini de beraberinde getirerek mobil alandaki verilerin daha güvenli yöntemlerle korunmasını da zorunlu kılmaktadır.
69Madde 29 Çalışma Grubu’nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları” hakkındaki görüşü,s.11
Mobil cihaza birçok farklı kanaldan veri aktarılmakta, bu kaynakların başında ise cihaz ve işletim sistemi, sensör ve bileşenler, mobil uygulamalar, kablosuz ağ ve bluetooth erişimi, bulut teknolojisi, ses iletişimi, haberleşme hizmeti sağlayan operatörler, kullanıcının kendisi yer almaktadır.
3.2.1. Cihaz ve İşletim Sistemi
Akıllı cihazlar, işletim sistemleri ile birlikte kullanılmakta ve cihazın kendisinde olan konum bilgisi, ağ ayarları, IP adresi bilgileri, cihaz ve kişi belirleyicileri IMEI70, IMSI71, UDID72, MAC73, telefon numarası gibi bilgileri varsayılan olarak işlemektedirler. Bunun yanı sıra cihaz depolama alanında, telefon numarası, veri sahibinin kimliği, telefonun kimliği, telefonun adı74, kredi kartı ve ödeme verileri,
arama kayıtları, uygulama kullanırken kullanıcı tarafından üretilen telefon rehberi, notlar, SMS veya anlık mesajlaşmalar, gezinme geçmişi, e-posta, toplum bilgilendirme servisi kimlik doğrulama bilgileri, resim ve videolar, biometrik, yüz tanıma ve parmak izi özellikleri gibi bir çok farklı veri saklanmakta ve işlenmektedir75. Bu veriler, cihaz sahibi ile ilişkili olabileceği gibi cihaz sahibinin
telefon rehberinde kayıtlı üçüncü şahsa ait bir veri de olabilir. Bu noktada mobil cihaz ve işletim sistemi, verinin depolandığı ana yer olması bakımından veriye erişim açısından da önemli bir kaynaktır. Cihaz ve İşletim sisteminin cihazın kullanım süresi boyunca ve kullanım sonrasında dahi veri gizliliğini sağlayacak tedbirleri alması önemlidir. İşletim sistemi ile cihazda yüklü olan uygulamaların cihazdaki hangi verilere eriştiğini görmek ve kullanıcının erişim izinlerini dilediği gibi yönetebileceği ortam sunması önemlidir. IOS ve Android işletim sistemlerinde ayarlar kısmında cihazda yüklü olan uygulamalar listelenmekte ve hangi uygulamanın hangi izinlere sahip olduğu görülmektedir. Kullanıcı bu panelde hangi
70Uluslararası mobil cihaz kimlik no 71Uluslararası mobil abone kimlik no 72Cihaz belirleyici
73Media Access Control, cihazın internet ağındaki teşhisine imkan tanıyan numarasıdır. 74Kullanıcıların telefonlarına verdikleri isimler.
75Madde 29 Çalışma Grubu ‘nun 27 Şubat 2013 tarih ve 02/2013 sayılı “Akıllı Cihaz Uygulamaları” hakkındaki görüşü, s.8
uygulamanın hangi verilerine eriştiğini görerek erişim konusunda kontrol hakkına sahip olacaktır.
3.2.2. Sensör ve Bileşenler
Sensörler, akıllı cihaz içerisinde ölçüm, yönlendirme gibi birden fazla işlevi yerine getirmek için veri toplama yapan bazı durumlarda yazılım tabanlı da olan donanımlardır. Sağlık, güvenlik, kolaylık, üretkenlik ve sürdürülebilirlik gibi birçok alanda dönüşümsel iyileştirmeler getirmeyi vaat eden sensörlerin çeşidi ve sayısı akıllı telefon, tablet bilgisayarlar olmak üzere giyilebilir teknoloji, akıllı evler gibi platformlarda gittikçe yaygınlaşmaktadır. Sensörlerin farklı cihazlarla iletişime geçerek nesnelerin interneti76 gibi yeni hizmetler ve iş modelleri de artış göstermektedir77. Bazı durumlarda bu iletişime geçme durumundan kullanıcının bilgisi dahi olmamaktadır. En basit şekilde açıklamak gerekirse sensörlerden elde edilen veriler ile kullanıcının yürüyüş yapma, koşma ve sabit durma durumları tespit edilebilir olmakta, acil servisi arayan kişilerin konum verisi ile kaçıncı katta oldukları verisine78 dahi erişilebilmektedir. Nesnelerin interneti mobil cihazlarda
toplanan verilere dayanarak kullanıcının alışkanlıkları, veya faaliyetlerine karşılık
76 İlk Olarak Kevin Ashton tarafından 1991 yılında yapılan bir sunumda kullanılmış bir kavram olan Nesnelerin İnterneti (IOT) birbiriyle ilişkili bilgi işlem cihazları, mekanik ve dijital makineler, nesneler, hayvanlar veya benzersiz tanımlayıcılar (UID’ler) ile sağlanan insanlara ve insandan ağa gerek duymadan bir ağ üzerinden veri aktarabilen sistemlerin tümünü ifade eder.
77 Jacob Kröger, Unexpected Inferences from Sensor Data: A Hidden Privacy Threat in the Internet of Things, IFIP International Internet of Things Conference, 2018 https://link.springer.com/chapter/10.1007/978-3-030-15651-0_13 Erişim Tarihi : 09.03.2020 78 New York Columbia Üniversitesi’nden William Falcon ve Henning Schulzrinne, GPS, sinyal
gücü ve atmosferik basıncı birleştirerek - birçok akıllı telefonun şu anda içerdiği barometreyi kullanarak – arayan kişinin ne kadar yükseklikte olduğunu belirleyebilen Sensory adlı bir uygulama keşfetmişlerdir. Birçok akıllı telefon, deniz seviyesinden yüksekliklerini tespit edebiliyor. Katlar arasındaki mesafe binadan binaya önemli ölçüde değiştiğinden bu tespit sadece rakımı verirken doğrudan kat numarasına dönüşmemektedir.. Bu sorunu çözmek için Falcon ve Schulzrinne, belirli binaların farklı katlarını tekrar tekrar ziyaret eden gönüllüleri izleyerek elde ettikleri hareket verilerini belirli rakımlarda kümeleyerek farklı katları ortaya çıkarmıştır. Falcon, Rockefeller Center da dahil olmak üzere beş New York binasında 63 rastgele katı ziyaret ederek uygulamayı test etmiş ve testlerin yüzde 91'inde sistem iki katın içinde doğrulanmıştır. Sydney'deki New South Wales Üniversitesi'nden Binghao Li ve meslektaşları da kablosuz ağ sinyallerini kullanarak kat konumunu tahmin eden bir sistem geliştirmişlerdir.
https://www.newscientist.com/article/2152366-phone-sensors-can-save-lives-by-revealing-what- floor-you-are-on/#ixzz6Cd03Cm00 Erişim Tarihi : 09.03.2020
gelen verilerin kombinasyonuna ve analizine dayanarak hizmetlerini sunar. Kamera, mikrofon ve GPS gibi navigasyon sistemleri mevcut işletim sistemleri tarafından ancak kullanıcının açık rıza vermesi ile kullanılabilirken ivmeölçerler, jiroskoplar ve barometreler gibi göze çarpmayan sensörler bu kapsamda daha az korunmaktadırlar. Sensörlerden elde edilen verinin içerik ve konum verisi olduğu, 13-14 Ekim 2014 yılında Balaclava, Mauritius’da yapılan Uluslararası Veri Koruma ve Gizlilik Komiserleri Konferansında da kabul edilmiştir. Konferansta, sensörlerden toplanan verinin miktar, kalite ve hassasiyeti dikkate alındığında tanımlanabilirliğin ve eşleştirmenin daha büyük olduğu büyük verinin korunması ve tanımlanabilirliğinin zorluğu karşısında bu verilerin kişisel veri olarak korunmasını, şeffaflık ilkesi ve uluslarası gizlilik prensiplerine uygun şekilde hareket edilmesine ilişkin kararlar alınmıştır79.
Tablo 1.1. En Yaygın Akıllı Cihaz Sensörleri80
Sensör Tipi İşlevi
İvmeölçer Titreşim, döndürme hareketi algılama, hız ölçümü Jiroskop Adım sayma, yön tespiti veya ölçümü
Isı Ölçer Oda/havanın ısısının ölçümü
Manyetik Ölçer Alan yoğunluğu, mesafe, hız, akım algılama ve konumlandırma
GPS Konum bulma, enlem boylam bilgisi, yükseklik Işık Sensörü Ortam aydınlatma seviye ölçümü
Barometre Hava basıncı, deniz seviyesi yükseklik ölçümü Yakınlık Cihaza nesne yakınlaştığında algılama
Kamera Görüntü ve video kaydedici
Mikrofon Ses kaydedici
79 Kröger, s.148
3.2.3. Kablosuz Ağ ve Bluetooth Erişimi
Bluetooth, benzer teknolojiyi kullanan diğer cihazlar arasında kablosuz bağlantı sağlayarak veri alışverişi sağlayan bir teknolojidir. Bu teknoloji ile cihazlar arasında her türlü veri alışverişi mümkün olmaktadır.
Kullanıcılar ücretsiz kablosuz bağlantı sunan mağaza, kafe, restoran, avm alanlarında bu hizmetten faydalanmak amacıyla hizmet şartlarını kabul ederek hizmet sağlayıcının kendi cihazlarındaki bir çok veriyi kullanmalarına da izin vermiş olmaktadırlar. Kablosuz ağ bağlantısı ile ilgili diğer bir sorun da bu bağlantı ile mobil cihazın izlenebiliyor olmasıdır81. Wifi izleme olarak tanımlanan bu durum, kişilerin mobil cihazlarından gelen sinyal ile izlenmesi anlamına gelir. Mobil cihazlar, kablosuz erişim noktasına bağlanmak için sürekli olarak sinyal iletir. Bu noktada telefonun MAC adresini içeren sensör, telefondan gelen sinyalleri aldığında telefonu diğer cihazlardan ayırt edilebilir hale getirir. Sensör, MAC adresini diğer verilerle, yani cihazın kayıtlı sinyal gücü, cihazın konumu, ölçümün tarihi ve saati ile birlikte işler. Veri analisti, bu veriler doğrultusunda sensör kapsamındaki cihaz sayısı ve insanların davranışları hakkında bilgi alabilir. Ticari şirketler, bu şekilde belli mekanlarda alışveriş davranışı ve yürüyüş akışları hakkında ekonomik veriler üretebilmektedir.
Kullanıcılar wifi izleme durumunda kullanıcıdan birçok kez opt out82 yapması beklenemez83. Bu tarz yapılan izleme faaliyetleri için istisna getirilerek uygun güvenlik tedbirleri alınmasının sağlanması, gerekli teknik ve organizasyonel önlemler alınarak verinin herhangi bir ölçüm ve karar için işlenmemesi, ayrıca opt-
81 ABD'de faaliyet gösteren alışveriş mağazasının, alışveriş yapanları izlemek için Euclid Analytics olarak bilinen bir hizmet kullandığı ortaya çıkmış, bu hizmet ile ücretsiz kablosuz ağ aracılığıyla, alışveriş yapanların hangi departmanları ziyaret ettiğini ve orada ne kadar zaman geçirdiklerini belirlenebilir olmuştur. Forbes 100'den fazla perakendeci bu hizmetten yararlandığını bildirmiştir. https://www.techradar.com/news/8-reasons-why-smartphones-are-privacy-nightmare
Erişim Tarihi : 10.02.2020
82 Kullanıcının işlemin yapılmaması için bunun açık bir şekilde harekette bulunarak ifade edilmesi 83Opinion 6/2017 EDPS Opinion on the Proposal for a Regulation on Privacy and Electronic
out seçeneğinin olması ve saklanan veriler için süre sınırlamaları olması gerekmektedir.
3.2.4. Bulut Bilişim
Bulut bilişim, bilişim kaynaklarına bir ağ üzerinden erişilmesi olarak tanımlanmaktadır84. Bu teknolojide verinin gönderildiği yer, firma ağının dışında
bir alan olduğundan burada bulunan ve işlenen kişisel verilerin güvenliği için ayrı bir değerlendirme yapılması gerekmektedir. Bulut hizmeti sağlayıcının yurt dışında bulunması halinde bu durumda yurt dışına veri aktarımına ilişkin kurallar devreye girecektir.
3.2.5. Mobil Uygulamalar
Mobil uygulamalar, bazı durumlarda uygulamanın işlevini yerine getirmek bazı durumlarda farklı amaçlarla cihazda yer alan verilere erişim isterler. Bunların en başında konum, albüm, rehber, kamera, mikrofon, takvim, SMS, arama geçmişi vb. örnekler verilebilir. Cihazın ayarlarında cihazda yüklü uygulamaların hangi verilere eriştiği, kullanıcı tarafından erişim kontrolü yapılmaktadır.