Veri Koruma Hukukunda büyük veriden doğan temel tartışma

Büyük verinin, AB’de uygulanmakta olan mahremiyet yasaları bağlamında uzun süreden beri kabul edilen aşağıdaki üç temel varsayımı sorgulanır hale getirdiği savunulmaktadır:

a) Kişisel veri-kişisel olmayan veri ayrımı

Büyük veri teknolojileriyle birlikte kişisel veri ile kişisel olmayan veri arasındaki ayrımın hala uygulanabilir olup olmadığı sorgulanmaya başlanmıştır. Kişisel verilerin mahremiyet artırıcı teknolojiler vasıtasıyla kişiyi belirlenebilir kılan özelliklerinden sıyrılarak işlenmesi ‘kimliksizleştirme’ olarak adlandırılmakta ve uzun zamandan beri kabul edilen bir yöntem olarak benimsenmektedir. Bu çerçevede, veri işleyen kuruluşlar başta anonimleştirme, bulanıklaştırma, şifreleme, anahtar kodlama ve veri paylaşımı olmak üzere, pek çok farklı kimliksizleştirme metodu uygulamaktadır. Ancak, son birkaç yılda bilgisayar bilimciler tarafından ortaya konulan çalışmalar göstermiştir ki bu çözümler arasında en köklü olduğu kabul edilen anonimleştirme sonrasında dahi, veri belirli bir kişiyle yeniden ilişkilendirilebilmekte ve bireyi belirlenebilir (yeniden kimliklendirme) kılabilmektedir. Belirleyiciler içeren veri setleriyle anonimleştirilmiş veri setlerini çapraz referanslayarak geliştirilen ve

94

bireylerin kimliklerinin yeniden belirlenmesine imkân tanıyan bazı büyük veri uygulamaları da bu alandaki şüpheleri artırmaktadır. Bu gelişmeler ise verileri kimliksizleştirmenin, veriyi istikrarlı bir kişisel olmayan veri kategorisine yerleştirmekten ziyade geçici bir çözüm olabildiğini göstermektedir. Sağlık verilerinin işlenmesi (örneğin; klinik araştırmalar), çevrimiçi davranışsal reklamcılık ve bulut bilişim uygulamaları başta gelmek üzere sayısız iş modeli bakımından sağladığı imkânlar nedeniyle kilit bir teknik çözüm haline gelen yeniden kimliklendirmenin, hukuk doktrini tarafından mahremiyet ilkelerinin uygulanmasını imkânsızlaştırdığına dikkat çekilmektedir.

Bireylerin izleme ve profillemeye karşı korunmaları amacıyla kullanılan anonimleştirilme gibi mahremiyet artırıcı teknolojilerin getirdiği çözümün etkin bir çare olup olmayacağı tartışılmaktadır.

Büyük verinin mahremiyete ilişkin ortaya çıkardığı ilk büyük politika sorusu mahremiyet yasasına tabi olacak verilerin kapsamıdır. Bir veri setinin mahremiyet yasalarının kapsamı dışında değerlendirilebilmesi için ne kadar kimliksizleştirilmiş olması gerekecektir? Bu sorunun cevabı belirsiz olmakla birlikte AB hukukçuları arasında, tüm verilerin kişisel veri olarak ele alınması ve düzenleyici çerçeveye tâbi tutulması gerektiği yaklaşımının da bulunduğu görülmektedir. Ancak, tüm verileri kişisel veri kabul eden böyle bir yaklaşım mahremiyet ve veri güvenliği ilkelerinin uygulanamaması gibi riskli sonuçlar doğurabilecektir. Zira bugün dahi uyulması ve uygulanması zor olan mevcut çerçevenin, böyle bir kabul halinde yönetilemez olacağı aşikârdır.

Daha da önemlisi, görünüşte kişisel olmayan bir verinin dahi mahremiyet yasaları gereğince kısıtlamalara tabi tutulması, verinin yararlı kullanımlarının ciddi bir biçimde sınırlandırılması anlamına gelecektir. Bu çerçevede, FTC tarafından yayımlanan “Tüketim Çağında Tüketiciyi Koruma” başlıklı raporda önerilen yaklaşımın AB tarafından da benimsenebileceği savunulmaktadır. FTC, yeniden kimliklendirmenin yapılmaması için hukuki olarak uygulanabilir organizasyonel taahhütlerin yanı sıra, sözleşmeden doğan yükümlülükler ile söz konusu fiilin engellenmesini amaçlayan bir mekanizma öngörmektedir. Buna göre, şu şartların sağlanması durumunda söz konusu kuruluşun mahremiyet kurallarının uygulama

95

alanından çıkacağı ifade edilmektedir: 1) Veri setinin makul araçlarla kimliklendirilebilir olması mümkün değilse, 2) Kuruluş söz konusu verileri yeniden kimliklendirmeyeceğini kamuoyuna taahhüt etmişse ve 3) Kuruluş alt kullanıcılarına veriyi kimliksizleştirilmiş formatta tutmasını zorunlu kılmışsa. FTC verilerin tek tek incelenmeksizin ve analiz edilmeksizin, amaçlanan kullanımlarının tanımlanmasının ve mahremiyetin tam anlamıyla garanti altına alınmasının neredeyse imkânsız olduğunu kabul etmektedir. Bununla birlikte, FTC mahremiyete ilişkin soruşturmanın temelini, kimliklendirebilirliğin kesin olarak tespitinden veri işleyen kuruluşların yeniden kimliklendirmeyi yasal olarak önleme taahhüt ve niyetlerinin incelenmesine kaydırmaktadır.

Büyük veri setleri toplayan ve kullanan kuruluşların faydalı kullanımlarından ödün vermemeleri bakımından mümkün olduğu ölçüde verileri kimliksizleştirmeleri önem arz etmektedir. Ayrıca, mahremiyet ilkelerinin kimliksizleştirilmiş verilere kısmen uygulanmaya devam edilmesinin faydalı olduğuna; çünkü araştırmacıların hemen hemen her bilgiyi bir kişiyle yeniden ilişkilendirme olanağına sahip olduğuna dikkat çekilmektedir.

Büyük verinin, kişisel ve kişisel olmayan verilerden yeni bilgiler çıkararak yarattığı düzenleyici ikilemde Veri Koruma Tüzüğü’nün aşırı geniş bir kişisel veri tanımı benimsemesi de bu hususu desteklemektedir.

b) Veri minimizasyonu/sınırlı veri toplama ilkesinin uygulanması

Veri minimizasyonu, veri koruma ve mahremiyete ilişkin hukukî düzenlemelerin temel ilkelerinden biri olmaya devam etmektedir. İlkenin temel mantığına göre kuruluşlar kişisel verileri, meşru hedeflerini elde etmek için gereken ölçüyle sınırlı olarak toplamalıdır. Kuruluşların kişisel verilerin yeniden kimliklendirilebilmesini kısıtlayıcı politikalar uygulamaları ve toplama amaçları ortadan kalktığında bu verileri silmeleri gerekmektedir. Bununla birlikte, büyük veriye dayalı iş modelleri bu ilkenin tamamen tersi bir mantıkla çalışmaktadır. Bu iş modellerinde uzun süreler boyunca çok fazla verinin hızla toplanması teşvik edilmektedir. Zira büyük verinin “gizli cevheri”nin verinin beklenmeyen çıkarımlar sağlayan ikincil kullanımları yoluyla elde edileceği düşünülmektedir. Bu doğrultuda, veri minimizasyonu ilkesi, büyük verinin ihtiyaçlarına cevap veremeyeceği ve

96

muhtemel veri ihlalleri dolayısıyla büyük veriye ilişkin sosyal ve ekonomik faydanın

arka planda kalmasına sebep olacağı noktasında eleştirilmektedir.140

Hukuk kurallarının teknolojik ve ticari gerçeklerle çarpıştığı bu alanda, kuruluşlar internet, sensörler, videolar, e-postalar ve sosyal ağlar dâhil olmak üzere pek çok kanaldan veri toplamakta ve depolamaktadır. Dolayısıyla günümüz veri piyasasında, veri minimizasyonu katı biçimde uygulanan bir ilke olmaktan çok uzak görünmektedir. Büyük verinin getirdiği toplum sağlığının iyileştirilmesi, ulusal güvenlik, kamu düzeni, çevrenin koruması ve ekonomik verimlilik gibi toplumsal faydaların mahremiyete ilişkin ilkeler karşısında korunarak dengenin tesis edilmesi önem arz etmektedir. Bu kapsamda, belirlenecek çerçevenin potansiyel mahremiyet risklerine karşılık verinin faydasını da göz önünde bulunduran bir risk matrisine dayalı

olarak oluşturulması gerektiği savunulmaktadır.141

Muhtemel veri kullanımlarının son derece yararlı olduğu ve mahremiyet risklerinin en düşük olduğu durumlarda, bireyler rıza göstermeseler bile veri işlemenin

meşru olması gerektiği savunulmaktadır. Örneğin; tüketicilere daha iyi ürün ve

hizmetlerin sunulmasını sağlayan ağ analitiği uygulamalarının142 önemli bir değer yarattığı kabul edilmektedir. Bu yöntemde, doğru uygulandığı durumda, kimliklendirilmemiş istatistikî verilere dayalı olarak analiz yapıldığından mahremiyete

ilişkin risklerin de düşük olduğu bilinmektedir.143 Bu örnekte rızanın şart koşulması

analizin uygulanmasını ve verilerin kullanılmasını zorlaştıracaktır.

Bununla birlikte, kişisel verilerin yalnızca faydayı önceleyerek toplanmaması ve birincil amaçlarla toplanan verinin daha sonra keyfî biçimde yeniden işlenmemesi gerektiği kabul edilmektedir.

Sonuç olarak, büyük veri çağında veri minimizasyonu ilkesinin yeniden yorumlanmaya ihtiyaç duyduğu, veri işleyenlerin mümkün olduğunca verileri kimliksizleştirerek işlemesi, makul güvenlik önlemlerini alması ve verilerin yalnızca

140 _{Rubinstein, 2012: 5}

141 _{Tene ve Polonetsky, 2013a: 260}

142 _{Bireylerin ağ (web) hizmetlerini kullanma biçimlerinin anlaşılması ve optimize edilmesi amacıyla internet} verilerinin toplanması, ölçülmesi, analizi ve raporlanmasını ifade etmektedir.

97

belirli bir birey bakımından değil toplumsal bir perspektiften kabul edilebilir olduğu durumlarda faydaya dönüştürülmesi gerektiği kabul edilmektedir.

c) Bireyin rızası ve amaçla sınırlılık ilkesinin uygulanması

Başta 95/46/EC sayılı Direktif olmak üzere mahremiyete ilişkin tüm kanunî düzenlemeler, temel bir ilke olarak rıza ve bireysel kontrolü vurgulamaktadır. Gerek ABD’de uygulanmakta olan “bildirim ve rıza” mekanizması, gerekse AB Veri Koruma Tüzüğü’nün rızayı veri işlemeyi meşru kılan bir mekanizma olarak öngörmeye devam etmesi bu yaklaşımın tüm dünyada hâlâ devam ettiğini göstermektedir.

Hukuki düzenlemelerde yer alan rızaya ilişkin bu vurgu, kimi zaman gerek kuruluşlar gerekse bireyler üzerinde gerçekçi olmayan yükler öngörmektedir. Veri işleyen kuruluşların giderek daha da küçülen kutucuklarda meramlarını anlatırken ve genellikle konuya ilgisiz bireylerin rızalarını almaya çalışırken; bireyler ise karmaşık mahremiyet açıklamalarını okumak, anlamak ve "bilgilendirilmiş" bir rıza göstermek durumunda kalmaktadır. Veri akışının yoğun küresel ağlarda ve uygulamalar arasında gittikçe daha da karmaşıklaşan bir zemine kayması karşısında hizmet sağlayıcılar ve diğer aktörlerin rızaya ilişkin uygulamayı nasıl yönetecekleri sorunu ise giderek derinleşmektedir.

Rıza ilkesine göre alınan rızanın amaca özgü (başka bir deyişle belirli bir bağlamda) olması gerekmektedir. Ancak doğası gereği, büyük veri analizi şaşırtıcı korelasyonlar ve kimi zaman tahmin edilmesi imkânsız sonuçlar ortaya koymaktadır. Ayrıca, işletmelerle bireyler arasındaki bilgi asimetrisi ve bilişsel önyargılar bireylerin mahremiyet tercihlerine ilişkin özgünlüklerine gölge düşürebilmektedir. Veri işleyen kuruluşlar kullanıcılara kontrol sahibi oldukları hissini vererek kolayca verilerinin paylaşımını teşvik edebilmektedir.

Aksi bir senaryoda, bireylerin toplumsal olarak faydalı veri işlemelere rıza göstermedikleri durumlarda başkalarının kararlarına kolayca eşlik edilmesi sonucu ortaya çıkan toplu eylemler ise yenilikçi gelişmeleri tehdit etmektedir. Bireylere sunulan seçim menülerinde yer alan ifadelerin kesinliği bu seçimler konusunda veri sahiplerinin orantısız kararlar vermesine sebep olabilmektedir. Örneğin; arama motorlarının sağlık verilerini işleyeceğine dair rıza talebi karşısında olumsuz yanıt

98

vermesi muhtemel bireyler, arama günlüklerinin analizi sonucu elde edilen zararlı ilaç etkileşimlerinin ortaya çıkarılmasına ilişkin bulguları övgüyle karşılayabilmektedir. Mahremiyete ilişkin rıza konusunda bireylerin hazıra konma, uygulamakta olduğunu devam ettirme eğiliminin belirgin olduğu görülmektedir.

Rızaya dayalı kişisel veri işlemenin teknolojik gelişmeyi yavaşlatmakta olduğu; çünkü bireylerin beklentilerinin deneyimleriyle birlikte düştüğü de savunulmaktadır. Örneğin Facebook, 2006 yılında haber akışı özelliğini doğrudan başlatmamış ve bunun yerine kullanıcıların rızasını beklemiş olsaydı, söz konusu hizmet hiç ortaya çıkmamış olabilirdi. Veriler akmaya başlayınca bireyler de hizmete alışmaktadır. Aynı şekilde Google’ın coğrafi konum hizmetleri için Wi-Fi ağlarının kapsamlı bir haritasını oluşturmak ve dünya çapında tüm şehirlerde saha taraması yapmak amacıyla tek tek rıza talep etmesi durumunda kaç kişinin bunu kabul edeceği tartışmalıdır. Kaldı ki geçmişe dönük yapılan çalışmalarda, söz konusu özelliği devre dışı bırakma imkânının tanınmasının hemen ardından pek çok kullanıcının bu özelliği devre dışı bıraktığı görülmektedir. Bununla birlikte, Google’ın uyuşmazlığa konu olduğu pek çok olayda, denetleyici otoritelerin Google'ın veri kullanımı yoluyla yarattığı faydayı üstü kapalı da olsa takdir ettiği görülmektedir.

Veri mahremiyeti bağlamında kişisel verilerin kullanımı hususunda açık rıza şartının aranmasından sarfınazar edilmemekle birlikte, bireyin hakkı ile verinin kullanımı sonucunda ortaya çıkacak toplumsal faydanın, geniş bir pencereden değerlendirilmesine ihtiyaç bulunmaktadır. Toplumun doğrudan pazarlama, çevrimiçi davranışsal reklamcılık, üçüncü taraf veri acenteleri ve konuma dayalı hizmetler gibi büyük veri uygulamalarını meşru (hatta övgüye değer) modeller olarak mı gördüğü yoksa bu alanda caydırılması gereken aşırı müdahaleler olduğunu mu düşündüğü araştırılmalıdır. Büyük veri bağlamında veri kullanımının faydasının göz ardı edilerek rıza ve veri minimizasyonuna fazla yoğunlaşmak yeniliği ve toplumsal faydayı tehlikeye atabilmektedir.