Geçmişten Bugüne: Çevrimiçi Gizlilik, GDPR, Veri Okuryazarlığı

Çevrimiçi gizlilik ve dijital evrenin kullanımına yönelik farkındalık toplum genelinde homojen bir şekilde dağılmamaktadır. Tüketiciler gizlilik konularına aynı seviyede dikkat etmiyor veya yeterli farkındalıkta değiller. Rosenthal (2019), çevrimiçi gizlilik okuryazarlığı daha yüksek olan kullanıcıların daha fazla endişeli olduğunu, düşük okuryazarlık seviyesine sahip kullanıcıların çevrimiçi gizlilik konularına daha az endişe duyduğunu keşfetmiştir.

Teknolojinin evrimi ile birlikte, çevrimiçi veri okuryazarlığına sahip neredeyse herkesin tüketicilerden veri toplaması ve bunu kâr amacıyla satması daha kolay hale gelmiştir. MeasureProtocol’ün (2020) araştırma sonuçlarına göre, çoğu tüketicinin verilerinin nasıl işlendiği veya kullanıldığı konusunda endişeli olduğunu belirtmektedir.

Çevrimiçi Gizlilik veya İnternet Gizliliği, kullanıcıların İnternet’e bağlıyken sahip oldukları güvenlik koruma düzeyini tanımlayan bir kavramdır. Çevrimiçi bilgi paylaşımı, çevrimiçi gezinirken izlemeyi kapatma gibi yöntemlerle güvence altına alınabilir (Winston & Strawn, 2023). Ancak Al-Fannah (2019) tarafından yapılan bir araştırmaya göre, en popüler web sitelerinin yaklaşık yüzde 69'u geniş çaplı yetkisiz izleme yöntemi kullanmaktadır.

Avrupa İstatistik Sistemi Kültür Ağı (ESSNet SDC), kişisel veriyi şu şekilde tanımlamıştır: “Tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili bilgilerdir. Bir kişi doğrudan veya dolaylı olarak tanımlanabiliyorsa; bunu sağlayan bilgiler kişisel verilerdir”. Kullanıcının adı, telefon numarası, kullanıcı geliri veya sağlık bilgileri kişisel veri örnekleridir (Avrupa Komisyonu, 2019b).

İdeal dijital veri paylaşma rızası süreci, kullanıcılara ne tür veri ve bilgileri paylaşacaklarını, verilerin kimlerle paylaşılacağını, verilerin ne zaman paylaşılacağını, verilerin niçin paylaşılacağını ve hangi amaçla kullanılacağını kontrol etme olanağı tanımalıdır.

1604'te Sir Edward Coke, genel olarak gizliliğe yönelik basit bir çerçeve belirlemiştir: “Ev kişinin kalesidir.” Bu, gizlilik hakkına dair ilk beyanatlardan biridir. Bu ifade, bireyin evindeki özel yaşam hakkını, aynı zamanda kamudan uzak, yalnız bırakılma hakkını vurgular. Bu ifade, iletişimin tamamen birbirleriyle konuşma veya göz teması kurma yoluyla yapıldığı zamanlarda hizmet etmiştir (Sharma, 2019).

Teknoloji ilerledikçe çevrimiçi veri güvenliği ve çevrimiçi veri koruması da gelişme göstermiştir. Ancak, yasaların ve düzenlemelerin gelişimi her zaman teknoloji gelişiminden sonra olmuştur. Geniş gizlilik ihtiyacı, yeni teknolojilerin kanun uygulamalarında nasıl kullanılabileceğinin farkına varılmasından sonra ortaya çıkmıştır. Bu nedenle, kişisel hak; kişisel gizliliğe ve daha sonra kişisel çevrimiçi gizliliğine genişletilmiştir. Sonuç olarak, çevrimiçi gizlilikle ilgili yasalar ve düzenlemeler günümüzdeki haliyle geliştirilmiştir (Sharma, 2019).

   Kaynak: Çevrimiçi Gizliliğin Evrimi (cloudhq.net, 2022)

1950'de Avrupa İnsan Hakları Sözleşmesi, “Herkesin özel ve aile yaşamına, evine ve yazışmalarına saygı gösterilmesi hakkı vardır.” şeklinde bir beyanat yapmıştır. Bu beyanat, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) yasası için bir temel olarak kullanılmıştır (Wolford, 2022).

İnternet icat edildikten ve teknoloji geliştikten sonra AB, çevrimiçi güvenlik için bir ihtiyaç ortaya çıktığını belirledi. 1995 yılında AB, Avrupa Veri Koruma Direktifi’ni kabul ederek asgari çevrimiçi güvenlik ve çevrimiçi veri gizliliği standartlarını belirledi. Her üye devlet, bu standartlar için kendi iç yasalarını oluşturma zorunluluğunda kaldı. Aynı zamanda internet, günümüzde olduğu gibi çevrimiçi veri toplayan ve bir veri deposuna dönüşen bir hale gelmenin ilk adımlarını atıyordu (Wolford, 2022).

1995–2011 yılları arasında teknoloji ve internet hızla gelişimini sürdürdü. Bu yıllar içinde çevrimiçi hizmetler tüketiciler için yaygınlaştı. Örneğin, çevrimiçi bankacılık hizmetleri yaygın hale geldi ve sosyalleşme, Facebook’un halka açılmasıyla birlikte çevrimiçi kanallara yayıldı. 2011'de Avrupa’nın Veri Koruma Otoritesi, 1995 direktifinin güncellenmesi gerektiğini açıkladı. AB’nin kapsamlı bir kişisel veri koruma yaklaşımına ihtiyaç duyduğu kabul edildi. Bu kabul, bir Google kullanıcısının şirketi e-maillerini taradı diye şirkete dava açtığı olaydan iki ay sonra duyuruldu. Ancak bu iki olay arasındaki bağlantıyı kanıtlayan herhangi bir bulgu bulunmadığının altı çizilmelidir (Wolford, 2022).

Kişisel veri koruma konusundaki bu kapsamlı yaklaşım, Genel Veri Koruma Yönetmeliği (GDPR) olarak adlandırıldı. GDPR’nin temel amacı, çevrimiçi kullanıcılara kendilerine ait verileri kontrol etme gücü vererek kendi çevrimiçi verilerini koruma olanağı tanımaktır. Bu güç kullanıcının bir web sitesine girdiğinde ortaya çıkan çerez onay banner’larından anlaşılabilir ve onay banner’ı, verinin toplandığına dair önceden kullanıcıları uyarır. Çoğu zaman kullanıcının “kabul et”e tıklamasını veya “reddet” seçeneğinin yerine diğer paylaşım ayarlarını değiştirmesini amaçlar. Çevrimiçi veri toplayan ve işleyen işletmeler için GDPR ve şeffaflık gereksinimleri daha katıdır. GDPR, 2016 yılında Avrupa Parlamentosu tarafından kabul edildi ve GDPR’ye bağlı olan tüm organizasyonlar, en geç 25 Mayıs 2018'de GDPR uyumlu olmak zorundaydı. (Wolford, 2022).

           Websitesi Çerez İzni Örneği

Şu ana kadar GDPR, dünyanın en kapsamlı veri güvenliği ve gizlilik yasasıdır, aynı zamanda cezalar ve para cezaları açısından da en çekinilen yasadır. GDPR’ye bağlı olan işletme, GDPR’de tanımlanan yasalara ve düzenlemelere uymazsa, şirketin küresel gelirinin yüzde 4'üne veya maksimum 20 milyon avroya kadar (hangisi yüksek ise) uzanan mali cezalar kesilebilir (Wolford, 2022.). Örneğin, 2022 yılında verilen en büyük ceza, 405 milyon avro, Instagram’a İrlanda Veri Koruma Komisyonu tarafından verildi. Instagram bu olayda, telefon numarası ve e-posta adresi yayınlama yoluyla çocukların gizliliğini ihlal etti ve 13 ila 17 yaş arasındaki çocuklara telefon numaraları ve e-posta adreslerine erişim imkânı tanıyan iş hesaplarının kullanımına izin vermiş idi (McCarthy, 2023). Otoriteler tarafından verilen cezaların yanı sıra veri sahiplerine, veri havuzlarından kaynaklanan zararlar için on milyonlarca avroya kadar tazminat talep etme hakkı tanınmıştır. Dijitalleşme sürecinde dünya, tüketicilerin kişisel bilgilerine giderek daha fazla güvendikleri bulut hizmetlerine doğru ilerlerken gizlilik ihlalleri daha yaygın hale gelmektedir. GDPR’nin yardımıyla Avrupa, veri güvenliği ve veri gizliliği konusundaki tüketiciye güven veren bir görüntü sergilemektedir. (Wolford, 2022.)

    Kaynak: Data Protection Act Çıktıları (emotiv.com, 2023)

Daha önce belirtildiği gibi, GDPR, tüketicilerin çevrimiçi verileri konusunda daha iyi koruma sağlamak amacıyla geliştirilmiştir. Ancak, operatörlerin yasal olarak GDPR’yi uygulamakla yükümlü oldukları bazı istisnalar ve kısıtlamalar bulunmaktadır. Kısacası, dünya genelinde herhangi bir yerde, AB’deki kişilerle ilgili veri toplanıyor veya hedefleniyorsa, GDPR’yi yasal olarak uygulamakla yükümlüdür.

Ancak, kişisel verileri işleme işletmenin ana işi değilse ve işlemler birey için bir risk oluşturmuyorsa, işletmenin GDPR’yi yasal olarak uygulama yükümlülüğü yoktur (European Commission, 2022).

GDPR’yi uygulama yükümlülüğü olan işletmeler, bunu sağlamakla mükelleftirler. İşletmenin çatısı altında çalışan çalışanların teknik güvenlik önlemleri konusunda eğitim alması gerekmekte ve bu önlemlerin uygulanması gerekmektedir. İşletmenin, verileri işleyen üçüncü taraflarla veri işleme anlaşmasına sahip olması gerekmektedir. Toplanan ve işlenen tüm verilerin, verilerin nasıl toplandığını, verilerin nasıl kullanıldığını, verilerin nerede saklandığını ve veri üzerinde kimin başlıca sorumlu olduğunu gösteriyor olması gerekmektedir (European Commission, 2022a).

Kaynak
https://medium.com/@rdvanylmaz/gdpr-veri-okuryazarlığı