Avrupa Birliği, internette kişisel verilerin korunması ve özel hayatın gizliliğine yönelik geniş kapsamlı hukuki düzenlemeleri önümüzdeki ay yürürlüğe sokuyor.
Avrupa ve Amerika Birleşik Devletleri’nde (ABD) halk arasındaki
yaygın inanışa göre, Silikon Vadisi’ndeki teknoloji devlerinin internet
ortamında özel hayatın gizliliğine riayet etmeleri ancak hukuki bir
düzenlemeyle mümkün görünüyor. Buna karşılık, anılan düzenlemeler, internet
dünyasına öncülük eden Facebook ve Google’ın hakimiyetini güçlendirmelerine hizmet
etmekten öteye geçemiyor.
Bu bağlamda, önümüzdeki ay Avrupa Birliği’nde (AB) yürürlüğe
girecek olan kişisel verilerin korunması ve özel hayatın gizliliğine yönelik
geniş kapsamlı hukuki düzenlemeler göze çarpıyor. Kişisel verilerin işlenmesi
halinde, teknoloji şirketlerine, ilgili kişilerin rızalarını alma zorunluluğu
getiren kurallar, esasen Facebook ve Google’ın elini güçlendirebilir. Zira söz
konusu kişisel veriler olduğunda, tedbirli tüketiciler henüz tanınırlığı
olmayan yeni girişimlere nazaran bilinen isimlere daha çok güvenmeye eğilim
gösteriyor. Ayrıca anılan düzenlemeler, yeterli kaynaklara sahip olmayan yeni
girişimleri, büyük şirketlerle rekabet etmekten caydırıyor.
İnternette özel hayatın gizliliğine ilişkin geçmiş
yıllardaki hukuki girişimler de büyük teknoloji şirketlerinin gücünü azaltmakta
başarılı olamadı ve netice olarak onlara zarar vermek bir yana, nemalanmalarına
sebep oldu.
Özel hayatın gizliliğine ilişkin kuralların rekabetin işleyişi
üzerindeki etkilerine bakıldığında, hukuki düzenlemelerin daha çok görevlilere
yardımcı olduğu görülüyor. Bu bağlamda, özel hayatın gizliliğine ilişkin
kuralların rekabetçilik karşıtı etkilerinin olduğu gözlemleniyor. Zira kişisel
verilerin işlenmesine ilişkin kullanıcılardan alınması gereken rıza, köklü
şirketlere kıyasen genç girişimcilere daha pahalıya mal oluyor.
Yine de Facebook ve Google’ın bu kurallar silsilesine binaen
gücüne güç katması uzak bir ihtimal gibi görünüyor. Nitekim Silikon Vadisi
şirketleri aylardır kişisel verileri toplama ve işleme yöntemlerine ilişkin
inceleniyor. Geçtiğimiz günlerde Cambridge Analytica adlı siyasi araştırma
şirketinin yaklaşık 87 milyon Facebook kullanıcısının rızaları olmaksızın
topladığı kişisel verilerin, ABD Başkanı Donald Trump’ın seçim kampanyasında
kullanıldığı ortaya çıktı. Cambridge Analytica skandalı olarak gündeme damgasını
vuran olay, Facebook’u ciddi ölçüde sarstı. Şirketin kurucusu Mark Zuckerberg’i
ABD Kongresi önünde ifade vermeye kadar götüren skandal neticesinde, Zuckerberg
milyonlarca kullanıcısının kişisel verilerini layığıyla koruyamadığı için özür
diledi.
Google da YouTube üzerinden sunmakta olduğu video barındırma
hizmetine ilişkin benzer sorunlarla mücadele ediyor. Arama motoru devinin -daha
fazla olmasa da- en az Facebook kadar dayanıklı bir veri toplama mekanizması
olduğuna inanılıyor. Buna karşılık Google, özellikle veri koruma otoritelerinin
bu inancını savuşturmaya çalışıyor.
Bu gelişmeler üzerine Arjantin ve Brezilya gibi ülkeler de
hedefli reklamlar için, Facebook gibi ortamların kullanıcı veri tabanlarını
kullanan şirketleri dikkate alarak, Avrupa tarzında özel hayatın gizliliğine
ilişkin kuralları araştırıyor. Benzer şekilde ABD’deki kanun koyucular da
Zuckerberg’in ifadesi üzerine, Silikon Vadisi’ne yönelik hukuki düzenleme yapma
konusuna daha ılımlı yaklaşıyor.
Buna karşılık, özel hayatın gizliliğiyle ilgili geçmişteki
hukuki düzenlemeler, teknoloji şirketlerinin gücünü azaltmaya yönelik kayda
değer ilerleme sağlayamadı. Gerçekten de Facebook, Google ve diğer şirketlerin
gücünü test etme girişimleri akabinde Avrupa’da meydana gelen gelişmeler bu tespiti
doğruluyor.
AB’nin en yüksek mahkemesi olan Avrupa Birliği Adalet
Divanı, insanların internet ortamında “unutulma hakkı”na sahip olduğuna karar
verdi. Buna göre, kişilerin Google ve diğer arama motorlarına, arama
sonuçlarından ilgili bağlantıların kısmen kaldırılması talebinde bulunmaları
mümkün hale geldi. Anılan kararın verildiği günden bu yana Google, Avrupa’da
hangi bilginin internet ortamında tutulacağına karar veren mercii pozisyonunu
korumaya devam ediyor. Zira her bir talebi değerlendirme ve karara bağlama
görevini, “unutulma hakkı”nın yükümlüsü olarak Google yerine getiriyor.
Bir başka gelişme, 2011 yılında Avrupa Birliği’nde “çerez”
kullanımına ilişkin yürürlüğe giren direktif özelinde yaşandı. Buna göre web
sitelerine, ziyaretçilerini çerez aracılığıyla izlemeleri ve böylelikle elde
ettikleri tarama geçmişi bilgilerini kullanarak veri toplamaları halinde
uyarıda bulunma yükümlülüğü getirildi. Ancak anılan düzenleme, şirketlerin
işleyişini değiştirmek yerine, bilgi akışını kesintiye uğratarak kullanıcılar
için web sitesi deneyimini rahatsız edici hale getirdi. Dolayısıyla
kullanıcılar, genellikle izlemeye ilişkin açıklamaları okumaksızın, bir an önce
uyarı pencerelerinden kurtulmak için web sitelerinin çerezleri aracılığıyla
izlenilmeye onay veriyorlar.
Kişisel verilerin korunması ve özel hayatın gizliliğine
ilişkin devam eden karmaşa, Facebook ve Google’ın ne işlerini ne de kullanımını
azaltıyor. Nitekim Zuckerberg’in açıklamalarına göre, Cambridge Analytica
skandalının Facebook’un işlerinde önemli bir etkisi olmadı. Hatta geçtiğimiz
hafta açıklanan bilançoya göre, Facebook’un yılın ilk çeyreğinde satış
gelirlerinin yüzde 50, net karında ise yüzde 63 artış gösterdiği görülüyor.
Yine Google, büyümeye devam eden reklam işlerine binaen ilk çeyrekte yüzde 26
gelir artışı açıkladı.
AB’de 25 Mayıs 2018 tarihinde yürürlüğe girecek olan Genel
Veri Koruma Tüzüğü teknoloji şirketleri bakımından önem arz ediyor. Zira tüzük,
şirketlerin kişisel verileri toplaması, saklaması ve işlemesine ilişkin birtakım
kısıtlamalar getiriyor. Buna göre, şirketlerin kişisel verilerin hangi amaçla
işleneceğini açık ve anlaşılır bir dille açıklama ve bu verilere kimlerin,
hangi amaçlarla erişebileceğini ayrıntılı biçimde anlatma yükümlülükleri
bulunuyor. Dolayısıyla artık şirketler, anlaşılması güç ve genellikle göz ardı
edilen hizmet koşullarının arkasına saklanamıyor; kullanıcıların kişisel
verilerinin işlenmesine ilişkin bilgilendirilmeyi yaparak rızalarını almaları
gerekiyor.
Avukatlar ve danışmanlık şirketlerine göre ise Tüzük esasen
büyük teknoloji şirketlerini dizginlemeyi amaçlamıyor. Benzer şekilde, bazı
özel hayatın gizliliği destekçileri, Tüzük’ün halihazırda güçlü teknoloji
şirketlerine avantaj sağlayacağı iddiası karşısında dehşete kapılıyor.
Teknoloji devleri de anılan basmakalıp iddiayı gelecekteki hukuki düzenlemelere
engel olmak için ileri sürüyor.
AB’deki hukuki düzenlemeler, veri aktarımını sınırlandırarak
belirli kitlelerin ilgi alanlarını hedefleyen reklamları engelliyor olabilir.
Ancak reklam verenlerin daha geniş kitlelere erişim sağlayan internet
ortamındaki hizmetlere eğilimi göz önüne alındığında, Facebook ve Google’ın
hâlâ avantajlı konumda olduğu görülüyor. Nitekim Facebook’un 2,2 milyar,
Google’a ait olan YouTube’un ise 1,5 milyar aylık kullanıcısı bulunuyor.
Tüzük’ün hazırlık çalışmalarında yer alan Avrupa Veri Koruma
Denetçisi Giovanni Buttarelli’ye göre, hukuki düzenlemelerin etkisini, yasayı
yürürlüğe koyanlarla, iyi şekilde finanse ve organize edilmiş lobiciler ve
avukatlarla mücadele edenler belirleyecek. Avrupa merkezleri İrlanda’da olan
Facebook ve Google, İrlanda Veri Koruma Otoritesi tarafından denetime tabi
tutuluyor. Buttarelli tüm Avrupa ülkelerinde yaklaşık 2 bin 500 kişinin
denetime ilişkin çalıştığını söylüyor. Ancak Avrupa Komisyonu ve
Parlamentosu’nun da bulunduğu Brüksel ve Strasburg’daki lobicilerle
karşılaştırıldığında, bu rakamın kayda değer olmadığını belirtiyor. Teknoloji
devlerinin avantajlı konumunu kabul eden Buttarelli, buna karşılık Tüzük’ün
özellikle daha çok veri işleyen şirketleri mercek altına alacağını ekliyor. Bu
bağlamda, teknoloji devi olmanın hem avantaj hem de dezavantaj olduğuna değinen
Buttarelli, küçük ve orta ölçekli şirketlerin farklı düzenlemelere tabi
tutulacağını dile getiriyor.
Kullanıcıların rızasının alınması söz konusu olduğunda,
Avrupa’nın Facebook ve Google’ı daha sıkı kurallara tabi tuttuğunu söylemek
yanlış olmaz. Anılan teknoloji devlerinin ürün ve hizmet sunumlarını WhatsApp,
Instagram gibi diğer uygulamalarla veri paylaşımı koşuluna bağlaması artık
mümkün değil, çünkü rızanın bilgilendirilmeye dayalı olmasının yanı sıra, özgür
iradeyle de açıklanması gerekiyor. Ancak söz konusu kural, küçük ölçekli
şirketler bakımından uygulama alanı bulamıyor. Yine de büyük ölçekli
şirketlerin Tüzük’e uyum çalışmaları sürecinde yer aldığını belirtmek gerekir.
Geçtiğimiz haftalarda Facebook, -sadece Avrupa’daki değil-
tüm dünyadaki kullanıcılarına yönelik, hedefli reklam kullanımı ve yüz tanıma
özelliğine onay vermeleri için bir rıza formu yayınladı. Ayrıca reklam veren
şirketlerin Acxiom, Experian gibi veri simsarlarından satın aldıkları verilerle
hedefli reklamlar oluşturmasını engelleyeceğini dile getirdi.
Yıllardır yeni düzenlemelere uyum çalışmaları yürüten
Google, hedefli reklam gösteriminde kullanmak üzere kullanıcılarının Gmail
iletilerini taramaya son verdi. Yakın zamanda yayıncılar için piyasaya sürdüğü
yeni pazarlama ürünü ise, kişisel veriler yerine kullanıcıların ziyaret ettiği
herhangi bir web sitesindeki haberler veya içeriğe dayanan reklamlar gösteriyor.
Öte yandan Facebook’un yeni rıza formları, kullanıcıların
geniş ölçekte bilgi paylaşımını teşvik etmeye devam edeceği gerekçesiyle
kamuoyunda kabul görmedi. Ayrıca Google, Avrupa’da güncellediği bir veri
kullanım ilkesinin açık uçlu bir dille kaleme alınmış olmasından ötürü
eleştirilerin hedefi oldu. Zira anılan ilke, rızanın genel nitelikli olmayıp
belirli bir duruma özgülenmiş olması ve ilgili kişinin isteminin açık ve kesin
bir göstergesi olması yönündeki şartlarını bir arada bulundurmuyordu.
Tüzük’e umut bağlayanların sayısı giderek artıyor; ancak
vaatlerini yerine getirip getirmeyeceği, Tüzük’ün uygulanma biçimiyle
şekillenecek.