İnternet ve bilişim teknolojilerinin kullanımının yaygınlaştığı günümüzde, bulut depolama, nesnelerin interneti, akıllı ev eşyası ve aksesuar kullanımı bir taraftan hayatımızı kolaylaştırmakta fakat diğer taraftan kişisel verilerimizi daha kolay erişilebilir ve dolayısıyla korumasız hâle getirmektedir. Bu sebeple, bu yazımızda, kişisel verilerin korunması açısından önem teşkil eden bulut depolama, nesnelerin interneti, internet çerezleri ve arama motorları gibi internet teknolojilerine değinecek ve bu teknolojileri kişisel verilerin güvenliği ile ilgili olarak değerlendirmeye çalışacağız.
Bulut Depolama
Verilerin bir depolama sistemine internet veya başka bir ağ üzerinden aktarılarak depolanması olarak tanımlayabileceğimiz bulut depolama, günümüzde hem şirketler hem de bireyler tarafından yaygın olarak kullanılmaktadır. İnternetin olduğu her yerden erişilebilir olması, hizmet sağlayıcıları tarafından yedekleri alınarak saklanması, kaybolma veya bozulma riskinin olmaması, depolama maliyetlerini düşürmesi gibi sebeplerle bulut depolama tercih edilmektedir.
Kişisel verilerin korunması mevzuatı uyarınca değerlendirecek olursak, veri sorumlularının bulut depolama hizmetinden yararlanması durumunda, bulut depolama hizmeti sağlayan kişi veya kurumlar veri işleyen olarak nitelendirilecektir. Dolayısıyla, veri işleyenler kişisel verilerin korunması ile ilgili gerekli idari ve teknik tedbirleri almak ve veri sorumluları ise gereken tedbirlerin alındığını denetlemekle yükümlü olacaktır.
Kişisel verilerin depolanması amacıyla bulut depolama hizmetinden yararlanabilmek için, ilgili kişilerin açık rızasının alınması gerekecektir. Ayrıca, bulut depolama hizmetini sunan kişi ve kurumlara ait sunucuların yurt dışında bulunması durumunda, sunucunun bulunduğu ülkenin güvenli ülke olması veya kişisel verilerin korunması ile ilgili gerekli taahhütlerin sağlanması zorunlu olacaktır.
Nesnelerin İnterneti
Nesnelerin interneti, fiziksel nesnelerin birbirleriyle ya da daha büyük sistemlerle bağlantılı olduğu iletişim ağıdır. Nesnelerin interneti, örneğin evlerimizde yer alan beyaz eşyaları, aydınlatma sistemini, güvenlik sistemini ve elektronik aletleri birbirleriyle bağlantılı ve uyumlu hâle getirmekte, bu nesnelerin cep telefonu ya da bilgisayar gibi aletler aracılığıyla kontrolüne olanak tanımakta ve bu sayede evlerimizde, iş yerlerimizde veya binalarda otomasyon sağlamaktadır.
Nesnelerin interneti, otomasyon sağlayarak hayatımızı kolaylaştırmakla birlikte, gün geçtikçe daha fazla kişisel veri nesneler tarafından elde edilmekte ve işlenmektedir. Örneğin, akıllı saatlerimiz aracılığıyla uyku, konum ve sağlık verilerimiz; akıllı televizyonumuz aracılığıyla izleme geçmişimiz ve dolayısıyla siyasi ve dini düşüncelerimiz, akıllı telefonlarımız aracılığıyla parmak izimiz ve biyometrik verilerimiz işlenir hâle gelmiştir. İşlenen bu veriler nesnelerin interneti aracılığıyla, diğer nesnelerle ya da bunların bağlı olduğu sistemlerle paylaşılmaktadır. Bu durum, nesnelerin interneti ile ilgili olarak kişisel verilerin korunması amacıyla daha fazla teknik tedbir alınmasını gerekli kılmaktadır.
İnternet Çerezleri
İnternet çerezleri, kullanıcıların tercihlerini ve bilgilerini saklayan tanımlayıcı metin dosyalarıdır. İnternet siteleri tarafından, sitenin düzgün bir şekilde çalışması, kullanıcı istatistiklerinin tutulması, reklam ve pazarlama faaliyetlerinin kişiselleştirilmesi gibi amaçlarla kullanılmaktadır. Örneğin, internet siteleri tarafından kullanılan Yandex Metrica isimli çerez, kullanıcı istatistiklerini internet sitesi sahibine rapor olarak hazırlamakta, Google Ads isimli çerez ise kullanıcıların tercihlerine, ilgi alanlarına ve geri bildirimlerine göre reklamları kişiselleştirmektedir.
İnternet çerezleri, internet sitesi kullanıcılarının kişisel verilerini elde ettiği, işlediği ve depoladığı için kullanıcılara, kullanılan çerezler ile ilgili aydınlatma yapılmalı ve çerez kullanımı ile ilgili olarak ilgili kullanıcılardan açık rıza alınmalıdır. Avrupa Birliği Gizlilik ve Elektronik Haberleşme Direktifine göre, internet siteleri, çerez politikası hazırlamak ve bu çerez politikasını kullanıcıların erişimine sunmakla yükümlüdür. Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat uyarınca, ülkemizdeki veri sorumlularının çerez politikası hazırlama yükümlülüğü bulunmamakla birlikte, aydınlatma yükümlülüğünü yerine getirmek ve kişisel verilerin işlenmesi ve üçüncü kişilere aktarılması ile açık rızanın alınabilmesi için her internet sitesinin çerez politikası bulunması tavsiye edilmektedir.
Arama Motorları
Arama motorları, bilgilerin internet üzerinde yer aldığı sitelere ulaşmamızı sağlayan ve aradığımız sözcükler ya da sözcük grupları ile alakalı arama sonuçlarını önümüze sıralayan sistemlerdir. Arama motorları, öncelikle internet siteleri ile ilgili indeksleme işlemi yapmakta ve daha sonrasında yapılan indeksleme işlemine göre, kullanıcılara aranılan sözcük ve sözcük gruplarına uygun olarak sonuçlar listelenmektedir. Örneğin, dünya çapında en çok kullanılan arama motoru olan Google’da “kişisel veri” sözcük grubu aratıldığında, Google tarafından daha önce indekslenen internet siteleri taranmakta ve kişisel veri ile en uygun sonuçlar kullanıcıya gösterilmektedir.
Kişisel Verileri Koruma Kurulu, arama motorlarının internette yayınlanan bilgiyi bulduğunu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri, arama sonuçlarının listesi formunda düzenlediğini, sunucuları üzerinde sakladığını, belirli durumlarda açıkladığını ve kullanıcılarına sunduğunu dikkate alarak, arama motorlarını veri sorumlusu olarak nitelendirmiştir.
Örneğin, Kişisel Verilerin Korunması Kanunu uyarınca, ilgili kişiler, veri sorumlusu olarak nitelendirilen arama motorlarına, ad ve soyadı ile yapılan aramalarda çıkan sonuçların unutulma hakkı kapsamında indeksten çıkarılması talebinde bulunabilmektedir. İndeksten çıkarma talebi değerlendirilirken, ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi, bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması, bilgilerin yayımlanmasında yasal zorunluluk olması, bilginin ceza gerektiren bir suçla ilgili olması dikkate alınacaktır.
