Beyza BÜYÜKAĞAÇCI
İnsanoğlu tarih boyunca çeşitli yollarla iletişim kurabilmenin yolunu buldu. Dumanla haberleşmeden 5G görüntülü konuşmaya giden bu yolculukta gün be gün yenilendi ve kendini geliştirdi. Bu gelişim elbette ki sosyal hayatta var olabilme kaygısı ile ortaya çıktı. Sosyal hayatta var olabilmek için treni kaçırmamak gerekiyor. Trenin en hızlı gittiği vagon da anlık mesajlaşma uygulamaları. Hızın ve ticaretin çok önemli bir yer kapladığı bu çağda insanlara en hızlı şekilde iletişim kurma imkanını anlık mesajlaşma uygulamaları sunuyor. Bu uygulamalar sayesinde kişiler anlık düşünce ve duygularını birbirleri ile paylaşabilmektedir. Sadece yazılı olarak da değil, sesli, görüntülü hatta videolu şekilde anlık mesajlar atabilmekteler. Bu iletişim yalnızca iki kişi arasında kalmayıp kurulan gruplar ile birden fazla grup üyesini de içine almakta. Elbette, bu beraberinde birçok rahatlığı da getiriyor. İnsanlar birbirlerinden haber alabilmek için kara treni bekleme gibi bir zahmete tahammül etmek zorunda kalmıyor, bilgi en taze haliyle konuşmanın diğer ucuna sunuluyor.
Ancak her şey bunlarla sınırlı değil. Kullanıcılara ücretsiz olarak (çoğunlukla) sunulan bu programlar, kullanıcılar ve konuşmanın karşı tarafındaki kişiler hakkındaki birçok bilgiyi de depoluyor. Hangi bilgiyi? Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi. Yani kişisel verileri. Depolanan bilgiler ise çeşitli alanlarda kullanıma sunuluyor. Uygulamalar bu bilgileri kendilerini geliştirmek için kullanmakla birlikte ticari, politik, ideolojik amaçlarla büyük şirketlerle de paylaşabiliyor. Sadece bilgi depolanması da değil, bu programlar telefonlardaki birçok uygulamaya da erişim imkânı elde ediyor. Verilen her izinle beraber de kuruldukları cihazda geniş bir yetkiye sahip oluyor. Çoğu zaman kendini geliştirmek ve kişiye daha iyi bir hizmet verebilmek açısından talep edilen bu izinler zamanla kişiden her türlü bilgiyi anlık olarak almaya olanak sağlıyor. Bunun tipik örneklerinden biri konum bilgisi. Kişi karşı tarafa göndermesi gereken konum bilgisi nedeniyle bu uygulamanın cihazın konumuna ulaşabilmesine izin veriyor. Akabinde verilen bu izin kişinin de yanında bulunan kişilerin de mevcut konumu ve hareket eden konumu hakkında bilgi edinmeye kapı açıyor. Hatta bulunulan yerin nasıl olduğu ile ilgili değerlendirme alabilmek için kişiden “gittiğiniz yer hakkında oy verin” tarzı feed-back’ler isteniyor. Bu döngü izin verilen her an için devam edip gidiyor.
Sık Kullanılan Uygulamalar Neleri Depolamakta ve Aktarmakta?
Türkiye’nin yerli uygulaması olan BİP, verilen rızalar nedeniyle kişiden kişiye farklılık gösterebilecek olmakla birlikte kullanıcılardan; kimlik ve iletişim bilgilerini, kullanım bilgilerini, kişiselleştirilmiş bilgileri (rumuz, profil fotoğrafı vb.), konum bilgilerini, cihaz bilgilerini, yedekleme iletişim verilerini, kişi listesi ve telefon numaralarını talep ediyor ve işleyebiliyor. BİP, kullanıcılara sunduğu aydınlatma metninde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak kişisel verileri korumayı ve güvenliğini sağlamayı taahhüt etmekte. Aynı zamanda BİP, kanunun uygun gördüğü hallerde açık rıza aramaksızın çeşitli amaçlarla da kişisel verileri işlemekte. Açık rızanın verilmesi halinde ise konum bilgisi, kamera, fotoğraf erişimi de işlemeye tabii olacak. Verilerin aktarılması hususunda ise BİP, yasal yükümlülükler doğrultusunda aktarılması gereken kurum ve kuruluşlar şeklinde veri aktarımını yapacağını aydınlatma metninde dile getirmiş. Aydınlatma metninde yer vermediği bir kurum veya kuruluşa bu aktarım söz konusu olursa da muhakkak ki müeyyide ile karşı karşıya gelecektir. Ayrıca BİP, Kanun’un 11. Maddesinde ilgili kişiye sunulan hakları aydınlatma metninde tekrar gündeme getirmiş.
Sonuç olarak BİP uygulamasında yukarıda ifade ettiğimiz veriler işlenmekte olup aydınlatma metninde yer alan kurum ve kuruluşlar ile paylaşılmakta. Buna ek olarak mesajların uçtan uca şifreleme yöntemi ile şifrelenmesi protokolünü uygulamadığı için mesajların içeriğine de erişilebilmekte. Bu halde de BİP, erişebildiği bu mesajları yani kişisel verileri aydınlatma metninde de ifade ettiği gibi yasal yükümlülük doğrultusunda kurum ve kuruluşlar ile de paylaşmak zorunda.
Türk kullanıcılar tarafından kullanılan diğer bir uygulama ise Signal. Signal Amerika menşeli bir uygulama. Signal Vakfı tarafından oluşturulan uygulamanın tek gayesi gizlilik. Kar amacı gütmeyen Signal Vakfı, proje adına bağışlar kabul ederek hayatta kalmaya çalışıyor. Uygulamaya gizliliğin korunması amacıyla birçok şirket bağış yapıyor, faizsiz kredi veriyor. Uçtan uca şifreleme yöntemlerinden en güvenilir olan “Signal Protokolü” ismini de mimarı olan bu kuruluştan alıyor. İlk olarak Signal uygulamasında veriler diğer uygulamalarda olduğu kadar detaylı şekilde depolanmıyor. Birçok uygulama mesajları gönderildiği saat, dakika, saniye bilgisi kadar detaylı şekilde depolarken Signal’in yalnızca kullanıcıya ulaştırmak amacıyla gönderildiği günü kıstas alarak depolamakta olduğu ifade ediliyor.
Signal gizlilik politikasında kullanıcıların telefon numarası, rastgele oluşturulan kimlik doğrulama jetonları ve profil bilgileri gibi kişisel bilgileri depoladığını; IP adresi gibi bilgileri de hız sınırlaması veya kötüye kullanımı engellemek için geçici olarak bellekte tutabildiğini açıklıyor. Ayrıca açık rıza ile başka bir kuruluş tarafından işletilen federasyon sunucusuyla, kullanıcıların diğer sağlayıcılara kayıtlı olması durumunda mesajların iletilmesi şeklinde paylaşım yapılabiliyor. Rızanın olmadığı hallerde de yasa gereği paylaşmasının gerekli olduğu durumlarda, teknik sorunları çözmek ve sahtekarlığı önlemek için kendi şirket dışında paylaşacağını bildiriyor.
Sonuç olarak Signal uygulaması, kullanıcılardan aldığı sınırlı verileri yalnızca mesaj iletimi için işlemekte ve uçtan uca şifreleme sistemini de gün geçtikçe güncelleyerek kullanıcılara daha güvenilir bir ortam sağlamakta. Aldığı verileri diğer kuruluşlara yalnızca iyiniyet ilkesi uyarınca aktaracağını da taahhüt etmekte.
Türk kullanıcılar tarafından talep gören bir diğer uygulama da Telegram. Rus menşeli bir uygulama olan Telegram da diğer uygulamalar gibi ücretsiz olarak anlık mesajlaşma imkanı sunuyor. Telegram’ı diğer uygulamalardan farklı kılan bir özelliği kurulan gruplarda kişi sınırlamasının 200 bine kadar çıkması. Bunun yanında bulut tabanlı bir uygulama olması dolayısıyla yazılım her platformda anlık olarak size sunuluyor ve mesajlara erişim sağlanıyor. Kural olarak uçtan uca şifreleme yöntemi uygulanmayan bu uygulamada mesajların iki kişi arasında kalabilmesinin tek yolu gizli sohbet imkanı. Gizli sohbet seçildiği zaman bu hallerde uçtan uca şifreleme imkanı sunuluyor, bunun dışında olan mesajların erişimi ise açık, dolayısıyla bulut sisteminde depolanan verilere ulaşılabilmekte. Ancak Telegram, bu duruma karşılık verileri dünya çapında birden fazla veri merkezinde depoladığını ve bunlara da üçüncü kişilerin ve kamu kurumlarının erişebilmesi için birden fazla ülke mahkemesinin bu konuda karar vermesi gerektiğini ifade ederek verileri koruduğunu savunuyor.
Telegram kullanıcıların, kimlik ve iletişim bilgilerini, profil için gerekli olan isim bilgileri ve fotoğraflarını, telefon rehberini, konum bilgilerini talep etmekte ve işleyebilmektedir. Bunun yanında izin dahilinde telefon konuşma kayıtlarına da erişebilmektedir. Hizmetlerini geliştirmek ve özelleştirmek için kullandığı çerezler ile kişilerin sayfa üzerinde yaptıkları hareketlere daha kolay ulaşabilmekte. Bunun yanı sıra Telegram aydınlatma metninde her ne kadar verileri GDPR’a uygun olarak talep ettiğini ve işlediğini söylese de kullanıcılara çerez politikasını kabul etmediği zaman uygulamayı kullanamayacaklarını söyleyerek kullanıcıların rızasını açık bir rıza şeklinde almış olmamaktadır. Günümüzde ücretsiz ve reklamsız olan uygulama önümüzdeki süreçte sosyal ağ boyutu olan kanallarda reklam faaliyetlerine başlamayı planlıyor. Ancak bu reklamların kişileştirilmeyeceğini ve kişilerin mesajlarının gizliliğine saygı duyularak ve müdahaleci yollardan yapılmayacağını taahhüt ediyor.
Sonuç olarak Telegram, Signal’e nazaran daha sınırlı bir alanda mahremiyet sağlamaktadır. Ne kadar gizli sohbet özelliğinde uçtan uca şifreleme yöntemini benimsese de kullanıcıların çoğunluğunun kullandığı normal sohbet mesajlarında bu protokolü uygulamamakta ve özel mesajlara erişim sağlamaktadır. Bu verileri hizmet sağlayıcılarına aktarmakta ve aynı zamanda kendisini geliştirmek ve uygulamayı kişileştirmek için işlemektedir.
Son olarak anlık mesajlaşma uygulamalarında pastanın büyük bir dilimine sahip olan Whatsapp uygulamasından bahsetmemiz gerekiyor. Amerika’da kurulan uygulama dünyada kayıtlı kullanıcı sayısı en yüksek olan siber hizmetler arasında. Bunun sebebi ise alanının öncüsü olması ve Facebook.Inc tarafından satın alınması olarak ifade edilebilir. Whatsapp da Signal protokolünü uygulayan bir uygulama. Mesajların uçtan uca şifreleme yöntemi ile gizliliğini sağlamakta. Ayrıca mesajları bir bulut da depolamak yerine karşı tarafa ulaşana kadar elinde tutmaktadır. Buna ek olarak aynı medyanın tekrar iletilmesi durumunda da medyayı şifrelenmiş şekilde geçici olarak sunucularında saklamaktadır.
Whatsapp’ın gizlilik politikalarına baktığımız zaman karşımıza iki farklı tutum çıkıyor. Whatsapp gizlilik politikasında AB ülkeleri ile AB dışı ülkeler arasında farklı standartlara uyuyor. Whatsapp’ın da diğer pek çok şirket gibi AB ülkeleri içerisinde kurulu dolayısıyla onların kanunlarına tabii bir şirketi var. AB ülkeleri için belirlediği hizmet şartları diğer ülkelerinkinden farklı. Bunun temel nedeni AB ülkelerinde yürürlükte olan GDPR. GDPR kapsamında veri işleyen olan Whatsapp ağır para cezalarına (20 Milyon Euro ya da şirketin global gelirinin yüzde dördüne varan cezalar) tabii olmamak için kurallara uyarak veri işlemesini yapıyor ve aktarımı sağlıyor. Örnek vermek gerekirse diğer ülkelerden farklı olarak AB ülkelerinde kullanıcıların verilerini profilleme ve reklam gösterme amaçları ile kullanmıyor.
Whatsapp kullanıcılardan hesap bilgilerini, diğer uygulamalar ve telefon defteri arası bağlantılarını, kullanılması halinde ödeme hesabı ve işlem bilgilerini talep etmektedir. Buna ek olarak otomatik olarak, kullanım ve kayıt bilgilerini, cihaz ve bağlantı bilgilerini ve konumla ilgili özellikleri kullanmanın seçilmesi durumunda konum bilgilerini işlemektedir. Bunların yanında web kısmında Telegram’ın da yaptığı gibi çerezleri, deneyimleri iyileştirmek ve özelleştirmek için kullanacağını ifade etmektedir. Ayrıca Whatsapp kullanıcıların yanı sıra üçüncü kişilerin de bilgilerini alabiliyor. Kullanıcıların hizmetleri kullanmaları durumunda üçüncü kişilerin kimlik bilgileri, telefon numarası gibi kişisel bilgilerine de erişebiliyor. Whatsapp’taki işletmeler de sizlerden aldığı kişisel verileri Whatsapp ve üçüncü taraf hizmet sağlayıcılarına ile aktarabiliyorlar.
Whatsapp, elde ettiği kişisel verileri hizmetin geliştirilmesi, düzeltilmesi iyileştirilmesi gibi çeşitli amaçlarla Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcılarına aktaracağını ifade ediyor. Aynı zamanda kurumsal etkileşim yoluyla da çeşitli kurumlarla da verilerinizi paylaşacağını da ekliyor. Üçüncü taraf bant reklamına henüz izin vermediğini ifade eden Whatsapp, önümüzdeki süreçte bu konunun da değişebilme ihtimali olduğunu ifade etmekte.
Sonuç olarak Whatsapp, AB ülkesi dışındaki kullanıcılarının hesap bilgileri, ödeme bilgileri gibi kişisel verilerini işlemekte ve yukarıda sayılan veri sorumlularına aktarmaktadır. Sanılanın aksine uçtan uca mesajlaşma özelliği nedeniyle mesajların içeriğine erişememektedir. Kişisel verileri kendi uygulamaları dışında reklam olarak kullanmayacağını da taahhüt etmektedir.
Whatsapp’ın uygulamayı kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletilmesi üzerine Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatıldı.
KAYNAKÇA:
- Verbraucherzentrale Bundesverband eV v Planet49 GmbH, Court of Justice of the European Union PRESS RELEASE No:125/19 Luxembourg, 1 October 2019.
- https://t.me/durov/142 (Erişim tarihi: 21.05.2021)
- https://www.whatsapp.com/legal/privacy-policy.
- https://www.whatsapp.com/legal/privacy-policy-eea.
- https://bip.com/tr/gizlilik-politikasi/#BiPGIZLILIKPOLITIKASI(AydinlatmaMetni)
- https://telegram.org/faq
- https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU (Erişim tarihi: 22.05.2021)
- Lee, Micah (22 Haziran 2016). “Battle of the Secure Messaging Apps: How Signal Beats WhatsApp”. The Intercept.
https://web.archive.org/web/20170219051224/https://theintercept.com/2016/06/22/battle-of-the-secure-messaging-apps-how-signal-beats-whatsapp/ (Erişim tarihi: 22.05.2021)
- “Privacy Policy”. Open Whisper Systems. n.d. https://web.archive.org/web/20170315184106/https://whispersystems.org/blog/signal-video-calls-beta// (Erişim tarihi: 21.05.2021)
- “Signal’s Encrypted Video Calling For iOS, Android Leaves Beta”. Tom’s Hardware. Purch Group, Inc.
https://www.tomshardware.com/news/signal-encrypted-video-calling-ios-android,33898.html (Erişim tarihi: 21.05.2021)
- “WhatsApp has grown to 1 billion users”. Vox Media. (Erişim tarihi: 22.05.2021)