GDPR: Kişisel Verilerin Korunmasında Yeni Dönem

GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü) 25 Mayıs 2018’de Avrupa Birliği’nde yürürlüğe girdi. GDPR, bireylerin kendi haklarında toplanan ve paylaşılan veriler üzerinde daha çok kontrol sahibi olabilmesini hedefliyor ve kullanıcılara yeni haklar tanıyor. GDPR’ye uygun hareket etmeyen şirketleri ise ağır cezalar bekliyor. Bu nedenle GDPR, bugüne kadarki en güçlü dijital mahremiyet hakları koruyucusu olarak nitelendiriliyor. GDPR, ilk başta sadece AB vatandaşlarını ilgilendiriyormuş gibi görünmesine karşın internetin sınırsız doğası nedeniyle AB sınırları dışındaki internet kullanıcıları da GDPR’nin getirilerinden yararlanacak. Ayrıca başka ülkeler de GDPR’yi örnek alan kanunlar hazırlıyorlar.

Avrupa, mahremiyet hakkında ABD’ye göre çok daha hassas bir tutuma sahip. Naziler’in vatandaşların özel verilerini, Yahudiler’i ve diğer azınlıkları tespit etmek için kullanmış olması hâlâ akıllarda. Kapı kapı dolaşan Alman nüfus memurları, delikli kartlara (punch cards) insanların milliyetlerini, anadillerini, dinlerini ve mesleklerini girmiş ve daha sonra bu delikli kartların sayımında ilk veri işlemcilerden olan IBM’in Hollerith makinelerinden yararlanmışlardı. Naziler ve IBM arasındaki işbirliğinin ayrıntıları 2001’de yayımlanan IBM and the Holocaust: The Strategic Alliance Between Nazi Germany and America’s Most Powerful Corporation adlı kitapta anlatılıyor. Naziler ve IBM arasındaki işbirliğinin boyutu hakkında bazı tarihçilerin itirazları olsa da nüfus sayımı verilerinin yalnız devletin işleyişi için değil insanlara zarar vermek için de kullanılabileceği hakkında hemfikirler.

Soğuk savaş yıllarında da (özellikle Doğu Almanya’da) hükümetler, insanların arkadaşlıklarından cinsel alışkanlıklarına kadar çeşitli konularda veri toplamaya devam ettiler. 1970’lerde Batı Almanya’da kişisel verilerin korunmasını hedefleyen adımlar atıldı ve 1983’te Federal Anayasa Mahkemesi, GDPR’nin temeli olarak kabul edilen ‘veri üzerinde öz belirlenim hakkı’nın temel bir hak olduğunu ilan etti. 1990’larda iki Almanya’nın birleşmesi ve soğuk savaşın sona ermesiyle beraber Avrupa Topluluğu’na üye devletler arasında veri paylaşımını kolaylaştırmak amacıyla bir veri koruma standardının oluşturulması gündeme geldi. Veri koruma kanunlarındaki farklılıklar devletler arasındaki veri paylaşımında yasal belirsizliklere neden oluyordu. 1995 yılında, 95/46/AT sayılı AB Veri Koruma Direktifi bu sorunu çözmek amacıyla yürürlüğe girdi. Direktif, kişisel verilerin işlenmesinde bireylerin haklarının korunması ve verinin üye devletler arasında serbest dolaşımı hakkında bir çerçeve sunuyordu.

Ancak AB Veri Koruma Direktifi sadece bir çerçeve sunmakla kalıyor ve AB üyesi devletlere doğrudan uygulanamıyordu. Bu direktiflerin ulusal kanunlara aktarılması gerekiyordu. Veri Koruma Direktifi’nin aktarımında farklılıklar olması kaçınılmazdı ve Direktif, devletlerin farklı veri koruma standartlarını uyumlulaştırmada başarılı olamadı. Bir AB ülkesinde yasal olan veri işleme etkinliği bir başka AB ülkesinde yasadışı olabiliyordu. Direktifin yetersizliğinin yanında sosyal ağlar, bulut bilişim ve elbette büyük veri (verinin hacmindeki, verinin analiz ve birikim hızındaki, veri çeşitliliğindeki artış) kavramının ortaya çıkışı 2012 yılında AB veri koruma kurallarında bir reforma gidilmesini gündeme getirdi. Reform önerisi AB Konseyi’nde ve AB Parlamentosu’nda tartışılmaya başlandı. 2014’te önce AB Parlamentosu, hemen ardından da AB Konseyi reform hakkında görüş birliğine vardı. Bu reforma karşı dijital ekonomi şirketlerinin yoğun kulis faaliyetleri vardı. Ayrıca Akıncı’nın (2017) belirttiği gibi AB’nin karar organları Avrupa Komisyonu, Konsey ve Parlamento’nun farklı güdüleri arasındaki çelişkiler de süreci etkiledi. Örneğin Komisyon, ekonomik gelişme ve güvenliği öncelikli görürken Parlamento için temel bireysel haklar daha ön plandaydı. Ayrıca üye devletler arasında mahremiyetin ne olduğu hakkında da görüş ayrılıkları vardı. Sonuçta, “insanın evi kendi kalesidir” gibi dar bir mahremiyet tanımının ötesinde, güncel teknolojilerdeki gelişmelerin ve içerdiği risklerin farkında olan ve buna karşı önlem almaya çalışan bir metin ortaya çıktı.

2016 yılının Nisan ayında da 95/46/AT sayılı AB Veri Koruma Direktifi yerini GDPR’ye bıraktı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girdi. Fakat AB üyesi ülkelere GDPR’yi kendi iç hukuklarına eklemeleri için iki yıl süre tanındı ve 25 Mayıs 2018 tarihinde internette GDPR dönemi başladı.

Bu bağlamda, AB’de tüzükler (regulations) ile direktifler (directives) arasındaki farka dikkatinizi çekmek isterim. Tüzükler, AB üyesi her devlette hukuki zorunluluğa sahiptir ve tüm üye devletlerde belirli bir tarihte yürürlüğe girer. Direktifler ise ulaşılması gereken belirli hedefleri ortaya koyar ama üye devletler, direktiflerin ulusal yasalara nasıl dönüştürüleceğine karar vermekte serbesttir. Bu nedenle GDPR, AB Veri Koruma Direktifi’ne göre daha bağlayıcı ve etkili olacaktır (http://www.usda-eu.org/eu-basics-questions/difference-between-a-regulation-directive-and-decision/).

Mayısın son haftasında AB sınırları içinden de erişilebilen çeşitli web siteleri kullanıcılarına mahremiyet politikalarını değiştirdiklerini bildiren e-postalar göndermeye başladılar. Örneğin, bilişim teknolojileri hakkında yayımladığı kitaplarla tanınan Amerikan şirketi O’Reilly Media müşterilerine/kullanıcılarına (herhangi bir nedenle O’Reilly Media’ya e-posta adresini vermiş olanlara) gönderdiği 26 Mayıs 2018 tarihli e-postada 25 Mayıs 2018 tarihinde mahremiyet politikasını GDPR doğrultusunda güncellediğini duyurdu. Ne e-postayı gönderen O’Reilly Media ne de onu alan kişilerden biri olan ben, AB sınırları içindeyiz. Ama AB sınırları içindeki müşterilerine ulaşmak isteyen O’Reilly Media’nın mahremiyet politikasını GDPR’ye uyumlu olacak biçimde güncellemesi gerekiyordu. Ben de AB sınırları içinde yaşamıyor olmama rağmen bu güncellemeden yararlanabiliyorum. O’Reilly Media gibi birçok şirket AB için ayrı diğerleri için ayrı bir mahremiyet politikası hazırlayarak içinden çıkılmaz bir duruma düşmektense genel bir politikayı tercih ediyor. GDPR’den en çok başı ağrıması beklenen (ve umulan!) Google ve Facebook uzun süredir mahremiyet politikalarını GDPR’yle uyumlu hale getirmek için çalışıyorlar. Los Angeles Times, Chicago Tribune ve New York Daily News gibi ödevini vaktinde yapmayan web siteleri, Avrupalı ziyaretçilerine kapılarını kapattılar. USA Today ise Avrupalılar’ı ziyaretçilerden daha az veri toplayan, kendilerine ait başka bir siteye yönlendirmeye başladı (https://www.theverge.com/2018/5/25/17393894/gdpr-news-websites-down-europe).

Peki GDPR’yi bu kadar önemli yapan ne? GDPR, internetin işleyişini nasıl değiştirecek?

GDPR’nin Temel İlkeleri

99 maddeden oluşan GDPR’nin orjinal metnine https://gdpr-info.eu/, Türkçe çevirisini de https://www.kisiselverilerinkorunmasi.org/mevzuat/avrupa-birligi-genel-veri-koruma-tuzugu-gdpr-turkce-ceviri/ adreslerinden erişilebilir. Kısaca GDPR, bireylere haklarında toplanan ve paylaşılan veriler üzerinde daha fazla kontrol hakkı sağlayan ve buna uymayan şirketlere caydırıcı cezalar getiren bir düzenleme. GDPR’ye aykırı hareket eden bir şirket 20 milyon Avro veya küresel cirosunun %4’üne varan para cezaları (bu ceza Facebook için 1.6 milyar dolar anlamına geliyor) ödemek zorunda kalabilir. GDPR hakkındaki haberler genellikle bu büyük ceza üzerinde duruyor ve AB sınırları içinde iş yapmak isteyen şirketlerin GDPR’ye uyum için yapması gerekenleri tartışıyor. Ama GDPR’nin asıl ruhunu oluşturan bireylere tanınan haklar. Bu yazıda, GDPR’nin üzerinde yükseldiği temel ilkeleri ve bireylerin haklarını aktarmaya çalışacağım. Hukukçu değilim, GDPR’deki maddeleri layıkıyla aktaramayabilirim. Ama en azından yazıyı tamamladığınızda BBC’de GDPR hakkındaki bilginizi test eden sınavdan (https://www.bbc.com/news/technology-44224802) iyi bir not alabileceğinizin garantisini verebilirim :).

GDPR, kişisel verilerin şirketler, devlet kuruluşları ve diğer örgütler tarafından nasıl işlenebileceğini düzenliyor. ‘Kişisel verinin’ ve ‘işleme’nin (processing) GDPR’de nasıl tanımlandığı önemli bir konu. 4. maddeye göre kişisel verinin tanımı şöyle: “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi”. Bu tanıma göre ad, soyad, doğum tarihi, pasaport numarası, banka hesapları, bireye ait görüntü kayıtları, sosyal ağdaki postalar, sağlık kayıtları, ip adresi gibi veriler GDPR kapsamında değerlendiriliyor. İşleme faaliyeti (processing) ise yine aynı maddede verinin çok çeşitli kullanımlarını içerecek biçimde açıklanıyor: “otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri kümeleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi”.

5. Maddede GDPR’nin aşağıdaki yedi temel ilke üzerine kurulu olduğu belirtiliyor:

  1.  Hukuka uygunluk, adalet ve şeffaflık
  2.  Amacın sınırlandırılması
  3.  Verilerin en az seviyeye indirilmesi
  4.  Doğruluk
  5.  Saklama süresinin sınırlandırılması
  6.  Bütünlük ve gizlilik (güvenlik)
  7.  Hesap verebilirlik

Hukuka Uygunluk, Adalet ve Şeffaflık

GDPR’de yer alan bu ilkeler aslında birbirini destekleyen iç içe geçmiş ilkelerdir. Hukuka uygunluk, GDPR’nin 6. maddesinde ayrıntılı olarak açıklanmakta ve veri işlemenin hukuka uygun olabilmesi için aşağıdaki durumlardan en az birini sağlaması gerekmektedir:

  • Kişinin belirli bir (veya daha fazla) amaç için verilerinin işlenmesine izin vermesi (Rıza),
  • Veri öznesinin taraflarından biri olduğu bir sözleşmenin yerine getirilmesi için gerekli olması (Sözleşme),
  • Yasalara uyum için gerçekleştirilmesi (Yasal Zorunluluk),
  • Veri öznesi ya da bir başka gerçek kişinin hayatını korumak için olması (Yaşamsal Çıkarlar),
  • Kamu çıkarları doğrultusunda bir görevin yerine getirilmesi için gerekli olması (Kamu Görevi),
  • Veri kontrolörünün veya üçüncü tarafların (bireyin kişisel verilerini korumak için daha geçerli bir nedenin olmadığı durumlarda) meşru çıkarlarının olması (Meşru Çıkarlar)

Adaletlilik ise kişisel verinin insanların beklentileri doğrultusunda kullanılmasıdır. Kişisel verilerden yararlanan kuruluş bunu yapmaya hakkı olup olmadığını da dikkate almalıdır. Bu bağlamda, kişisel verilerin nasıl elde edildiği adaletliliğin değerlendirmesinde önemli bir parametredir. Şeffaflık da bununla ilişkilidir. Veriyi işleyenler en başından itibaren kim oldukları, verileri nasıl ve hangi amaçla kullanacakları hakkında dürüst olmalı, hedeflerini açık ve yalın bir dille ifade etmelidir.

Amacın Sınırlandırılması

Veriyi toplayan ve işlem için bireyin rızasını alan kuruluş, veri toplarken açıkladığı amacına sadık kalmalıdır. Veri işleme süreci içinde ilk baştakinden farklı bir amaç ortaya çıkmışsa bireyin bunun için de rızasının alınması gerekmektedir. Örneğin bir doktorun hasta listesini seyahat acentesi işleten eşiyle paylaşması ve eşinin bu verileri hastalara tatil paketi satmak için kullanması GDPR’nin bu ilkesine aykırı bir durumdur.

Verilerin En Az Seviyeye İndirilmesi

Kuruluşların verdikleri hizmetin işleyişi için gerekli olmayan bir veriyi bireylerden paylaşmalarını istememesi gerektiğini ifade etmektedir. İşlenen veri, yeterli, yerinde ve gerekli olanla sınırlı olmalıdır. EFF (Electronic Frontier Foundation) yöneticisi Danny O’Brien bu durumu açıklamak içim doğum günü pastası örneğini veriyor. Diyelim ki doğum günü pastaları yapan bir şirket pastanın üzerine adınızı yazmak için adınızı istedi. Bunun gerekli olduğunu düşünmüyorsanız adınızı vermeyi reddedebilirsiniz. GDPR’ye göre bu ret, şirketten pasta hizmetini almanızı engelleyebilecek bir durum değildir. Pasta şirketi, “adınızı söylemediğiniz için size pasta satamıyorum” diyemez. GDPR, artık kanıksanan, “alınan hizmete karşılık kişisel veriler” zorlamasının önüne geçecek ve şirketleri, iş modellerinde değişiklik yapmaya zorlayacak gibi görünüyor. Örneğin, doğum tarihi, bir web sitesinden alınan hizmetin verilmesi için gerekli değilse kullanıcı bunu girmeye zorlanamayacak ve kullanıcı “bu bilgiyi vermiyorsan hizmetlerimden yararlanamazsın” denilerek reddedilemeyecek (https://www.nytimes.com/2018/05/23/technology/personaltech/what-you-should-look-for-europe-data-law.html).

Doğruluk

Verinin işlenme amacı göz önünde bulundurularak güncel ve doğru tutulması ile ilgilidir. ICO’nun işaret ettiği gibi GDPR’de doğrunun (accurate) ne olduğu tanımlanmamıştır. Ancak 2018 Veri Koruma Kanunu’na göre doğru olmayan (inaccurate), yanlış veya bir konuda yanıltıcı olan anlamına gelmektedir. Verinin kullanılış amacı da doğruluğunu etkileyen bir parametredir. Buna göre herhangi bir kişisel kaydın zaman içinde değişmesi, ilgili kayıt tarihsel bir kayıt olarak değerlendirildiği sürece kaydın doğruluğunu etkilemez. Örneğin kişi Ankara’dan İstanbul’a taşınmışsa kişinin şu an Ankara’da yaşadığını belirten kayıt doğru değildir ama kişinin belirli bir zamanda Ankara’da yaşadığı doğrudur. Bunun yanında GDPR’nin doğruluk ilkesi doğrultusundaki en önemli adımı bireylere haklarındaki yanlışlığı düzeltme hakkı sunmasıdır.

Saklama Süresinin Sınırlandırılması

Veri toplayan kuruluşlar gereğinden fazla veri sakladıkları gibi topladıkları veriyi hiç silmemeye eğilimlidir. GDPR’de ise artık gerek duyulmayan kişisel verinin yalnız işlenme amaçlarının gerektirdiği sürece saklanması gerektiği belirtilmektedir. “Bir gün belki gerek olur” diye veri istiflenmemelidir. Kişiler artık gerek duyulmayan verilerinin silinmesini talep edebilirler. Ancak kişisel veri anonimleştirildiğinde silme işlemine gerek kalmayabilir. Ayrıca veri, kamu yararı için arşivleniyor, bilimsel ve tarihsel araştırmalar veya istatistiksel amaçlar için tutuluyorsa bu ilke gevşetilebilmektedir. Ancak bu amaçlar için saklanan veri, daha sonra başka amaçlar için kullanılmamalıdır.

Bütünlük ve gizlilik

Saklanan verilerin güvenliği ile ilgilidir. GDPR’ye göre veri “uygun teknik ve düzenlemeye ilişkin tedbirler” göz önünde bulundurularak güvenli biçimde işlenmelidir. Bu bağlamda, GDPR önceki kişisel veri koruma kanunlarını takip etmektedir. Fakat GDPR farklı olarak veri işlemenin güvenliği, ne yapılması gerektiği, enformasyon risklerinin nasıl değerlendirileceği ve uygun güvenlik önlemlerinin uygulanması hakkında daha ayrıntılı bir yaklaşım içermektedir. Ayrıca daha önceki düzenlemelerde genel olarak iyi ve en iyi pratikler önerilirken şimdi bunlar yasal gereklilik haline gelmiştir.

Kişisel verilerin, bilgisayar korsanlarının hedefinde olması kaçınılmazdır. GDPR, saldırılara ve sızıntılara karşı kullanıcıların kişisel verilerini depolayanlara çeşitli sorumluluklar yüklemektedir. GDPR’nin 33. ve 34. maddelerinde, bu tip durumlara karşı ve veri ihlali sonrasında neler yapılması gerektiği yazmaktadır. Hiçbir şey olmamış gibi olayın üzerini örtmek yerine ihlalin etkilerini en az düzeye indirmek için veriyi işleyenlerin “ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini” yetkili makamlara bildirmeleri gerekmektedir.

Hesap Verebilirlik

Tanımlar bölümünde yer alan ‘kontrolör’ (controller) ve ‘işleyici’ (processor) tanımları da kuruluşların sorumluluklarını tariflemek açısından önemlidir. Kontrolör, “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ”, işleyici ise “kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlanmaktadır.

Yukarıdaki altı ilke kontrolörlere verilmiş öğütler değildir; yine 5. maddede kontrolörlerin bu ilkelere uygun davranmaları ve bunu göstermek zorunda oldukları yazmaktadır. 1998 Kanunu’nda bu sorumluluklar üstü kapalı olmasına karşın GDPR’de açık seçik belirtilmektedir. 24. Maddede, “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.” denilmektedir. Ayrıca Akıncı’nın (2017) yazdığı gibi,

GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır.

GDPR ve Haklar

GDPR, bireylerin var olan haklarını genişletiyor ve onlara yeni haklar sağlıyor: Bilgilendirilme hakkı (right to be informed), erişim hakkı (right of access), düzeltme hakkı (right to rectification), silme hakkı (right to erasure), işleme faaliyetini kısıtlama hakkı (right to restrict processing), veri taşınabilirliği hakkı (right to data portability), itiraz hakkı (right to object), profilleme de dahil olmak üzere otomatik işlemelere ilişkin haklar (Rights related to automated decision making including profiling).

Bu hakların AB sınırları dışında yaşayan bizler için bir anlam ifade etmediği düşünülebilir. Ama bu haklar iki açıdan önemlidir. Birincisi, şirketlerin interneti sınırlara göre bölmesi zor olacağından çoğu şirket tüm kullanıcılar için geçerli tek bir mahremiyet politikası oluşturmayı tercih etti. Microsoft (https://www.microsoft.com/en-us/servicesagreement/faq.aspx), Twitter (https://help.twitter.com/en/rules-and-policies/update-privacy-policy), Facebook (https://newsroom.fb.com/news/2018/04/terms-and-data-policy/), LinkedIn (https://blog.linkedin.com/2018/march/8/updates-to-our-terms-of-service) ve Google (https://www.blog.google/topics/public-policy/our-preparations-europes-new-data-protection-law/) GDPR’yle uyumluluk doğrultusunda kişisel veriler hakkındaki politikalarını güncellediklerini duyurdular. Bu güncellemelerden biz de yararlanıyoruz. Fakat bu hakların ihlali durumunda ülkemizde kişisel veriler GDPR ile değil 24/03/2016 tarihinde TBMM Genel Kurulu’nda kabul edilen “6698 sayılı Kişisel Verilerin Korunması Kanunu” ile korunduğundan GDPR’de belirtilen bazı haklardan yararlanamayacağız. GDPR’nin ikinci önemi de tam bu noktada ortaya çıkıyor. GDPR’de belirtilen haklar kişisel veriler hakkındaki ufkumuzu genişletiyor ve 6698 sayılı Kanunu’nun ilerletilebileceğini ve ilerletilmesi gerektiğini gösteriyor.

Bilgilendirilme Hakkı

GDPR’nin 12-14. maddelerinde yer alan bilgilendirilme hakkı, şeffaflık ilkesiyle ilişkilidir ve kişilere verileriyle ne yapıldığı hakkında bilgi vermeyi zorunlu kılmaktadır. Kontrolörler ve işleyiciler şimdiye kadar yaptıkları gibi karmaşık ve hukukçu olmayanların anlamakta zorlandığı bir üslupla yazılmış, araya tuzak maddeler sıkıştırılmış gizlilik metinleriyle bireylerin karşısına çıkamayacaklar. Artık bu bilgiyi açık, anlaşılabilir ve kolay erişilebilir bir biçimde sunmaları gerekiyor.

Eğer kontrolör, kişisel verileri satmak veya başka bir kuruluşla paylaşmak istiyorsa (istisnai bir durum yoksa) insanları bunun hakkında bilgilendirmelidir. Verileri alan kuruluş da bir ayı aşmadan gizlilik politikasını verileri toplanan bireylere iletmelidir. Eğer veri, toplanırken belirtilenden farklı bir amaç için kullanılacaksa ya da farklı kaynaklarda yer alan verilerle birleştirilecekse bunun mutlaka bildirilmesi gerekmektedir. Kişisel verilere YZ (yapay zeka) uygulanacaksa YZ’nin kullanım amaçları hakkında dürüst olunması, işleme sürecinde amacın değişmesi durumunda kişilerin bu amaç değişikliği hakkında bilgilendirilmeleri gerekmektedir. YZ, bireyler üzerinde hukuki veya benzer etkileri olabilecek otomatik karar verme süreçlerinde kullanılacaksa bunun için hangi enformasyonun kullanıldığı, yapılan işlemle neden ilgili olduğu ve olası etkilerinin nasıl olacağı açıklanmalıdır.

Bireyler bu haklardan yararlanmak için ek bir ödeme yapmazlar. Ama taleplerin asılsız ve ölçüsüz olduğu durumlarda kontrolör makul bir ücret talep edebilir ya da talebi tamamen reddedebilir. Kontrolör, talebin asılsızlığını ve ölçüsüzlüğünü göstermekle yükümlüdür.

Erişim Hakkı

GDPR’nin 15. maddesi veri sahibine kişisel verilerinin bir kopyasına ulaşabilme, verilerinin nasıl ve neden kullanıldığını anlayabilme ve yapılanların yasal olup olmadığını kontrol edebilme hakkı sağlamaktadır. Bu maddeye göre bireyler, kişisel verilerinin işlenip işlenmediğinin teyidini ve kişisel verilerinin bir kopyasını talep edebilirler. Kontrolörler ve işleyiciler ayrıca aşağıdaki konulardaki taleplere yanıt vermelidir:

  •  işleme amaçları
  • ilgili kişisel veri kategorileri
  • kişisel verilerin açıklandığı veya açıklanacağı alıcılar veya alıcı kategorileri
  • kişisel verilerin saklanması açısından öngörülen süre veya bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler
  •  bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.

Bireylere bu kapsamda sağlanan bilginin özlü, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dilde olması gerekmektedir. Örneğin, bireyin talebi üzerine gönderilen raporda A, B, C gibi kodlar kullanılmışsa bunların karşılığı raporda açıklanmalıdır.

Örneğin Twitter’a bu hak doğrultusunda eklenen bir sayfa var (“Ayarlar ve Gizlilik”e tıklandıktan sonra açılan sayfanın sol tarafındaki menüde yer alan “Twitter Verilerin” adlı bağlantıya tıklanarak erişilebilir). “Twitter Verilerin” başlıklı sayfanın başında kullanıcı hesabı hakkında kullanıcı adı, e-posta, hesap oluşturulma tarihi gibi temel bilgiler var. Twitter’a cinsiyetinizi veya doğum tarihinizi yazmadıysanız Twitter paylaşım ve takipleriniz doğrultusunda istatistiksel tahminlerde bulunarak sizi profilliyor. Örneğin, benim hesabımda cinsiyet kısmında erkek yazıyor ve altında da şu not var: “Cinsiyet eklemediysen, profiline ve etkinliğine dayanarak hesabınla en güçlü ilişkiye sahip bilginin bu olduğunu bilmeni isteriz. Bu bilgi herkese gösterilmeyecektir.” Yaş bölümünde, “13-54, >65” yazıyor ve altına da “bu yaş aralıkları, deneyimini kişiselleştirmek için kullanılır. Bunlar profiline ve etkinliklerine dayalıdır” notu düşülmüş. Doğru değilse profilimde düzeltebileceğim belirtiliyor. Cinsiyet ve yaş bilgisinin yanında “Twitter’a göre belirlenen ilgi alanları”m da profillenmiş ve 105 ilgi alanım olduğu belirtilmekte. Yine aynı sayfanın sonunda, “Twitter verilerini indir” başlığının altında şunlar yazmakta: “Senin için en uygun ve en yararlı olduğuna inandığımız bilgileri içeren bir dosya isteyebilirsin. İndirilmeye hazır olduğunda bildirim alırsın”. Bu bilgiler birkaç saat içinde hazırlandıktan sonra tüm Twitter geçmişinizi indirebiliyorsunuz.

GDPR’ye uyum için kullanıcıların kişisel verilerini toplayan web siteleri Twitter’daki gibi açıklayıcı sayfalar yapmak ve kullanıcıların kişisel verileri nasıl kullandıklarını açıklamak zorundalar.

Düzeltme hakkı

GDPR’nin 16. maddesine göre bireyler haklarındaki yanlış bilgilerin düzeltilmesini veya eksik bilgilerin tamamlanmasını talep edebilirler. Bu hak, 5. maddede belirtilen doğruluk ilkesiyle ilişkilidir. Örneğin, doktor hastaya bir teşhis koydu. Daha sonra bu teşhisin yanlış olduğu ortaya çıktı. Yanlış teşhisin veritabanında yer almasında bir sorun yoktur. Ama teşhisin yanlış olduğu ortaya çıktıktan sonra, teşhisin yanlış olduğu bilgisi de girilmelidir. Hastanın bu düzeltmeyi talep etme hakkı vardır. Ayrıca hastane, hastanın verisini paylaştığı diğer kuruluşlara da bu düzeltme talebini iletmelidir.

Silme Hakkı

Bireyler düzeltmenin yanında, kişisel verilerinin tamamen silinmesini de talep edebilir. Bu hak, unutulma hakkı olarak da bilinmektedir. Unutulma hakkı, yeni değildir; en azından 1974’te İngiltere’deki Suçluların Rehabilitasyonu Yasası’na kadar geriye gitmek mümkündür. Bu hakka göre kişi geçmişteki bir suçunun cezasını çektikten sonra sabıkası yaşamının geri kalanını etkileyecek biçimde (örneğin iş başvurularında) tekrar tekrar karşısına çıkmamalıdır. Unutulma hakkı, internetle beraber yeni bir boyut kazanır. 2014 yılında İspanya vatandaşı Mario Costeja Gonzalez’in Google İspanya ve Google Inc. şirketine karşı açtığı dava unutulma hakkında önemli bir kilometre taşı olur. Gonzalez, 1998 yılında bir gazetede yapılan habere ilişkin kısayolun arama motoru sonuçlarından kaldırılmasını talep etmektedir. Mahkeme arama motorlarını veri kontrolörü olarak değerlendirir ve Gonzalez’in talebini kabul eder.

Unutulma hakkının temelinde, kişilerin kendi gelecekleri hakkında özerk olması ve geçmişte yaptıklarının bunu olumsuz etkilememesi vardır. Daha öncesinde de bu hakkı tanıyan mahkeme kararları olmuştur. Fakat GDPR, bireylerin kendilerine ait kişisel verileri kontrol edebilme hakkı doğrultusunda (belirli koşullar altında) söz konusu verilerin veritabanlarından tamamen silinmesini de talep edebileceğini güvence altına alan bir hukuki düzenleme getirmektedir. 17. maddede bu hakkın hangi koşullarda geçersiz olabileceği açıklanmaktadır.

İşleme Faaliyetini Kısıtlama Hakkı

18. ve 19. maddelerde bireylerin verilerinin tamamen silinmesi yerine veri işleme faaliyetinin kısıtlanmasını da talep edebileceği ve bunun hangi koşullarda geçerli olduğu belirtilmektedir. İşleme faaliyetinin kısıtlandığı durumlarda veri saklanır ama kullanılmaz. Kısıtlama çoğunlukla belirli bir süre içindir. Örneğin, “kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi halinde, kontrolörün kişisel verilerin doğruluğunu teyit etmesini sağlayan bir süre boyunca” işleme faaliyeti kısıtlanabilir. Kişinin rızası, diğer şahısların hakları, yasal gerekçeler ve kamu çıkarları dışında veri sadece saklanabilir; başka bir işleme faaliyetinin içine giremez. Kontrolör, verinin işleme faaliyetini kısıtlamak istediğinde bunu,

  • veriyi geçici olarak bir başka işleme sistemine taşıyarak
  • veriyi kullanıcılar için kullanım dışı yaparak
  •  yayınlanmış bir veriyi web sitesinden çıkararak

yapabilir.

Veri Taşınabilirliği Hakkı

Özel mülkiyetli platformlardaki en büyük sorunlardan biri de verilerin bu platformların sınırları dışına çıkamamasıdır. GDPR’nin 20. maddesi bu sorunun aşılabilmesi için önemli bir adım atmaktadır. 20. maddeye göre, “veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı” ve “kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı” bulunur.

Web sitesi kullanım tarihçesi veya arama etkinlikleri, trafik ve konum verisi, akıllı sayaçlar ve giyilebilir teknolojiler gibi bağlı cihazlardan elde edilen ham veriler bir platformdan diğerine taşınabilir. Ancak bu verilerden türetilen veya çıkarılan veriler taşınabilirlik kapsamında değildir.

Veri taşınabilirliği hakkı, platform değiştirmenin zorluğundan yararlanarak rekabeti engelleyen Facebook, Uber, Airbnb gibi şirketlerin iş modelini sarsabilir.

İtiraz Hakkı

21. maddeye göre bireyler, kişisel verilerinin işlenmesine itiraz edebilirler. İtiraz hakkı her koşulda aynı derecede geçerliliğe sahip değildir. Örneğin veri sahibinin, doğrudan pazarlama amacıyla yapılan işleme faaliyetine itiraz hakkı mutlaktır. Bireyler, veri toplamanın amacının kamu çıkarları veya daha başka meşru çıkarlar olması durumunda da itiraz hakkına sahiptir. Ama bu durumda itirazın gücü daha zayıftır. Ayrıca verinin işlenme amacı bilimsel veya tarihsel araştırmalar, istatistiksel amaçlar ise itiraz hakkı daha sınırlı olacaktır.

Profilleme de Dahil Olmak Üzere Otomatik İşlemelere İlişkin Haklar
Veriyi düzeltme, silme veya işlenmesine itiraz gibi haklar son derece önemli olmakla beraber gündelik yaşamın algoritmik düzenlenmesi ayrıca üzerinde durulması gereken bir konudur. Yasal düzenlemeler doğal olarak teknik gelişmelerden sonra gelirler. Buna rağmen GDPR’nin güncel olduğunu, henüz yeni yeni filizlenen ve müdahale edilmediğinde çeşitli toplumsal sorunlara neden olan algoritmik düzenlemelere karşı kritik bir adım olduğunu düşünüyorum. Bireyleri profilleyen (kişisel verileri, bireyler hakkında bazı değerlendirmeler yapmak için değerlendiren) ve otomatik kararlar alan (insan müdahalesi olmaksızın çeşitli algoritmalara göre alınan kararlar) sistemler karşısında bireylerin hakları önemli bir sorunsaldır. Kredi taleplerinde, iş başvurularında, sigortacılıkta profillemeden ve otomatik kararlar alan algoritmik sistemlerden yararlanılmaktadır. Bu yaklaşımın çeşitli avantajları olmasına karşın Cathy O’Neil’in Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy kitabında ayrıntılı olarak ele aldığı ve benim de 4. Endüstri Devrimi ve toplum mühendisliği yöntemleri: Nasıl yönlendiriliyoruz? (Bilim ve Gelecek, sayı 166) başlıklı yazımda bazı örneklerini aktardığım gibi bu sistemler sorumsuzca kullanıldığında yıkıcı sonuçlar doğuruyorlar.

Bu nedenle bireylerin algoritmik düzenlemelere karşı haklarını ifade eden 22. maddenin özel bir önemi var. Fakat Dickson’un (2018) işaret ettiği gibi verinin günümüzdeki bir çok yapay zeka uygulamasının temeli olduğu düşünülürse yalnız 22. maddenin değil genel olarak GDPR’nin YZ üzerinde yükselmeye başlayan iş modellerini olumsuz etkilemesi kaçınılmazdır. YZ şirketleri şimdiye kadar kişisel veriler hakkındaki zayıf düzenlemelerden sonuna kadar yararlandılar. Kullanıcılar aldıkları ücretsiz hizmetlerin karşılığını kişisel verileriyle ödediler. Şirketler bu verileri YZ algoritmalarını eğitmek, kullanıcılarının dijital profillerini oluşturmak, davranışlarını tahmin etmek ve daha iyi hizmet sağlamak için kullandılar. Böylece milyar dolarlar kazandılar.

Dickson (2018) yeni koşulların YZ şirketlerine üstesinden gelinemeyecek bir sorun yaratmadığını öne sürmektedir. YZ şirketleri bir yandan insanların mahremiyet hakkına saygı gösterirken diğer yandan YZ teknolojilerini geliştirmenin yeni yollarını bulmak zorundalar. GDPR oyunun kurallarını değiştiriyor. Şirketler çalışmalarında şeffaf olmalılar ve kendi verisine ulaşmak ya da onu tamamen silmek isteyenlerin taleplerine kulak vermeliler. Dickson (2018), bu yeni durumun şirketler için iki temel zorluk içerdiğini düşünüyor. Birincisi şirketler, kişiler platformlarından ayrılsalar bile ayrılan kişilerin verilerini diğer kullanıcıların davranış örüntülerini tahmin etmek için kullandıklarından silmek istemezler. Ama şimdi bu verileri ya silmek ya da anonimleştirmek zorunda kalacaklar. Ayrıca silinmek istenen veri şirketin YZ algoritmalarını eğitmek için üçüncü taraflarla da paylaşılmaktaydı. Şimdi bu verilerin de izini sürmek gerekecek.

Dickson’un (2018) işaret ettiği ikinci zorluk ise kullanıcılar bu algoritmaların işlevselliğine maruz kaldıklarında bunun hakkında bilgilendirilmelerinin gerekmesi. Ayrıca algoritmik kararların arkasındaki mantığın da açıklanması lazım. Bilgilendirme işlemi kolay olmasına karşın algoritmaların mantığının açıklanmasına karşı şirketler bunun ticari sırları olduğunu öne sürebilirler ya da isteseler de algoritmaların nasıl çalıştığını açıklayamayabilirler. Çünkü bazen kara kutu (blackbox) olarak adlandırılan derin öğrenme ve derin sinir ağlarının davranışlarını açıklayabilmek onları inşa edenler için bile karmaşık ve kimi zaman da olanaksızdır. YZ, sağlık, hukuk, krediler ve eğitim gibi alanlara uygulandığında kara kutu sorunu daha ciddi olumsuzluklara neden olmaktadır. Artık bireyler, insanların yaşamı üzerinde büyük etkileri olan algoritmik kararların nasıl alındığına dair açık seçik bir açıklama talep etme hakkına sahip olacaklarından yıkıcı YZ uygulamaları kontrolsüz bir biçimde yaygınlaşamayacak.

YZ şirketlerinin insanların açık rızası olmadan topladığı ve işlediği veriler üzerine kurulu iş modelleri GDPR’yle başlayan yeni dönemde devam edemeyecek. Bundan sonra GDPR’nin (çağımızın sihirli kelimesi) inovasyonların ortaya çıkmasını engellediği hakkında haberler okumaya hazırlıklı olalım. Ama Dickson’un (2018) vurguladığı gibi YZ şirketlerinin halihazırdaki çalışma tarzları alternatifsiz değildir. İnsanlara verilerinin nasıl kullanıldığı hakkında açıklamada bulunabilen şeffaf çözümler mümkündür. Şeffaflığı ve katılım kolaylığını savunan ademi merkeziyetçi YZ (https://bdtechtalks.com/2018/01/10/decentralized-ai-blockchain/) ve insanların anlayabileceği yapay zeka algoritmaları geliştirmeyi hedefleyen açıklanabilir YZ (https://en.0wikipedia.org/wiki/Explainable_Artificial_Intelligence) gibi farklı seçenekler oluşmaktadır.

GDPR’den eMahremiyet’e

Türkiye’de kullanıcıların kişisel verilerini koruyan “6698 sayılı Kişisel Verilerin Korunması Kanunu”nun hazırlanışı sırasında o zaman yürürlükte olmayan GDPR’den değil, 95/46 sayılı Direktif’ten yararlanıldı. GDPR’nin “sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirdiğini” belirten ve “başta veri işleyen tarafların artırılmış sorumluluk rejimi, unutulma hakkının kanunla tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması yoluyla caydırıcılığın güçlendirilmesi olmak üzere veri taşınabilirliği ve etki değerlendirmesi ile tasarımdan itibaren güvenlik gibi yenilikçi yaklaşımların 6698 sayılı Kanun’a ve uygulamaya yansıtılmasının faydalı olacağı”nı savunan Akıncı’ya (2017) katılıyorum. GDPR yeni haklar için de bir ilham kaynağı olacaktır.

GDPR benzeri yasalar Avrupa’yla sınırlı kalmayacak gibi görünüyor. Brezilya, Japonya, İsrail ve Güney Kore, AB’yi takip ediyorlar ve daha şimdiden benzer kanunlar hazırladılar. Avrupalı yetkililer de Silikon Vadisi’nin ancak birleşik küresel bir yaklaşımla engellenebileceğini düşündüklerinden dolayı GDPR’nin diğer devletler tarafından kopyalanmasını teşvik eden bir çalışma yürütüyorlar. AB, teknoloji devlerine daha sıkı antitröst yasaları ve vergi politikalarıyla karşı koymaya hazırlanıyor (https://www.nytimes.com/2018/05/24/technology/europe-gdpr-privacy.html).

GDPR kişisel verilerin izinsiz ve şeffaf olmayan biçimlerde kullanımından kaynaklı sorunları hemencecik çözemeyecek; kişisel verileri GDPR’ye aykırı biçimlerde kullanmak isteyenler yine olacaktır. Ama cezaların caydırıcılığı birçok kötü niyetli girişimi durduracak ve daha önce olduğu gibi yasal boşluktan yararlananlar eskisi gibi rahat hareket edemeyecekler. Üstelik Avrupa, GDPR’den sonra eMahremiyet Tüzüğü ile yeni bir hamle yapma hazırlığında. eMahremiyet iletişimin gizliliğini koruyor ve GDPR’ye göre daha sıkı kurallar getiriyor. eMahremiyet, Avrupa Parlamentosu’nda kabul edildi ve AB Konseyi’nde görüşmeler devam ediyor.

GDPR ve eMahremiyet birbirini tamamlayan yasalar olmasına karşın kapsamları farklı. GDPR şirketlerin ve kuruluşların işlediği kişisel veriler hakkındayken eMahremiyet Direktifi’nin devamı olan eMahremiyet Tüzüğü’nün hedefi elektronik iletişimin gizliliğini korumak. eMahremiyet Tüzüğü, WhatsApp, Facebook Messenger, Skype, iMessage ve video oyunlarında oyuncular arası mesajlaşmalar gibi kişiler arası iletişimin yanında nesnelerin interneti (IoT) cihazlarını da kapsıyor. İletişime ait üstveriyi (metadata) koruma altına alıyor. eMahremiyet’e göre şirketler kullanıcıların cihazlarına takip kodu yerleştirmeden veya iletişim verilerini toplamadan önce açık izinlerini almak zorunda kalacak. Birkaç yıl önce GDPR’yi engellemeye çalışan şirketler şimdi de eMahremiyet’e karşı yoğun kulis faaliyeti yürütüyorlar ve eMahremiyet’in Avrupa’nın dijital ekonomisinin gelişimini baltalayacağını öne sürerek yasaya karşı bir kamuoyu oluşturmaya çalışıyorlar. Bu şirketlere göre internet kararacak, bağımsız medya ve dijital büyüme yenilgiye uğrayacak (https://www.nytimes.com/2018/05/27/technology/europe-eprivacy-regulation-battle.html).

eMahremiyet yasa taslağını sunan AP üyesi Birgit Sippel, Cambridge Analytica skandalını hatırlatarak bir tıkla, yüz binlerce veya milyonlarca insanın yönlendirilebildiğini (manipulate), bu nedenle mahremiyetin korunmasının özellikle dijital ortamda daha önemli hâle geldiğini savunuyor. Ayrıca Sippel’in oylama öncesinde Avrupa Parlamentosu’nda yaptığı konuşmada ifade ettiği gibi lobicilerin yaydığı yalanların aksine yasanın temel amacı, iletişim verilerinin kontrolünü kullanıcılara geri vermek ve dijital ortamda iletişimin gizliliğini sağlamak. eMahremiyet, her türlü reklamı değil gözetim odaklı reklamı kısıtlıyor ve kullanıcı izlenmeyi kabul ettiğinde bu kısıtlama da ortadan kalkıyor. Şirketlerin telaşının asıl nedeni kullanıcının haberi olmadan yapılan gözetimin artık yasadışı olması.

GDPR ve eMahremiyet, Avrupa’nın insanlığın karşı karşıya olduğu tehlikenin farkında olduğunu gösteriyor. Bu farkındalıkta ekonomik çıkarlarının da etkisi var. Lobi faaliyetlerinin arkasındaki güçler hemen pes etmeyecektir. 26 Ekim 2017’de Avrupa Parlamentosu’nda yapılan oylamada 318 kişi eMahremiyetin lehinde, 280 kişi de aleyhinde oy kullandı; fark azdı. Şirketler politikacıları, mahremiyetin çağımızda gereksiz olduğuna ve eMahremiyet’in daha iyi hizmet verebilmelerini engellediğine ikna etmeye çalışacaktır.

Her şeye rağmen mahremiyetin büyük veri, YZ, nesnelerin interneti gibi güncel teknolojiler ışığında tartışılması ve güçlü yasaların hazırlanması umut verici bir gelişme. GDPR’nin ve AB Konseyi’nden geçerse eMahremiyet’in ne kadar etkili olacağını insanların bu haklarına ne kadar sahip çıktıkları belirleyecek.

Kaynaklar

Akıncı, A. N. (2017), Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler Ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Yayın No: 2968

Dickson, B. (2018), GDPR is an opportunity for AI companies to build trust, https://thenextweb.com/syndication/2018/06/08/gdpr-is-an-opportunity-for-ai-companies-to-build-trust/, son erişim 14 Haziran 2018

 

17 Ekim 2018

Posted In: Algoritmalar, eMahremiyet, GDPR, Gözetim, Kişisel Veriler, Mahremiyet, Özgür yazılım

Facebook’tan Uber’e Dijital Ekonomi

Cambridge Analytica adlı veri analiz şirketinin milyonlarca Facebook kullanıcısının özel verilerine ulaştığı ve bu bilgilerle ABD seçmeninin davranışlarını etkilediği daha önce de konuşuluyordu. Ama geçtiğimiz günlerde bu skandalın ayrıntılarını da öğrendik. Mark Zuckerberg, 21 Mart’ta yaptığı açıklamada (https://www.facebook.com/zuck/posts/10104712037900071) ve ABD Senatosu’nda verdiği ifadede hatalarını kabul etmekle beraber bir mağduriyet portresi çizmeye çalıştı. Cambridge Analytica, Facebook’la yaptığı sözleşmeyi ihlal etmişti. Bu gibi sorunların tekrar yaşanmaması için gerekli önlemler alınacaktı. Ama sorun ya Cambridge Analytica değil de buna zemin hazırlayan dijital ekonomiyse?

Sosyal medyada mahremiyet denilince ilk akla gelen paylaşılan bir içeriğin başkalarınca (ebeveyn, öğretmen, amir, patron veya hükümet yetkilileri tarafından) kişinin aleyhine kullanılabileceğidir. Öğrenciler için sosyal medyada mahremiyet paylaştıklarının öğretmenleri veya ebeveynleri tarafından fark edilememesidir. Bir çalışan için mahremiyet amirinin veya patronunun sosyal medyada yazdıklarını görememesidir. Sosyal medya platformunun ayarları değiştirilerek mahremiyet seviyesi artırıldığında mahremiyetin sağlandığı düşünülür.

Bunun yanında, sayıları pek az olmayan cesur yürekler vardır. Bu cesur yürekleri iki gruba ayırabiliriz. Birinci gruptakiler, “benim saklayacak bir şeyim yok” der. Yasadışı ve otorite karşıtı işlere karışmadığını düşünerek telefonlarının dinlenmesinden rahatsız olmadığı gibi sosyal medyada kişisel verilerinin şirketlerin veritabanlarında saklanmasını da hiç umursamaz. “Tanrı Dağı kadar Türk, Hira Dağı kadar Müslüman” Facebook ve Twitter paylaşımları yapan birinin korkmasına gerek yoktur. İkinci grup ise “devlet zaten her şeyimizi biliyor. Facebook (Apple, Google veya Microsoft) da bilse ne olacak?” diye meydan okuyan cesur yüreklerden oluşur. Bu cesur yürekler, ne olabileceğini Facebook/Cambridge Analytica’nın seçim çalışmalarından öğrenebilirler…

Hükümetler veya şirketler kısa bir süre öncesine kadar insanları anlamak ve sınıflandırmak için kişisel verilerini toplamış ve onları fişlemiş olabilirler. Ancak şimdiki gözetimin amacı insanları çeşitli biçimlerde yorumlamak ve sınıflandırmak değil, onların davranışlarını ve kararlarını etkilemektir. Sosyal medya siteleri ve kişisel verilerimizi toplayan diğer kurumlar, hakkımızda çok şey bildikleri için reklamcılık sektöründe başı çekmektedir. İş modelleri, reklam vermek isteyen şirketlere belirli bir zamanda, belirli koşullarda, belirli bir ürünü alabilecek kullanıcıları (yani bizi!) satmak üzerine kuruludur. Örneğin, bipolar kişilik bozukluğunda mani halinin ön belirtilerinin klinik semptomlardan önce sosyal medya paylaşımlarından anlaşılabileceği ve bunun hedefli reklamcılık için kullanılabileceği iddia edilmektedir. Çünkü bipolar kişilik bozukluğunun mani evresinde insanlar alışverişe daha meyilli olurlar. Onların bu zaafından yararlanılabilir; belki de yararlanıyorlar!

Hepimiz belirli koşullarda iknaya daha açık olabiliriz. ABD için konuşursak, sosyal medya mesajlarıyla bir Demokrat’ı Cumhuriyetçi ya da Cumhuriyetçi’yi Demokrat yapmak pek kolay değildir. Ama Trump’ın sosyal medya yetkilisinin itiraf ettiği gibi Cumhuriyetçiler Facebook’tan, insanları kendilerine oy vermeleri için değil, Demokrat Parti’ye oy verebilecek seçmenleri oy kullanmamaya ikna etmek için yararlanmışlardır. Çünkü birçok ülkede seçmenler güle oynaya sandığa gitmezler ve seçime katılım oranları düşüktür. ABD’deki seçimlerde kişiye özel reklamlarla, kimi zaman yalan haberlerle, Demokrat Parti’ye oy verebilecek seçmenin sandığa gitme isteği kırıldı. Muhtemelen ırk ayrımcılığına karşı duyarlı olan bir seçmene Demokratlar’ın bununla yeterince mücadele etmediği, 11 Eylül saldırıları nedeniyle köktendincilere öfkeli bir seçmene ABD’nin Suriye’de köktendincileri desteklediği gibi seçmenin sandığa gitme hevesini kırabilecek reklamlar gösterildi.

Cumhuriyetçiler’in uyguladığı sosyal medya stratejisi, herhangi bir partinin, sandığa gönülsüz giden seçmenine karşı uygulanabilir. Seçimin hemen öncesinde bu gönülsüz seçmenlerin bamteline dokunabilecek reklamlar onların tıpış tıpış sandığa gitmelerini engelleyebilir. Dolayısıyla, sevgili cesur yürekler, cesaret gösterileriyle geçiştirilebilecek bir durum yoktur. Çok büyük olan ama şeffaf olmayan Facebook, ne öğrendiğimizi, nasıl hissettiğimizi ve oy verip vermememizi etkileyebilecek korkutucu bir güce sahiptir.

Medyada Facebook hakkındaki haberlerin artmasıyla beraber bazı kullanıcılar, Facebook hesabını kapattı. Facebook’un gözetimini sınırlamak için Facebook ayarlarını değiştirmek veya Mozilla Firefox eklentilerinden (örneğin https://addons.mozilla.org/en-US/firefox/addon/facebook-container/) yararlanmak gibi öneriler getirildi. Bu önerilere, Facebook gibi merkeziyetçi bir ağ yerine ademiz merkeziyet, özgürlük ve mahremiyeti temel alan Diaspora sosyal ağı (https://diasporafoundation.org) da eklenebilir. Ancak gelinen aşamada ne Facebook’u kısmen sınırlandırabilen teknik çözümler ne de sadece Facebook’a odaklanan yasal yaptırımlar yeterli olacaktır. Morozov’un (2018) yazdığı gibi Facebook’u sorunlarımızın nedeni değil, bir belirti olarak görmek gerekiyor. Dijital ekonomi, şirketlerin çıkarı yerine kamu yararını dikkate alacak biçimde yeniden düzenlenmediği takdirde akıllı şehirler, Dördüncü Endüstri Devrimi, nesnelerin interneti vb adlarla pazarlanan gelecek eşitsizliği daha çok artıracak. Bu nedenle, dijital ekonomiyi, dijital ekonomide verinin yerini tartışmamız ve mülkiyet ilişkilerini sorgulamamız gerekiyor.

Dijital ekonomi, sadece bilişim teknolojileri sektörüne değil, iş modelleri için bilişim teknolojilerine, veriye ve internete giderek daha fazla dayanan işletmelere atıfta bulunmaktadır. İmalat, hizmet, telekomünikasyon, madencilik ve taşımacılık gibi geleneksel sektörler dijital ekonomiye göre yeniden yapılandırılmaktadır (Srnicek, 2016). Dijital ekonominin hegemonik bir model haline gelmesiyle beraber şehirlerin akıllanmasından, işçilerin ve hükümetlerin esnekleşmesinden daha çok söz eder olduk. Dijital ekonominin başını Google, Facebook, Amazon, Apple ve Microsoft gibi şirketler çekiyor görünebilir. Ama Airbnb, TaskRabbit, Uber gibi yeni şirketlere, GM ve Siemens gibi devlerin son yıllardaki faaliyetlerine de yakından bakmak gerekiyor. Hem Facebook/Cambridge Analytica skandalı hem de Uber ile taksicilerin çatışması dijital ekonominin farklı yüzleridir.

Son yıllardaki gelişmeleri açıklamak için çeşitli terimler ortaya atılmaktadır: esnek ekonomi, paylaşım ekonomisi, talep üzerine ekonomi, bir sonraki sanayi devrimi, uygulama ekonomisi, dikkat ekonomisi, platform kapitalizmi vb. Bazı kuramcılar, dijital ekonomiyi açıklamak için bilişsel, maddi olmayan, enformasyonel, bilgiye dayalı nitelemelerini kullanıyorlar. Ekonominin, üretim araçlarından yoksun ama enformasyona sahip yeni bir sınıf tarafından kontrol edildiğini iddia edenler de var. Bu terim ve tanımlamalardan Srnicek’in (2016) veriyi temel alan platform kapitalizminin dijital ekonomiyi anlayabilmek için daha açıklayıcı bir çerçeve sunduğunu düşünüyorum. Srnicek (2016) veriyi hammadde olarak değerlendirmekte ve 21. yüzyıl kapitalizminin verinin çıkarılmasına (extract) ve kullanımına yoğunlaştığını savunmaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda veri, firmaların çalışanlarıyla, müşterileriyle ve diğer firmalarla olan ilişkilerinde merkezi bir rol oynamaktadır. Srnicek (2016) veriyi hammadde olarak nitelendirirken Marx’ın (2011) Kapital’deki hammadde tanımından yararlanmaktadır:

Başlangıçtan beri insanlara yiyecekleri, hazır geçim araçlarını sağlayan toprak (iktisadi anlamda su da bunun içindedir), insanın faaliyetinden bağımsız olarak, insan emeğinin genel nesnesidir. Emeğin yalnızca çevreleriyle dolaysız ilişkilerinden kopardığı her şey, doğanın kendiliğinden sağladığı emek nesneleridir. Yaşadığı ortam olan sudan çıkarılarak avlanan balık, ormandan kesilen ağaç, topraktaki damarından ayrılan maden cevheri bunun örnekleridir. Buna karşılık, emek nesnesi olan şey, deyim yerindeyse daha önce harcanan emeğin eleğinden geçmişse, ona ham madde diyoruz. Örneğin, çıkarılmış bulunup da yıkanmaya hazır olan maden cevheri böyledir. Her ham madde emek nesnesidir; ama, her emek nesnesi ham madde değildir. Emek nesnesi ancak daha önce harcanan emekle bir değişiklik geçirdikten sonra ham madde haline gelir (s. 182-183).

Bu bağlamda, çıkarılması/ayrılması gereken hammadde, veri ve bu hammaddenin doğal kaynağı da kullanıcı etkinlikleridir.

Veri, bir şeyin olduğunu; bilgi (knowledge) ise neden olduğunu ifade eder. Veri, bilgi içerebilir ama bu zorunlu değildir. Verinin kaydedilebilmesi ve saklanabilmesi için maddi bir ortama gerek vardır. Veri merkezlerinin enerji tüketimleri dikkate alındığında (internet, dünyadaki enerji tüketiminin %9.2’sinden sorumludur) verinin son derece maddi olduğu görülecektir. Ayrıca verinin toplanması, kaydedilmesi ve analiz edilmesi için gelişmiş bir altyapıya gerek vardır.

Veri, dijital ekonomi öncesinde esnek üretimin küresel lojistiği gibi işlerde kullanılmaktaydı. Fakat bilişim teknolojilerindeki gelişmeler veri miktarını, çeşitliliğini, toplanma ve analiz hızını artırmıştır. Günümüzde veri, üretim süreçlerinin optimum hale getirilmesinde kullanılmakta; tüketici tercihlerine ilişkin bilgi vermekte; sürücüsüz arabalar, Google Haritalar, Siri gibi hizmetlerin temelini oluşturmaktadır.

Eski iş modelleri, verinin çıkarılması ve kullanımında yetersiz kalmaktadır. Örneğin, bir fabrikada bir mal üretilip satıldığında hem fabrika iş süreçlerindeki işçilerin etkinliklerinden ve makinelerin işleyişinden hem de daha sonra tüketicilerin kullanımlarından veri elde edilememekte; bu iş modelleri, üretim süreçlerinin en optimum hale getirilmesi, esnekliğin sağlanması, işçilerin koordinasyonu ve dışkaynak kullanımı gibi ihtiyaçları karşılayamamaktadır. Srnicek’in (2016) platform adını verdiği iş modeli, çoğunlukla veriyi daha iyi idare edebilmek gibi iç ihtiyaçlardan doğmuştur. Bu yeni iş modeli, kaydedilen ve miktarı sürekli artan verinin tekelleştirilmesi, çıkarılması, çözümlenmesi ve kullanımı için verimli bir yol sunmaktadır.

Platform, en genel anlamıyla iki ya da daha fazla kullanıcının etkileşimini sağlayan dijital altyapıdır. Platform sahipliği, platformda çalışan yazılımın ve/veya donanımın sahipliğidir. Bu altyapılarda çoğunlukla özgür ve açık kaynaklı yazılımdan yararlanılır. Platformlar, müşteriler, servis sağlayıcılar, üreticiler, tedarikçiler ve fiziksel nesneler gibi farklı tipte kullanıcıları bir araya getirir. Bazı platformlar kullanıcılara kendi ürün, hizmet ve pazar yerlerini oluşturmalarına yardım eden araçlar sunar. Örneğin, Microsoft Windows, yazılım geliştiriciler için yazılım geliştirme araçları; Apple, hem yazılım geliştirme aracı hem de satış için pazar yeri; Google, reklamcılar ve içerik sağlayıcıların hedefli reklamcılık uygulamaları için kullanıcıların arama etkinliklerine dayanan enformasyon; Uber, sürücülerin yolcuları, yolcuların sürücüleri bulabilmeleri için bir uygulama sağlar. Platformlar, bir yandan taraflar arasındaki ilişkiyi kurarken diğer yandan kullanıcı etkinliklerinden elde ettiği veriyle daha çok güçlenir. Ayrıca ağ etkisiyle, platformu kullanan kullanıcı sayısı artıkça platform daha da değerlenmektedir. Birçok kullanıcı hâlâ Facebook’ta kalmaya devam ediyorsa bunun nedeni Facebook’un teknik üstünlüğü değil, Facebook’la daha çok insan içeren bir sosyal ağa erişebiliyor olmalarıdır. Sosyal ağları merak eden yeni bir kullanıcı Diaspora* (https://www.diasporafoundation.org/) gibi daha az sayıda insanın kullandığı özgür bir ağı değil, eski ve yeni arkadaşlarını bulabileceği Facebook’a katılmayı tercih edecektir. Yine aynı şekilde, Google arama motorunu kullananların sayısı artıkça arama motorunun algoritması gelişmekte, daha doğru arama sonuçları göstermekte ve bu nedenle daha çok rağbet görmektedir. Ayrıca bu platformlarda bir kapasite artırımı gerektiğinde bunun marjinal maliyeti de çok düşük olmakta, platformlar ihtiyaca göre hızla ve kolayca ölçeklenebilmektedir.

Ağ etkilerinin önemini dikkate alan şirketlerin en önemli stratejilerinden biri kullanıcıyı platformlarında olabildiğince tutabilmek ve onun etkinliklerinden yeni açılımlar sunan farklı veriler elde edebilmektir. Bunun için bazı hizmetleri maliyetinin çok altında veya bedava sunarak kullanıcıları platformlarına çekmekte, daha sonra bundan elde ettiği gücü farklı hizmetlerin ücretli sunumunda kullanabilmektedir. Örneğin Facebook, kullanıcıların platformunda olabildiğince vakit geçirmesi için elinden geleni yaparken ve bundan hiçbir ücret talep etmezken bunun arkasında Mark Zuckerberg’in hayırsever duyguları değil, kullanıcıların Cambridge Analytica gibi şirketlere pazarlanmasından elde edebileceği yüksek kârlar vardır.

Platformlar, kullanıcıların birbirleriyle etkileşimde olduğu dijital altyapılardır. Ama bu etkileşim, platform sahibinin koyduğu kurallar ve ilkeler çerçevesinde gerçekleşir. Sosyal medya platformlarında, ne zaman hangi içeriğin gösterileceğine karar veren platform sahibinin tercih ettiği algoritmalardır. Uber veya Airbnb’de kullanıcı ile hizmet sağlayıcı, bu platformların koyduğu kurallara göre bir araya gelir. Uber, hizmet sağlayıcının payını tek taraflı değiştirebilir. Endüstriyel platformların açıklık politikası hukuksal gereklilik değil, ağ etkilerinden yararlanmak isteyen platform sahiplerinin bir stratejisidir.

Srnicek (2016) platformları beşe ayırmaktadır. Birincisi, Facebook ve Google’ın başını çektiği reklamcılık platformlarıdır. Kullanıcılardan elde ettikleri veri üzerinde analiz çalışması yaparlar ve bu analizin sonucunu reklam alanı satmak için kullanırlar. İkincisi, bulut bilişim hizmeti sunan AWS (Amazon Web Services) ve Salesforce gibi şirketlerdir. Üçüncüsü, Dördüncü Endüstri Devrimi diye pazarlanan endüstriyel platformlardır. Siemens ve General Electric gibi şirketler geleneksel üretimi, birbirine bağlı süreçlere dönüştürmek için gerekli platformları geliştirmektedir. Dördüncü platform tipi içinse Spotify ve Netflix örnek verilebilir. Geleneksel ürünler, hizmete dönüşürken ürün satışının yerini kiralama ve abonelik modelleri almaktadır. Beşincisi ise en bilinenleri Uber ve Airnbb olan, esnek platformlardır. Sabit sermaye yatırımının çok az olduğu ve neoliberalizmin kuralsızlaştırma (deregulation) politikalarını derinleştiren platformlardır.

Reklamcılık Platformları

Reklamcılık platformları, platform kapitalizminin ilk örnekleridir. Bu platformların iş modelleri, verinin önemi hakkında oldukça öğretici olmuş ve diğer platform tiplerine öncülük etmiştir. 1998’de kurulan Google, en başından beri kullanıcıların aramalarından elde ettiği verileri toplamakta ve analiz etmektedir. İlk başta bunun gerekçesi, veri toplayan birçok şirketin savunduğu gibi kullanıcılarına ve müşterilerine sundukları hizmetin kalitesini artırmaktır. Fakat 2000’li yılların başında dotcom balonunun patlaması sonucu teknoloji şirketlerinin içinde bulunduğu kriz Google’ı bir karar vermeye zorlar. İş modelini değiştirerek arama hizmetini ücretli yapmak bir seçenektir. Ama arama hizmeti ücretli olduğunda kullanıcı sayısı da düşecektir. İkinci seçenekse, arama bilgileri, çerezler ve veri elde edebileceği diğer kaynaklardan yararlanarak reklamcılara hedefli reklam alanları satmaktır. Google, ikinci seçeneğe yönelir. 2016’nın ilk çeyreğindeki verilere göre Google’ın gelirinin %89’u, Facebook’un gelirinin de %96,6’sı reklamlardan gelmektedir.

Reklamcılık platformları ilk olarak çevrimiçi etkinlikleri izler ve kaydeder. Kullanıcıların siteyle etkileşiminin yanı sıra webdeki gezintileri de çerez ve diğer araçlarla takip edilir. Bu nedenle, kullanıcının bir reklamcılık platformundaki etkinlikleri (Google’da arama yapması veya Facebook’ta beğenmesi) ve webdeki gezintileri artıkça veri de artar. Daha sonra veri bilimcileri ya da yapay öğrenme algoritmaları çıkarılan veri (hammadde!) üzerinde çalışır. Reklamcılık platformları, kullanıcıların e-posta adreslerini veya telefon numaralarını satmazlar. Reklamcılara, belirli bir anda, belirli bir türdeki reklama en uygun tepkiyi verecek kişileri altın bir tepside sunarlar.

Demokrasinin adayların pazarlanmasına dönüştüğü bir çağda reklamcılık platformlarının siyasetçiler tarafından da kullanılıyor olmasına şaşırmamak gerekir. Belki bu durum son seçimde, Trump yerine Clinton’a avantaj sağlamış olsaydı Facebook olayı bu kadar büyümeyecekti. Facebook/Cambridge Analytica skandalından sonra, en iyi ihtimalle Facebook’un faaliyetlerinin denetlenmesine karar verilecek. Fakat bu iş modeli devam ettiği sürece insanlık için büyük bir tehlike söz konusudur.

Reklamcılık platformlarına, kullanıcıların siteyle etkileşimi ya da webde çerezlerle takibi de yetmemektedir. Bu platformların, kullanıcıların finans ve sağlık verileri hakkında planları vardır (https://www.cnbc.com/2018/04/05/facebook-building-8-explored-data-sharing-agreement-with-hospitals.html). Sosyal medya verilerinin kişilerin finans veya sağlık verileriyle birleşmesi, platformların gündelik yaşama daha çok sızmasıyla sonuçlanacaktır.

Bulut Platformları

Bulut platformları, ilk kez 1990’larda e-ticaret uygulamalarında denenmiş; e-ticaret şirketleri, işlerinin maddi yanları için dış kaynak kullanımına yönelmişlerdir. Ancak işler planlandığı gibi gitmemiş, bir süre sonra kendi veri ambarlarını ve lojistik ağlarını kurmak ve çok sayıda çalışan istihdam etmek zorunda kalmışlardır.

Amazon’un AWS (Amazon Web Services) adlı bulut platformu bir çok platformda olduğu ilk başta şirket içi ihtiyaçlara yanıt verebilmek için geliştirilmiştir. Amazon, geliştirdiği alt yapıyla yeni hizmetleri kolayca ayağa kaldırıp kullandıktan sonra bu altyapıyı başka şirketlere kiralayabileceğini fark etmiştir. Amazon, talep üzerine (on demand) sunucu, depolama, hesaplama gücü, yazılım geliştirme araçları ve işletim sistemleri, hazır uygulamalar sunmaya başlamıştır. Böylece e-ticaret sitelerinin 1990’lardaki dış kaynak kullanımı hayalini gerçekleştirmiştir: İnternet üzerinde iş yapmak isteyen şirketler artık kendi donanımlarına, yazılım geliştirme araçlarına ya da uygulamalarına sahip olmak zorunda değildir; Amazon’un bulut platformu onlara bu olanağı sunmaktadır.

Yazılımın bir hizmet olarak sunulması, bir diğer deyişle, kullanıcının yazılıma sahip olmadan onu bulut platformları üzerinden kullanması Adobe, Google ve Microsoft’un da yararlandığı bir iş modelidir. Adobe, bulut üzerinde yazılım aboneliği hizmeti vermektedir. Google, AWS’ye rakip analiz araçları hizmeti vermektedir. Bunun yanında, Google’ın bulut bilişimde en iddialı olduğu alan yapay öğrenmedir; Google, örüntü tanıma ve ses çevriyazı hizmeti sunmaktadır. Google’ın başarısının sırrı sihirli algoritmalar değil, veri (hammadde!) zenginliğidir. Microsoft da işletmelerin kendi yapay zeka robotlarını (bots) geliştirmelerine yardımcı olmak için yazılım geliştirme aracı hizmeti sunmaktadır. IBM ise kuantum bulut bilişimi hayata geçirmeye çalışmaktadır.

Amazon’un patronu Jeff Bezos, bulut bilişimi elektrik hizmetinin gelişimine benzetmektedir. Eskiden fabrikaların kendilerine özel jeneratörleri varken daha sonra elektrik üretimi merkezileşmiş ve fabrikalar, büyük jeneratörler satın almak yerine ihtiyaca göre elektrik hizmeti satın almaya başlamıştır. Dijitalleşmeyle beraber farklı sektörlerde faaliyet gösteren firmalar aynı yolu izlemekte, kendi içlerinde bilişim teknolojisi altyapısı kurmak ve bunun için personel istihdam etmek yerine bulut bilişim hizmetlerinden yararlanmaktadır. 2016 verilerine göre Amazon’un AWS iş modeli perakende satışlarıyla karşılaştırıldığında daha kârlıdır.

Ürün platformu şirketleri Netflix ve Spotify, AWS’nin müşterileri arasındadır. Airbnb ve Uber gibi birçok esnek platform şirketi AWS’yi kullanmaktadır. Bunun dışında Uber, harita hizmeti için Google, mesajlaşma için Twilio, e-posta gönderimi için SendGrid ve ödemeler için Braintree kullanmaktadır. Endüstriyel platformlardan General Electric, iç ihtiyaçları için AWS’den hizmet almaktadır.

Özünde üretim araçlarının kiralandığı bulut platformları reklamcılık platformlarına göre daha sağlam bir iş modelidir. Reklamcılık platformunda veri için ücretsiz (ama bir maliyeti olan) hizmetler sunulmakta, bu hizmetlerden veri elde edilmekte ve daha sonra reklamcıların talebi beklenmektedir. Bulut platformlarında ise hem üretim aracı kiralama hizmetinden doğrudan bir gelir elde edilmekte hem de sunucularda yeni veri kümeleri toplanmaktadır. Dolayısıyla yakın zamanda, ücretli ve ayrıcalıklı olanların erişebileceği internet hizmetleri artabilir.

Endüstriyel Platformlar

Nesnelerin endüstriyel interneti kısaca, üretim sürecinin gömülü algılayıcı ve mikro çiplerle, lojistik sürecinin (çoğunlukla RFID’den yararlanan) ise takip cihazlarıyla izlenmesini içerir. Her şey internet üzerinden birbirine bağlıdır. Üretim sürecindeki her bir bileşen, herhangi bir müdahaleye gerek kalmaksızın sistemin diğer bileşenleriyle iletişime geçebilir. Üretim sürecinde bileşenlerin onları gölge gibi takip eden enformasyonel varlıkları vardır. Bileşenlerin konum ve durum verisi ağın diğer bileşenleriyle paylaşılır. Nesnelerin endüstriyel internetinin emek maliyetlerini %25 azaltacağı, veri merkezlerinin enerjiyi istenilen zamanda istenilen yere dağıtmasıyla enerji tasarrufunun %20 olacağı, bozulmalar ve yıpranmalar meydana gelmeden öngörülebileceği için bakım masraflarını %40 azaltacağı, hataları azaltıp kaliteyi artıracağı iddia edilmektedir. Ayrıca ürün, üretim sürecinden sonra izlenebileceğinden anket ve odak grup araştırmalarından daha etkili geribildirim alınabilecektir.

Srnicek (2016) nesnelerin endüstriyel internetinde temel zorluğun bileşenlerin birlikte çalışabilirliği olduğunu ve platformların bunu sağlama iddiasıyla ortaya çıktığını belirtmektedir. Dünya Ekonomi Formu raporundan (http://www3.weforum.org/docs/WEFUSA_IndustrialInternet_Report2015.pdf) anlaşılabileceği gibi nesnelerin endüstriyel internetinin asıl kazananı ağ etkilerinden yararlanan platform sahipleri ve ortakları olacaktır. Almanya’nın Siemens, ABD’nin General Electric (GE) tarafından temsil edildiği uluslararası bir yarış vardır. Siemens, akıllı üretim yeteneklerini ve MindSphere adlı endüstriyel platformunu geliştirmek için 4 milyar Avro harcamıştır. Siemens, Alman devleti tarafından desteklenmektedir ve kurulan konsorsiyum nesnelerin interneti hakkındaki farkındalığı artırmaya odaklanmıştır. Predix adlı platformu geliştiren GE ise Intel, Cisco ve IBM ile beraber çalışmaktadır ve şimdiden çeşitli denemeleri vardır. Predix’in 2020 yılında 15 milyar dolar gelir getirmesi beklenmektedir.

Hem Siemens’in MindSphere hem de GE’nin Predix platformlarında, platformdan yararlanacak kullanıcılar kendi yazılımlarını geliştirmeyecek, platformun sunduğu altyapı hizmetleri, geliştirme araçları ve uygulamalar kullanılacaktır. GE’nin sıvılaştırılmış doğal gaz işi Facebook kadar veri toplanmaktadır ve bu kadar veriyi analiz edebilmek için geliştirilmesi uzmanlık isteyen özel araçlara gerek vardır. Endüstriyel platformlar, üretim sürecinin içsel bilgisine sahip oldukları için AWS gibi genel bulut bilişim platformlarından daha avantajlı olduklarını öne sürmektedirler.

Endüstriyel platformlar, fabrikalar, tüketiciler ve uygulama geliştiriciler arasında konumlanmakta, küresel üretim sürecini başından sonuna kadar izlemeyi hedeflemektedir. Yine kullanıcılardan veri çıkarılmakta ve bu veri rekabette daha hızlı, ucuz ve esnek hizmetler sunmak için kullanılmaktadır. Siemens ve GE, platformlarına kimlerin bağlanacağı, verinin nerede saklanacağı ve kimlerin uygulama geliştirebileceği hakkında bir standart yerleştirmeye çalışmaktadır. Ağ etkileriyle kazananın her şeyi alacağı bu oyunda platformlarına daha çok kullanıcıyı çekebilmek için (bir zamanlar Google’ın Android’de yaptığı gibi) açıklığı savunmaktadırlar.

Ürün Platformları

Ürün platformlarında ürün satışı yerine talep üzerine kiralama ve abonelik hizmetleri sunmaktadır. En bilinen örneklerinden biri dinleyiciler, plak şirketleri ve reklamcılar arasında konumlanan Spotify’dır. Fakat bu platformlar, yalnız dijital ürün aboneliğiyle sınırlı değildir. Son yıllarda insanların satın alma gücünün azalmasıyla beraber araba ve ev gibi pahalı ürünlerde de bu tip platformlara yönelim vardır (Srnicek, 2016).

Ürün platformunun en ilginç örneklerinden biri jet motoru üreticilerinin satış yerine kiralama üzerine kurulu iş modelidir. Önde gelen jet motoru üreticilerinden Rolls Royce, “hizmet olarak mal” satışı yapmakta, böylece havayolları jet motorlarını satın almak yerine kullandıkları her saat için bir ücret ödemekte ve Rolls Royce hizmet anlaşması süresince bakım ve parça değişimi desteği vermektedir.

Hammadde olarak veri, bu iş modelinde de önemli yere sahiptir. Jet motorundaki algılayıcılardan elde edilen veri, hava durumu verileriyle ve hava trafik kontrolden gelen veriyle birleştirilerek Birleşik Krallık’taki kumanda merkezine iletilmektedir. Bu verilerden, motorların aşınma ve yıpranmaları, olası sorunlar ve programlı bakım zamanları hakkında bilgi elde edilmektedir. Bir sorun yaşanmadan önce Rolls Royce bunu fark edebilmekte ve gerekli önlemleri almaktadır. Jet motoru üreticilerinin elindeki veri, rekabette önemli bir avantaj sağlamakta ve sektöre girmek isteyebilecek yeni şirketlerin önüne ek (ve daha büyük) bir engel çıkarmaktadır.

Esnek Platformlar

Ürün platformlarında platform sahibi, platformda hizmet olarak sunulan ürünün sahibiyken esnek platformlarda ürünün sahibi değildir. Esnek platformlar, mobil uygulamalar ve web siteleri yardımıyla tüketiciler ile hizmet sağlayıcıları bir araya getirir ve hizmet sağlayıcının kazancından pay alır. Bu iş modeli, işbirliğine dayalı tüketim, örgüsel (mesh) ekonomi, denkler arası (peer to peer) platform, esnek ekonomi, talep üzerine ekonomi, paylaşım ekonomisi gibi adlarla da anılmaktadır. En ünlüleri Uber ve Airbnb’dir. Bunun dışında, TaskRabbit ve Amazon’un Mechanical Turk’u gibi mobilya montajından temizliğe, tesisat işlerinden market alışverişine kadar çeşitli hizmetler sunan platformlar vardır. 2000’li yıllarda yaşamın dijitalleşmesi, 2008 krizi sonrası artan işsizlik ve bulut platformlarının sunduğu kolay ölçeklenebilirlik esnek platformların gelişimine zemin hazırlamıştır.

Uber’in piyasa değeri dünyanın en büyük araba kiralama şirketlerinin değerini aşmaktadır. Airbnb, dünyanın en büyük otel zincirleriyle boy ölçüşmektedir. Veri yine merkezi bir roldedir. Örneğin Uber, yolcuyla sürücüyü bir araya getirdiği tüm araba yolculuklarını izlediği gibi sürücüleri yolcu almadıkları zaman da takip edebilmektedir. Uber bu verileri sadece en uygun rotayı tespit edebilmek, taksi talep eden bir müşteriye en yakın taksiyi yönlendirebilmek veya talep artışı olabilecek yerleri öngörebilmek için kullanmamaktadır. Platformuna üye sürücülerin başka platformlar adına çalışıp çalışmadığını ya da Çin’de olduğu gibi sürücülerin protestolara katılıp katılmadığını tespit edebilmek için de kullandığına dair örnekler vardır. Esnek platformlarda müşteriler, aldıkları hizmeti değerlendirmekte ve hizmet değerlendirme puanlarına göre bir itibar (reputation) sistemi oluşmaktadır. Bazı platformlarda hizmet almak isteyenler, hizmet sağlayıcıyı buna göre seçerken bazılarında belirli bir puanın altına düşen hizmet sağlayıcılar (sürücü, ev sahibi vb) platform sahibi tarafından sistemden (işten) atılmaktadır (Slee, 2015).

Srnicek (2016), esnek platformların ekonomik nedenler nedeniyle kalıcı olamayacağını ve ürün platformlarına evrilebileceğini düşünmektedir. Uber’in lüks arabalardan kargo hizmetine kadar çeşitli denemeleri olmuştur. Şu anda bilindiği üzere sürücüsüz arabalar üzerine çalışmaktadır. Uber’i belki yakında akıllı şehirlerin ulaşım hizmetlerinde göreceğiz ve elinde tuttuğu sürüş verileri şirkete yeni iş alanlarında yardımcı olacak. Uber, Türkiye’de ve birçok ülkede “gelecek” olarak görülmekte ve gösterilmektedir. Başta Uber ve Airbnb olmak üzere esnek platform şirketleri “yaratıcı yıkım”la özdeşleştiriliyorlar. Yaratıcılığı tartışılır ama bu şirketlerin iş modelleri toplum için ciddi bir yıkımı ifade etmektedir.

İnsanın beğenmediği bir hizmeti anında değerlendirmesi, örneğin gereksiz yere yolu uzatan bir taksiciye düşük puan vermesi ve bunun dikkate alındığını bilmesi tüketiciler açısından güzel bir duygudur. Birçok insanın taksicilerle ilgili pek hoş olmayan anıları vardır. Ayrıca belirli sayıda görevi reddeden sürücülerin Uber’le ilişkisi kesileceğinden sürücünün kısa mesafe veya tipini beğenmedi (bazı ülkelerde taksi şoförleri arasında ırkçılık yaygındır) diye kendisine bildirilen yolcuyu almama gibi bir şansı olmayacaktır. Sürücüler açısından baktığımızda ise haksız bir suçlamaya maruz kalmak (tüm taksiciler kötü değildir), bu nedenle işinden olmak ve itiraz edememek de acıdır. Ama birçok tüketici bunu düşünmeyecektir; taksicilere karşı yılların birikmiş öfkesi vardır. İstanbul Taksiciler Birliği Başkanı’nın “Uber’e binen vatan hainidir” gibi açıklamaları da bu öfkeye tuz biber ekmektedir.

Güvencesizleştirme ve taşeronlaştırma 1970’lerden beri devam bir eğilimdir. Srnicek’in (2016) belirttiği gibi esnek platformlar bu eğilini takip etmekte ve aşırı taşeronlaştırma yoluyla işlemektedir: işçiler taşeronlaştırılır, sabit sermaye taşeronlaştırılır, bakım ve eğitim maliyetleri taşeronlaştırılır. Platformdaki işçiler, platformun çalışanları değil bağımsız yüklenicileridir. Platformda hizmet sunanların bunu (sürücülük yapmak, evini kiraya vermek, tesisat tamiri yapmak vb) ek gelir için yaptıkları varsayılır; ama çoğu zaman tek gelirdir. İnsanın komşusuna yardım etmesi kişiler arası ve ticari olmayan bir ilişkidir. Belediyelerin veya kamu kurumlarının yasalara dayanarak bu ilişkiye müdahale etmesi söz konusu değildir. Esnek, milyar dolarlık platformlarda kurulan ilişki ise bundan çok daha farklıdır.

Çalışanların hakları umurumuzda olmayabilir ama Slee’nin (2015) vurguladığı gibi yalnızca iyi hizmet almak isteyen tüketiciler değiliz. Aynı zamanda vatandaşız; hükümetlerin ve şirketlerin hâlâ (!) bazı sorumlulukları var; en azından olmak zorunda. Slee (2015) bu tip iş modellerini kuralsızlaştırma (deregulation) hareketi olarak değerlendirmektedir. Paylaşım ekonomileri olarak pazarlanan iş modelleri kurumsal kapitalizme bir alternatif değil, kuralsızlaştırılmış serbest piyasanın hayatımıza daha çok sızmasıdır. Herhangi bir sorunda bunun sorumluluğu kimde olacaktır? Değerlendirme puanları sihirli değnek değildir; sorun yaşandıktan sonra verilir. Bazı yerlerde, taksi hizmetini veren kuruluşların belirli sayıda çocuk dostu araçlar barındırması ve araçların engelli vatandaşlara uygun olması zorunluluğu vardır. Ayrıca ticari araçların gerekli bakım ve kontrollerinin yapılması, buna uymayanların ticari faaliyetlerine devam edememesi gerekir. Taksi sürücülüğü riskli bir meslektir ama taksi sürücülerinin saldırılarına maruz kalan yolcular da vardır. Benzer vakalar Uber taksi hizmetlerinde de yaşanmaktadır. Klasik taksi hizmetinde yaşanılan sorunların bir muhatabı ve hizmeti verenlerin sorumluluğu vardır. Uber, bu gibi sorunlarda kendisinin taksi firması değil, sadece platform sahibi olduğunu söyleyerek sıyrılmaktadır. Haklılar; Uber’de yolculularla eşleştirilen sürücüler Uber’in ücretli çalışanı değildir. Ülkemizde taksicilik hizmetlerinin hiç denetlenmediği veya yetersiz olduğu savunulabilir. Ama sorunun çözümü Uber’in kuralsızlığı, diğer bir deyişle serbest piyasanın şefkatli kolları değil, vatandaş olarak yetkilileri görevlerini yapmaya zorlamaktır. Bu görevler, sadece taksi hizmetlerinin denetlenmesiyle değil genel olarak ulaşım politikalarıyla ilgilidir. Ayrıca Facebook/Cambridge Analytica’yı konuşurken Uber’in yolcuların mahremiyeti hakkındaki sicilinin pek parlak olmadığını atlamamak gerekiyor (https://stallman.org/uber.html#privacy).

Ne Yapmalı?

Ekonomi ve toplumsal ilişkiler dijitalleştikçe toplanan veri miktarı sürekli artmaktadır. Mahremiyet ve toplanan verilerin kullanıcılar aleyhine kullanılabilir olması önemli bir tehlikedir. Ama daha önemlisi veri, ekonomik bir güç sağlamakta ve eşitsizliği derinleşmektedir. Bria (2018) teknoloji firmalarını dijital altyapıyı (veriyi ve yapay zekayı) kontrol eden feodal lortlara benzetmektedir. Dijital altyapıdaki hakimiyetleri ekonomik ve politik etkinliklerde belirleyici olmaya başlamıştır. Facebook/Cambridge Analytica skandalı sonrasında ufak bir ihtimalle Facebook iş modelini değiştirip abonelik modeline geçebilir. Ama Morozov’un (2018) yazdığı senaryo daha olasıdır: “…Bizi birkaç çürük elmadan ve onların etik sapmalarından kurtarmaya, temelde bir sorun olmadığı, asli hiçbir konunun tehlikede olmadığı konusunda ikna etmeye çalışacaklar.”

Teknik çözümler gözetimi zorlaştırabilir ama tamamen engelleyemez. Sosyal ağları kullanmayarak veya çeşitli yazılımsal çözümler uygulayarak gözetimin üstesinden gelsek bile komşumuz sosyal medya gözetiminin kurbanıysa ve aynı seçimde oy kullanacaksak endişelenmemiz gerekir. Bu nedenle, genel bir politik çözüme gerek vardır (Yanlış anlaşılmasın, en başta Diaspora* Sosyal Ağı ile Facebook’un birlikte kullanılması ve daha sonra Facebook’un tamamen terk edilmesi olmak üzere tüm teknik çözümleri destekliyorum; sadece yetersiz görüyorum.).

Günümüzdeki gözetimin Sovyetler Birliği’ni aştığını yazan Stallman’a (2018) göre verinin kullanımı yerine toplanmasının düzenlenmesi daha doğru bir yaklaşım olacaktır. Eğer bir sistemin temel işlevini yerine getirmesi için belirli bir veriye gerek yoksa bunu toplamayacak şekilde tasarlanması gerekir.

Morozov (2018) ise veriden vazgeçmek istememekte ve veri tartışmasını, solun bütün fikirlerini yeniden düşüneceği özgün bir fırsat olarak görmektedir:

kestirimsel çözümleme [predictive analysis – ç.n.] çağında refah koşulları nasıl örgütlenmeli; sensörlerle ve sıklıkla üstün teknolojilerle donatılmış yurttaşların çağında bürokrasi ve kamu sektörü nasıl örgütlenmeli; aynı anda her yerde mevcut otomasyon çağında yeni tür sendikalar nasıl örgütlenmeli; ademi merkeziyetçi ve yatay iletişim çağında merkezi bir politik parti nasıl örgütlenmeli?

Ayrıca Morozov (2018) “daha fazla veri koruma, daha fazla vergi ve daha fazla anti-tröst gibi teknokratik söylemlerin” yetersiz kalacağını ve önümüzde üç politik seçenek olduğunu belirtmektedir. Birincisi, büyük teknoloji şirketlerinin mevcut modelle devam etmeleri ve zaman içinde devletin görevlerini üstlenmeye başlamalarıdır. Böylece Facebook/Cambridge Analytica skandalında olduğu gibi etkilenebilecek seçimlerimiz olmayacak, kararlar meclis yerine şirketlerin yönetin kurulu toplantılarında alınacaktır. Donald Trump’ın eski baş stratejisti Steve Bannon’un önerdiği ikinci seçenek teknoloji devlerine karşı kripto parayla evcilleştirilen finans sektörünün güçlendirilmesidir. Üçüncü seçenekse, “veriye ilişkin toplumsal hakları oluşturan, tanıyan ve geliştiren devlet kuruluşlarının (ulusal düzeyden kentsel düzeye) görevlendirildiği gerçek bir ademi merkeziyetçi özgürlükçü politika”dır:

Bu kuruluşlar çeşitli veri kümelerini farklılaşmış erişim koşullarına sahip havuzlar şeklinde düzenleyecektir. Ayrıca düşük ticari kapasiteye sahip olup da büyük bir toplumsal etki vaat eden iyi fikirlerin girişim sermayesi almasını ve bu fikirlerin ilgili veri havuzlarının üzerinde gerçekleştirilmesini güvence altına alacaktır.

Önümüzde zorlu bir görev vardır. Ayrıca birkaç yıl içinde şehirler önemli bir mücadele alanı olacak gibi görünmektedir. Yakında platform kapitalizminin şehirlere uyarlanmış biçimlerini görmeye başlayabiliriz. Google’ın Toronto’daki deneyi başarılı olursa benzer girişimler artacaktır (https://sidewalktoronto.ca/). Google, yine her zamanki gibi sadece yardımcı olmak istemektedir. Crawford (2018), yerel hükümetleri buna kanmamaları konusunda uyarmaktadır. Google’ın yan kuruluşu Sidewalk, su kullanımından hava kalitesine kadar çeşitli verileri toplayacak, bina içindeki ve dışındaki, sokaklardaki algılayıcılar sürekli çalışacaktır. Verinin mülkiyeti kritik bir konudur.

Her şeye rağmen umut verici ve yol gösterici girişimler de var. Decode Projesi (https://decodeproject.eu/) çerçevesinde Barselona ve Amsterdam’da denenen akıllı şehirlerin dayanışma, sosyal yardımlaşma ve kolektif haklar üzerinde yükselmesi planlanmaktadır. Vatandaşların kendi verilerini geri kazanabilmesi için blokzinciri gibi ademi merkeziyetçi teknolojiler üzerinde çalışılmaktadır. Amaç, bir yandan insanların mahremiyetini korurken diğer yandan insanların, algılayıcıların ve cihazların ürettiği verilerden veri müşterekleri yaratmaktır. Veri müşterekleri, insanların erişebilecekleri, katkıda bulunabilecekleri ve kullanabilecekleri, kamu yararının gözetildiği ve fikri mülkiyet sınırlaması olmayan, paylaşılan bir kaynak olacaktır. Decode Projesi’nin kurucusu Bria (2018), veriyi yol, elektrik, su ve temiz hava gibi bir kamu altyapısı olarak düşündüklerini ama vatandaşlar için bir başka panoptikon inşa etmediklerinin altını çizmektedir. İnsanlar anonimlik düzeyini ayarlayabilecekler, istemedikleri taktirde kimlikleri tespit edilemeyecektir. Veri, veriye dayalı hizmetler inşa etmek isteyen yerel şirketlerin, kooperatiflerin ve sosyal örgütlerin kullanımına açık olacaktır. Veri yoğun platformlar, Facebook/Cambridge Anayltica skandalında olduğu gibi seçime müdahale amacıyla değil, politik katılımı artırmak ve politikacıları daha hesap verebilir yapmak için kullanılacaktır.

Kolay değil ama çağımızın feodal lortları şehirlerden püskürtülebilirse onu püskürten toplumsal hareketler yeni bir dönemin kapısını aralayabilir.

Kaynaklar

Bria, F. (2018). Our data is valuable. Here’s How We Can Take That Value Back, https://www.theguardian.com/commentisfree/2018/apr/05/data-valuable-citizens-silicon-valley-barcelona, son erişim 12/04/2018

Crawford, S. (2018). Beware Of Google’s Intentions, https://www.wired.com/story/sidewalk-labs-toronto-google-risks/, son erişim 12/04/2018

Marx, K. (2011). Kapital, cilt 1, çev. Mehmet Sevik, Nail Satlıgan, İstanbul: Yordam Yayınları.

Morozov, E. (2018). Facebook Skandalından Sonra Dijital Ekonomiyi Kamusal Mülkiyete Dayandırmanın Zamanı. The Guardian, http://sendika62.org/2018/04/facebook-skandalindan-sonra-dijital-ekonomiyi-kamusal-mulkiyete-dayandirmanin-zamani-evgeny-morozov-484947/, son erişim 12/04/2018

Slee, T. (2015). What’s Yours Is Mine: Against the Sharing Economy. New York: OR Books.

Srnicek, N. (2016). Platform Capitalism, Cambridge: Polity Press

Stallman, R. (2018). A Radical Proposal To Keep Your Personal Data Safe, https://www.theguardian.com/commentisfree/2018/apr/03/facebook-abusing-data-law-privacy-big-tech-surveillance, son erişim 12/04/2018

17 Eylül 2018

Posted In: Airbnb, Amazon Mechanical Turk, Apple, Bulut Bilişim, Cambridge Analytica, Decode Projesi, e-devlet, Emek, Erişim Hakkı, facebook, Google veya Microsof, Gözetim, ifade özgürlüğü, Mahremiyet, nesnelerin endüstriyel interneti, Özgür yazılım, Platform Kapitalizmi, sansür, sosyal ağlar, TaskRabbit, Uber, Veri

Twitter Auto Publish Powered By : XYZScripts.com