Web 2.0 Demokrasisinden Geriye Kalan

Web 2.0, on yıl önceki bir tartışma konusu. Web 2.0 terimi ilk kez bir web tasarımcısı ve yazar olan Darcy DiNucci tarafından kullanıldı. DiNucci, 1999 yılında yayımlanan bir yazısında webin kişisel bilgisayarın dışına çıkacağını; webe, televizyondan, arabadan ve cep telefonundan erişilebileceğini savunuyordu. DiNucci, çok ilerisini öngörmüştü (http://darcyd.com/fragmented_future.pdf).

Bundan beş yıl sonra, O’Reilly Media ve MediaLive tarafından düzenlenen konferansta ise Web 2.0, daha yakın bir değişime işaret etmek için kullanılıyordu. Web 2.0 ile beraber web, tek yönlü bir yayın ortamı olmaktan çıkıyor, eski webin sadece okunabilir ortamı artık hem okunabilir hem de yazılabilir hale geliyordu. Web 2.0’ın ayırt edici özellikleri şunlardı (Murugesan, 2009):

• Esnek web tasarımı ve kolay güncellenebilirlik,

• Zengin kullanıcı arayüzleri,

• Birlikte çalışmaya ve ortak akla verilen değer,

• Aynı ilgi alanına sahip insanlardan oluşan sosyal ağların kurulması,

• Var olan uygulamaların diğer uygulamalarla birleştirilerek ya da iyileştirilerek daha işlevsel hale getirilmesi,

• Ademi merkeziyetçilik ya da merkezin daha az görünür ve müdahale eder olması

Başta Wikipedia olmak üzere çeşitli wikiler, bloglar, sosyal ağlar, Youtube, Flickr vb siteler Web 2.0’ın yıldızları oldular. 1982’de kişisel bilgisayarı yılın kişisi seçen Time dergisi, 2006’da yılın kişisi olarak wikileri, sosyal ağları ve diğer Web 2.0 sitelerini var eden kullanıcıları yılın kişisi ilan eder (https://en.wikipedia.org/wiki/You_(Time_Person_of_the_Year) ). Sonraki yıllarda Web 2.0 geleneksel medyanın yerini almaya başlar. İnsanlar gazete ve televizyondan çok kendilerinin hem tüketicisi hem de üreticisi olduğu Web 2.0 sitelerine daha çok güvenmektedir. Artık geleneksel medyada kendine yer bulamayanlar Web 2.0 sayesinde sesini duyurabilmektedir. Mahremiyet ihlalleri hakkındaki eleştirileri saymazsak Web 2.0 siteleri kamuoyunda olumlu bir imaja sahiptir. Günümüzde Web 2.0 terimi artık unutulmuş olsa da sosyal medya platformlarını onun mirasçısıdır. Wallstreet’ten Arap Baharı’na birçok toplumsal hareket sosyal medya yardımıyla örgütlenir ve sesini dünyaya duyurur. Bu süreçte, sosyal medya platformlarının yönetimleri daha az görünürdür ve müdahaleleri sınırlıdır. Gerçek öyle olmasa da (bkz. Assange (2014)), en azından kamuoyundaki imajları böyledir. Ancak 2016’daki ABD seçimlerinde büyü bozulur. Web 2.0’la başlayan sürecin bir yandan ifade özgürlüğünün olanaklarını artırırken diğer yandan onun altını oyduğu fark edilir. Facebook, Google ve Twitter kıyasıya eleştirilmektedir. Demokrasinin geleceği açısından şirketlerin düzenlenmesi talep edilmektedir. Artık düzenlemenin gerekliliği değil kimin tarafından yapılacağı tartışılmaktadır. Bu düzenleme taleplerine karşı şirketler, kendi kendilerini düzenleyebileceklerini; yalan haberler, nefret söylemi gibi sorunları kendi içlerinde çözebileceklerini iddia ederler.

Sosyal medya platformları bir süredir bu yılki ABD seçimlerine hazırlanıyorlar. Dış mihrakların (!) seçime müdahale etmesini engellemek için çeşitli önlemler alıyorlar. Geçen ay Twitter yönetimi ve ABD Başkanı Donald Trump arasındaki gerilimi, Facebook CEO’su Mark Zuckerberg’in tarafsız kalma ısrarını ve Facebook çalışanlarının bu tarafsızlığa tepkisini bu bağlamda değerlendirmek gerekiyor.

İfade Özgürlüğünü Kim Koruyor? Twitter? Facebook?

Facebook, Twitter, Youtube gibi platformlar kullanıcıların üretketici (üretici + tüketici) katkılarıyla var olurlar. Fakat söz konusu platformlar kullanıcıların yazdığı veya paylaştığı içerikten sorumlu mudur? Platformlar yıllarca ifade özgürlüğü adına kullanıcıların ürettikleri (ya da paylaştıkları) içeriğe olabildiğince az müdahale etmeyi tercih ettiler. 2016 seçimleri sonrasındaki tartışmalar ve kamuoyu baskısı şirketleri çeşitli önlemler almaya zorladı. ABD’deki ırkçılık ve polis şiddeti karşıtı protestolar sonrasında platformların görev ve sorumlulukları tekrar gündeme geldi.

Twitter’a sık sık provoke edici mesajlar yazan Trump’ın “çapulculuk başlarsa, ateş de başlar” mesajıyla yeni bir tartışma başladı. Avukatlardan ve politika yapıcılardan oluşan on Twitter yetkilisi hızla sanal ortamda bir araya gelerek Trump’ın bu mesajının insanları daha çok şiddete yönlendirip yönlendirmeyeceğini irdeledi. En sonunda Trump’ın mesajını engellememeye ama mesajı aşağıdaki gibi etiketleyerek kullanıcıları mesajın şiddeti teşvik eden sözler içerdiği hakkında uyarmaya karar verdiler. Böylece Twitter ilk kez tanınmış birinin mesajını engellemiş oldu. Twitter’ın içerik politikalarının kamuoyunda tanınan isimler için de geçerli olup olamayacağı bir süredir şirket içinde tartışılan bir konuydu. Şimdiye kadar Twitter, Trump gibi tanınmış kişilerin paylaşımlarına müdahale etmiyordu.

Sonraki günlerde Twitter ve Trump arasındaki gerilim arttı. Twitter, Trump’ın birkaç mesajına daha aynı etiketi basarak Trump’ı daha da öfkelendirdi. Daha sonra Trump, “çapulculuk başlarsa, ateş de başlar” mesajının bir kışkırtma değil, bir olgu olduğunu ekleyerek aynı mesajı tekrar gönderdi. Twitter yönetimi bu sefer mesajı etiketlemedi (https://www.nytimes.com/2020/05/30/technology/twitter-trump-dorsey.html).

Bu tartışmalar yaşanırken bazı Facebook çalışanları da bir içeriği doğrulamanın sansür olmadığını, bir şiddet çağrısını etiketlemenin otoriterliği savunmak anlamına gelmeyeceğini belirterek Zuckerberg’den de benzer bir müdahale talep ettiler. Facebook’tan istifa ettiğini duyuran Timothy J. Aveni, politikacıların Facebook yardımıyla bireyleri radikalleştirdiğini yazdı ve Zuckerberg’in eylemsizliğini eleştirdi (https://www.facebook.com/timothy.j.aveni/posts/3006224359465567). Snapchat gibi bazı sosyal medya platformları da Twitter’ın müdahaleci yaklaşımını benimsediler (https://www.sozcu.com.tr/2020/ekonomi/snapchat-trumpi-onermeyecek-5854373/). Ancak Twitter’ın yaklaşımının ifade özgürlüğünün geleceği açısından tehlikeli bir adım olduğunu savunanlar da var. Bugün Trump’ın engellenmesinin gelecekte daha geniş kapsamlı sınırlamaların önünü açabileceğinden endişe ediyorlar.

Platformlar ve Özdüzenleme

Bugün gündem, ABD’deki ırkçılık karşıtı eylemler olsa da sosyal medya platformlarının uzunca bir süredir bu yıl yapılacak olan ABD seçimlerine hazırlandıklarını ve 2016’daki sorunları yaşamak istemediklerini atlamamak gerekiyor. Yeni bir skandal sonrası hükümet düzenlemesi artık kaçınılmaz olacaktır.

Aslında çarşambanın gelişi perşembeden belliydi. Birkaç ay önceki tartışmaları takip edenler için Twitter ve Facebook’un son tartışmadaki konumlanışları çok da şaşırtıcı olmadı. Twitter, 2019 Ekim’inde platformunda politik reklamlara izin vermeyeceğini duyurmuştu. Facebook ise şeffaflık ve platformun kötüye kullanılmasına karşı gerekli önlemleri alacağını duyurmakla beraber politik reklamlar hakkında bir sınırlamaya gitmeyeceğini ve adaylara müdahale etmeyeceğini açıklamıştı. Google’ın ise Twitter ve Facebook arasında bir politika izlemeye çalıştığı biliniyor.

Tartışmalar, ifade özgürlüğü ve demokrasi ekseninde gelişiyor. Twitter’ın Trump’ın mesajlarını etiketlemesi ve Facebook’un buna yanaşmaması iki şirketin bir süredir uygulamaya çalıştıkları politikalarla uyumlu. Ama demokrasiden ve seçimlerden söz ederken ilgili politikaların bir kamu kuruluşundan değil de şirketler tarafından oluşturulduğuna dikkat etmek gerekiyor. Sosyal medya şirketleri, 2016 seçimlerinden sonra bir sorun olduğunu kabul etmiş ancak kendi kendilerini düzenleyebileceklerini iddia etmişlerdi. Son olaylarda da gördüğümüz gibi kamu çıkarı adına tartışmayı yönlendiren yine sosyal medya şirketleri oldu. Ayrıca şirketlerin, ifade özgürlüğünün sınırları hakkında karar verici konuma geldiğini de göz ardı etmeyelim. Hangi içeriğin okuyucuya ulaşabileceği hakkında kuralları ve sınırları belirleme yetkisi şirket yönetimlerinde (Yablon, 2020).

Şirketler, 2016 ABD seçimleri sonrasında benzer sorunların tekrar yaşanmaması için gerekli önlemleri almaya çalışıyorlar. Bu doğrultuda Twitter politik reklamları küresel olarak yasakladığını duyurdu. Twitter’ın politik reklamdan kastı bir aday, politik parti, seçimle ya da atamayla göreve gelen bir hükümet yetkilisi, referandum, halk oylaması, yasama, düzenleme, yönerge vb hakkındaki içerikler. Oy veya maddi yardım desteği çağrıları da bu kapsamda değerlendiriliyor. Ancak toplumda farkındalık yaratmayı ve insanları harekete geçirmeyi hedefleyen; sivil katılım, ekonomik büyüme, çevreyi koruma, toplumsal eşitlik konulu reklamlar yasak kapsamı dışında olacak. Ancak ikisini birbirinden ayırmak pek kolay değil (age).

En çok gündemde olan Twitter olsa da ondan önce Twitch, TikTok, LinkedIn ve Pinterest’in politik reklamları sınırlama kararı aldığı biliniyor. Twitter’dan sonra Spotify da en azında 2020 seçimlerine kadar politik reklamları askıya aldığını duyurdu. Reklamcılığın en büyük iki ismi Google ve Facebook ise politik reklamlara devam etme kararı aldılar. Zuckerberg, politik reklamların özellikle medya olanakları kısıtlı yerel politikacılar için büyük önem taşıdığını düşünüyor. Zuckerberg, sağlık hizmetleri, kadın hakları, göçmenlik vb’nin doğrudan seçimlerle ilgili konular olduğunu ve Twitter’ın yaptığı gibi bir sınır çizmeye çalışmanın ifade özgürlüğü açısından riskli olduğunu savunuyor. Zuckerberg, özellikle politikacıların sözlerinin engellenmesine karşı olduklarını, insanların politikacıların kendileri hakkında ne söylediğini bilmeye hakları olduğunu ve bir şirketin buna müdahalesinin yanlış olduğunu savunuyor (age).

Google, Facebook gibi ayrıntılı açıklamalar yapmasa da politik reklamların devamından yana. Üst düzey bir Google yöneticisi, diğer reklamlarla politik reklamlar arasında bir fark görmediklerini ve tüm reklamlara aynı kriterleri uyguladıklarını belirtiyor. Nefret söylemi, bir kişi veya grubu rencide eden hareketler her koşulda şirket politikalarına aykırı. Aynı yetkili, yalan ve yanıltıcı haberler konusuna da benzer biçimde yaklaştıklarını söylüyor. Bir sandalyenin fiyatı hakkında ortaya atılan bir yalan da politik yalanlar da (“mektupla oy kullanabilirsiniz”, “seçim günü ertelendi”, “aday öldü”) şirket politikalarına aykırı. Ancak her politik mesajın doğruluğunu kontrol etmeleri olanaklı (ve demokrasi açısından uygun) olmayacağından sadece sınırlı müdahalelerde bulunacaklarını belirtiyor.

Google ve Facebook özellikle ABD seçimlerine yoğunlaşmış durumda ve 2016’da olduğu gibi kimliği belirsiz kişilerin reklam vermesinin önüne geçmek istiyorlar. Bu nedenle, reklam verenlerin kimliklerini ehliyet, kimlik kartı ve pasaport yardımıyla doğrulaması isteniyor. Facebook, bu bilgiyi kullanıcılarla paylaşmaya ve reklam veren bilgilerinin şeffaf olmasına önem veriyor. Ayrıca Cambridge Analytica/Facebook skandalının bir daha yaşanmaması için Google, Facebook ve Twitter, hedefli reklamcılığa çeşitli sınırlamalar getirmişler. Örneğin Google, yaş, cinsiyet ve posta koduna göre hedefli reklamcılığa izin verirken insanların siyasi eğilimlerine göre reklam gösterilmesine veya reklam vermek isteyenin elindeki kullanıcı listesini sisteme yüklemesine izin vermiyor (Fakat belirli bir konuda okuma yapanları hedeflemek hala olanaklı).

Şirketlerin önlemleri dış mihrakların (!) 2016’daki taktiklerle seçime müdahale etmelerini zorlaştırıyor. Ancak Yablon’un (2020) vurguladığı gibi koydukları kurallar ve geliştirdikleri politikalar yerindeymiş gibi görünmesine karşın şirketlerin kendi koydukları kuralları uygulayacaklarının ve tarafları uymaya zorlayacaklarının bir garantisi yok. Politik mesajları engellemenin etkili bir çözüm olup olmadığı, bunun ifade özgürlüğüne zarar verip vermeyeceği, mesajları değerlendirecek algoritmaların veya insanların güvenilirliği gibi birçok soru(n) var.

Ama şirketler, Trump’ın Twitter mesajlarının etiketlenmesi hakkında yürütülen tartışmalarda olduğu gibi kendi politikalarını meşrulaştırmak için sık sık ifade özgürlüğünü gündeme getiriyorlar. Twitter politik reklamları engelleyerek, Facebook ve Google bunlara izin vererek demokrasiyi ve ifade özgürlüğünü koruyorlar.

Ancak demokratik süreçleri korumayı hedefleyen bu politikalar açık ve katılımcı süreçlerle oluşturulmuyor. Web 2.0’da üretketicilerden, yeni interneti var eden, Time’in You dediği insanlardan söz ediyorduk. Buna karşın demokrasinin geleceği hakkında alınan kararlarda temsili veya doğrudan demokrasiye dair bir iz yok. Zuckerberg, yerel, olanakları kısıtlı adayların sesi olmak için politik reklamların engellenmesine karşı olduğunu iddia etmesine rağmen kullanıcıların kendilerini doğrudan ilgilendiren bir konuda söz ve karar hakkı bulunmuyor, kararlar Zuckerberg tarafından ve iş modelinin gerekleri gözetilerek veriliyor. Kendileri demokratik bir işleyişe sahip olmayan platformların demokrasiye hizmet etmeleri bekleniyor.

Bir sosyal medya platformunda bir şey yazmanın veya paylaşmanın ifade özgürlüğü için yeterli olduğunu düşünmemizi istiyorlar. Fakat ifade özgürlüğü, içeriği oluşturanı, onu dağıtanı ve okuyanı içeren bir toplumsal ilişki. Web 2.0 tartışmalarında en büyük hatamız ifade özgürlüğünü yazmaya indirgemek oldu.

Denetleme, Sıralama ve Önerme

Geçmişte içerik profesyonel yazarlar, gazeteciler ve editörler tarafından üretilir, biçimlendirilir ve dergi, gazete, radyo ve televizyon aracılığıyla insanlara ulaştırılırdı. İçeriğin okuyucuya ulaşmasına karar veren bir dizi aktör ve dolayısıyla engel vardı. Neyin haber değeri olduğuna ve içeriğin kalitesine karar veren aktörler bazen isteyerek bazen de istemeden ifade özgürlüğünü kısıtlayabiliyorlardı.

Bu açıdan bakarsak Twitter, Facebook ve Youtube hem ifade özgürlüğünün önündeki bu engelleri kaldırarak hem de hem iletişim maliyetini azaltarak insanların düşüncelerini paylaşabilmesini kolaylaştırdı. Artık bir ABD Başkanı da bir işçi de aynı platformda yazabiliyor! Ancak daha önce belirttiğim gibi ifade özgürlüğü sadece düşünce paylaşımına indirgenemez. Okuyucuyu, yazar ile okuyucu arasında iletişimi sağlayan aktörleri de dikkate almak gerekir. Bu aradaki aktörlerin eskisine göre daha az görünür olması ifade özgürlüğüne etkileri hakkında yanıltıcı olabiliyor.

Okuyucuya ulaşmadan önce içeriğin nasıl denetlendiğine; bilgi yığını içinde ihtiyacımız olanın (ya da olduğunu düşündüğümüzün) nasıl bulunduğuna ve sıralandığına; izleyeceğimiz, okuyacağımız, göreceğimiz vb içeriğin nasıl önerildiğine bakmakta fayda var.

Denetim

Sosyal medya platformları, bazı içerikleri daha görünür yaparken bazılarını engelliyor. Platformlar içerik denetimini üç yolla yapıyor. Birincisi, içeriğin insanlar tarafından denetlenmesi. Bu denetim doğrudan şirket çalışanları tarafından yapılabildiği gibi taşeron çalıştırma da içerik denetiminde oldukça yaygın. Denetim kimi zaman da gönüllü kullanıcılar tarafından yapılabiliyor. İkincisinde içerik algoritmalar yardımıyla otomatik olarak denetleniyor. Algoritmalar, uygun görülmeyen içeriği tespit edip ayıklayabiliyorlar. Çocuk pornosu (child sexual abuse material – CSAM), terör görüntüleri, telif hakkı ihlallerinde içeriğin uygunluğu çok hızlı bir biçimde değerlendirilebiliyor. Tüm dünyanın hem fikir olduğu bir sorun olması ve algoritmaların doğru kestirimlerde bulunabilmesi için yeterli eğitim verisinin bulunması CSAM’nin saptanmasında başarılı sonuçlar alınmasını sağlıyor. Ayrıca platformlarının yararlanabileceği ortak veritabanları var. Fakat nefret söyleminin veya şiddeti öven ifadelerin denetlenmesinde yeterince başarılı değiller. Bu nedenle bir çok sosyal medya platformu, ikisinin bileşiminden oluşan üçüncü bir yola başvuruyor: Önce içerik algoritmalar tarafından denetleniyor, tartışmalı durumlarda son karar insanlara bırakılıyor (Singh, 2019a).

İçerik denetim politikası, merkezi ya da ademi merkezi olabiliyor. Facebook ve Youtube gibi platformlar merkezi bir denetim uyguluyorlar. Oluşturdukları içerik politikaları (bazı ülkelerin hukukundan kaynaklı ufak farklılıklar dışında) küresel olarak, merkezi biçimde eğitilen, yönetilen ve yönlendirilen denetleyiciler tarafından uygulanıyor. Böylece daha tutarlı bir denetim süreci işliyor. Ademi merkezi denetimde ise (Reddit’de olduğu gibi) platform genel politikaları belirliyor ve kullanıcılardan bu politikaya göre bir denetim yapmasını bekliyor. Genel işleyişi kontrol eden az sayıda ücretli çalışan oluyor. Merkezi denetime göre en büyük avantajı, denetim sırasında kültürel ve yerel farklılıkların gözetilebilmesi.

İçeriklerin denetleme zamanları da farklılaşabiliyor. Bazı durumlarda içerik yüklenirken denetleniyor. Özellikle CSAM, IŞİD/El Kaide videolarında ve telif ihlallerinin kontrolünde kullanılıyor ve böylece anında uygunsuz içeriğin yayılmasının önüne geçilebiliyor. İkinci yaklaşımda çoğunlukla terör propagandası içeren paylaşımların ve hesapların önünü almak için otomatik araçlarla taramalar yapılıyor ve uygunsuz görülen içerikler siliniyor. Üçüncü yaklaşım ise şikayetlerle tetikleniyor. Çoğu platform, bu durumda şikayeti önce otomatik araçlarla analiz ediyor ve sonra tartışmalı içerikleri insan denetleyicilere yönlendiriyor.

Kısacası, içeriğin denetlenmesinde algoritmalar ve insanlar beraber çalışıyor. Herkes eşit olmadığı için ne Trump’ın etiketlenen mesajında olduğu gibi Twitter yönetim kurulunun toplanarak mesajların uygunluğunu tartışması ne de platformca görevlendirilmiş denetçilerin her bir mesajı tek tek incelemesi uygulanabilir bir durum değil. Bu nedenle içerik denetiminde çoğunlukla algoritmaların denetimine veya ön denetimine başvuruluyor. Dolayısıyla Jack Dorsey’in veya Mark Zuckerberg’in medyaya yansıyan kararları buz dağının sadece görünen kısmı. Çünkü makinelerce yapılan denetim sanıldığı gibi nesnel değil ve karanlık noktalar içeriyor.

Birincisi, algoritmaların verdiği kararlar eğitildikleri veri kümeleriyle ilişkili. Kültürel veya yerel farklılıklar algoritmaların çalışmasını etkiliyor. Büyük platformların kullandığı yazılımlar olanakları sınırlı platformlara göre daha doğru değerlendirmeler yapabilmelerine rağmen dili anlamada hala büyük zorluklar var. Algoritmaların ifadelerdeki nüansları ve bağlamdaki farklılıkları ayırt etmedeki yetersizlikleri sorunlara neden olabiliyor. Kimi zaman sorunsuz bir içerik algoritmalara takılıyor kimi zaman da kötü niyetli kişiler nefret söylemini algoritmalara atlatacak biçimde yeniden üretebiliyorlar. Ayrıca İngilizce dışındaki dillerde içeriğin analizindeki başarı oranı daha düşük (age).

İkincisi, platformların kullandığı algoritmaların kara kutulara benzemesi. Bu algoritmaların nasıl kodlandığı, hangi veri kümelerinden yararlanarak eğitildikleri, korelasyonları nasıl belirledikleri ve çıkarımlarda bulundukları hakkında şirketler şeffaf değiller. Şirketler, algoritmalarının ticari sır olduğunu iddia ederek sınırlı bilgilendirmeler yapıyorlar (age).

Sıralama

İçeriğin denetlenmesinin yanında bir diğer sorun da içeriğin sıralanması. İnternetteki içerik artıkça istediğimiz bilgiye erişebilme şansımız azalıyor. Bu nedenle arama motorlarının istediğimiz bilgiyi daha üst sıralarda göstermesine veya sosyal medya platformlarının ilgilendiğimiz haberleri karşımıza çıkarmasına ihtiyaç duyuyoruz. Platformlar, önce aradığımız veya görmek istediğimiz içeriğin ne olduğu hakkında bir tahminde bulunuyor; daha sonra da bu içeriği sıralıyor. İçerik denetiminde olduğu gibi yine birçok kullanıcı gösterilen arama sonuçlarını gerçekliğin bir temsili olarak görüyor.

Örneğin, arama denilince ilk aklama gelen, arama pazarının %92,19’unu elinde bulunduran Google’a bakalım. Google, kullanıcı alışkanlıklarından elde ettiği verilerle kullanıcılara daha uygun sonuçlar gösterebiliyor. Bu nedenle, her kullanıcı aynı arama sonucunu göremeyebiliyor (Google son zamanlarda bu algoritmadan vazgeçtiğini söylemesine rağmen DuckDuckGo bunun devam ettiğini iddia ediyor). Şirket, arama sonuçlarının sıralanmasında insan müdahalesi olmadığını belirtiyor. Google, arama işlemini yaparken ilk başta kullanıcının niyetinin ne olduğunu tahmin etmeye çalışıyor. Güncel bir olay hakkında arama yapıyorsa çıkan sonuçların da güncel olmasına dikkat ediyor. Eğer bir siteye, diğer sitelerden aranan konuyla ilgili referans verilmişse bu site arama sonuçlarında daha üst sıralara çıkarılabiliyor. Sitenin kullanımının kolay olması da üst sıralarda yer almasına katkıda bulunuyor (Singh, 2019b).

Arama sıralamasını etkilemek isteyenler arama algoritmasının nasıl çalıştığını ve hangi kriterleri göz önünde bulundurduğu çözmeye çalışıyorlar. Böylece kendi sitelerini arama sonuçlarında üst sıralara taşıyabiliyor. Google da bu tip müdahalelere karşı algoritmalarında değişiklikler yapabiliyor. Google, arama motorunun bir sayfanın yerinin belirlenmesinde yararlılık ve ilgililiğin belirleyici olduğunu, ideolojik ve politik bakış açılarının etkili olmadığını söylüyor. Fakat algoritmalar tarafsız değiller. Algoritmaların yararlandığı sinyaller belirli içerikleri üst sıralara taşımak üzere tasarlanmış. Arama motoru algoritmaları bazı toplumsal stereotipleri pekiştirebiliyor ve toplumun marjinal kesimlerini olumsuz etkileyebiliyor. Noble’nin (2018) Algorithms of oppression: How search engines reinforce racism adlı kitabında ayrıntılı olarak tartıştığı gibi Google’ın arama sonuçları ırkçı ön yargıları yeniden üretebiliyor.

Sosyal medya platformlarının kullanıcının takip ettiği kişilerden gelen içeriği seçmesinde ve sıralamasında da benzer problemlerle karşılaşıyoruz. Facebook ve Twitter gibi platformlar, kullanıcıları çevresindeki olaylardan haberdar ederken bazı seslerin diğerlerinden daha fazla duyulmasına neden oluyor. Kişiye özel içerik seçme ve sıralama insanların ağındaki ve dünyadaki gelişmelere dair algısını etkiliyor. Bu nedenle, sosyal medyada yazmak kadar “neden bunu okuyorum (ya da görüyorum)?” sorusunun da ifade özgürlüğünün bir parçası olduğuna dikkat etmek gerekiyor. Bu sorunun diğer yüzünde yazdıklarımı kimler görecek ve okuyabilecek sorusu bulunuyor. Geleneksel basın organlarının denetimine ve sansürüne itiraz ederken görünmez denetim, sıralama ve iletim ifade özgürlüğü için daha büyük bir tehlike olarak karşımıza çıkıyor.

Önerme

Şirketlerin reklamcılığa dayalı iş modelleri, yapabileceklerinin sınırlarını da belirliyor. 2016 seçimindeki skandallar Jack Dorsey, Mark Zuckerberg, Sergey Brin ve Larry Page kötü insanlar olduklarından değil, iş modellerinden kaynaklandı. Platformlarda çalışan algoritmalar kullanıcılara sürekli bir şeyler önerirler: Arkadaş, makale, gündemdeki konular, iş, ürün (kitap, ayakkabı veya bir politikacı!). Fakat reklamcılığa dayalı iş modelleri, sadece ihtiyaç sahipleri ile bunları sunan şirketleri eşleştirmez. İnsanların belirli bir ürüne ihtiyaç duymasını sağlamak da işin bir parçasıdır. Dolayısıyla algoritmik sistemler kullanıcıların ne göreceğine karar vermekle kalmaz, isteklerini de şekillendirmeye çalışır.

Öneri sistemlerinde başlıca üç algoritmaya başvurulur. Birincisi, kullanıcıya daha önce ilgi gösterdiği içeriklerle ilişkili şeylerin önerilmesidir. Burada diğer kullanıcıların deneyimleri dikkate alınmadan, sadece kullanıcının geçmiş davranışları dikkate alınarak öneriler sunulur. İkincisinde ise diğer kullanıcıların deneyimleri de dikkate alınarak benzer kullanıcılara benzer öneriler getirilir. Burada ürünün kendi başına özelliği öneride etkili olmaz. Üçüncüsünde hem kullanıcının hem de ürünün nitelikleri dikkate alınır. Örneğin, kişinin öz geçmişiyle iş ilanı eşleştirilirken. Öneri sistemleri kimi zaman da bu üçünün sentezine dayanan algoritmalar kullanırlar (Singh, 2020).

Platformlar kullanıcıyı olabildiğince sitede tutmak için onun ilgisini çekebilecek şeyler önerirler. Kullanıcının platformda geçirdiği zamanın artması platformun reklam pazarındaki değerini artırır. Dolayısıyla Youtube’da kullanıcılara içerik önerilirken hedef haber sitelerinde olduğu gibi çok sayıda videoya tıklatmak değil onun sitede kalmasını (izlemesini) sağlamaktır. Bugün Youtube’un öneri sistemi, kullanıcıların platformda geçirdiği sürenin %70’inden sorumludur. Bir şeye bakacağım diye siteye girersiniz ve çıkmakta zorlanırsınız. İnsanların %81’i arada sırada Youtube’daki önerileri dikkate aldığını, %15’i de önerilen videoları düzenli olarak izlediğini söylüyor (age).

Denetleme ve sıralamada olduğu gibi bu sistemlerin şeffaf olmaması yine büyük bir problemdir. Youtube, 2016 seçimlerinden aldığı dersle yalan haber ve komplo teorilerinin yayılmasını engellemek için algoritmasında değişiklikler yapıyor. Ancak platform hâlâ şeffaf olmadığı gibi öneri sistemi hakkında yapılan uyarıları ve tavsiyeleri görmezden gelmeye devam ediyor.

Kararlarda Şeffaflık, Adalet ve Depolitizasyon

Son zamanlardaki tartışmaların temelinde sosyal medya platformlarındaki politik mesajların nasıl ele alınacağı sorunsalı var. Ne kadar iyi yürekli ve ifade özgürlüğüne (!) bağlı CEO’lar olsalar da iş modelleri Jack Dorsey ve Mark Zuckerberg’in radikal adımlar atmalarına izin vermeyecektir. Sürekli artan enformasyon ve güvenlik ihtiyacı platformlara önemli sorumlulukla yüklüyor. Algoritmik sistemlerden yararlanmak zorundalar. Fakat bu sistemlerin şeffaf olmaması, sorgulanamaması ve tam olarak anlaşılamaması çeşitli sorunlara neden oluyor. Gorwa vd (2020) bu sorunları üç başlık altında inceliyor: Kararlarda şeffaflık, adalet ve depolitizasyon.

İçeriğin denetlenme ve buna bağlı olarak kaldırılma süreci şeffaf değil. Gorwa vd (2020), şeffaflığın algoritmik sistemlerdeki tüm sorunların panzehri olmadığını ama insanların içinde yer aldıkları yönetişim örüntülerini anlayabilmeleri için gerekli olduğunu, bu olmadan ifade özgürlüğü hakkındaki önemli kararların alınmasının ve uygulanmasının zor olacağını savunuyorlar. Ancak Gran vd’nin (2020) gösterdiği gibi Norveç gibi dijitalleşmenin yüksek olduğu bir ülkede bile platformların öneri ve sıralamaları hakkındaki farkındalık düzeyi düşük. Popülasyonun %61’i algoritmalar hakkında ya hiç bir şey bilmiyor ya da çok az bilgiye sahip. Algoritmik kararlar hakkındaki farkındalık artmadan şirketleri şeffaf olmaya zorlamak zor görünüyor.

Algoritmalar, belirli içerikleri tespit etmede başarılılar. Örneğin, açık ırkçı ifadeler içeren mesajları fark edebiliyorlar. Fakat belirli bir içeriği otomatik olarak engellemek bazı grupları daha dezavantajlı yapabiliyor. Bir platformun politikası doğrultusunda nefret söylemini tespit amacıyla oluşturulmuş bir algoritma belirli bir sosyal grup tarafından kullanılan dili uygunsuz olarak etiketleyerek grubun kendini ifade edebilme olanaklarını sınırlayabilir. Bu nedenle, algoritmaların eğitildikleri veri kümeleri ve aldıkları kararlar hakkında kullanıcıların bilgi sahibi olması, itiraz etme kanallarının iyi işlemesi adaletsizlikliğin giderilmesinde önemlidir.

İfade özgürlüğü güzellemeleri ABD’li teknoloji şirketlerinin açıklamalarında önemli bir yere sahip olmasına rağmen Web 2.0 demokrasilerinden geriye kalan depolitizasyon, ifade özgürlüğünün politik niteliğini yitirmesi, oldu. Bir gazetenin veya televizyonun belirli kişilere ve konulara yer vermesi veya vermemesi politik bir karardır. Karar, bu çerçevede tartışılır. Fakat algoritmaların telif hakkı veya terörizm gibi karmaşık, gri bölgelerle dolu alanlarda aldığı kararlar politik bir tartışmaya açık olmadığından demokrasinin gelişimini engelliyor. Gorwa vd’nin (2020) belirttiği gibi Facebook, platformunda yer alan terörist içeriğin %99.6’sını kaldırdığını duyururken hem teknik becerisiyle hem de topluluğu teröristlerden koruyan bir kahraman olmasıyla övünüyor. Facebook, açıklamalarında El Kaide ve IŞİD hakkındaki içerik raporlarına yer veriyor. Ya diğer teröristlere ait içerikler? Terörist olanı ve olmayanı ayırmak için sistem hangi kriterleri dikkate alıyor, hangi eğitim verilerinden yararlanıyor? Bunlar ifade özgürlüğü kapsamı dışında tutulan sorulardır.

Trump’ın mesajlarını etiketleyerek kullanıcıları uyarmak ya da uyarmamak…

Sosyal medya platformlarında politik reklamlara izin vermeke ya da vermemek…

Ama asıl mesele şirketlerin kimin konuşup, kimin susacağına karar veren kurumlar haline gelmiş olması. İfade özgürlüğüne yasalar değil de artık platformlar karar veriyorsa büyük bir sorunumuz var demektir.

Kaynaklar:

Assange, J. (2014). When Google Met Wikileaks, OR Books

Gorwa, R., Binns, R., & Katzenbach, C. (2020). Algorithmic content moderation: Technical and political challenges in the automation of platform governance. Big Data & Society, 7(1), 2053951719897945.

Gran, A. B., Booth, P., & Bucher, T. (2020). To be or not to be algorithm aware: a question of a new digital divide?. Information, Communication & Society, 1-18.

Murugesan, S. (Ed.). (2009). Handbook of research on Web 2.0, 3.0, and X. 0: technologies, business, and social applications: Technologies, business, and social applications. IGI Global.

Noble, S. U. (2018). Algorithms of oppression: How search engines reinforce racism. nyu Press

Singh, S. (2019a), How Internet Platforms Are Using Artificial Intelligence to Moderate User-Generated Content, Open Technology Institute, https://www.newamerica.org/oti/reports/everything-moderation-analysis-how-internet-platforms-are-using-artificial-intelligence-moderate-user-generated-content/, son erişim 19.06.2020

Singh S(2019b), How Video and E-Commerce Platforms Use Recommendation Systems to Shape User Experiences, Open Technology Institute, https://www.newamerica.org/oti/reports/rising-through-ranks/, son erişim 19.06.2020

Singh S(2020), How Video and E-Commerce Platforms Use Recommendation Systems to Shape User Experiences, Open Technology Institute, https://www.newamerica.org/oti/reports/why-am-i-seeing-this/, son erişim 19.06.2020

Yablon, R. (2020). Political Advertising, Digital Platforms, and the Democratic Deficiencies of Self-Regulation.

30 Ağustos 2020

Posted In: Algoritmalar, Düzenleme, facebook, Fikri Mülkiyet, google, Haktivizm, ifade özgürlüğü, Nefret Söylemi, Öneri Sistemleri, Özgür yazılım, Platformlar, sosyal ağlar, Trump, Twitter, Web 2.0, Yapay Zeka, YZ

GDPR: Kişisel Verilerin Korunmasında Yeni Dönem

GDPR (General Data Protection Regulation – Genel Veri Koruma Tüzüğü) 25 Mayıs 2018’de Avrupa Birliği’nde yürürlüğe girdi. GDPR, bireylerin kendi haklarında toplanan ve paylaşılan veriler üzerinde daha çok kontrol sahibi olabilmesini hedefliyor ve kullanıcılara yeni haklar tanıyor. GDPR’ye uygun hareket etmeyen şirketleri ise ağır cezalar bekliyor. Bu nedenle GDPR, bugüne kadarki en güçlü dijital mahremiyet hakları koruyucusu olarak nitelendiriliyor. GDPR, ilk başta sadece AB vatandaşlarını ilgilendiriyormuş gibi görünmesine karşın internetin sınırsız doğası nedeniyle AB sınırları dışındaki internet kullanıcıları da GDPR’nin getirilerinden yararlanacak. Ayrıca başka ülkeler de GDPR’yi örnek alan kanunlar hazırlıyorlar.

Avrupa, mahremiyet hakkında ABD’ye göre çok daha hassas bir tutuma sahip. Naziler’in vatandaşların özel verilerini, Yahudiler’i ve diğer azınlıkları tespit etmek için kullanmış olması hâlâ akıllarda. Kapı kapı dolaşan Alman nüfus memurları, delikli kartlara (punch cards) insanların milliyetlerini, anadillerini, dinlerini ve mesleklerini girmiş ve daha sonra bu delikli kartların sayımında ilk veri işlemcilerden olan IBM’in Hollerith makinelerinden yararlanmışlardı. Naziler ve IBM arasındaki işbirliğinin ayrıntıları 2001’de yayımlanan IBM and the Holocaust: The Strategic Alliance Between Nazi Germany and America’s Most Powerful Corporation adlı kitapta anlatılıyor. Naziler ve IBM arasındaki işbirliğinin boyutu hakkında bazı tarihçilerin itirazları olsa da nüfus sayımı verilerinin yalnız devletin işleyişi için değil insanlara zarar vermek için de kullanılabileceği hakkında hemfikirler.

Soğuk savaş yıllarında da (özellikle Doğu Almanya’da) hükümetler, insanların arkadaşlıklarından cinsel alışkanlıklarına kadar çeşitli konularda veri toplamaya devam ettiler. 1970’lerde Batı Almanya’da kişisel verilerin korunmasını hedefleyen adımlar atıldı ve 1983’te Federal Anayasa Mahkemesi, GDPR’nin temeli olarak kabul edilen ‘veri üzerinde öz belirlenim hakkı’nın temel bir hak olduğunu ilan etti. 1990’larda iki Almanya’nın birleşmesi ve soğuk savaşın sona ermesiyle beraber Avrupa Topluluğu’na üye devletler arasında veri paylaşımını kolaylaştırmak amacıyla bir veri koruma standardının oluşturulması gündeme geldi. Veri koruma kanunlarındaki farklılıklar devletler arasındaki veri paylaşımında yasal belirsizliklere neden oluyordu. 1995 yılında, 95/46/AT sayılı AB Veri Koruma Direktifi bu sorunu çözmek amacıyla yürürlüğe girdi. Direktif, kişisel verilerin işlenmesinde bireylerin haklarının korunması ve verinin üye devletler arasında serbest dolaşımı hakkında bir çerçeve sunuyordu.

Ancak AB Veri Koruma Direktifi sadece bir çerçeve sunmakla kalıyor ve AB üyesi devletlere doğrudan uygulanamıyordu. Bu direktiflerin ulusal kanunlara aktarılması gerekiyordu. Veri Koruma Direktifi’nin aktarımında farklılıklar olması kaçınılmazdı ve Direktif, devletlerin farklı veri koruma standartlarını uyumlulaştırmada başarılı olamadı. Bir AB ülkesinde yasal olan veri işleme etkinliği bir başka AB ülkesinde yasadışı olabiliyordu. Direktifin yetersizliğinin yanında sosyal ağlar, bulut bilişim ve elbette büyük veri (verinin hacmindeki, verinin analiz ve birikim hızındaki, veri çeşitliliğindeki artış) kavramının ortaya çıkışı 2012 yılında AB veri koruma kurallarında bir reforma gidilmesini gündeme getirdi. Reform önerisi AB Konseyi’nde ve AB Parlamentosu’nda tartışılmaya başlandı. 2014’te önce AB Parlamentosu, hemen ardından da AB Konseyi reform hakkında görüş birliğine vardı. Bu reforma karşı dijital ekonomi şirketlerinin yoğun kulis faaliyetleri vardı. Ayrıca Akıncı’nın (2017) belirttiği gibi AB’nin karar organları Avrupa Komisyonu, Konsey ve Parlamento’nun farklı güdüleri arasındaki çelişkiler de süreci etkiledi. Örneğin Komisyon, ekonomik gelişme ve güvenliği öncelikli görürken Parlamento için temel bireysel haklar daha ön plandaydı. Ayrıca üye devletler arasında mahremiyetin ne olduğu hakkında da görüş ayrılıkları vardı. Sonuçta, “insanın evi kendi kalesidir” gibi dar bir mahremiyet tanımının ötesinde, güncel teknolojilerdeki gelişmelerin ve içerdiği risklerin farkında olan ve buna karşı önlem almaya çalışan bir metin ortaya çıktı.

2016 yılının Nisan ayında da 95/46/AT sayılı AB Veri Koruma Direktifi yerini GDPR’ye bıraktı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girdi. Fakat AB üyesi ülkelere GDPR’yi kendi iç hukuklarına eklemeleri için iki yıl süre tanındı ve 25 Mayıs 2018 tarihinde internette GDPR dönemi başladı.

Bu bağlamda, AB’de tüzükler (regulations) ile direktifler (directives) arasındaki farka dikkatinizi çekmek isterim. Tüzükler, AB üyesi her devlette hukuki zorunluluğa sahiptir ve tüm üye devletlerde belirli bir tarihte yürürlüğe girer. Direktifler ise ulaşılması gereken belirli hedefleri ortaya koyar ama üye devletler, direktiflerin ulusal yasalara nasıl dönüştürüleceğine karar vermekte serbesttir. Bu nedenle GDPR, AB Veri Koruma Direktifi’ne göre daha bağlayıcı ve etkili olacaktır (http://www.usda-eu.org/eu-basics-questions/difference-between-a-regulation-directive-and-decision/).

Mayısın son haftasında AB sınırları içinden de erişilebilen çeşitli web siteleri kullanıcılarına mahremiyet politikalarını değiştirdiklerini bildiren e-postalar göndermeye başladılar. Örneğin, bilişim teknolojileri hakkında yayımladığı kitaplarla tanınan Amerikan şirketi O’Reilly Media müşterilerine/kullanıcılarına (herhangi bir nedenle O’Reilly Media’ya e-posta adresini vermiş olanlara) gönderdiği 26 Mayıs 2018 tarihli e-postada 25 Mayıs 2018 tarihinde mahremiyet politikasını GDPR doğrultusunda güncellediğini duyurdu. Ne e-postayı gönderen O’Reilly Media ne de onu alan kişilerden biri olan ben, AB sınırları içindeyiz. Ama AB sınırları içindeki müşterilerine ulaşmak isteyen O’Reilly Media’nın mahremiyet politikasını GDPR’ye uyumlu olacak biçimde güncellemesi gerekiyordu. Ben de AB sınırları içinde yaşamıyor olmama rağmen bu güncellemeden yararlanabiliyorum. O’Reilly Media gibi birçok şirket AB için ayrı diğerleri için ayrı bir mahremiyet politikası hazırlayarak içinden çıkılmaz bir duruma düşmektense genel bir politikayı tercih ediyor. GDPR’den en çok başı ağrıması beklenen (ve umulan!) Google ve Facebook uzun süredir mahremiyet politikalarını GDPR’yle uyumlu hale getirmek için çalışıyorlar. Los Angeles Times, Chicago Tribune ve New York Daily News gibi ödevini vaktinde yapmayan web siteleri, Avrupalı ziyaretçilerine kapılarını kapattılar. USA Today ise Avrupalılar’ı ziyaretçilerden daha az veri toplayan, kendilerine ait başka bir siteye yönlendirmeye başladı (https://www.theverge.com/2018/5/25/17393894/gdpr-news-websites-down-europe).

Peki GDPR’yi bu kadar önemli yapan ne? GDPR, internetin işleyişini nasıl değiştirecek?

GDPR’nin Temel İlkeleri

99 maddeden oluşan GDPR’nin orjinal metnine https://gdpr-info.eu/, Türkçe çevirisini de https://www.kisiselverilerinkorunmasi.org/mevzuat/avrupa-birligi-genel-veri-koruma-tuzugu-gdpr-turkce-ceviri/ adreslerinden erişilebilir. Kısaca GDPR, bireylere haklarında toplanan ve paylaşılan veriler üzerinde daha fazla kontrol hakkı sağlayan ve buna uymayan şirketlere caydırıcı cezalar getiren bir düzenleme. GDPR’ye aykırı hareket eden bir şirket 20 milyon Avro veya küresel cirosunun %4’üne varan para cezaları (bu ceza Facebook için 1.6 milyar dolar anlamına geliyor) ödemek zorunda kalabilir. GDPR hakkındaki haberler genellikle bu büyük ceza üzerinde duruyor ve AB sınırları içinde iş yapmak isteyen şirketlerin GDPR’ye uyum için yapması gerekenleri tartışıyor. Ama GDPR’nin asıl ruhunu oluşturan bireylere tanınan haklar. Bu yazıda, GDPR’nin üzerinde yükseldiği temel ilkeleri ve bireylerin haklarını aktarmaya çalışacağım. Hukukçu değilim, GDPR’deki maddeleri layıkıyla aktaramayabilirim. Ama en azından yazıyı tamamladığınızda BBC’de GDPR hakkındaki bilginizi test eden sınavdan (https://www.bbc.com/news/technology-44224802) iyi bir not alabileceğinizin garantisini verebilirim :).

GDPR, kişisel verilerin şirketler, devlet kuruluşları ve diğer örgütler tarafından nasıl işlenebileceğini düzenliyor. ‘Kişisel verinin’ ve ‘işleme’nin (processing) GDPR’de nasıl tanımlandığı önemli bir konu. 4. maddeye göre kişisel verinin tanımı şöyle: “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi”. Bu tanıma göre ad, soyad, doğum tarihi, pasaport numarası, banka hesapları, bireye ait görüntü kayıtları, sosyal ağdaki postalar, sağlık kayıtları, ip adresi gibi veriler GDPR kapsamında değerlendiriliyor. İşleme faaliyeti (processing) ise yine aynı maddede verinin çok çeşitli kullanımlarını içerecek biçimde açıklanıyor: “otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri kümeleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisi”.

5. Maddede GDPR’nin aşağıdaki yedi temel ilke üzerine kurulu olduğu belirtiliyor:

  1.  Hukuka uygunluk, adalet ve şeffaflık
  2.  Amacın sınırlandırılması
  3.  Verilerin en az seviyeye indirilmesi
  4.  Doğruluk
  5.  Saklama süresinin sınırlandırılması
  6.  Bütünlük ve gizlilik (güvenlik)
  7.  Hesap verebilirlik

Hukuka Uygunluk, Adalet ve Şeffaflık

GDPR’de yer alan bu ilkeler aslında birbirini destekleyen iç içe geçmiş ilkelerdir. Hukuka uygunluk, GDPR’nin 6. maddesinde ayrıntılı olarak açıklanmakta ve veri işlemenin hukuka uygun olabilmesi için aşağıdaki durumlardan en az birini sağlaması gerekmektedir:

  • Kişinin belirli bir (veya daha fazla) amaç için verilerinin işlenmesine izin vermesi (Rıza),
  • Veri öznesinin taraflarından biri olduğu bir sözleşmenin yerine getirilmesi için gerekli olması (Sözleşme),
  • Yasalara uyum için gerçekleştirilmesi (Yasal Zorunluluk),
  • Veri öznesi ya da bir başka gerçek kişinin hayatını korumak için olması (Yaşamsal Çıkarlar),
  • Kamu çıkarları doğrultusunda bir görevin yerine getirilmesi için gerekli olması (Kamu Görevi),
  • Veri kontrolörünün veya üçüncü tarafların (bireyin kişisel verilerini korumak için daha geçerli bir nedenin olmadığı durumlarda) meşru çıkarlarının olması (Meşru Çıkarlar)

Adaletlilik ise kişisel verinin insanların beklentileri doğrultusunda kullanılmasıdır. Kişisel verilerden yararlanan kuruluş bunu yapmaya hakkı olup olmadığını da dikkate almalıdır. Bu bağlamda, kişisel verilerin nasıl elde edildiği adaletliliğin değerlendirmesinde önemli bir parametredir. Şeffaflık da bununla ilişkilidir. Veriyi işleyenler en başından itibaren kim oldukları, verileri nasıl ve hangi amaçla kullanacakları hakkında dürüst olmalı, hedeflerini açık ve yalın bir dille ifade etmelidir.

Amacın Sınırlandırılması

Veriyi toplayan ve işlem için bireyin rızasını alan kuruluş, veri toplarken açıkladığı amacına sadık kalmalıdır. Veri işleme süreci içinde ilk baştakinden farklı bir amaç ortaya çıkmışsa bireyin bunun için de rızasının alınması gerekmektedir. Örneğin bir doktorun hasta listesini seyahat acentesi işleten eşiyle paylaşması ve eşinin bu verileri hastalara tatil paketi satmak için kullanması GDPR’nin bu ilkesine aykırı bir durumdur.

Verilerin En Az Seviyeye İndirilmesi

Kuruluşların verdikleri hizmetin işleyişi için gerekli olmayan bir veriyi bireylerden paylaşmalarını istememesi gerektiğini ifade etmektedir. İşlenen veri, yeterli, yerinde ve gerekli olanla sınırlı olmalıdır. EFF (Electronic Frontier Foundation) yöneticisi Danny O’Brien bu durumu açıklamak içim doğum günü pastası örneğini veriyor. Diyelim ki doğum günü pastaları yapan bir şirket pastanın üzerine adınızı yazmak için adınızı istedi. Bunun gerekli olduğunu düşünmüyorsanız adınızı vermeyi reddedebilirsiniz. GDPR’ye göre bu ret, şirketten pasta hizmetini almanızı engelleyebilecek bir durum değildir. Pasta şirketi, “adınızı söylemediğiniz için size pasta satamıyorum” diyemez. GDPR, artık kanıksanan, “alınan hizmete karşılık kişisel veriler” zorlamasının önüne geçecek ve şirketleri, iş modellerinde değişiklik yapmaya zorlayacak gibi görünüyor. Örneğin, doğum tarihi, bir web sitesinden alınan hizmetin verilmesi için gerekli değilse kullanıcı bunu girmeye zorlanamayacak ve kullanıcı “bu bilgiyi vermiyorsan hizmetlerimden yararlanamazsın” denilerek reddedilemeyecek (https://www.nytimes.com/2018/05/23/technology/personaltech/what-you-should-look-for-europe-data-law.html).

Doğruluk

Verinin işlenme amacı göz önünde bulundurularak güncel ve doğru tutulması ile ilgilidir. ICO’nun işaret ettiği gibi GDPR’de doğrunun (accurate) ne olduğu tanımlanmamıştır. Ancak 2018 Veri Koruma Kanunu’na göre doğru olmayan (inaccurate), yanlış veya bir konuda yanıltıcı olan anlamına gelmektedir. Verinin kullanılış amacı da doğruluğunu etkileyen bir parametredir. Buna göre herhangi bir kişisel kaydın zaman içinde değişmesi, ilgili kayıt tarihsel bir kayıt olarak değerlendirildiği sürece kaydın doğruluğunu etkilemez. Örneğin kişi Ankara’dan İstanbul’a taşınmışsa kişinin şu an Ankara’da yaşadığını belirten kayıt doğru değildir ama kişinin belirli bir zamanda Ankara’da yaşadığı doğrudur. Bunun yanında GDPR’nin doğruluk ilkesi doğrultusundaki en önemli adımı bireylere haklarındaki yanlışlığı düzeltme hakkı sunmasıdır.

Saklama Süresinin Sınırlandırılması

Veri toplayan kuruluşlar gereğinden fazla veri sakladıkları gibi topladıkları veriyi hiç silmemeye eğilimlidir. GDPR’de ise artık gerek duyulmayan kişisel verinin yalnız işlenme amaçlarının gerektirdiği sürece saklanması gerektiği belirtilmektedir. “Bir gün belki gerek olur” diye veri istiflenmemelidir. Kişiler artık gerek duyulmayan verilerinin silinmesini talep edebilirler. Ancak kişisel veri anonimleştirildiğinde silme işlemine gerek kalmayabilir. Ayrıca veri, kamu yararı için arşivleniyor, bilimsel ve tarihsel araştırmalar veya istatistiksel amaçlar için tutuluyorsa bu ilke gevşetilebilmektedir. Ancak bu amaçlar için saklanan veri, daha sonra başka amaçlar için kullanılmamalıdır.

Bütünlük ve gizlilik

Saklanan verilerin güvenliği ile ilgilidir. GDPR’ye göre veri “uygun teknik ve düzenlemeye ilişkin tedbirler” göz önünde bulundurularak güvenli biçimde işlenmelidir. Bu bağlamda, GDPR önceki kişisel veri koruma kanunlarını takip etmektedir. Fakat GDPR farklı olarak veri işlemenin güvenliği, ne yapılması gerektiği, enformasyon risklerinin nasıl değerlendirileceği ve uygun güvenlik önlemlerinin uygulanması hakkında daha ayrıntılı bir yaklaşım içermektedir. Ayrıca daha önceki düzenlemelerde genel olarak iyi ve en iyi pratikler önerilirken şimdi bunlar yasal gereklilik haline gelmiştir.

Kişisel verilerin, bilgisayar korsanlarının hedefinde olması kaçınılmazdır. GDPR, saldırılara ve sızıntılara karşı kullanıcıların kişisel verilerini depolayanlara çeşitli sorumluluklar yüklemektedir. GDPR’nin 33. ve 34. maddelerinde, bu tip durumlara karşı ve veri ihlali sonrasında neler yapılması gerektiği yazmaktadır. Hiçbir şey olmamış gibi olayın üzerini örtmek yerine ihlalin etkilerini en az düzeye indirmek için veriyi işleyenlerin “ihlalden haberdar olduktan itibaren en geç 72 saat içerisinde, kişisel veri ihlalini” yetkili makamlara bildirmeleri gerekmektedir.

Hesap Verebilirlik

Tanımlar bölümünde yer alan ‘kontrolör’ (controller) ve ‘işleyici’ (processor) tanımları da kuruluşların sorumluluklarını tariflemek açısından önemlidir. Kontrolör, “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ”, işleyici ise “kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlanmaktadır.

Yukarıdaki altı ilke kontrolörlere verilmiş öğütler değildir; yine 5. maddede kontrolörlerin bu ilkelere uygun davranmaları ve bunu göstermek zorunda oldukları yazmaktadır. 1998 Kanunu’nda bu sorumluluklar üstü kapalı olmasına karşın GDPR’de açık seçik belirtilmektedir. 24. Maddede, “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.” denilmektedir. Ayrıca Akıncı’nın (2017) yazdığı gibi,

GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır.

GDPR ve Haklar

GDPR, bireylerin var olan haklarını genişletiyor ve onlara yeni haklar sağlıyor: Bilgilendirilme hakkı (right to be informed), erişim hakkı (right of access), düzeltme hakkı (right to rectification), silme hakkı (right to erasure), işleme faaliyetini kısıtlama hakkı (right to restrict processing), veri taşınabilirliği hakkı (right to data portability), itiraz hakkı (right to object), profilleme de dahil olmak üzere otomatik işlemelere ilişkin haklar (Rights related to automated decision making including profiling).

Bu hakların AB sınırları dışında yaşayan bizler için bir anlam ifade etmediği düşünülebilir. Ama bu haklar iki açıdan önemlidir. Birincisi, şirketlerin interneti sınırlara göre bölmesi zor olacağından çoğu şirket tüm kullanıcılar için geçerli tek bir mahremiyet politikası oluşturmayı tercih etti. Microsoft (https://www.microsoft.com/en-us/servicesagreement/faq.aspx), Twitter (https://help.twitter.com/en/rules-and-policies/update-privacy-policy), Facebook (https://newsroom.fb.com/news/2018/04/terms-and-data-policy/), LinkedIn (https://blog.linkedin.com/2018/march/8/updates-to-our-terms-of-service) ve Google (https://www.blog.google/topics/public-policy/our-preparations-europes-new-data-protection-law/) GDPR’yle uyumluluk doğrultusunda kişisel veriler hakkındaki politikalarını güncellediklerini duyurdular. Bu güncellemelerden biz de yararlanıyoruz. Fakat bu hakların ihlali durumunda ülkemizde kişisel veriler GDPR ile değil 24/03/2016 tarihinde TBMM Genel Kurulu’nda kabul edilen “6698 sayılı Kişisel Verilerin Korunması Kanunu” ile korunduğundan GDPR’de belirtilen bazı haklardan yararlanamayacağız. GDPR’nin ikinci önemi de tam bu noktada ortaya çıkıyor. GDPR’de belirtilen haklar kişisel veriler hakkındaki ufkumuzu genişletiyor ve 6698 sayılı Kanunu’nun ilerletilebileceğini ve ilerletilmesi gerektiğini gösteriyor.

Bilgilendirilme Hakkı

GDPR’nin 12-14. maddelerinde yer alan bilgilendirilme hakkı, şeffaflık ilkesiyle ilişkilidir ve kişilere verileriyle ne yapıldığı hakkında bilgi vermeyi zorunlu kılmaktadır. Kontrolörler ve işleyiciler şimdiye kadar yaptıkları gibi karmaşık ve hukukçu olmayanların anlamakta zorlandığı bir üslupla yazılmış, araya tuzak maddeler sıkıştırılmış gizlilik metinleriyle bireylerin karşısına çıkamayacaklar. Artık bu bilgiyi açık, anlaşılabilir ve kolay erişilebilir bir biçimde sunmaları gerekiyor.

Eğer kontrolör, kişisel verileri satmak veya başka bir kuruluşla paylaşmak istiyorsa (istisnai bir durum yoksa) insanları bunun hakkında bilgilendirmelidir. Verileri alan kuruluş da bir ayı aşmadan gizlilik politikasını verileri toplanan bireylere iletmelidir. Eğer veri, toplanırken belirtilenden farklı bir amaç için kullanılacaksa ya da farklı kaynaklarda yer alan verilerle birleştirilecekse bunun mutlaka bildirilmesi gerekmektedir. Kişisel verilere YZ (yapay zeka) uygulanacaksa YZ’nin kullanım amaçları hakkında dürüst olunması, işleme sürecinde amacın değişmesi durumunda kişilerin bu amaç değişikliği hakkında bilgilendirilmeleri gerekmektedir. YZ, bireyler üzerinde hukuki veya benzer etkileri olabilecek otomatik karar verme süreçlerinde kullanılacaksa bunun için hangi enformasyonun kullanıldığı, yapılan işlemle neden ilgili olduğu ve olası etkilerinin nasıl olacağı açıklanmalıdır.

Bireyler bu haklardan yararlanmak için ek bir ödeme yapmazlar. Ama taleplerin asılsız ve ölçüsüz olduğu durumlarda kontrolör makul bir ücret talep edebilir ya da talebi tamamen reddedebilir. Kontrolör, talebin asılsızlığını ve ölçüsüzlüğünü göstermekle yükümlüdür.

Erişim Hakkı

GDPR’nin 15. maddesi veri sahibine kişisel verilerinin bir kopyasına ulaşabilme, verilerinin nasıl ve neden kullanıldığını anlayabilme ve yapılanların yasal olup olmadığını kontrol edebilme hakkı sağlamaktadır. Bu maddeye göre bireyler, kişisel verilerinin işlenip işlenmediğinin teyidini ve kişisel verilerinin bir kopyasını talep edebilirler. Kontrolörler ve işleyiciler ayrıca aşağıdaki konulardaki taleplere yanıt vermelidir:

  •  işleme amaçları
  • ilgili kişisel veri kategorileri
  • kişisel verilerin açıklandığı veya açıklanacağı alıcılar veya alıcı kategorileri
  • kişisel verilerin saklanması açısından öngörülen süre veya bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler
  •  bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.

Bireylere bu kapsamda sağlanan bilginin özlü, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dilde olması gerekmektedir. Örneğin, bireyin talebi üzerine gönderilen raporda A, B, C gibi kodlar kullanılmışsa bunların karşılığı raporda açıklanmalıdır.

Örneğin Twitter’a bu hak doğrultusunda eklenen bir sayfa var (“Ayarlar ve Gizlilik”e tıklandıktan sonra açılan sayfanın sol tarafındaki menüde yer alan “Twitter Verilerin” adlı bağlantıya tıklanarak erişilebilir). “Twitter Verilerin” başlıklı sayfanın başında kullanıcı hesabı hakkında kullanıcı adı, e-posta, hesap oluşturulma tarihi gibi temel bilgiler var. Twitter’a cinsiyetinizi veya doğum tarihinizi yazmadıysanız Twitter paylaşım ve takipleriniz doğrultusunda istatistiksel tahminlerde bulunarak sizi profilliyor. Örneğin, benim hesabımda cinsiyet kısmında erkek yazıyor ve altında da şu not var: “Cinsiyet eklemediysen, profiline ve etkinliğine dayanarak hesabınla en güçlü ilişkiye sahip bilginin bu olduğunu bilmeni isteriz. Bu bilgi herkese gösterilmeyecektir.” Yaş bölümünde, “13-54, >65” yazıyor ve altına da “bu yaş aralıkları, deneyimini kişiselleştirmek için kullanılır. Bunlar profiline ve etkinliklerine dayalıdır” notu düşülmüş. Doğru değilse profilimde düzeltebileceğim belirtiliyor. Cinsiyet ve yaş bilgisinin yanında “Twitter’a göre belirlenen ilgi alanları”m da profillenmiş ve 105 ilgi alanım olduğu belirtilmekte. Yine aynı sayfanın sonunda, “Twitter verilerini indir” başlığının altında şunlar yazmakta: “Senin için en uygun ve en yararlı olduğuna inandığımız bilgileri içeren bir dosya isteyebilirsin. İndirilmeye hazır olduğunda bildirim alırsın”. Bu bilgiler birkaç saat içinde hazırlandıktan sonra tüm Twitter geçmişinizi indirebiliyorsunuz.

GDPR’ye uyum için kullanıcıların kişisel verilerini toplayan web siteleri Twitter’daki gibi açıklayıcı sayfalar yapmak ve kullanıcıların kişisel verileri nasıl kullandıklarını açıklamak zorundalar.

Düzeltme hakkı

GDPR’nin 16. maddesine göre bireyler haklarındaki yanlış bilgilerin düzeltilmesini veya eksik bilgilerin tamamlanmasını talep edebilirler. Bu hak, 5. maddede belirtilen doğruluk ilkesiyle ilişkilidir. Örneğin, doktor hastaya bir teşhis koydu. Daha sonra bu teşhisin yanlış olduğu ortaya çıktı. Yanlış teşhisin veritabanında yer almasında bir sorun yoktur. Ama teşhisin yanlış olduğu ortaya çıktıktan sonra, teşhisin yanlış olduğu bilgisi de girilmelidir. Hastanın bu düzeltmeyi talep etme hakkı vardır. Ayrıca hastane, hastanın verisini paylaştığı diğer kuruluşlara da bu düzeltme talebini iletmelidir.

Silme Hakkı

Bireyler düzeltmenin yanında, kişisel verilerinin tamamen silinmesini de talep edebilir. Bu hak, unutulma hakkı olarak da bilinmektedir. Unutulma hakkı, yeni değildir; en azından 1974’te İngiltere’deki Suçluların Rehabilitasyonu Yasası’na kadar geriye gitmek mümkündür. Bu hakka göre kişi geçmişteki bir suçunun cezasını çektikten sonra sabıkası yaşamının geri kalanını etkileyecek biçimde (örneğin iş başvurularında) tekrar tekrar karşısına çıkmamalıdır. Unutulma hakkı, internetle beraber yeni bir boyut kazanır. 2014 yılında İspanya vatandaşı Mario Costeja Gonzalez’in Google İspanya ve Google Inc. şirketine karşı açtığı dava unutulma hakkında önemli bir kilometre taşı olur. Gonzalez, 1998 yılında bir gazetede yapılan habere ilişkin kısayolun arama motoru sonuçlarından kaldırılmasını talep etmektedir. Mahkeme arama motorlarını veri kontrolörü olarak değerlendirir ve Gonzalez’in talebini kabul eder.

Unutulma hakkının temelinde, kişilerin kendi gelecekleri hakkında özerk olması ve geçmişte yaptıklarının bunu olumsuz etkilememesi vardır. Daha öncesinde de bu hakkı tanıyan mahkeme kararları olmuştur. Fakat GDPR, bireylerin kendilerine ait kişisel verileri kontrol edebilme hakkı doğrultusunda (belirli koşullar altında) söz konusu verilerin veritabanlarından tamamen silinmesini de talep edebileceğini güvence altına alan bir hukuki düzenleme getirmektedir. 17. maddede bu hakkın hangi koşullarda geçersiz olabileceği açıklanmaktadır.

İşleme Faaliyetini Kısıtlama Hakkı

18. ve 19. maddelerde bireylerin verilerinin tamamen silinmesi yerine veri işleme faaliyetinin kısıtlanmasını da talep edebileceği ve bunun hangi koşullarda geçerli olduğu belirtilmektedir. İşleme faaliyetinin kısıtlandığı durumlarda veri saklanır ama kullanılmaz. Kısıtlama çoğunlukla belirli bir süre içindir. Örneğin, “kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi halinde, kontrolörün kişisel verilerin doğruluğunu teyit etmesini sağlayan bir süre boyunca” işleme faaliyeti kısıtlanabilir. Kişinin rızası, diğer şahısların hakları, yasal gerekçeler ve kamu çıkarları dışında veri sadece saklanabilir; başka bir işleme faaliyetinin içine giremez. Kontrolör, verinin işleme faaliyetini kısıtlamak istediğinde bunu,

  • veriyi geçici olarak bir başka işleme sistemine taşıyarak
  • veriyi kullanıcılar için kullanım dışı yaparak
  •  yayınlanmış bir veriyi web sitesinden çıkararak

yapabilir.

Veri Taşınabilirliği Hakkı

Özel mülkiyetli platformlardaki en büyük sorunlardan biri de verilerin bu platformların sınırları dışına çıkamamasıdır. GDPR’nin 20. maddesi bu sorunun aşılabilmesi için önemli bir adım atmaktadır. 20. maddeye göre, “veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı” ve “kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı” bulunur.

Web sitesi kullanım tarihçesi veya arama etkinlikleri, trafik ve konum verisi, akıllı sayaçlar ve giyilebilir teknolojiler gibi bağlı cihazlardan elde edilen ham veriler bir platformdan diğerine taşınabilir. Ancak bu verilerden türetilen veya çıkarılan veriler taşınabilirlik kapsamında değildir.

Veri taşınabilirliği hakkı, platform değiştirmenin zorluğundan yararlanarak rekabeti engelleyen Facebook, Uber, Airbnb gibi şirketlerin iş modelini sarsabilir.

İtiraz Hakkı

21. maddeye göre bireyler, kişisel verilerinin işlenmesine itiraz edebilirler. İtiraz hakkı her koşulda aynı derecede geçerliliğe sahip değildir. Örneğin veri sahibinin, doğrudan pazarlama amacıyla yapılan işleme faaliyetine itiraz hakkı mutlaktır. Bireyler, veri toplamanın amacının kamu çıkarları veya daha başka meşru çıkarlar olması durumunda da itiraz hakkına sahiptir. Ama bu durumda itirazın gücü daha zayıftır. Ayrıca verinin işlenme amacı bilimsel veya tarihsel araştırmalar, istatistiksel amaçlar ise itiraz hakkı daha sınırlı olacaktır.

Profilleme de Dahil Olmak Üzere Otomatik İşlemelere İlişkin Haklar
Veriyi düzeltme, silme veya işlenmesine itiraz gibi haklar son derece önemli olmakla beraber gündelik yaşamın algoritmik düzenlenmesi ayrıca üzerinde durulması gereken bir konudur. Yasal düzenlemeler doğal olarak teknik gelişmelerden sonra gelirler. Buna rağmen GDPR’nin güncel olduğunu, henüz yeni yeni filizlenen ve müdahale edilmediğinde çeşitli toplumsal sorunlara neden olan algoritmik düzenlemelere karşı kritik bir adım olduğunu düşünüyorum. Bireyleri profilleyen (kişisel verileri, bireyler hakkında bazı değerlendirmeler yapmak için değerlendiren) ve otomatik kararlar alan (insan müdahalesi olmaksızın çeşitli algoritmalara göre alınan kararlar) sistemler karşısında bireylerin hakları önemli bir sorunsaldır. Kredi taleplerinde, iş başvurularında, sigortacılıkta profillemeden ve otomatik kararlar alan algoritmik sistemlerden yararlanılmaktadır. Bu yaklaşımın çeşitli avantajları olmasına karşın Cathy O’Neil’in Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy kitabında ayrıntılı olarak ele aldığı ve benim de 4. Endüstri Devrimi ve toplum mühendisliği yöntemleri: Nasıl yönlendiriliyoruz? (Bilim ve Gelecek, sayı 166) başlıklı yazımda bazı örneklerini aktardığım gibi bu sistemler sorumsuzca kullanıldığında yıkıcı sonuçlar doğuruyorlar.

Bu nedenle bireylerin algoritmik düzenlemelere karşı haklarını ifade eden 22. maddenin özel bir önemi var. Fakat Dickson’un (2018) işaret ettiği gibi verinin günümüzdeki bir çok yapay zeka uygulamasının temeli olduğu düşünülürse yalnız 22. maddenin değil genel olarak GDPR’nin YZ üzerinde yükselmeye başlayan iş modellerini olumsuz etkilemesi kaçınılmazdır. YZ şirketleri şimdiye kadar kişisel veriler hakkındaki zayıf düzenlemelerden sonuna kadar yararlandılar. Kullanıcılar aldıkları ücretsiz hizmetlerin karşılığını kişisel verileriyle ödediler. Şirketler bu verileri YZ algoritmalarını eğitmek, kullanıcılarının dijital profillerini oluşturmak, davranışlarını tahmin etmek ve daha iyi hizmet sağlamak için kullandılar. Böylece milyar dolarlar kazandılar.

Dickson (2018) yeni koşulların YZ şirketlerine üstesinden gelinemeyecek bir sorun yaratmadığını öne sürmektedir. YZ şirketleri bir yandan insanların mahremiyet hakkına saygı gösterirken diğer yandan YZ teknolojilerini geliştirmenin yeni yollarını bulmak zorundalar. GDPR oyunun kurallarını değiştiriyor. Şirketler çalışmalarında şeffaf olmalılar ve kendi verisine ulaşmak ya da onu tamamen silmek isteyenlerin taleplerine kulak vermeliler. Dickson (2018), bu yeni durumun şirketler için iki temel zorluk içerdiğini düşünüyor. Birincisi şirketler, kişiler platformlarından ayrılsalar bile ayrılan kişilerin verilerini diğer kullanıcıların davranış örüntülerini tahmin etmek için kullandıklarından silmek istemezler. Ama şimdi bu verileri ya silmek ya da anonimleştirmek zorunda kalacaklar. Ayrıca silinmek istenen veri şirketin YZ algoritmalarını eğitmek için üçüncü taraflarla da paylaşılmaktaydı. Şimdi bu verilerin de izini sürmek gerekecek.

Dickson’un (2018) işaret ettiği ikinci zorluk ise kullanıcılar bu algoritmaların işlevselliğine maruz kaldıklarında bunun hakkında bilgilendirilmelerinin gerekmesi. Ayrıca algoritmik kararların arkasındaki mantığın da açıklanması lazım. Bilgilendirme işlemi kolay olmasına karşın algoritmaların mantığının açıklanmasına karşı şirketler bunun ticari sırları olduğunu öne sürebilirler ya da isteseler de algoritmaların nasıl çalıştığını açıklayamayabilirler. Çünkü bazen kara kutu (blackbox) olarak adlandırılan derin öğrenme ve derin sinir ağlarının davranışlarını açıklayabilmek onları inşa edenler için bile karmaşık ve kimi zaman da olanaksızdır. YZ, sağlık, hukuk, krediler ve eğitim gibi alanlara uygulandığında kara kutu sorunu daha ciddi olumsuzluklara neden olmaktadır. Artık bireyler, insanların yaşamı üzerinde büyük etkileri olan algoritmik kararların nasıl alındığına dair açık seçik bir açıklama talep etme hakkına sahip olacaklarından yıkıcı YZ uygulamaları kontrolsüz bir biçimde yaygınlaşamayacak.

YZ şirketlerinin insanların açık rızası olmadan topladığı ve işlediği veriler üzerine kurulu iş modelleri GDPR’yle başlayan yeni dönemde devam edemeyecek. Bundan sonra GDPR’nin (çağımızın sihirli kelimesi) inovasyonların ortaya çıkmasını engellediği hakkında haberler okumaya hazırlıklı olalım. Ama Dickson’un (2018) vurguladığı gibi YZ şirketlerinin halihazırdaki çalışma tarzları alternatifsiz değildir. İnsanlara verilerinin nasıl kullanıldığı hakkında açıklamada bulunabilen şeffaf çözümler mümkündür. Şeffaflığı ve katılım kolaylığını savunan ademi merkeziyetçi YZ (https://bdtechtalks.com/2018/01/10/decentralized-ai-blockchain/) ve insanların anlayabileceği yapay zeka algoritmaları geliştirmeyi hedefleyen açıklanabilir YZ (https://en.0wikipedia.org/wiki/Explainable_Artificial_Intelligence) gibi farklı seçenekler oluşmaktadır.

GDPR’den eMahremiyet’e

Türkiye’de kullanıcıların kişisel verilerini koruyan “6698 sayılı Kişisel Verilerin Korunması Kanunu”nun hazırlanışı sırasında o zaman yürürlükte olmayan GDPR’den değil, 95/46 sayılı Direktif’ten yararlanıldı. GDPR’nin “sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirdiğini” belirten ve “başta veri işleyen tarafların artırılmış sorumluluk rejimi, unutulma hakkının kanunla tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması yoluyla caydırıcılığın güçlendirilmesi olmak üzere veri taşınabilirliği ve etki değerlendirmesi ile tasarımdan itibaren güvenlik gibi yenilikçi yaklaşımların 6698 sayılı Kanun’a ve uygulamaya yansıtılmasının faydalı olacağı”nı savunan Akıncı’ya (2017) katılıyorum. GDPR yeni haklar için de bir ilham kaynağı olacaktır.

GDPR benzeri yasalar Avrupa’yla sınırlı kalmayacak gibi görünüyor. Brezilya, Japonya, İsrail ve Güney Kore, AB’yi takip ediyorlar ve daha şimdiden benzer kanunlar hazırladılar. Avrupalı yetkililer de Silikon Vadisi’nin ancak birleşik küresel bir yaklaşımla engellenebileceğini düşündüklerinden dolayı GDPR’nin diğer devletler tarafından kopyalanmasını teşvik eden bir çalışma yürütüyorlar. AB, teknoloji devlerine daha sıkı antitröst yasaları ve vergi politikalarıyla karşı koymaya hazırlanıyor (https://www.nytimes.com/2018/05/24/technology/europe-gdpr-privacy.html).

GDPR kişisel verilerin izinsiz ve şeffaf olmayan biçimlerde kullanımından kaynaklı sorunları hemencecik çözemeyecek; kişisel verileri GDPR’ye aykırı biçimlerde kullanmak isteyenler yine olacaktır. Ama cezaların caydırıcılığı birçok kötü niyetli girişimi durduracak ve daha önce olduğu gibi yasal boşluktan yararlananlar eskisi gibi rahat hareket edemeyecekler. Üstelik Avrupa, GDPR’den sonra eMahremiyet Tüzüğü ile yeni bir hamle yapma hazırlığında. eMahremiyet iletişimin gizliliğini koruyor ve GDPR’ye göre daha sıkı kurallar getiriyor. eMahremiyet, Avrupa Parlamentosu’nda kabul edildi ve AB Konseyi’nde görüşmeler devam ediyor.

GDPR ve eMahremiyet birbirini tamamlayan yasalar olmasına karşın kapsamları farklı. GDPR şirketlerin ve kuruluşların işlediği kişisel veriler hakkındayken eMahremiyet Direktifi’nin devamı olan eMahremiyet Tüzüğü’nün hedefi elektronik iletişimin gizliliğini korumak. eMahremiyet Tüzüğü, WhatsApp, Facebook Messenger, Skype, iMessage ve video oyunlarında oyuncular arası mesajlaşmalar gibi kişiler arası iletişimin yanında nesnelerin interneti (IoT) cihazlarını da kapsıyor. İletişime ait üstveriyi (metadata) koruma altına alıyor. eMahremiyet’e göre şirketler kullanıcıların cihazlarına takip kodu yerleştirmeden veya iletişim verilerini toplamadan önce açık izinlerini almak zorunda kalacak. Birkaç yıl önce GDPR’yi engellemeye çalışan şirketler şimdi de eMahremiyet’e karşı yoğun kulis faaliyeti yürütüyorlar ve eMahremiyet’in Avrupa’nın dijital ekonomisinin gelişimini baltalayacağını öne sürerek yasaya karşı bir kamuoyu oluşturmaya çalışıyorlar. Bu şirketlere göre internet kararacak, bağımsız medya ve dijital büyüme yenilgiye uğrayacak (https://www.nytimes.com/2018/05/27/technology/europe-eprivacy-regulation-battle.html).

eMahremiyet yasa taslağını sunan AP üyesi Birgit Sippel, Cambridge Analytica skandalını hatırlatarak bir tıkla, yüz binlerce veya milyonlarca insanın yönlendirilebildiğini (manipulate), bu nedenle mahremiyetin korunmasının özellikle dijital ortamda daha önemli hâle geldiğini savunuyor. Ayrıca Sippel’in oylama öncesinde Avrupa Parlamentosu’nda yaptığı konuşmada ifade ettiği gibi lobicilerin yaydığı yalanların aksine yasanın temel amacı, iletişim verilerinin kontrolünü kullanıcılara geri vermek ve dijital ortamda iletişimin gizliliğini sağlamak. eMahremiyet, her türlü reklamı değil gözetim odaklı reklamı kısıtlıyor ve kullanıcı izlenmeyi kabul ettiğinde bu kısıtlama da ortadan kalkıyor. Şirketlerin telaşının asıl nedeni kullanıcının haberi olmadan yapılan gözetimin artık yasadışı olması.

GDPR ve eMahremiyet, Avrupa’nın insanlığın karşı karşıya olduğu tehlikenin farkında olduğunu gösteriyor. Bu farkındalıkta ekonomik çıkarlarının da etkisi var. Lobi faaliyetlerinin arkasındaki güçler hemen pes etmeyecektir. 26 Ekim 2017’de Avrupa Parlamentosu’nda yapılan oylamada 318 kişi eMahremiyetin lehinde, 280 kişi de aleyhinde oy kullandı; fark azdı. Şirketler politikacıları, mahremiyetin çağımızda gereksiz olduğuna ve eMahremiyet’in daha iyi hizmet verebilmelerini engellediğine ikna etmeye çalışacaktır.

Her şeye rağmen mahremiyetin büyük veri, YZ, nesnelerin interneti gibi güncel teknolojiler ışığında tartışılması ve güçlü yasaların hazırlanması umut verici bir gelişme. GDPR’nin ve AB Konseyi’nden geçerse eMahremiyet’in ne kadar etkili olacağını insanların bu haklarına ne kadar sahip çıktıkları belirleyecek.

Kaynaklar

Akıncı, A. N. (2017), Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler Ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Yayın No: 2968

Dickson, B. (2018), GDPR is an opportunity for AI companies to build trust, https://thenextweb.com/syndication/2018/06/08/gdpr-is-an-opportunity-for-ai-companies-to-build-trust/, son erişim 14 Haziran 2018

 

17 Ekim 2018

Posted In: Algoritmalar, eMahremiyet, GDPR, Gözetim, Kişisel Veriler, Mahremiyet, Özgür yazılım

WP Twitter Auto Publish Powered By : XYZScripts.com