Amerika Apple’dan iPhone Şifrelerini Kıracak Anahtar İstedi >> Tim Cook Halka Şikayet Etti
|Bu hafta Anoymous’un Emniyet Genel Müdürlüğü’ne siber saldırı düzenleyerek T.C. vatandaşlarının adres ve kimlik bilgilerini çaldığı haberleri basında yer aldı. Hemen ardından, TBMM kişisel verilerin korunması kanununu görüşmeye başladı.
Bu arada ABD Adalet Bakanlığı da Apple’dan tüm iPhone şifrelerini kıracak bir güvenlik açığı eklemesini istedi. Belli ki herkes kişisel bilgilerimizin peşinde! Peki ne istiyorlar ve biz kendimizi, ailemizi ve çocuklarımızı özel hayatımızı gözetlemek isteyenlerden nasıl koruyabiliriz?
iPhone üreticisi çok endişeli
Bu üç konu birbiriyle alakalı; çünkü kişisel bilgileriniz çalınırsa sizin adınıza kredi kartı ve sahte kimlik cüzdanı çıkarıp suç işleyebilirler, adresinizi bulup ailenize musallat olabilirler. Bu tehlikeleri bizzat Apple CEO’su Tim Cook’tan dinleyeceğiz. Konumuz detaylı, bu yüzden önce özet geçelim:
- İlk bölümde Tim Cook’un Amerika’yı halka şikayet eden mesajının çevirisini yayınlıyoruz.
- Ardından Türkiye’de kişisel bilgilerinin nasıl çalındığını ve neden çalındığını anlatıyoruz.
- Üçüncü bölümde ise yeni kişisel verileri koruma yasasının banka kartı gibi kişisel bilgilerimizi gerçekten koruyup koruyamayacağını ele alıyoruz.
İlgili yazı: İnternette teknik takip ve gözetimi önleme rehberi
Müşterilerimize mesaj1
ABD hükümeti daha önce görülmemiş bir şekilde, Apple’ın müşterilerimizin güvenliğini tehdit edecek bir adım atmasını istedi. Bu mahkeme emrine karşı çıkıyoruz, çünkü kararla ilgili davanın çok ötesinde sonuçları var.
Şu anda konuyu tartışılması için halka taşımamız gerekiyor ve müşterilerimizle ülkemizdeki diğer insanların neyin tehlikede olduğunu anlamasını istiyoruz.
Şifreleme ihtiyacı
iPhone’un liderlik ettiği akıllı telefonlar hayatımızın ayrılmaz bir parçası oldu. İnsanlar bunları büyük miktarda kişisel bilgi depolamak için kullanıyor. Bunun içinde özel yazışmalarımızdan fotoğraflarımıza, dinlediğimiz müziklerden notlarımıza, takvimlerimiz ve telefon rehberimizden finansal bilgilerimize, sağlık verilerimize ve hatta nereye gittiğimiz ile nereye gideceğimize dair her şey var.
Bütün bu bilgilerin bunlara erişmek isteyen, bunları çalmak isteyen ve bilgimiz veya iznimiz olmadan kullanmak isteyen hackerlarla suçlulardan korunması gerekiyor. Müşteriler Apple ve diğer teknoloji şirketlerinden kişisel bilgilerini korumak için elimizden geleni yapmamızı istiyor. Apple da onların verilerini korumaya kendini adamış bulunuyor.
İlgili yazı: İnternet Özel Hayatı Nasıl Yok Etti? >> 50 Resimle Gizliliğin Doğumu ve Ölümü
[Amaç müşteri güvenliğini sağlamak]
Kişisel bilgilerimizin ele geçirilmesi nihayetinde kişisel güvenliğimizi riske atabilir. Bu yüzden veri şifreleme hepimiz için çok önemli bir konu oldu.
Yıllardır müşterilerimizin kişisel verilerini korumak için şifreleme kullanıyoruz, çünkü bilgilerinin güvenliğini sağlamanın tek yolunun bu olduğunu düşünüyoruz. Hatta veriyi kendimizin bile ulaşamayacağı bir yere koyduk, çünkü iPhone’unuzun içindekileri bilmenin haddimiz olmadığına inanıyoruz.
İlgili yazı: İnternetinizi uçuracak 10 modem
San Bernardino davası
Aralık ayında San Bernardino’da yaşanan ve ölümle sonuçlanan terörizm olayı [teröristin IŞİD üyesi olduğu söyleniyor] bizi şok etti ve infial uyandırdı. İnsanların hayatını kaybetmiş olmasına üzülüyor ve hayatı bundan etkilenenler için adalet istiyoruz.
FBI saldırıyı izleyen günlerde bizden yardım istedi ve biz de hükümetin bu korkunç suçu aydınlatma çabalarını desteklemek için çok çalıştık. Teröristlere sempati duymuyoruz.
FBI elimizdeki verileri istediği zaman bunları verdik. Apple geçerli mahkeme kararları ve arama emirlerine uymaktadır ve San Bernardino davasında da bunu yaptık. Hatta Apple mühendislerinin FBI’a danışmanlık yapmasına izin verdik ve ellerindeki soruşturma seçenekleriyle ilgili olarak en iyi fikirlerimizi paylaştık.
[ABD tüm iPhone’ların şifresini kırmak istiyor]
FBI görevlilerine büyük saygımız var ve iyi niyetli olduklarını düşünüyoruz. Bu noktaya yasal sınırlar çerçevesinde onlara yardım etmek için elimizden geleni yaptık. Ancak şimdi ABD hükümeti bizden elimizde olmayan bir şey istedi ve biz de bunu yapmanın çok tehlikeli olduğunu düşünüyoruz. Bizden iPhone’a bir arka kapı [güvenlik açığı] eklememizi istediler.
FBI bizden iPhone işletim sisteminin yeni bir versiyonunu yapmamızı istiyor. Bunda bazı önemli güvenlik özellikleri baypas edilecek ve soruşturma sırasında bu sistem bir iPhone’a kurulacak. Bugün olmayan bu yazılım yanlış ellere geçerse insanların ellerindeki bütün iPhone’ların şifresini kırma potansiyeline sahiptir.
FBI bu aracı tanımlamak için başka kelimeler kullanabilir ama yanılmayın: Güvenlik önlemlerini bu şekilde baypas eden bir iOS sürümü geliştirmek kesinlikle bir arka kapı yaratacaktır. Hükümet bunun sadece bu davayla sınırlı olduğunu söylese de bu kontrolü garanti etmenin hiçbir yolu yok.
Veri güvenliği tehdit altında
Bazıları tek bir iPhone’a arka kapı açmanın basit ve temiz bir çözüm olduğunu iddia edebilirler. Ancak, bu hem dijital güvenliğin temellerine aykırı hem de hükümetin bu davada istediği şeyin öneminin anlaşılmadığını gösteriyor.
Günümüzün dijital dünyasında şifreli bir sistemin “anahtarı” verilerin şifresini açan bir bilgi parçasıdır ve bu da ancak kendisini koruyan güvenlik önlemleri kadar güvendedir. Bu bilgiyi bir kez öğrenirlerse veya kodu baypas etmenin bir yolu ortaya çıkarılırsa o bilgiye sahip herkes şifreyi kırabilir.
[Bütün iPhone’ları gözetleyebilecekler]
Hükümet bu aracın sadece bir kez ve tek bir telefonda kullanılacağını söylüyor ama bu doğru değil. Bir kez bu teknik geliştirilse çok sayıda cihazda tekrar tekrar kullanılabilir. Fiziksel dünyada bu da ana anahtarın karşılığı; yani restoranlardan bankalara, mağazalara ve evlere kadar yüzlerce milyon kilidi açabilen bir anahtar olur. Hiçbir makul insan bunu kabul etmez.
Hükümet Apple’dan kendi kullanıcılarımızı hacklememizi istiyor. Böylece müşterilerimizi gelişmiş yöntemler kullanan hackerlar ile siber suçlulardan korumak için onlarca yıldır geliştirdiğimiz bütün güvenlik önlemlerinin altını oymamızı istiyor ki buna on milyonlarca ABD vatandaşı dahildir.
Öyle ki kullanıcılarımızı korumak için iPhone’a güçlü şifreleme özelliği ekleyen mühendislere bu önlemleri zayıflatarak kullanıcılarımızın güvenliğini riske atmaları istenecek.
[Böylesi görülmedi, tüm ülkelere kötü örnek]
Daha önce hiçbir Amerikan şirketi müşterilerini daha büyük bir saldırı riskine maruz bırakmaya zorlanmamıştı. Şifrebilimciler ve ulusal güvenlik uzmanları yıllardır bizi şifrelemenin zayıflamasına karşı uyarıyor.
Bunu yapmak sadece Apple’a verilerini korumak için güvenen iyi niyetli ve kanunlara saygılı vatandaşlara zarar verecektir. Üstelik suçlular ve kötü niyetli kişiler kolayca elde edebilecekleri araçları kullanarak verilerini şifrelemeye devam edebilecekler.
İlgili yazı: Dünyanın en güvenli 5 VPN hizmeti
Kötü emsal teşkil ediyor
FBI, Kongre’den konuyla ilgili kanun çıkarmasını istemek yerine 1789 tarihli All Wrist Kanunu’nu görülmemiş bir şekilde kullanarak yetkisini aşan talebini gerekçelendirmeye çalışıyor.
Hükümete kalsa bizi işletim sisteminin güvenlik önlemlerini ve yeni eklenen özellikleri kaldırmaya zorlayacaklar ve elektronik olarak parola girilmesine izin vermemizi sağlayacaklar. Bu da iPhone şifrelerini kaba kuvvetle kırmalarını, yani modern bilgisayar hızıyla on binlerce veya milyonlarca [şifre] kombinasyonu denemelerini sağlayacak.
[Çünkü iPhone şifresi az sayıda kombinasyon içeriyor (diyelim ki bir telefon için 10 bin potansiyel şifre kombinasyonu) ve Apple telefonları nasıl şifrelediğini FBI’a söylerse trilyonlarca kombinasyon içeren yeni bir şifreleme yöntemine geçmediği sürece Amerika bir Türk vatandaşının iPhone’unu bile kırabilecek. Dikkat, internette hangi siteye gittiğinizi gözetlemek değil bu. Telefondaki Word dosyasını açıp içinde yazanları okumak demek.]
[Dehşete düştük]
Hükümetin talepleri bizi dehşete düşürüyor. Hükümet All Writs Kanunu’nu iPhone’unuzu daha kolay kırmak için kullanırsa herkesin cihazına erişip istediği veriyi çekebilir.
Hükümet gizliliğin delindiği bu durumu genişleterek Apple’dan mesajlarını okuyan, sağlık kayıtlarınıza veya mali bilgilerinize ulaşan bir gözetleme yazılımı geliştirmesini isteyebilir. Nerede olduğunuzu takip edebilir, hatta bilginiz olmadan telefonunuzun mikrofonuyla kamerasına erişebilirler.
Bu emre karşı çıkmadan önce durumu enine boyuna düşündük ve kesinlikle olayı hafife almıyoruz. ABD hükümetinin yetkilerini aşmaya çalışması karşısında fikrimizi söylemek zorunda olduğumuzu düşünüyoruz.
[Karşı çıkıyoruz]
FBI’ın taleplerine Amerikan demokrasisine derinden saygı duyduğumuz ve ülkemizi sevdiğimiz için karşı çıkıyoruz. Geri adım atarak yaptıklarının sonuçlarını yeniden değerlendirmelerinin herkesin çıkarına olacağını düşünüyoruz.
FBI’ın iyi niyetli olduğunu düşünüyoruz, ama hükümetin bizi kendi ürünlerimize arka kapı eklemeye zorlaması yanlıştır. En nihayetinde bu talebin hükümetin koruması gereken özgürlükleri ve serbestliği ortadan kaldıracağından korkuyoruz.
Tim Cook neden halka şikayet etti?
Aslında ister Android olsun ister iOS bütün akıllı telefonlar internette hangi siteyi ziyaret ettiğimizi gözetliyor.
Sonuçta güncel müşteri davranışı verisini toplayarak kullanıcıya alakalı reklamlar göstererek para kazanan ve e-ticaret sitelerinde satışları artıran hizmetler var: En basitinden Google Adwords. Öyleyse Tim Cook neden Amerika’ya kibarca insanları gözetlemekte çok ileri gidiyorsun dedi?
İki sebebi var
- Herkes herkesi gözetlerse istihbarat orta malı olur ve müşteri davranışı, tüketim alışkanlıkları, e-ticaret alışveriş verisi gibi verileri örneğin reklam olarak satmanın, bundan para kazanmanın imkanı olmaz.
- İkincisi siber dünyada süper güç yok; yani Amerika ile FBI sitesini kıran 13 yaşındaki bir hackerın gücü eşit. Amerika kendi halkını böyle sıkı gözetlerse Amerika’nın düşmanları da Amerika’yı ve müttefiklerini gözetleyebilir ve bu ülkelere ekonomiyi çökerten siber saldırılar düzenleyebilirler.
FBI mahkeme kararı olmadan ABD vatandaşları dahil herkesin kayıtlı dosyalarını okumaya imkan veren bir şifre baypas etme yazılımı geliştirmesini istedi Apple’dan. Bu Amerikan kanunlarına aykırı bir istek. Devletler bunun tadını alırsa bu tür front end arka kapıları herkesten ister, şirketlerin muhasebe kayıtlarına bile doğrudan kaynak yaparlar.
Bu interneti gözetlemenin ötesinde bir şey. Baktılar güçlü şifreleme yaygınlaşıyor kuantum bilgisayar gelene kadar şifreyi baypas etme peşindeler. O yüzden şifre kırmaktan daha tehlikeli ve kötü örnek. Kısacası Tim Cook, “Ey FBI! Pandora’nın kutusunu açma, yoksa altta kalan sen olursun” diyor. Şimdi yazımızın ikinci bölümüne geçelim.
İlgili yazı: NSA VPN Şifresi Kırmayı Öğrendi >> Şifreli HTTPS ve VPN trafiğini gözetlemek artık mümkün
Peki Emniyet’ten çalınan nüfus bilgilerimiz?
Tim Cook’un açıklaması Türkiye’de Anoymous’un Emniyet Genel Müdürlüğü’nü siber saldırı düzenleyerek T.C. vatandaşlarının adres ve kimlik bilgilerini çaldığı haberleri denk geldi. Hatta bir kısım sözde güvenlik uzmanları bu haberleri okuyarak paylaşan vatandaşlarla “Sazan gibi avlanmayın, yalan habere kanmayın” tarzında eleştiriler yöneltti.
Oysa bu yaklaşım Emniyet’ten çalınan bilgilerin yol açtığı tehlikeleri unutturmak için bir algı operasyonu gibi görünüyor: Deniyor ki bu bilgiler MERSİS’ten 2009 ve 2013’te çalındı. Oysa bu bilgilerin modası geçmedi ki! Siz ve ben öldük mü? Şükür hayattayız ve bu bilgilerle adımıza kredi kartı ile sahte nüfus cüzdanı çıkarılması mümkün.
Dolayısıyla olay çok önemli ve vatandaşın devlet benim kişisel bilgilerimi nasıl çaldırabilir diye sorması gerekiyor.
Bilişim Avukatı Gökhan Ahi’nin dediği gibi
Birçok kişi Emniyet’ten hacklendiği iddia edilen verilerin eski olduğunu doğruluyor.2 Bu verilerin eski veya yeni olması konun ciddiyetini ve önemini ortadan kaldırmaz. Veri yine benim, yine kimlik bilgilerim. Ancak bizler verilerin eski mi yeni mi, Emniyet’ten mi yoksa SGK’dan mı ele geçirildiği yönünde magazinel tartışmalar yaparak vakit geçiriyoruz. Esas sorulması gereken bu kadar kişisel verinin devlet kurumlarında nasıl tutulduğu, ne kadar süreyle tutulduğu ve ne amaçla tutulduğudur.
Bu bilgilerle kredi kartı çıkarılabilir, e-devlet şifreleri alınabilir, vekalet çıkarılabilir, şirket bile kurulabilir. Bırakın devlette tutulan verileri, plaza güvenliklerine bırakılan kimlikler, telefon bayilerine veya kurslara verilen kimlik fotokopileri bile çok ciddi riskler içeriyor, ama kimse bunun farkında değil. Kişisel veriler konusunu sadece kimlik bilgilerine indirgememek lazım, hakkımızda birçok kişisel veri bizden habersiz işleniyor ve karşımıza nasıl çıkacağı bilinemiyor.
Halen kişisel veriler kanunumuz yok, her yıl çıkacak diye bekliyoruz ama çıkmadı. Ayrıca sosyal ağlar çok gelişti, akıllı kartlar ve ödeme sistemleri çeşitleri çoğalıyor, beaconlar yayılıyor ve kişiselleştirilmiş reklam araçları nerdeyse hayatımızı biliyor, sağlık hizmetleri tamamen elektronik ortamda, esas en mahrem kişisel veriler bu alanlarda. Kişisel veriler kanunu çıksa bile, teknoloji karşısında çoktan eskidi bile. Kişisel veriler kanunu ne yazık ki yeni teknolojileri kapsayacak güçte ve yeterlilikte değil.
İlgili yazı: VPN Engelleme Başladı >> VPN engellemeyi aşmak için Stunnel kullanın, Twitter ve Youtube’a özgürce girin
Bu durumda gerçek sazanlar kim?
Vatandaşın bu soruyu da sorması gerek, ama tam biz bu siber hırsızlığı konuşurken meclisin gündemine nihayet veri koruma kanunu geldi.
Bu kanun idealde devletin kişisel verilerimizi korumasını sağlayacak. Ancak iyi niyetli bir düzenleme olsa bile, sırf yukarıda aktardığımız nedenler nedeniyle kanun bu haliyle kişisel verilerimizi korumakta yetersiz kalacak.
Verilerimiz neden çalınıyor?
Kişisel verilerimizin çalınmasının iki sebebi var: Ekonomik sebepler ve siyasi sebepler. Ekonomik açıdan örneğin bankadan arıyormuş gibi yapabilir, kişisel bilgilerinizi telefonda okutup şifrenizi isteyerek sizi dolandırabilirler. Kişisel bilgileriniz sayesinde size daha iyi reklam gösterebilirler.
Siyasi olarak ülkede her türlü karışıklığı çıkarmak için ideolojik profilinizi kaydedebilirler, sizi fişleyebilirler (Başka ülkeler ve terörist gruplar adresinize kadar sizi fişleyip size yönelik yeni terör eylemleri planlayabilirler).
Tabii bilgisayardaki bilgilerinizi, dosyalarınızı şifreleyen ve dosyaları açmak için fidye isteyen suç örgütleri de çalınan kişisel bilgilerinizi kullanabilirler. Örneğin, doğum gününüzü şifrede kullandığınızı tahmin edebilir veya e-posta adresinizi öğrenebilirler. Sonra da size Cryptolocker virüslü ileti atıp sizi veya firmanızı soyabilirler.
Devlet verilerimizi korumuyor, tersine satıyor
Evet, SGK’nın kendisine kayıtlı vatandaşların kişisel bilgilerini sattığı ortaya çıktı: TBMM’de “Kişisel Verilerin Korunması Kanunu Tasarısı”nın görüşüldüğü bir dönemde ilginç bir haber çıktı. CHP Grup Başkan Vekili Özgür Özel’in SGK’nin halkın kişisel verilerini 65 milyon TL’ye özel bir firmaya sattığı iddiası mahkeme kararıyla kesinleşti.3
Burada sormamız gereken soru şu: Bir devlet kurumu vatandaşların kimlik verileri üzerinden nasıl para kazanabilir? Üstelik asıl yapması gereken bu verileri korumak iken! Eski PTT genel müdürü de bunu yaptı, PTT kullanıcılarının verilerini kim olduğu bilinmeyen şirketlere sattı. Üstelik benim kullanıcım, tabii ki verisini istediğim gibi satarım dedi!
İlgili yazı: Facebook Kapatılırsa Sansür ve Gözetlemeyi Nasıl Aşarız? >> Çocuğun anlayacağı dilde VPN kurma rehberi
Para, para, para
Aynı konuda bir başka haber de Türk Tabipler Birliği’nin (TTB) Danıştay’da ve Anayasa Mahkemesinde açtıkları dava idi. Anayasa Mahkemesi sağlık bilgisinin paylaşıma açılmasının sakıncalı buldu ve iptal etti. Dolayısıyla devlet kişisel verilerimizi para kazanmak için satıyor.
Eh, siber saldırganlar da kişisel bilgilerimizi para kazanmak için satın alıyor veya mevcut e-devlet sistemindeki açıkları kullanarak kişisel bilgilerimizi çalıyor.
Sahi şalteri kim indirdi?
Anımsayacak olursanız 31 Mart 2015’te de Türkiye’de elektrikler kesilmişti. Peki neden? Yoksa bu Türkiye’nin elektrik santrallerini zaafa uğratan bir siber saldırı mıydı? Bu konuyla ilgili doyurucu bir resmi açıklama yapılmadı. Halk olarak sustuk, trafoya kedi girmiştir dedik, gülüp geçtik.
Oysa belki de bu saldırının arkasındaki karanlık güçler devlete istedikleri bir siyasi karar için şantaj yapmışlardı. Bilmiyoruz. Halk bu soruların cevaplanmasını istemediği sürece de gerçeği öğrenemeyeceğiz.
Bu yazının asıl amacı konu hakkında kamuoyu bilinci oluşturmak. Unutmayın, elinizde veri olmadığı sürece sadece fikir yürütürsünüz. Bu arada gizli bilgilerinizi çalanlar veya satanlar kendi amaçlarına hizmet ederler, sırtınızdan para kazanırlar. Sıra üçüncü bölümde.
Yeni kanun kişisel verilerimizi koruyacak mı?
Bu konuda yeni kişisel verileri koruma kanun tasarısının görüşüldüğü TBMM arşivinde yayınlanan tutanaklardan alıntı yapacağım. Bakın sayın milletvekilleri ne diyor?
HDP grubu adına Bedia Özgökçe Ertan (Van)
Kişisel verilerin serbest dolaşımı, bu konuda sürekli öne çıkarılan özel hayatın gizliliğinin korunması hakkının yanı sıra, başlı başına insan onurunu da tehlikeye atan bir niteliğe sahiptir. Her adımımızın izlendiğini ve gözlendiğini bilmek ve hissetmek, kişilik gelişiminin ve bireysel özerkliğin önünde önemli bir engel oluşturmaktadır.
Kişisel verilerin korunması alanında uluslararası düzeyde, özellikle kanun hazırlanırken referans olarak alınan Avrupa Birliği düzeyinde birtakım ilkeler getirilmiştir. Bu ilkelere göre kişisel verilerin işlenmesinin detayları ve sınırları hiçbir tartışmalı yoruma mahal vermeyecek şekilde kanunda açıkça belirtilmelidir.
Devlet verileri hangi amaçla kullanacak?
Verileri işlenen kişi hem ne amaçla bu veriye ihtiyaç duyulduğunu bilmeli hem de tüm süreç boyunca şeffaf bir şekilde haberdar edilmelidir. Kişisel verilerin amaç dışı kullanılmasını önlemek için hangi amaçlarla ve ne kadar süre için yurttaşların bilgilerinin toplanacağı açıkça ve somut bir şekilde ifade edilmelidir.
“Bilgilerimizi devlete emanet ettik, ne kadar kalırsa kalsın, ne yaparsa yapsın.” gibi bir anlayış kabul edilemez. Süresi ve gerekliliği bittiği noktada verilerimizin silinmesi ve imha edilmesi gerekir.
Kişisel verilerin işlenmesinde hepimizin benimsemesi, devletin ve özel sektörün gözetmesi gereken temel ilke asgari ihtiyaçlarını karşılamaktır yani ilgili ve gerekli olmayan işlenme amacı için fazlalık arz eden bütün bilgiler silinmeli ve işlenmekten vazgeçilmelidir.
İlgili yazı: İnternette yeni sansürü TOR browser ile aşın
Özel hayatın gizliliği insan hakkı
Bildiğiniz üzere, insan hakları ihlallerinin en büyük sorumlusu genellikle gücü elinde bulunduran devlet aygıtlarıdır, bu nedenle, önleme yükümlülüğü de aynı şekilde devlettedir. Durum böyleyken hak ve özgürlükler çerçevesinde kişisel verileri korumayı amaçlayan bir yasa söz konusuyken kamu kurumlarının denetim dışı tutulması kabul edilemez.
Tasarıyı incelediğimizde, istisnalar kısmında, odağın ağırlıkla özel sektörde olduğunu ve kamu kurumlarının azade tutulduğunu görüyoruz. Kişisel verilerin korunmasına yönelik bütün bu düzenlemeler, verilerin rıza dışı paylaşımını önlemeyi amaçlamalıdır.
Bu tür riskli konularda bireylerin rızası önemliyken bugün tartıştığımız yasada “açık rıza” kavramı o kadar muğlak, o kadar geniş uçlu bırakılmıştır ki biz izin versek vermesek de her türlü bilgimiz işlenecekmiş gibi görünüyor. Tasarının neredeyse her maddesinde geçen açık rızanın çerçevesinin daha somut bir şekilde çizilmesi ve hiçbir karışıklığa mahal vermemesi gerekir.
Devlet kişisel verileri izinsiz kullanabilecek
Ayrıca, açık rıza beklenmeyen durumların bu denli detaylı tutulması kişilerin karar vermelerini ve irade göstermelerini imkânsız kılıyor. Bu şekliyle, rıza belirtilmeden de çok sayıda kişisel veri saklanabilir durumdadır.
Tasarıda “özel nitelikli veri” olarak adlandırılan yani ayrımcılığa meydan verebilecek bilgilerin toplanması, farklı grupların özel ihtiyaçlarının tespit edilmesi ve ayrımcılıkla mücadelede oluşan boşlukların ya da eksiklerin giderilmesi açısından oldukça önemlidir.
Etnik fişleme olmasın
Ancak burada bu verilerin kişilere yönelik ayrımcılığı körükleyecek şekilde ifşa edilmemesi için gerekli güvenlik önlemlerinin alınması gerekiyor. Hele ki kamu kurumlarının Ermeni, Rum, Süryani ve Yahudi yurttaşlara soy kodu atayıp fişlediği tartışmaları gündemdeyken bizim yasa yapıcılar olarak, bu konuda çok daha dikkatli davranmamız gerekiyor.
Yapacağımız yasa, soy kodu tartışmalarını sonlandırmalıdır ve insanların özel nitelikli veriler nedeniyle hizmetlerden mahrum bırakılmasını önlemeli, bu konuda gerekli cezai yaptırımları getirmelidir.
Bu şekilde, gazetecilik, sanat ya da edebiyat faaliyetleri bağlamında, ifade özgürlüğünü ihlal etmemek için kişisel veriler işlenebilir. Bizim tartıştığımız kanun tasarısının istisnalar bölümünde “ifade özgürlüğü” kavramı geçse de yine bu özgürlüğe çokça koşul getirilerek bu hakkın da içi boşaltılmıştır.
İstisnalar kaideyi bozuyor
Millî savunma, millî güvenlik, kamu güvenliği ve kamu düzenini ihlal etmeme şartı ifade özgürlüğü hakkının kullanımını neredeyse imkânsız kılmaktadır. Tasarıda yer verilen bu sınırlandırmalarla gazetecilerin mesleklerini yapmaları zorlaştırılmaktadır. Bu şekilde, kamuoyunun haber alma ve gerçekleri öğrenme hakkı tehlikeye atılmaktadır.
Diğer bir konu ise 21’inci maddede belirtilen kurul konusudur. Tasarıda, kişisel verilerin korunması için yetkilendirilen kurum Türkiye’nin uluslararası sözleşmelerden doğan yükümlülüklerinden birisidir.
Ancak bu kurum belirlenirken özerkliğe ve bağımsızlığa özen gösterilmesi gerekir. Ne var ki Hükümet, Türkiye’deki her kişi ve kurumda olduğu gibi, Kişisel Verileri Koruma Kurumunu da zapturapt altına almayı planlamaktadır.
CHP grubu adına Cemal Okan Yüksel (Eskişehir)
Aslında, bu kanunun adı “fişleme kanunu” olsaymış daha uygun olacakmış ama “Kişisel Verilerin Korunması Kanunu” olarak adlandırılmasına da şaşırmıyoruz. Neden şaşırmıyoruz, anlatacağım.
Bu kanun, açık söylüyorum, George Orwell’in ünlü 1984 romanına rahmet okutacak bir kanun. 1984 romanı hatırlayacaksınız, propaganda, denetim, yanlış bilgilendirme, gerçekliğin inkârı ve geçmişin manipülasyonu yoluyla kontrol altında tutulan bir toplumu anlatıyor.
Kitabı okumayanlar için kısa bir bilgi vereyim. George Orwell 1984 romanında bir kâbus senaryosunu ele almıştır. Kişisel hak ve özgürlüklerin yok edildiği, zihnin kontrol altına alındığı, düşünce ifade özgürlüğünün olmadığı, insanların anbean gözetlendiği ve fişlendiği bir düzen tarif edilmiştir.
Büyük Birader kanunu
1984’te totaliter ve baskıcı bir tek parti iktidarının kontrolünde olan bir toplum anlatılır. Devlet her şeyi görür ve bilir, toplumun denetimine hâkimdir, ülke ise “big brother” yani büyük birader diye anılan bir diktatör tarafından yönetilmektedir.
Türkiye’de biri bizi gözetliyor diye yayınlanan ama aslı Batı’da “big brother” yani büyük birader olarak adlandırılan o ünlü televizyon programı da işte Orwell’in bu romanından esinlenmiştir.
Kitapta bütün evlerde, iş yerlerinde ve kamusal alanlarda tele ekran denilen bir aygıt vardır. Bu aygıtla hem büyük biraderin propagandası yapılmakta hem de kişiler buradan gözetlenmekte, dinlenmekte ve büyük biraderin istemediği hâl ve hareketler fişlenmektedir.
Panoptikon, yani her şeyi gözetleyen devlet
Büyük biraderin partisi iktidarını sürekli gözetim, denetim, sıkı yönetim, zulüm, fişleme ve muhbirlikle sağlamlaştırmıştır. Halk iletişim araçları yardımıyla gerçeklikten çok uzağa sürüklenir, partinin menfaati neyi gerektiriyorsa ona inandırılır.
Devletin yenilgileri bile propaganda yayınları ile zafer edasında anlatılır. Örneğin, romanda yok ama diyelim ki bir başka ülkenin uçağı düşürülse topluma bir zafer kazanılmış gibi sunulur. “Biz ne yaptık, şimdi ne yapacaklar bize?” diye korkulduysa saklanır. Uçağı düşürülen ülkenin artık elini kolunu sallaya sallaya her istediğini elde ediyor olduğu gerçeği gizlenir.
Bilgi tekeli ve sansür
Bu parti her türlü bilginin kontrolünü elinde bulundurur. Hatta gazetelerin ve kitapların eski nüshalarını yeniden yazarak tarihi bile menfaatine göre değiştirir. Bir de yeni bir dil icat edilmiştir. Kelimelerin anlamları partinin isteğine göre belirlenmiş ve yeni dil adında kurgusal bir dil oluşturulmuştur.
Kendilerinden olmayan, fikirlerine zıt düşünce ve konuşmanın olmaması için özgürlük, devrim, kişisel hak gibi kavramlar yeni dilden silinmiştir. Böylelikle, iktidarın aksine düşünceler oluşamayacaktır. Bu yeni dilde sözcükler partinin kastettiği şeyi anlatmaktadır.
Mesela, barış bakanlığı savaşları düzenler, bolluk bakanlığı kıtlıkla, sevgi bakanlığı işkenceyle iştigal eder, gerçek bakanlığı ise büyük biraderin ve partinin yalanlarını topluma yayar.
Algı yönetimi
Devlet sürekli barıştan söz ederek karışıklık çıkarır, bolluktan söz ederek üretimi azaltır, yiyecekleri kısıtlar, demokrasi ve sevgiyi, kardeşliği dilinden düşürmez ama toplumu ayrıştırır, böler, işkence yapar.
Devletin senaryosunda katliamlar vardır. Bu kabus senaryosundaki düşünce polisi, partinin istediği gibi düşünmeyenleri belirleyip sindirmekle görevlidir. İnsanların birbirini ispiyonlamaları sağlanarak ortak hareket etmeleri engellenir.
George Orwell bir mülakatında “Kitabımda anlattığım toplumun bir gün var olup olmayacağını bilmiyorum ama bunun benzerlerinin geleceğine inanıyorum” demişti. Aslında Orwell’in romanındaki yeni dil gibi AKP iktidarı da yepyeni bir dil kullanıyor; bizim anamızdan, babamızdan öğrendiğimiz, okullarda Türkçe derslerinde öğrendiğimiz dile pek benzemiyor AKP’lilerin dili.
Veri koruma değil, fişleme
Ekmek fiyatlarına zam yapıyorlar örneğin, “zam gelmedi, fiyatlar arttı” diyorlar. Doğuda sivil vatandaş canının derdine düşüyor, nesi var nesi yoksa geride bırakıp kaçıyor, “kaçmadılar, yerlerini değiştirdiler” deniyor. Bizim bildiğimiz dile benziyor dilleri, grameri Türkçe gramerini andırıyor, kelime haznesi az çok aynı ama yeni dilde kelimeler bambaşka anlamlara geliyor.
[Aynı mantıkla] kişisel verileri koruma denince sizin aklınıza gelen şeyleri kastetmiyorlar; hepimizin hakkında her türlü veriyi güvendikleri bir kurula emanet etmek gibi bir kasıtları var. Koruma mı? Koruma.
Ancak kamu yarınına değil
Kaybolmaya karşı koruyacaklar çünkü ileride bunlara ihtiyaçları var. Verilerin kaybolmaması gerekiyor, çünkü yarın kimin düşmanlaştırılacağı bilinemez.
Herkesin bir son kullanma tarihi var. İşte, o zaman bütün o kişisel veriler ona lazım olacak. Büyük birader Davutoğlu hakkındaki, Cem Küçük hakkındaki verileri çıkaracak arşivden, onların yerine gelecek olanlara el altından verecek.
MHP grubu adına Kadir Koçdemir (Bursa)
Bugün görüşmekte olduğumuz kanun tasarısı Anayasa’nın 20’nci maddesi (3)’üncü fıkrasında düzenlenen bir konunun gereğini yerine getirmek üzere hazırlanmıştır. Geç kalınmıştır ama aradan bu kadar yıl geçtikten sonra temel kanun statüsüne tabii tutularak buradan alelacele geçirilecektir.
Biz Milliyetçi Hareket Partisi Grubu olarak bu tür kanunların alelacele geçirilmesinin yanlış olduğunu düşünüyoruz ve geçmişte böyle tazyikle geçirilen kanunlar üzerinde hemen çok kısa bir zaman geçtikten sonra yapılan değişiklikler de bu kanaatimizi teyit etmektedir.
Eğer devlet kendine duvarı öremediyse o zaman biz nasıl bir ülkede yaşıyoruz? Çünkü gerek birey olarak dedim ki özel hayat özgürlüğün, özel hayat hürriyetin baş şartıdır.
Sözü aslına aykırı
İnsanlığın en önemli icatlarından biri tekerlek ve ateşle birlikte duvar ve o gizliliği sağlayacak hususlardır, devlet de bunu en iyi derecede yapma durumundadır. Ama 27 Martta piyasaya düşen şeylerin peşine de kimse düşmedi.
Bugün aceleye getirilmiş maddeler üzerinde hiçbir şey konuşamayacağımız, sadece önerge vererek beşer dakika konuşmayla burada müzakere edeceğimiz bir metin önümüze gelmiş durumdadır. Bu metinde, ben okudum, bazı tercüme düzensizlikleri dahi kendisini gösteriyor.
İyi bilirsiniz, kanunlarda “ve” yerine “veya” ya da “ile” yazmanın, virgülü şuraya ya da buraya koymanın çok önemli sonuçları olur.
Adalet Bakanı Bekir Bozdağ (Yozgat)
Değerli milletvekilleri, görüşmekte olduğumuz kanun tasarısı, adı üstünde, Kişisel Verilerin Korunması Kanunu Tasarısı. Türkiye’de böylesi bir yasa bugüne kadar yoktu. Kişisel veriler Türkiye’de işlenmiyor mu? İşleniyor. Bazı özel yasalarda düzenlemeler var, o çerçevede işleniyor.
Ama, kişisel verileri koruyan, korumanın esaslarını, usullerini belirleyen, yetkilileri, sorumlulukları tayin eden ve bu konuda vatandaşımıza yol gösteren bir mekanizma ülkemizde yoktu, bunun da sıkıntılarını çok çektik.
2010 yılında yapılan Anayasa değişikliğiyle herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu, bu hakkın kişinin kendisiyle ilgili veriler hakkında bilgilendirilmeyi, bu verilere erişmeyi, bunların silinmesini, düzeltilmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkını da kapsadığını açıkça ifade etti.
Uyum yasası çıkmalı
Anayasa hükmü ancak bunun uyum yasası çıkarılamadı. Bu yasa, bir anlamda bunun uyum yasasıdır. Öte yandan, kişisel verilerin bugün hayatın her alanında kullanılmış olmasına rağmen bu verileri işleyenleri kontrol edecek, denetleyecek ve bu alanı düzenleyecek bir kurumsal yapı Türkiye’de yoktu, bu yasa o kurumsal yapıyı ihdas etmektedir.
Türk Ceza Kanunu’nun 135’inci maddesi hukuka aykırı verilerin işlenmesini suç olarak düzenliyor ancak kişisel verilerin işlenmesinin hukuka uygunluk hâllerini düzenleyen bir hukuk metnimiz yoktu, bu yasa bir anlamda bunun da anayasasını teşkil etmektedir. Türkiye’nin Avrupa Birliğine uyum sürecinde yapması gereken konulardan birisi bu yasayla bir noktada buna da cevap vermiş olacağız.
Ayrıca, Türkiye’nin Avrupa Bölgesel Savcılık Teşkilatı olarak bilinen EUROJUST ve Avrupa Polis Teşkilatı olarak bilenen EUROPOL ile operasyonel işbirliği anlaşması var fakat bu anlaşmanın gereğini bu anlamda bir kanunumuz olmaması nedeniyle yeterince yerine getiremiyor ve bu anlaşmadan yeterince istifade edemiyorduk.
Bilgi alışverişini kolaylaştırmak için
Dışişleri Bakanlığımızın yabancı ülkelerden vatandaşlarla ilgili istediği askerlik, kimlik, vatandaşlık bilgileri veya o ülkelerin vatandaşlarıyla ilgili bilgilerin paylaşımında sorunlar yaşanıyordu.
Yine, Türk iş adamlarının yurt dışında yaptığı yatırımlar ve yabancı iş adamlarının Türkiye’de yaptığı yatırımlar nedeniyle kişisel veri paylaşımına ihtiyaç duyulması hâlinde, kanunun olmaması nedeniyle veri paylaşımı yapılamıyor, bu da pek çok ciddi sorunlara yol açıyordu. Bu ve benzeri pek çok ihtiyacı karşılamak gerekçesiyle bu kanun tasarısı Meclisimizin huzuruna getirildi.
O nedenle, bu tasarıya dönük “Konuşulmadan, acele bir şekilde buraya geldi.” yaklaşımı bence bu tasarının hikâyesine baktığımızda isabetli bir yaklaşım olarak durmamaktadır. Kişisel verileri işleyen, aktaran gerçek ve tüzel kişilerin uyacakları usul ve esasları belirliyor. Hangi kurallara tabi olarak, hangi şartlarda işleneceğini açık açık ifade ediyor.
Fişleme değil
Kişisel Verileri Koruma Kurumu veya Kişisel Verileri Koruma Kurulu herhangi bir kişisel veri asla işlemeyecektir, kişisel verileri işleyecekler başkaları. Bu kurum ve kurul bunun denetimiyle ilgili ve bu konuyla alakalı şikâyet ve başvuruları denetlemek, gereğini yapmak, ilke ve esasları belirlemekle ilgili bir koruma, bir denetim, bir düzenleme kurumu ve kuruludur; bunu özellikle ifade etmek isterim.
Ayrıca, kişisel verilerin Kişisel Verileri Koruma Kurulu nezdinde veya onların uygun göreceği yerde veya Kişisel Verileri Koruma Kurumunda bir havuzda toplanması diye bir şey de söz konusu değil.
Şimdi, “Bu kanunun getirdiği önemli ilkelerden biri, önemli yeniliklerden biri nedir?” derseniz kişisel veri sorumlusunun belli edilmesidir. Her kurumda, her tüzel kişi, her gerçek kişi kim kişisel veriyi işliyorsa orada mutlaka bir kişisel veri sorumlusu olacak.
Kişisel veriler hukuka uygun işlenmeli
Değerli milletvekilleri, kişisel verilerin korunması bakımından önemli olan bir husus da hukuka uygun işlenmiş olmasına rağmen bu, hukuka uygunluk sebeplerinin ortadan kalkması, işlenme amaçlarının ortadan kalkması hâlinde bu verilerin yok edilmesi, silinmesi hususudur.
Ayrıca, insanlarımız, kişisel verileri var mı, yok mu diye öğrenmek için, şimdi farklı yerlere müracaat imkânı var ama somut bir muhatabı yok, şimdi muhatabını bulmuş olacak.
Özerk kurum
Bu kurum idari ve mali özerkliğe sahip bir kurumdur. Kurumun bağımsızlığı sadece idari, mali özerliğe sahip olmasıyla ilgili değil, aynı zamanda bağımsız görev yapmasıyla da alakalıdır. Şu anda bu kurum Başbakanlıkla ilişkili bir kurum olarak düzenleniyor yasada.
Bu yasada önemli bir husus da istisnalar konusudur. Belki ileriki zamanda konuşulacak ama istisnalarla ilgili birkaç hususu burada ifade etmekte fayda görüyorum. İstisnalar sınırlı sayıdadır.
Evet, arkadaşlar. Kişisel verilerin korunmasına yönelik kanun tasarısı TBMM’de bu bağlamda ve bu göndermeleri yaparak konuşuldu. Gerisi vatandaş olarak bizim geleceğimize ne kadar sahip çıkmak istediğimize kalıyor. Çünkü bırakırsak Fransa’nın Tor Browser için yapmak istediği gibi interneti yasaklayabilecekler ve 1984 romanından beter bir dünya düzeni gelecek.
1https://www.apple.com/customer-letter/
2http://h4cktimes.com/siber-saldiri-haberleri/egm-nin-hacklenme-iddiasi-hakkinda.html
3http://www.ttb.org.tr/index.php/Haberler/hukuk-5518.html