İSTANBUL Anlık mesajlaşma uygulaması WhatsApp’ın güncellediği Gizlilik Politikası’nı değerlendiren İAÜ akademisyenleri, kullanıcı verilerinin Facebook ile paylaşılmasının ‘Kişisel Verileri Koruma Kanunu’na aykırı olduğunu ifade ederek firmaya yaptırım uygulanması gerektiğini söyledi.
Facebook’un sahibi olduğu WhatsApp geçtiğimiz hafta başında Avrupa Birliği dışındaki kullanıcılar için yeni bir gizlilik politikası uygulamaya koyduğunu ve 8 Şubat’tan itibaren verilerini Facebook ve sahip olduğu şirketlerle paylaşacağını duyurdu. Firmanın yeni sözleşmeyi kabul etmeyen kullanıcıların söz konusu tarihten itibaren WhatsApp’ı kullanamayacağını açıklamasının ardından milyonlarca kişi konuyla ilgili sosyal medyadan tepki gösterdi. Konuyla ilgili değerlendirmede bulunan İstanbul Aydın Üniversitesi akademisyenleri, kullanıcı verilerinin Facebook ile paylaşılmasının ‘Kişisel Verileri Koruma Kanunu’na aykırı olduğunu ifade ederek firmaya yaptırım uygulanması gerektiğini söyledi.
“TİCARİ BİLGİLER KAZAEN GEÇSE BİLE KAOS OLUR”
İAÜ Mühendislik Fakültesi Yazılım Mühendisliği Bölüm Başkanı Prof. Dr. Ali Okatan, WhatsApp’ın yeni gizlilik sözleşmesinin üstü kapalı bir şekilde ‘Ben senin bilgilerini işyerlerinden alışveriş yapabilmen için onlara iletirim’ demek olduğunu ifade ederek, “Doğal olarak bir süre sonra alışveriş sitelerinde olduğu gibi kredi kartı numaraları, satın alınan ürün ad ve cinsleri hakkındaki bilgiler iki ucu şifreli denen sistemle karşı iletilecek. Bu bilgiler servis bilgisayarlarında geçici olarak (?) tutulmak zorunda kalınacak. Bir gün bu bilgiler yapay zeka kullanan bir şirkete satılırsa ‘pardon’ denilecek. Sizin bir son kullanıcı olarak tuşa bastıktan sonra ne olup bittiğini bilme olanağınız yok. Çünkü WhatsApp açık kaynak kodlu bir program değil. İnceleme şansımız hiç yok. Ayrıca uygulamanın Facebook ile organik bağı var. Kullanıcı ticari bilgilerinin Facebook’a kazaen geçmesi bile kaos yaratır. Hatırlanacağı üzere bir dönem Facebook’taki bilgiler de yabancı ellere geçmişti” diye konuştu.
“KULLANICI VERİLERİNİ PAYLAŞAN TÜM PLATFORMLAR TEHLİKELİ”
Kullanıcı verilerini paylaşan tüm sosyal medya platformlarının tehlikeli olduğunu kaydeden Prof. Dr. Okatan şöyle devam etti:
“Kullanıcıların bu medyayı dikkatli kullanması gerekiyor. Bir kişinin uygun olmayan gerçek yada değiştirilmiş resimleri paylaşılarak büyük felaketler yaşanabiliyor. Bu medyalar cazibeyi arttırmak için kullanıcılara para kazanma şansı veriyor. Fakat normal kullanıcının dikkat etmesi gerekiyor. Alışveriş siteleri para ödeme işlemini yapmak için bankaların 3D güvenli ödeme sistemlerine yöneltiyor müşteriyi. Fakat girilen kredi kartı numaraları ve ilgili diğer bilgiler sitelerin bilgisayarlarında duruyor. Korsanlar bu bilgileri çalabilirler. Akıllı telefonlara yüklenen programlar hemen her veriyi çalabilir ve paylaşabilir. Bu uygulamaların test edilmesi gerekir. Yükleme platformları uygulamalar üzerinde sadece virüs için test yapıyor. Uygulamayı yazan şirkete güvenilmiyorsa çok tehlikeli. Fakat bir banka mobil uygulaması platforma koyulmadan önce güvenlik testlerinden geçmek zorunda.”
“GÜVENLİ OLDUĞU BİLİNEN YAYIMCILAR KULLANILMALI”
Bu tip tehlikeli durumlardan korunmak için güvenilir olduğu bilinen yayımcıların uygulamalarının kullanılması gerektiğine dikkat çeken Prof. Dr. Okatan, “Konuyla ilgili ‘Bundan korunmanın tek yolu akıllı telefon kullanmamak’ yorumlarını doğru bulmuyorum. Bu cihazlar hayatımızı ve işlerimizi kolaylaştıran teknolojik birer ürün. Bu cihazları kullanacak olan bizler, bunları akıllı kullanmalıyız. Herhangi bir uygulamanın yüklenmesi sırasında pek çok izin isteniyor. Kişiler sanki o izni vermez ise uygulama yüklenemez sanıyor. Oysa bu doğru değil. Uygulamanın kullanılması sırasında gerekirse geçici izin verilebilir. Uygulamaların içindeki reklam programcıkları tehlikeli olabilir. Kullanıcılar, işlerine yarayacak bir uygulama için ödeme yapmaktan çekinmemeli” dedi.
“KİŞİSEL VERİLER KONUSUNDA FARKINDALIK SAĞLADI”
İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza ve Ceza Muhakemesi Hukuku Anabilim Dalı Başkanı ve Bilişim Hukuku Anabilim Dalı Başkanı Doç. Dr. Murat Volkan Dülger ise, “Bu gelişme bir bakıma iyi oldu, zira son kullanıcılar kişisel verilerin korunması konusunda bir ölçüde farkındalık sahibi oldu. Kullanıcılar panikle Telegram, Signal ve BİP gibi alternatiflere geçişleri konusunda dikkatli olmalı. Yağmurdan kaçarken doluya tutulmak söz konusu olabilir. Dolayısıyla bu uygulamaların güvenlik açısından hangi özelliklere sahip olduğu dikkatle incelenmeli” ifadelerini kullandı.
‘META DATA’ VURGUSU
WhatsApp’ın 2016 yılından bu yana Facebook ile veri paylaştığını kaydeden Doç. Dr. Dülger, “WhatsApp burada amacının iki uygulama arasında entegrasyon sağlamak olduğunu açıkladı. Ayrıca WhatsApp, iki kullanıcı arasındaki, yazı, görsel, belge, ses kaydı gibi bütün paylaşımları uçtan uca şifreleme yöntemiyle şifreliyor. Signal de aynı sistemi kullanıyor. Ancak WhatsApp, kendi bünyesinde tutulan yedekleri ve meta dataları şifrelemiyor. Meta datayı ‘alıcı ve gönderici arasında iletişimin taşınmasını sağlayan bilgiler’ ya da ‘kaynak veya verilerin ögelerini tanımlayan bilgiler’ olarak tanımlayabiliriz. İşte dananın kuyruğunun koptuğu yer burası, zira Facebook, bu meta datayı, kullanıcı davranışlarını analiz etmek için kullanıyor. Bu da iyi bir sosyal mühendislik çalışmasıyla aslında kişi hakkındaki her türlü bilginin elde edilebilmesi anlamına geliyor. Son kullanıcının gözden kaçırdığı nokta da bu” diye konuştu.
Doç. Dr. Dülger, alternatif anlık mesajlaşma uygulamaları hakkında şu bilgileri verdi:
“Telegram mesajları ve bilgileri şifrelemiyor, ancak söz konusu paylaşımları ancak ilgili ülkelerde alınacak mahkeme kararıyla yetkili mercilerle paylaşıyor. Signal ise WhatsApp’ın şifrelemediği meta dataları da şifreliyor. BİP ise uçtan uca şifreleme protokolü kullanmadığı için yasal yükümlülüklerin söz konusu olması halinde uygulamayı kullanan kullanıcılara ait mesaj içeriklerini kolluk, istihbarat örgütü, savcılık ve mahkemelerle paylaşabiliyor.”
“VERİLER KİŞİLERİN PAYLAŞIMA ONAY VERMESİ HALİNDE TOPLANACAK”
Uygulamanın paylaştığı bilgilerle ilgili açıklamalarda bulunan Doç. Dr. Dülger, “WhatsApp tarafından yapılan ‘Gizlilik İlkeleri’ndeki güncelleme sonucunda ‘Hesap Bilgileri, Bağlantılar, Durum Bilgisi, İşlem ve Ödeme Bilgileri, Mesajlar, Müşteri Desteği ve Diğer İşlemlere’ ilişkin veriler kişilerin paylaşıma onay vermesi halinde toplanacak. ‘Kullanım ve Kayıt Bilgileri’, ‘Cihaz ve Bağlantı Bilgileri’, ‘Konum Bilgileri’ ve ‘Çerezler’ ise otomatik toplanan ve onaya ihtiyaç duyulmadan paylaşılan veriler olarak açıklanıyor. Yeni güncellemede kullanıcılara ait otomatik toplanan verilerin ve kullanıcıların WhatsApp kullanmayı tercih etmeleriyle paylaşmayı kabul ettikleri verilerin Facebook ve bağlı şirketlerle paylaşılması hususu, 2016 senesindeki kullanımdan farklı olarak kullanıcıların seçimine bırakılmıyor” dedi.
Dülger, sözlerine şöyle devam etti:
“Aslında WhatsApp tarafından 20 Temmuz 2020 itibariyle güncellenen WhatsApp Gizlilik İlkesi ile 8 Şubat 2021 tarihinde yürürlüğe girecek uygulama arasında Facebook ve Facebook’a bağlı şirketlerle paylaşmanın zorunlu olması hususu dışında esasen çok fazla fark bulunmuyor.”
TÜRKİYE VE AVRUPA BİRLİĞİ FARKININ NEDENİ ABAD’IN ALDIĞI KARAR
WhatsApp’ın yeni gizlilik sözleşmesi güncellemesinin AB ve Türkiye’deki farklı uygulamalarına da dikkat çeken Doç. Dr. Dülger, “Bunun sebebi Avrupa Birliği Adalet Divanı’nın (ABAD) 16 Temmuz 2020 tarihinde aldığı karar. Bu karara göre AB üyesi olmayan veri alıcıları ‘Standart Sözleşme Maddeleri’ne uymazsa ve ‘yeterli düzeyde koruma’ sağlayacak ek güvenceler olmaması durumunda AB merkezli veri aktaranı veri sorumlusu bu faaliyeti askıya almak veya sona erdirmek zorunda. Ayrıca ABAD, AB ABD Gizlilik Kalkanı’nın geçersizliğine hükmetti ve ABD’ye aktarılan verilerin ABD kamu yetkilileri tarafından erişilmesiyle ilgili olarak; Avrupa Birliği Temel Haklar Bildirgesi’nin ihlal edildiğine karar verdi. Bu nedenle de WhatsApp, AB üyesi ülkelerin vatandaşlarını ‘kabul et veya çık’a zorlayamadı” diye konuştu.
“KVKK UYGULANMALI”
WhatsApp’ın söz konusu güncellemesinin, Türkiye’de konuyla ilgili herkes tarafından beklenen bir gelişme olduğunu ifade eden Doç. Dr. Dülger, “Ancak verilen tepki, kişisel verilerin korunması hukukunun öneminin halen yeterince kavranmadığını gösteriyor. Her şeyden önce bu bir kişisel veri işleme sorunudur ve Türkiye’deki kullanıcılar açısından ‘ülkesellik ilkesi’ gereğince Kişisel Verilerin Korunması Kanunu’nun (KVKK) uygulanması gerekir. O halde WhatsApp’ın sunucuları yurt dışında bulunduğu için, bu durum KVKK’nın 9’uncu maddesi gereğince verilerin yurt dışına aktarımına girer. Dolayısıyla KVKK’nın 9’uncu maddesinin, aynı kanunun 5’inci ve 6’ncı maddelerine yaptığı atıf gereğince tüm kullanıcılardan tek tek açık rıza alınması mümkün değilse bu kullanımdan kaçınılmalıdır. WhatsApp’ın ‘kabul et veya çık’ şeklinde aldığı onay, bir çeşit dayatma olduğu için bu onayın hukuki geçerliliği yoktur. Firma bu değişiklikten vazgeçmezse, KVKK’nın 18’inci maddesi gereği idari para cezasına çarptırılmalıdır” ifadelerini kullandı.
Konuyla ilgili Rekabet Kurulu’nun soruşturma açtığını hatırlatan Doç. Dr. Dülger, “Ancak Kişisel Verileri Koruma Kurulu tarafından konuya ilişkin bir açıklama yapılmadı. Kurulun bir an önce konuyla ilgili bir açıklama yapması ve adım atması gerekiyor” diyerek sözlerine son verdi.
“Yeni gizlilik politikasında mesajlaşma güvenliği değişmedi anca kişisel bilgileriniz paylaşılacak”
News
Teknoloji
Bursa
Teknoloji
Teknoloji
Teknoloji
Teknoloji
TEKNOLOJI
TEKNOLOJI
TEKNOLOJI
TEKNOLOJI