Mutlu Binark's Blog, page 22

Yazan: Derya Güçdemir, Hacettepe Üniv. SBE. Y.Lisans Programı

Boğaziçi Üniversitesinin ev sahipliğini yaptığı, Araştırma Verilerinin Yönetimi ve Açık Bilim Çalıştayı, 11 Eylül 2018 tarihinde TÜBİTAK-ULAKBİLİM, İzmir Yüksek Teknoloji Enstitüsü, Hacettepe Üniversitesi, Sabancı Üniversitesi, Anadolu Üniversite Kütüphaneleri Konsoryimu (ANKOS) ve Boğaziçi Üniversitesi işbirliği ile gerçekleşti.

Çalıştayın amacı açık bilimin ve açık verinin ne olduğunu anlatmak, bu konuda yapılan girişimlerden bahsetmek ve veri yönetiminin gerek bilimsel gerek toplumsal açıdan önemi paylaşmaktır. Akademisyenler, sivil toplum çalışanları ve öğrencilerin dışında, çalıştaya katılan kişilerin önemli bir bölümünün farklı üniversitelerden gelen kütüphanecilerin olması aslında araştırma verilerinin yönetimi ve açık bilim konusunda kütüphanecilerin kendilerine düşen yeni sorumlulukları üstlendiklerini ve bu yöndeki isteklerini gösterir nitelikteydi.

Çalıştayda tartışılan konular “açık bilim, açık veri, araştırma verisi, veri yönetimi yazılım ve araçları, araştırma verisi yönetimine giriş, kütüphaneciler için araştırma verisi yönetimi modelleri, Zenodo, Avrupa Açık Bilim Bulutu ve OpenAIRE hizmetleri, açık bilim ve veri yönetimi politikası oluşturma” olarak sıralanmaktadır. Bugün açık veri, veri yönetimi ve açık bilim konularını tartışıyor olmamızın nedeni iletişim ve enformasyon teknolojilerinde yaşanan gelişmelerdir. Akıllı telefonlar, bilgisayarlar ve yöndeşen cihazlar ile veri üretimi çeşitlenmekte ve giderek katlanmaktadır. Üretilen bu kadar verinin nasıl yönetileceği önemli bir sorudur. Bunun dışında, bilimsel araştırma yaparken üretilen verinin nasıl yönetileceği sorusunu sormak enformasyon çağında bilimin ve teknolojinin gelişmesi ve toplumun ilerlemesi açısından önemli olacaktır. Bunu başarabilmek için bazı ilkelerin belirlenmesi gerekmektedir. Örneğin, Avrupa Birliği’nde araştırmalarda üretilen araştırma verilerinin ve yayınların FAIR ilkelerine uygun olması gereklidir. Bu ilkeler Findable – Bulunabilir, Accessible – Erişilebilir, Interoperable – Birlikte Çalışabilir, Reusable – Yeniden Kullanılabilir) olarak belirlenmiştir. Bu ilkeler GO FAIR isimli küresel açıklık girişimi ile desteklenmektedir. Albert Long Hall’ın girişine konan afişte bu ilkelerin altının çizildiğini görmek oldukça keyifliydi.

Konuşmacıların sunumlarında değindikleri sorunlara ve çalıştayda tartışılan not etmiş olduğum bazı noktalara değinmek istiyorum. İzmir Yüksek Teknoloji Enstitüsü’nden Prof. Dr. Ahmet E. Eroğlu’nun açık bilim ve kimya arasında kurduğu ilişkiyi dinlemek oldukça keyifliydi. Çalıştaya CERN’den katılan Tim Smith araştırma verisini nasıl yönetilebilir hale getirdiklerini ve CERN’de verinin araştırılmasını, kullanılmasına ve erişilmesine olanak sağlayan sınıflandırmadan bahsetti. Bu sınıflandırma; açık erişim sağlanan veri, özel amaçlı veri (eğitim gibi), fizik ile ilgili veri (çarpışma gibi) ve sınırlandırılan veriden (ham veri) oluşmakta. Cern’in websitesini ziyaret ederek kamuya açılan verileri kullanmak mümkün.

TU Delft’ten gelen Marta TEPEREK ise kurumlarında ve fakültelerinde açık bilimi mümkün hale getirmek için gerekli olan adımları, iyi veri uygulamalarının neden gerekli olduğunu açıkladı. Hollanda’da ve özellikle TU Delft’de açık bilim konusunda duyulan ilgiyi bir örnek ile açıkladı. Hollandalı bir psikolog olan Diederik Stapel, Tilburg Üniversitesi’nde araştırmacı olarak çalışmaktadır. Fakat yaptığı çalışmaların birçoğunda veri manipülasyonu olduğu ve çalışmalarının uydurma verilerden beslendiği ortaya çıktığından beri, Hollanda’daki üniversitelerin ve araştırmacıların açık veri somut adımlar attığını belirtmiştir. Bunlardan birisi TU Delft’deki “Data Stewardship” pozisyonu. Her fakülteye verinin yönetilmesi, bu kültürün geliştirilmesi ve araştırmacılara danışmanlık sağlaması için (doktora öğrencisi ya da doktora sonrası çalışma yürüten araştırmacılar gibi) araştırma deneyimi olan bir data steward yerleştirilmektedir. Verinin yönetilebilmesi için ilk önce veriyi açık hale getirebilmenin gerekli olduğunu belirtirken, bunu başarmak için fakültelerden disipliner destek aldıklarından ve hatta iyi veri pratiğini geliştirmek adına yerel savunucuların da desteğini aldıklarından bahsetti. Veri setlerinin en az 15 yıl boyunca korunduğunu ver her veri seti için bir DOI numarası tahsis edildiğini söyledi. Önemli olabilecek bir başka not ise, TU Delft’de işe alım süreçlerinde sadece bilimsel etki faktörüne değil, kişinin başarılarına ve açık erişime olan ilgisine ve yatkınlığına baktıklarını da vurguladı.

Yine bir başka kurumdan, Athena Araştırma ve İnovasyon Merkezi’nden Elli Papadopoulou ise Araştırma Verileri İttifakı (RDA)’nın rolünden ve Erken Kariyer ve Katılım Ortaklığı Grubunun (ECEIG) Misyonu’nundan bahsetti. RDA, verinin açık paylaşımını ve yeniden kullanımını sağlamak için sosyal ve teknik köprüler kurmayı hedefleyen bir oluşumdur.

Açık Bilimin Altyapısı ve Araştırma Verilerinin Yönetimi isimli sunumunda Prof. Dr. Yaşar Tonta Türkiye’deki duruma dikkat çekti. Bilimsel yayın-açık erişim, veri-açık veri, yöntemler-açık kaynak yazılım arasındaki ilişkide, Türkiye’de bilimsel yayın ve açık erişim konusunda ilerlendiğini, fakat özellikle ikincisi olmak üzere ikinci ve üçüncü konularda Türkiye’de gerçekten bir ilerleme kaydedilmediğini vurguladı. İyi işleyen alt yapıların gözükmediğine yönelik yaptığı vurgu da diğer önemli bir noktaydı. Açık erişim denilince, araştırma verisinin sadece açık olmasının yeterli olmayacağını, verilerin başkaları tarafından anlaşılabilir olması gerektiğini, bu yüzden ‘akıllı açıklık’ düşüncesinin gerekli olduğunun altını çizdi. European Open Science Cloud (EOSC) için verinin kuluçka döneminden değerlendirilme dönemine kadar alt yapının oturtulması anlamına geldiğini belirtti. EOSC, Avrupa ve ötesinde açık bilimi ve yeniliği destekleyen ve gelişmesini sağlayan büyük bir alt yapı olmak üzere Avrupa Komisyonu’nun bir vizyonu olarak 2015 yılında şekillenmiştir. Alt yapılardan bahsederken, verileri sadece açık hale getirmenin yeterli olmayacağını, araştırma verilerinin sürdürebilirliğini ve güvenliğini sağlayacak alt yapıların olup olmadığını sorgulamanın önemli olduğunu söyledi. Türkiye’deki durumu değerlendirdiğinde ise, OECD Kamu Destekli Araştırma Verilerine Erişim Bildirgesi’ni imzalayan ilk ülkelerden birisi olmamıza rağmen, bu konuda çok fazla bir yere gidilemediğini vurguladı. Sunumunu, kurumların ve üniversitelerin geleneklerini ve alışkanlıklarını değiştirmekte yaşanan sıkıntıya bir gönderme olarak, Carel Stolker’ın sözüne atıfta bulunarak bitirdi: “Üniversiteleri değiştirmek, mezarlığı taşımak gibidir. İçerideki insanlardan yardım alamazsınız”.

Açık Veri Yönetiminde Çerçeve Yapılar Standartlar ve Teknoloji isimli konuşmasında İlkay Holt, açık verinin herkes tarafından serbestçe kullanılabilmesi, modifye edilebilmesi, değiştirebilmesi ve yeniden kullanılabilmesi olarak tanımladı. TBL 5 Yıldız çerçeve yapılardan bahsetti ve web’in kurucusu ve bağlı veri öncüsü (Linked Data) Tim Berners-Lee konseptine yer verdi. Sunumunda verinin açık olmasında ziyade erişim hakkına odaklandı.

Avrupa Birliği için Açık Veri ve OpenAIRE Advance isimli konuşmasında Gültekin Gürdal, konuşmasında araştırmacıların akademik çalışmalarını nerede yayınladıkları ile ilgili olarak, aslında etki faktörü yüksek olan yerlerde yayınlamanın değil, ne yayınladığının ve hangi platformlarda yayın yapılacağının altını çizdi. Research data management briefing yazısına dikkat çekerek, farklı disiplinlerden her araştırmacıya açık ve güvenilir bir depo olan Zenodo’dan ve EOSC’den bahsetti.

Açık Arşive Doğru isimli konuşmasında Ebru Soyu Yüce Aydın, Tübitak ve Ulakbilim’in açık erişim ve açık bilim konusunda nerede yer aldığını tartıştı. Türkiye Akademik Arşivi ve kurumsal arşiv çalışmalarından bahsetti. Tübitak’ın açık arşiv girişimi olan aperta’dan ve amaçlarından söz ederek, açık demenin ücretsiz demek olmadığı ve açık demenin de kalitesiz demek olmadığının altını çizerek bu yöndeki önyargılara bir cevap verdi. Scoap3 ve DergiPark’ın da diğer açık çalışmalar arasında yer aldığını vurguladı.

Araştırma Verilerinin Yönetimi ve Türkiye’de Durum isimli çalışmasında Dr. Öğr. Üyesi Zehra Taşkın, konuşmasına “araştırma verisi neden yaygınlaştırılmalı” sorusunu yaygınlaştırmanın neden gerekli olduğu ile başladı. Açık erişimin ve açık bilimin daha önce de bahsedilen erişilebilirlik ve yönetilebilirlik gibi faydalarından bahsederek, verinin ya da bilimin açık olmasındaki sebeplerden birisinin de “size anlamlı gelenin, başkasına da anlamlı gelmesi gerektiği” fikri olduğunu vurguladı. Diğer önemli bir nokta ise verinin sahipliği üzerineydi. Verinin sahibi kimdir? Yazar mı, Tübitak veya YÖK mü yoksa kişinin maaş aldığı yer yani Üniversite mi? Türkiye’de açık veri ile ilgili belirli bir politika, strateji ve kurumsal desteğin eksikliğinden söz etti. Bunun dışında, veriye atıf yapmanın ne demek olduğu ve bunun araştırmacılar için aydınlatılması gerektiğini vurguladı. Akademide araştırmacıların çalışma verilerini yayınlamak konusunda kaygı duyduklarını, bunun genelde araştırma verisiyle kişinin kendisinden daha önce yayın yapılabilecek olması ya da kendisinden daha iyi bir yayın yapabilecek olmasından kaynaklandığını, bu yüzden akademisyenlerin araştırma verilerini kapalı tuttuğundan bahsetti. Fakat değinilmesi gereken bir nokta, eğer çalışmada ve araştırma verilerinde patent alınması gereken bir durum yoksa, çalışma verilerinin CC gibi belirli lisanslarla korunduğunu söyledi. Ayrıca, tezlerin açık erişime kapalı olması için, tez danışmanın onayı ile beraber yönetim kurulundan geçmesi gerektiğini, yönetim kurulu onayı yoksa, YÖK’ün artık doğrudan açık erişim olarak yayınladığı tartışıldı. Son olarak, paydaşların ve politika yapıcıların neler yapabileceği tartışıldıktan sonra açık erişimin ekonomisine de değinildi.

Açık Bilim ve Açık Veri Eğitimi Nasıl Olmalıdır isimli çalışmasında Öğr. Gör. R. Orçun Madran, açık veri ile ilgili yapılandırılmış Türkçe bir eğitimin ve açık bilim ile ilgili bir müfredatın olmadığını belirtti. Bu konudaki eksikliklere dikkat çekerek, Open Science Mooc ve Google Dataset Search’den bahsetti ve tüm sunumlara açıkerişim.org adresinden ulaşılabileceğini söyledi.

Son olarak, Büyük Veri isimli konuşmasında Zeki Çelikbaş, büyük verinin tanımı ve özellikleri ile başladı. Büyük verinin üç özelliği olan (Volume, Velocity, Variety) kelimelerine çokluk, çabukluk ve çeşitlilik çeviri önerisiyle, İngilizce ”3Vs of Big Data” olarak adlandırılan özelliklere Türkçe Büyük Veri’nin üç Ç’si önerisini getirdi. Büyük veri genelde verinin miktarı ile ilişkilendirilse de aslında, veri kontrol edemeyeceğiniz şekilde çoğalıyorsa, analiz ederken başka veriler ekleniyorsa büyük veri olarak tanımlandığını belirtti. Diğer bir deyişle, büyük veri verinin düzenli bir yükselişte olmasıdır. CSU, txt, sql, NoSQL, NewSQL gibi veri yapılarından ve dspace, zenodo, imeji, geoserver gibi veri depolama sistemlerinden bahsetti. Bunun dışında, İnternette ya da sosyal ağlarda anonimliğin gizlilik anlamına gelmeyebileceğine yönelik çıkarımı önemliydi. Sunumunun diğer bir kısmında ise veri ticareti ve analizine değinerek, veri üretiminin katlanarak arttığından, telefonlar, GPS ya da yaptığımız alışverişler ile kişisel olarak veri ürettiğimizden ve nesnelerin internetinden bahsetti. Bunun karşısında, ne kadar veri yüklenirse, o kadar veri kullanılmasına izin veren streamx ve datastreamx ağlarına değindi. Tartışılan diğer bir konu ise İnternet’in ölmesi ve güvenirliğini kaybetmesiydi. Bunun sebebinin ise FB, Google, Visa, Master gibi bilgiyi ve ticareti kontrol eden şirketlerin merkezileşmesi olduğu tartışıldı. Benzer şekilde, DOI, Orchid ID, Researcher ID gibi tanımlayıcıların da merkezi ve algoritmalarının gizli olduğu ve bu yüzden güvensiz olmadıkları ve çökebileceği belirtildi. Son olarak, verinin eskimediği, her zaman için kaydedilmesi ve arşivlenmesi gerektiği tartışıldı.

http://rdm.acikerisim.org/

OpenAIRE: Open Access Infrastructure for Research in Europe

http://rdm.acikerisim.org/

https://www.nature.com/news/report-finds-massive-fraud-at-dutch-universities-1.9275

https://www.rd-alliance.org/about-rda

https://www.egi.eu/about/newsletters/what-is-the-european-open-science-cloud/

 

Çev. Şule Karataş Özaydın/Hacettepe Üniv.İletişim Fak.Ar.Gör.

Yanlış bilgi ve güvensizlik, çağımızın bir parçası oldular. Bu olumsuzluklar, eleştirel dijital okuryazarlığı nasıl temin edeceğimiz sorusunu çok daha önemli hale getirdiler. LSE, Medya ve İletişim Fakültesi’nde araştırmacı olan Gianfranco Polizzi, bizlere şu an içinde yaşadığımız güvensiz medya çağında eleştirel dijital okuryazarlığı anlamamızı kolaylaştıracak 10 temel okuma tavsiye ediyor. Bu 10 temel okumayla ilgili Polizzi şu bilgileri paylaşmaktadır:

Faith Rogow’un 2015 yılında yayınlanan “Media Literacy in Early Childhood Education: Inquiry- Based Technology Integration” başlıklı yazısı: Technology and Digital Media in the Early Years: Tools for Teaching and Learning adlı kitapta yer alan bu yazı, medya okuryazarlığı eğitiminin erken çocukluk dönemi için gelişimsel açıdan uygun olduğunu öne sürmektedir. Yazar, medya okuryazarlığına medya içeriğiyle ilgili muhakeme yapmayı ve düşünümselliği bir araya getiren bir yaklaşım olarak önem atfedilmesi gerektiğini vurgulayarak çocukluk eğitiminin hem riskten kaçınma hem de öğrenme üstüne yoğunlaşması gerektiğini savunmaktadır.
David Buckingham’ın 2007’de yayınlanan “Digital Media Literacies: Rethinking Media Education in the Age of the Internet” başlıklı makalesi: Bu makale, eleştirel yaklaşımı destekleyerek teknik becerilerin internet kullanımı için gerekli olduğunu öne sürerek işlevsel bir yaklaşımdan dijital okuryazarlığına geçiş yapmaktadır. Kullanıcıların yeterliliğinden ne beklememiz gerektiği hususunda algılarımızı genişletmektedir. Makalede, içeriğin doğruluğunu ve dolayımlanmış temsilleri değerlendirmenin ötesine giden bir eleştirel dijital okuryazarlık ortaya konmaktadır. Makaleye göre, eleştirel dijital okuryazarlık,  internetle ilgili daha geniş kapsamlı bir anlayış sunmalı ve internetin sahiplik, fonlama, düzenleme ve reklam konularıyla yakından ilişkili ekonomi politik yapılardaki rolünü irdelemelidir.
Renee Hobbs’un 2010 yılında yayınlanan Digital and Media Literacy: A Plan of Action başlıklı kitabı: Korumacı yaklaşım çoğunlukla çocukların uygunsuz içeriğe karşı korunması ve mahremiyet ile güvenlik meseleleri üzerinde durmaktadır. Güçlendirici yaklaşım, geleneksel ve dijital medyanın kendini ifade etme, iletişim kurma ve sosyal hayata katılma için kullanımının olanaklılığı üstüne yoğunlaşmaktadır. Yazar, her iki yaklaşımın aynı paranın iki yüzü şeklinde değerlendirilmesi gerektiğini vurgulamaktadır. Yazara göre, kişisel, sosyal ve kültürel fayda sağlamak enformasyon hakkında akıllıca seçimler yapmaktan geçmektedir. Çevrimiçi içeriğin üretimi ve eleştirel değerlendirmesi hem gençler hem de yaşlılar için dijital çağın temel yurttaşlık becerileridir.
Ola Erstad and Synnøve Amdams’ın 2013 yılında yayınlanan From Protection to Public Participation başlıklı çalışması: Yazarlar, medya okuryazarlığına bütüncül bir anlayış getirmektedirler. Bu bütüncül anlayış şunları içermektedir: 1) bireysel yetenekler 2) demokratik yurttaşlık bağlamında bir sosyal olgu ve 3) içeriğin, medya sistemlerinin ve kurumlarının eleştirel değerlendirilmesi. Medya ortamının güç yapılarına nasıl gömülü olduğunu anlamak için alternatif medyanın rolüyle birlikte üreticilerin amaçlarını, medya tüketiminin ve kullanıcı türevli içeriğin üretimini değerlendirmek gerekmektedir.
Douglas Kellner ve Jeff Share’in 2007 yılında yayınlanan “Critical Media Literacy, Democracy, and the Reconstruction of Education” başlıklı çalışması: Macedo ve Steinberg’in Media Literacy: A Reader kitabında bir bölüm olarak yayınlanan bu çalışma, demokrasi için eleştirel medya okuryazarlığının gerekliliğine dikkat çekmek için eleştirel pedagoji ile kültürel çalışmalardan yararlanmaktadır.
Robert Duran, Bill Yousman, Kaitlin Walsh ve Melanie Longshore’un 2008 yılında yayınlanan Holistic Media Education: An Assessment of the Effectiveness of a College Course in Media Literacy başlıklı çalışmaları: Bu çalışmada eleştirel medya okuryazarlığının yüksek öğrenime entegre edilmesinin öğrencilere, medya yapılarını anlamalarında ve medyanın etkileri noktasında farkındalık kazanmalarında önemli olduğu iddia edilmektedir. Kahne ve arkadaşlarına göre, dijital okuryazarlık eğitimi- çevrimiçi içeriğin nasıl yaratılacağı, paylaşılacağı ve eleştirel değerlendirileceği eğitimi- politik faaliyetlerin giderek çevrimiçinde icra edilmesiyle ve farklı bakış açılarına maruz kalmakla ilişkilidir.
Katherine Fry’ın 2014 yılında yayınlanan What Are We Really Teaching?: Outline for an Activist Media Literacy Education başlıklı çalışması: De Abreu ve Mihailidis’in Media Literacy Education in Action: Theoretical and Pedagogical Perspectives başlıklı kitabında yayınlanan bu çalışmada yazar, dijital okuryazarlığın internetin demokratikleştirme potansiyeli ile yapısal sınırları hakkında farkındalığı içermesi gerektiğini tartışmaktadır. İnternet çoğunlukla iletişimi merkezsizleştirme ve ifade özgürlüğünü olanaklı kılma potansiyeli sebebiyle övülmektedir. Aynı zamanda, internetin demokratikleştirme potansiyeli veri gözetimi, mahremiyet sorunları ve hükümetin onu kontrol etme çabası yüzünden sınırlı kalmaktadır.
Henry Jenkins, Sangita Shresthova, Liana Gamber-Thompson, Neta Kligler-Vilenchik ve Arely Zimmerman’ın 2016 yılında yayınlanan By Any Media Necessary başlıklı kitabı: Bu kitapta yazarlar, yaratıcılığa ve çoklu iletişim şekillerine vurgu yaparak eleştirel pedagoji üzerine yoğunlaşmaktadır. Kitapta yer alan durum çalışmalarıyla çevrimiçi topluluk platformlarında gerçekleşen ağlaşmış sivil katılımın, düşünümselliği, sosyal ve politik meselelerde eleştirel düşünmeyi teşvik ettiği ortaya konulmaktadır.
Luciana Pangrazio’nun 2016 yılında yayınlanan Reconceptualising Critical Digital Literacy başlıklı çalışması: Yazar çalışmasında eleştirel pedagoji geleneğini, kullanıcıların dijital eleştirileri yerine toplumsal eleştirileri üzerinde durduğu için eleştirmektedir. Yazar ayrıca, Yeni Okuryazarlık Çalışmalarını (New Literacy Studies) dijital medyada kullanıcıların yaratıcı pratiklerine fazla yoğunlaştığı ve eleştirel muhakemeyi dikkate almadığı gerekçesiyle eleştirmektedir.
Divina Frau-Meigs, Irma Velez ve Julieta Flores Michel’in 2017 yılında yayınlanan Public Policies in Media and Information Literacy in Europe: Cross Country Comparisons başlıklı kitabı: Medya okuryazarlığının farklı tanımları farklı politikalara yol açmaktadır. Bu kitap, medya okuryazarlığına sosyal ve demokratik katılım için gerekli olan bilgi, beceri ve yetkinliğin bir araya geldiği bütüncül bir tanım getirmektedir. Kitapta özel sektörün dijital okuryazarlığı, çalışabilirliği arttırmanın ve liberal ekonomiyi güçlendirmenin bir yolu olarak teşvik ettiği tartışılmaktadır. Diğer taraftan kamu sektörü ve eğitim sistemi ise medya okuryazarlığın eleştirel bir aktivite olarak desteklemektedir. Bu çalışmaya göre, medya okuryazarlığı yalnızca medya sistemlerini değerlendirmek değildir; medya okuryazarlığı, dijital çağda toplumun bir parçası olmak için gerekli olan bilgi ve becerilere sahip olmayı gerektirmektedir.

Tavsiyeler

Polizzi’nin önerdiği 10 temel okuma, eleştirel dijital okuryazarlığa nasıl yaklaşılması gerektiği konusunda bizlere ipuçları vermektedir. Bu okumalardan neler çıkarabiliriz?

Eleştirel dijital okuryazarlık, yalnızca çevrimiçi içeriği değerlendirmek demek değildir. Eleştirel dijital okuryazarlık, internetin üretim ve tüketim süreçlerini, demokratikleştirme potansiyelini ve yapısal sınırlılıklarını anlamakla ilgilidir.
Eleştirel dijital okuryazarlık, tüm yaş gurubundaki insanların yanlış bilgiden korunması için gereklidir. Bununla beraber, eleştirel dijital okuryazarlık sosyal katılımı desteklemesi ve sivil ve politik güçlenmeyi sağlaması açısından önemlidir.
Eleştirel dijital okuryazarlık, bize sosyal meseleler üzerine eleştirel düşünmemizi ve kurumsal ya da kurumsal olmayan politikayla ilişki kurmamızı sağlayabilir. Politikayla ilişki kurulması örneğin, alternatif medyaya ya da aktivizme katılımla mümkün olabilir. Yine de, dijital olabilmek için, eleştirel dijital okuryazarlığı internet ve dijital ortamla ilgili bir anlayışa ihtiyaç duymaktadır.
Kamu sektörü, özellikle eğitim sektörü, eleştirel dijital okuryazarlığa bütüncül bir yaklaşım kazandırmak ve bunu desteklemek için bir sorumluluğa sahiptir. Burada amaç, dijital teknolojilerin dolayımı sayesinde demokratik ve sosyal katılıma katkı sağlamaktır.

Polizzi, her yaştan yurttaşın eleştirel dijital okuryazarlığına ihtiyaç duyduğunu belirtmektedir. Özellikle içinde bulunduğumuz post-hakikat döneminde sorumluluk yalnızca hükümetlere, kurumlara, gazetecilere ya da uzmanlara ait değildir. Her yurttaşın bu çağda bir sorumluluğu olmalıdır. Bu sorumluluğun kazandırılması için eleştirel dijital okuryazarlığı önemli bir rol oynamaktadır.

*Orijinal blog yazısı için bakınız:

http://blogs.lse.ac.uk/parenting4digitalfuture/2018/08/29/critical-digital-literacy/

Yazan: Sarphan Uzunoğlu

Google, Çin’deki otoriter rejime kollarını açarak Yeşilçam filminde sevgilisine koşan jön edasıyla koşuyor…

Söz konusu, gelişmekte olan ya da gelişmemiş ülkelerin siyasal sistemleri olduğunda, hele ki söz konusu Rusya ise oligarşi ve oligarklardan bahsetmeden geçemiyoruz. Ancak teknoloji alanının da oligarkları var ve sadece kendi ülkelerinde değil, dünyada “denetlenemez” bir hâkimiyet kurmuş durumdalar. Yaptıkları hamleler, en az Trump’ın tweet’leri kadar etkili olabiliyor.

Peki bu kadar kuvvetli aktörler güçlerini neye borçlular ve onları nasıl denetleyeceğiz? Her şeyden önce kuvvetlerini geniş bir “veri rejimine” borçlu olduklarını söylemekte fayda var.  Geçen hafta, Twitter üzerinden Mart ayında The Guardian’da yayınlanmış, Google ve Facebook’un hakkımızda topladığı bilgilere ilişkin bir yazı paylaşmıştım. Yazı sonradan Shortmag editörlerinden Emre İlkan Saklıca tarafından türkçeleştirildi ve epey paylaşıldı. Bu yazı tek başına, Facebook ve Google gibi bilişim devlerinin hegemonyalarını yerleştirirken bizden neler aldığı ve bizden aldıkları verinin ne kadar “hassas ve değerli” olduğunun göstergesiydi.

Yazıyı ana hatlarıyla özetlemek gerekirse, Google hakkımızda coğrafi, zamana dayalı, demografik ve teknik birçok bilgi topluyordu. Yazarın Google’ın “take-out” servisi aracılığıyla elde ettiği bilgiler, adeta Google’ın hakkımızda bildiklerinin “bir kısmının” da olsa dökümüydü ve gigabyte’lar büyüklüğünde dosyalara denk geliyordu. Nerede ne kadar zaman geçirdiniz, kime ne yazdınız, kimle Hangouts aracılığıyla konuştunuz, Google Drive’ınızda neler var, Google Pay’den yaptığınız ödemeler derken Google etrafında kenetlenmiş Internet kullanım pratiğimiz gereği neredeyse Internet’te yaptığımız her şey Google tarafından kaydedilmişti. Hattâ Google, yazarın bir dönem Tinder yüklediğini bile biliyordu.

Aynı durum Facebook’ta da geçerliydi. Örneğin Facebook Ayarları’ndan Reklam Ayarları opsiyonuna tıkladığımda benim karşıma çıkan şu ekranda görünen doğum tarihin, yaklaşan evlilik yıldönümün, expat olarak yurtdışında çalışmam ve birçok expat arkadaşım olması, ilgi alanlarım gibi kimi bilgiler bir şekilde tasnif edilerek önüme çıkarılıyordu. Bu elbette, Facebook’un basit bir uygulama kurulumunda benden istediği mikrofondan kameraya onlarca yetkinin yanında küçücük kalıyordu; ama oradaydılar ve alenen bana “gözetleniyorsun güzel kardeşim” diyorlardı.

Şimdi yazının başına ve dolayısıyla özüne dönelim. Bu kadar geniş kapsamda gözetim gücü olan bu şirketlerin politik kararları ve siyasi süreçler üzerindeki etkilerine yani.

Söz konusu Google olduğunda, Google’ın Çin pazarına geri dönüşü ve dolayısıyla Çin Devleti’nin arzularına uyan bir servis sunacağı artık sır değil. Google CEO’su daha önce yaptığı açıklamada filtreli arama motoru servisi sunmaya “kısa vadede” başlamayacaklarını; ancak “filtreli Google’a erişimi olan Çin’in, Google’a erişimi olmayan Çin’den daha iyi olacağını” belirtmişti.[1] Google’ın bu kararı aslında evrensel anlamda neoliberal ekonominin otoriter rejimlere kapıyı aralaması olarak görülebilir. Yani Çin için kapı aralandığında, Türkiye ve İran gibi birçok ülke için kapı “ardına kadar aralanmış” oluyor. Internet’in “evrenselliği”, ve “bilgiye erişim hakkı” üzerinde neredeyse tekelini inşa etmiş olan Google, sanıyoruz ki “global düşünüp yerel davranma” ilkesini yanlış anlamış olacak ki Çin’deki otoriter rejime kollarını açarak Yeşilçam filminde sevgilisine koşan jön edasıyla koşuyor.

Gelelim Twitter’a. Teyit.org geçtiğimiz günlerde Twitter sahte haberleri engelleme konusunda neden adım atmıyor? başlıklı bir içerik yayınlayarak, dezenformatif haber içeriklerinin sosyal ağlardaki dağılımında Twitter’ın rolünü vurguladı. Hem Jack Dorsey’nin hem de Twitter kullanıcılarının görüşlerine yer verilen metinde aslen ifade özgürlüğü temelinde kilitlenen bir tartışma vardı. Gerçekten de “büyük bot hesap temizliklerine” rağmen, Twitter’ın robotlaşmış geniş kullanıcı kitlelerinin aktif olduğu bir platform olduğu bir gerçek. Bugün, bunu neredeyse her gün TT listesinde gördüğümüz “UcuzaTT” tadındaki hashtag’lerden ve onları besleyen hesapların işleyişinden anlamak mümkün.

Söz konusu Facebook olduğunda ise Facebook’un Cambridge Analytica skandalı ve fake news alanında olup bitenden sonra siyasal bağlamda dünyada oynadığı rol ortada. Internet Servis Sağlayıcılığı rolüne de yeni projesiyle soyunacak olan Facebook, dünya üzerindeki tüm devletlerden çok daha kuvvetli bir veri tabanına sahip. Hareket alanı ise tahmin edemeyeceğimiz kadar geniş. Dünyanın birçok coğrafyasında gazetecilik ve fact-checking platformlarıyla işbirliği hâlinde olsalar da “aşırı-ticarileşmiş” ve “politik anlamda duyarsız” olmalarına ilişkin eleştiriler hâlâ geçerliliğini koruyor.

Elbette, Türkiye’nin “kurallarına uyacağını” söyleyen Netflix’ten yakında Türkiye pazarında aktif olacak olan Amazon’a kadar birçok “dijital dev” de her bir hamleleriyle dijital anlamda büyük sorumluluklar alıyorlar. Bazıları, tıpkı Elon Musk’ın son dönemde yaşadığı itibar krizi gibi itibar krizleriyle baş başa kalırken, Amazon gibi örneklerde koca bir ülkenin tezgahtan satış geleneğini neredeyse bitiren ve çok sayıda insanı sektör değiştirmek zorunda bırakan ya da işsiz bırakan şirketlerle baş başa buluyoruz kendimizi.

Evet, her ekonomik karar politik sonuçları da beraberinde getiriyor. Yani, hakkımızdaki neredeyse tüm verileri paylaştığımız bu platformlara, eş zamanlı olarak politik sermayelerini de zenginleştirme imkanı sunuyoruz. Onlar da bu imkânı çoğu zaman kârlılıklarını geliştirmek adına kötüye kullanıyorlar. Bu bazen, Çin’e arama motoru “uyarlamak”, bazen otoriter liderlerin mesajlarının daha kolay yayılmasına aracı olmak şeklinde oluyor; ama netice olarak politik fayda beklediğimiz bu unsurlar söz konusu siyaset olduğunda pek “hayırsever” değiller.

Tabii ki alternatifsiz değiller; ancak burada devreye izolasyon efekti giriyor. Zira, Netflix’siz bir “kentli genç” sosyal ortamlarda kendini eksik hissediyor. Airdrop’suz ve dolayısıyla Iphone’suz bir kişi “dosya paylaşım ortamlarının dışında kalıyor”. Teknolojik oligarklar teknik olarak tüm “varlıklarını” kullanıcılara borçlular; ancak siyasal bağlamdaki borçlarını her seferinde sermayeye ve devletlere ödüyorlar. Zira bizi binlerce kez ifade edildiği üzere “ürün” olarak görüyorlar.

Bir de işin işlevsellik kısmı var tabii ki. Geçtiğimiz hafta Beyrut’ta düzenlenen bir medya okuryazarlığı akademisinde verdiğim siber-güvenlik dersinde katılımcılar bana “Google hizmetlerini kullanmayın diyorsunuz, ama ortak çalışma yapılacak başka hangi alternatifler var ki, üstelik kim kullanıyor ki bunları” sorusunu sordu. Bu soru ilk aşamada mantıklı gelse de aralarında riseup.net’in de olduğu birçok sağlayıcı, güvenli ve kâr amacı taşımayan ortak çalışma ortamları sunuyor. Sadece Google da değil mesele. Örneğin Skype’tan mı bıktınız? Meet.jit.si ile güvenli, şifrelenmiş ve ekran paylaşımından dosya paylaşımına birçok özellikle desteklenmiş sohbetler etmek elinizde.

Bana kalırsa, 2010’lu yıllardaki dijital platformlara yönelik eleştirilerin en büyük eksiği, bu platformların bizzat politik platformlar olduğunu ıskalamaktı. Hepimiz onların “politik platformların işlemesi için aracı oldukları” görüşüne kendimizi fena kaptırdık. “Demokratikleşen iletişim süreçleri” gibi kavramların arkasına takılırken, Mark Zuckerberg’in ve benzerlerinin arkamıza teneke bağladığını göremedik.

Bugünden sonra yapılması gereken şey, hem müşterisi hem de bir anlamda yurttaşı olduğumuz sosyal ağları “karşı-gözetim” ve “karşı-denetim” mekanizmalarıyla ele almak, onlara karşı daha sorumlu bir bakış açısı geliştirmek. Ancak bu şekilde Cambridge Analytica skandalı sonrası dahi istikrarlı büyümesini devam ettiren Facebook’un ya da Çin’e sudan bahanelerle tekrar açılan Google’ın siyasal hamlelerinin yaratacağı ifade özgürlüğü ve hattâ fizikî özgürlük alanındaki kısıtlamalara ve problemlere karşı savaşabiliriz.

[1]  Konu WSJ Tech News Briefing’in Podcast kanalında da ele alındı, ilgilenenler bu bağlantıdandinleyebilir.


Kaynak: http://platform24.org/yazarlar/3268/g...

Yazan: Füsun Sarp Nebil

Pek çok vatandaş için 24 Haziran 2018 günü gerçekleştirilen cumhurbaşkanlığı ve milletvekili genel seçimindeki önemli bir konu “Sandık Güvenliği” idi. Fiziksel tarafını eski teğmen Mehmet Ali Çelebi’nin koordine ettiğini gördüğümüz “Sandık Güvenliği” çalışmasına 4 siyasi parti ve 12 sivil toplum örgütü katıldı. Diğer tarafta ise fedakâr bir şekilde gönüllü görev yapan 400 bin kişi vardı.

Bu grup seçim gününde, 181 bin sandıktaki sonuçları, oralarda yer alan görevlilerinin elinden alacak ve adilsecim.net üzerinden, YSK ile Anadolu Ajansı’na alternatif bir bilgi yaratacaktı. Ama olamadı. Çünkü yine Adil Seçim Platformu’nun yayınladığı bilgiye göre; uygulama altyapısında entegrasyon sorunu yaşandı.

Dolayısıyla veri sağlayan sadece YSK ve Anadolu Ajansı olabildi. Bu da özellikle muhalefet partilerine oy verenler tarafında şüpheye yol açtı. Gerek adilseçim.net için gönüllü çalışanlar, gerekse çok sayıda vatandaş, bu durumu sorguladı ve Adil.Net’in neden kullanılamadığını anlamaya çalıştı. Biz de konuyu, bilişim tarafından sorumlu olan CHP Başkan Yardımcısı Onursal Adıgüzel’e sorduk ve birkaç gün içinde teknik bir raporun yayınlanacağını öğrendik.

Diğer taraftan ise konuyu bir de gönüllü ile değerlendirdik. Mehmet Şafak Sarı kendisini dijital iletişim uzmanı, tasarımcı, eğitmen, gazeteci olarak tanıtıyor. Bu işlerinin yanında, Toplumsal Bilgi ve İletişim Derneği (TBİD) Kurucu Yönetim Kurulu Üyesi ve derneğin Dijital Güvenlik Projesi yürütücülerinden. Sarı’ya şu sualleri sorduk:

Bu g örevi size kim verdi?  Ücretli bir g örev miydi?

Mehmet Şafak Sarı: Gönüllüydüm hocam. Çağrıya cevap verdim. Uygulamaya kayıt oldum. Tutanak yolladım ve sosyal medya hesaplarından gelen açıklamaları ve sonuçları takip ettim.

G örev tam olarak neydi? Yani saat ka çta ve nerede bilgi girilecekti? Bilgiler nereden gelecekti?

Mehmet Şafak Sarı: Onlarca siyasi parti ve kurumun çağrısıyla kurulan ve merkezi CHP Genel Merkezi’nde olacak Adil Seçim Platformu yurtaşlara çağrı yaparak, seçim günü, süreci ve sonrasında Anadolu Ajansı’nın verilerinden bağımsız takip etme iddiasıyla oluşturdu.

Adil Seçim Platformu bünyesinde Millet İttifakı partileri ile HDP’nin yanı sıra; Sensiz Olmaz, Oyum Güvende, DİSK, KESK, Memleket Biziz, Hak ve Adalet gibi platformlar da yer almıştı. Seçimde görev almaya gönüllü müşahitlere ve sandık kurulu üyelerine Adil Şeçim adında bir telefon uygulaması sunuldu ve indirmeleri istendi.

Süreç basitti. Biz sandıktan çıkan sonuçların olduğu sayım-döküm tutanakları bu uygulama ile fotoğraflayıp sisteme yollayacaktır. Onlar da gelen tutanaklar üzerinden görselleştirerek seçim yasakları biter bitmez yurttaşlara adilsecim.net üzerinden göstereceklerdi.

Veriler ne zaman gelmeye başladı… Gecikmesi konusunda sizin bir teş ebbüsünüz oldu mu, ya da size neden geciktiği açıklandı mı?

Mehmet Şafak Sarı: Verileri gönderemedik ki? Uygulama çalışmadı.

Bu yüzden verilerin gelmesi çok uzun sürdü. Bazı yurttaşlarımız da uygulama çalışmış ama benim çevremde ve arkadaşlarımın büyük çoğunluğunda uygulama çalışmadı. Saatler sonra girebildim sisteme tutanakları. Bu süreci hızlandırmak için uygulama üzerinden çağrı merkezini aradım ama telefonlarıma bakan olmadı. Sonrasında geri dönen de olmadı.

adilsecim.net verileri erişim yasaklarının kalmasına rağmen 21.00 sularına kadar gösteremedi. Göstermeye başladığından itibaren ise AA’dan çok faklı sonuçlar gözükmekteydi. Hatta seçim gecesi 22.13’de Adil Seçim Platformu’nun ve Adil Seçim uygulamasının Twitter hesabından “YSK açılan sandık a Adil Seçim açılan sandık e Büyükşehirler henüz sistemlere tam olarak yansımış durumda değil. Umudunuzu kaybetmeyin TV ekranlarındaki manipülasyonlara aldanmayın bu seçim ikinci tura kalmıştır. Sandıkları takip etmeye devam edin” diye bir tweet atıldı.

Koca bir karanlığın ve belirsizliğin içinde bu tweete sarılarak işlemlerimize devam ettik. Lakin yarım saate kalmadan CHP ve diğer muhalefet partilerin seçimi kaybettiklerini kabul eden açıklamaları ve haberleri önümüze düşünce, aslında manipülasyonu yapanın Adil Şeçim olduğu kanısına vardım. Çağrı merkezi dahil hiçbir protokolü çalışmayan bir uygulama üzerinden hepimizi tehlikeye atan bir açıklama gelmişti. Çünkü sokaklarda silahlar sıkılıyor ve seçim merkezlerinde kavgalar, müdaheleler oluyordu. Meğerse açıklama yanlışmış. Neden böyle bir açıklama yaptılar anlamış değilim. İşin garibi bu tweet hâlâ duruyor ve üstüne bir daha hiçbir şey yazılmadı. Teknik olarak Adil Seçim’e göre sandıklar kapanmadı ve oy sayımı sürüyor anlayacağınız.

Bu konudaki düşünceniz ve bir sonraki se çim açısından tavsiyeniz nedir?

Mehmet Şafak Sarı: Tüm süreçleri şeffaf olmayan hiçbir oluşum ve kampanyaya dahil olmayacağımı öğrenmiş oldum. Hoş, 5 seçimdir seçim gecesine kadar “merak etmeyin, oylarınıza sahip çıkacağız”, “siz görevinizi fedakârlığını yapın gerisi bizde” diye bol kahramanlık hikâyeleri ve “ülke elden gidiyor size ihtiyaç var” deyip her seçim gecesi seçim sonuçları takibi üzerine kurulmuş örgütlenmelerin ve sistemlerin çökmesini deneyimledik. Referandum gecesi de aynı saçmalığın ortasında bulmuştum kendimi. Nasıl kandırıldığımızı çok acı bir şekilde tecrübe etmiştim. Ama bu seçimde en yüksek tondan ve müthiş bir ikna süreciyle onlarca kurum ve kişinin referansıyla yeni bir seçim takibi sistemi oluşturulunca mücadeleden kaçmayan insanlar olarak yine bu sürece dahil olduk.

Zaten seçim, seçim gününden 2 ay önce duyurulmuştu ve sorgulama süreçlerine bile zaman kalmamıştı. Seçim gecesi telefon uygulaması, seçim ekranının çalışmamasını geçtim, 150 yıllık telefon teknolojisini bile çalıştıramamışlardı. Halbuki bu uygulamayı geliştiren CHP’liler “YSK bile bizden öğrenecek sonuçları gerekirse yapay zeka bile kullanacağız” diye bayağı iddialı cümleler kurabilmişlerdi. Bu rezillik sonrası bizlere bir tane bile açıklama yapılmadı. 3 gün geçti. Bu yaşanan süreçli ilgili ne sorumluluk alan var ne açıklama yapan var.

Halkı aptal yerine koyanlarla bir daha çalışma yapmayacağımı öğrenmiş oldum. Katılımcı ve şeffaf süreçleri olmayan, “biz hallettik rahat olun”, “bizim çocuklar yapıyor merak etmeyin” psikolojisi kaybetmeye mahkumdur. Seçimi muhalefet kazansaydı bile, iktidar kazandık dese karşısına bilgi, belge ve veri ile çıkabilecek bir yapı-sistem bile yoktu.

Bugünden itibaren muhalefet eleştirel ve özgürlükçü medya modellemelerini örgütlemeli ve destek vermelidir. Seçim gibi karmaşık ve temelde insan yönetimi isteyen ulusal çapta bir yapıyı şimiden kurmaya başlamalıdır. Dediğim gibi katılımcılık ve şeffaflık işlemelidir bu süreç. İlgili sevil toplum örgütü, meslek örgütü, sendika, hukuk birimleri, iletişim-bilişim birimleriyle ortak bir çalışma yürütülmeli. Boş sözlerle, yalan propagandalarla, biz yaptık oldularla seçim bile kazansanız elinizde tepsiyle ülkeyi sunarsınız yoksa.

O gece en temel demokratik hakkına sahip çıkan ve bunun üstüne inisiyatif alıp yer yer canını da riske atarak yurttaşlık görevini layığıyla yerine getiren tüm sandık görevlilerine ve müşahitlerin hakkı ödenmez. Hepsine bir yurttaş olarak da çok teşekkür ediyorum.

Muhalefetin seçim öncesinde daha hazır olması lazım

Şunu kaydedelim; bu söyleşiden gördüğünüz üzere, gönüllü çalışmış insanlarda bir kırıklık var. Bu kırıklık da platform tarafından giderilmemiş. Öncelikle bunun giderilmesi lazım. Bu insanlara gereken özen gösterilmeli. Teşekkür edilmeli.

Yanı sıra, sistemlerin çalışmasının önceden kontrol edilmesi ve özellikle de yedeklemesinin yapılması lazım. Bu tür projelerin bütün riskler düşünülerek yapılması lazım. Örneğin içeri sızabilecek birileri ve hatta yabancı istihbarat örgütleri ne tür riskleri getiriyor diye sormak lazım. Burada da bir sorun çıktığı görülüyor. Bu sorun yazılım hatalarından mı kaynaklanıyor, yazılım sırasında bir truva atı çalışan var mıydı, siber saldırı mı vardı, uygulama indirilirken içine zararlı yazılım enjekte edilmiş midir ya da iletişim hatlarının bozukluğundan mı bilemiyoruz. Dediğimiz gibi bir kaç gün içinde bir teknik raporun yayınlanacağı kaydediliyor.

Bir başka konu da şu; CHP için bir eleştiri de; Halk TV konusunda. Düşünün ki, bir partinin kendi yönetimindeki televizyon kanalı, iddialı oldukları seçimde data yayını hazırlığı yapmıyor. Bunun yerine stüdyoya 4 ekran koymuşlar; CNN, Habertürk, NTV ve A Haber. İnanılır gibi değil.

Üstelik ellerinin altında yıllardır seçim verilerini CNN Türk’te –üstelik analizleri ile– veren Emin Çapa olduğu halde ellerindeki en büyük şansı yani dosdoğru bir seçim programı sunmayı beceremediler (Çapa daha sonraki gün, bu analizleri sundu ama orada da Halk TV’nin performası rezaletti. Öyle ki, ellerindeki slide’ları bile birbirine karıştırmışlardı. Zavallı Çapa yine de sinirlenmemeye özen göstererek bunları bir bir açıkladı.)

Aşağıda Adil Seçim Platformu’nun bugün yayınladığı ve bir özür içeren açıklaması var:

Kaynak: http://t24.com.tr/yazarlar/fusun-sarp...

(Yazarının izniyle)

Yazan: Av. Faruk Çayır, Ankara Barosu ve Alternatif Bilişim Derneği

Kişisel verilerin korunması ile ilgili olarak ülkemizde ve tüm dünyada uzun yıllardan beri çalışmalar ve düzenlemeler yapılmakla birlikte, kişisel verilerin korunması hususu teknolojinin gelişimi karşısında hızla boyut değiştirmektedir. Küresel anlamda bilgi işlem hizmetlerinin yaygınlaşması ve ülkeler arasında artan veri trafiği nedeniyle sosyal ve ekonomik açıdan uluslararası öneme sahip hale gelmiştir. Sosyal ağlar, bulut bilişim, büyük veri analizi, lokasyon bazlı hizmetler ve akıllı kart gibi teknolojik gelişmeler ve küreselleşmenin getirdiği zorunluluklar başta olmak üzere pek çok etken kişisel verilere erişim, verilerin toplanması ve kullanımı yöntemlerini derinden etkilemekte ve değiştirmektedir. Bu nedenle, küresel anlamda ülkelerin veri koruma hukuki altyapılarını güncel teknolojik gelişmelerle uyumlaştırma yönünde adımlar atılmaya başlamıştır.

Kişisel verilerin korunması konusunda AB’de 1995 yılında yürürlüğe giren 95/46/AT sayılı AB Veri Koruma Yönergesi kişisel verilerin korunması alanında tüm dünyada kabul gören bir çerçeve sunmaktadır. Ancak bahsetmiş olduğumuz teknolojik gelişmeler sonucunda, Avrupa Komisyonu tarafından üye ülkelerde uygulanmakta olan AB veri koruma kurallarında, Veri Koruma Yönerge’sinde benimsenen ilkelerin modernize edilmesi ve gelecekte vatandaşların mahremiyet hakkının garanti altına alınması amacıyla, kapsamlı bir reforma gidilmesi ihtiyacı ortaya çıkmıştır.

1995 yılından itibaren AB üyesi ülkeler açısından uygulamada meydana gelen farklılıklar ve dijital dünyayla daha uyumlu hale getirilmesi ihtiyacı, ortaya çıkan somut uyuşmazlıklar ve bu değişimi kaçınılmaz kılan siyasi açmazlar sebebiyle giderek zorunlu bir hal almıştır. Bu olayların başında, konuyla doğrudan olmasa da etkisi bakımından büyük ilgisi olan, 2013 yılında Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri gelmektedir. Bunun dışında geçtiğimiz yıl ABD de yapılan seçimlere ilişkin Facebook’ un kişilere ait verileri satması ve bu verilerin seçimlerde yönlendirme ve manipülasyona yönelik olarak kullanılması ile ilgili skandal kişisel verilerinin korunmasının önemini bir kez daha ortaya koymuştur.

Snowden’ın açıklamaları  Avrupa Birliği Adalet Divanı’nın (ATAD) mevcut hukuki uygulamalarında önemli bir değişim yaklaşımı benimsenmesine sebep olmasının yanında Avrupa’da bireyin internetteki haklarının korunması konusundaki genel anlayışını da oldukça katılaştırmasına neden olmuştur. Mahkemenin bu çerçevede almış olduğu;

– unutulma hakkı konusundaki Google-İspanya kararı,

-mobil veya internet telefonu ile e-posta iletişimi verilerinin saklanması hususunda muhtemel bir soruşturma, araştırma ve suçun kovuşturulması amacıyla makul suç şüphesi bulunması gerektiğine ilişkin, 2006/24/EC sayılı Veri Saklama Direktifi’ ni geçersiz kıldığı İrlanda Dijital Haklar kararı,

– Facebook tarafından kişisel verilerinin ABD’de tutulmasına ilişkin eşdeğer bir koruma seviyesinin bulunmaması nedeniyle Güvenli Liman Anlaşmasını geçersiz kıldığı M.Schrems-Veri Koruma Komisyonu Kararı

kişisel verilerin korunması konusunda yeni ve kapsamlı bir reformu zorunlu kılmıştır.

Bu kapsamda, AB veri koruma kurallarında köklü bir reformu ihtiva eden “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır. AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.

Avrupa Birliği’ nin söz konusu düzenlemeyi Regulasyon yani tüzük ( Türkçe’ ye çevirisi bakımından anlaşılır olması açısından) olarak düzenlemesi bağlayıcılığı açısından da önem kazanmaktadır. Regülasyonlar genel olarak yürürlüğe girmekle birlikte tüm üye ülkelerde yürürlük gücüne sahip olurlar. Ayrıca iç hukuka aktarılmak üzere bir onay kanununa ya da iç hukukta aynı düzenlemeleri konu alan yeni bir kanuna ihtiyaç göstermezler. Oysa yönergeler için durum farklıdır. Yönergeler üye devletleri hedef alır ve onlara belirli bir süre içinde yönergede belirtilen hususlarda ve o çerçevede iç hukukta düzenleme yapma ödevini yüklerler. İç hukukta yapılacak düzenlemenin yöntemi ise üye devletin takdirine bağlıdır. Bu açıdan AB Genel Veri Koruma Tüzüğü üye ülkelerin düzenlemeleri ve onaylarına ihtiyaç kalmaksızın uymakla zorunlu oldukları bir düzenlemedir.

AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (bundan sonra GDPR olarak anılacaktır.)’ nün kişisel verilerin korunmasına ilişkin getirdiği yeni tanımlar, yaklaşımlar ve zorunluluklar açısından Tüzüğün 3. Maddesine göre

“2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:

Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.


Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.”

düzenlemesi gereğince  GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından ve AB ülkelerindeki kişilere yönelik mal ve hizmet sağlayanlar bakımından da bağlayıcı olduğu görülmektedir. Bu açıdan Türkiye’ nin Kişisel Verilerin Korunması’ na yönelik yasal düzenlemelerini GDPR’ ye uygun hale getirmesi gerekmektedir.

Türkiye’de ise kişisel verilerin korunmasına ilişkin 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı “Kişisel Verilerin Korunması Kanunu” ile yasal düzenleme yürürlüğe girmiştir. kanunun tasarı aşamasında iken istisnalar ve Kişisel Verilerin Korunması Kurumunun yapısı hakkındaki eleştirilerin yanında Genel Veri Koruma Tüzüğünde yer alan ve düzenlemesi elzem olan konular hakkındaki eleştiriler de göz ardı edilmiştir. 6698 sayılı Kanun, AB Veri Koruma Reformu kapsamında hazırlanan GDPR metninin Avrupa Parlamentosu’nda kabulünden 7 gün gibi çok kısa bir süre önce onaylanmış ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. 6698 sayılı Kanun’un, güncel AB düzenlemesi olan GDPR daki düzenlemeleri değil, 95/46/AT sayılı Veri Koruma Direktifi’ni referans alması hatta Veri Koruma Direktifi’ nin çevirisi diyebileceğimiz durumda olması sebebiyle GDPR de yer alan bir çok konuda eksik ve kadük kalmıştır.

AB GENEL VERİ KORUMA TÜZÜĞÜ-GDPR’NİN GETİRMİŞ OLDUĞU YENİLİKLER VE DÜZENLEMELER

AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR) Avrupa’ daki pek çok sivil toplum kuruluşunun yaratmış olduğu kamu oyu baskıları ile kişisel verilerin korunmasına ilişkin ve dijital hayata ilişkin pek çok yeni düzenlemeler içermektedir. Bunlar:

Kişisel Veri Tanımı

95/46 sayılı Direktif’teki kişisel veri tanımına göre, GDPR daha açıklayıcı ve kapsamlı bir tanım getirilmeye çalışılmıştır. GDPR da kişisel veri: “tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıdaki” veri olarak kabul edilmiştir. Görüldüğü gibi konum verileri, çevirim içi tanımlayıcı gibi veri sahibinin ortaya çıkarılmasını sağlayacak her türlü veri kişisel veri olarak kabul edilmiştir.

Profil Çıkarma

GDPR da 95/46 sayılı Direktif’te bulunmayan yeni bir tanımlama olarak profil çıkarma dikkati çekmektedir.

GDPR’ da “profil çıkarma, bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimi” olarak tanımlanmıştır. Veri sahiplerinin, kişisel verilerin otomatik karar verme mekanizmalarına bağlı olarak işlenmesi halinde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçlarına ilişkin bilgileri talep etme, kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama, profil çıkarmaya ilişkin kişisel verilerin işlenmesine herhangi bir zamanda ve kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine itiraz etme ve itirazının kabul edilmemesi halinde yetkili kurula (Kişisel Verilerin Korunması Kuruluna) şikayette bulunma hakkı bulunmaktadır.

Takma Ad Kullanımı

GDPR da, 95/46 sayılı Direktif’te bulunmayan başka bir yeni tanımlama da takma adlı veridir. GDPR’ da takma ad kullanımı “ kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesi” olarak tanımlanmıştır. Veri kontrolörü hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan, takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygulamak ve veri sahiplerinin haklarını korumak zorundadır.

Kontrolör ve işleyicinin, gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, kişisel verilerde takma ad kullanımı ve şifreleme kullanımı da dahil olmak üzere uygun güvencelerin sağlaması gerekmektedir.

Takma adlı veri, kişisel veriyi anonim hale getirmeyip bir kimliksizleştirme yöntemidir. Eğer veri sorumlusu tarafından işlenen veri, sorumlunun bir kişiyi doğrudan belirlemesine izin vermiyorsa ya da takma adlı veri oluşturuyorsa, veri sorumlusu yalnızca bu tüzüğe uyumluluk sağlamak için ilgili kişiyi belirlemek amacıyla söz konusu ek bilgileri alamaz ya da işleyemez. Tek başına kullanıldığında ve herhangi bir ek bilgi olmadan, bir bireyi tanımlayamayan ancak en fazla bireyleri tanımlamadan birbirinden ayırabilen veriler gibi veri tipleri de koruma gerektirmektedir.

Takma adlı veri olarak adlandırılan bu tür kişisel veriler risk bazlı yaklaşım ve sorumluluk açısından verilerin korunmasına yönelik iyi bir örnektir. Çünkü veri kontrolörü ve veri işleyen verinin takma adlı veri olarak kalmasını sağlamak ve verilerin tamamen ilişkilendirilebilir hale gelmesini engellemek amacıyla gereken tüm makul önlemleri almak zorunda kalacaktır.

Unutulma hakkı

GDPR’nin 17. Maddesi kapsamında veri sahibinin kişisel verilerinin silinmesini isteme hakkı başlığı altında unutulma hakkı düzenlenmiştir.  Bu madde 95/46 sayılı Direktif’in 12. maddesinin (b) bendinde veri sahibine tanınan kişisel verilerin silinmesi hakkının kapsamının genişletildiği görülmektedir. Bu maddeye göre,

“Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve, aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:

kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;
veri sahibinin, veri işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;
veri sahibinin, veri işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin doğrudan pazarlama ile alakalı olduğu ölçüde profil çıkarma da dahil olmak üzere kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine itirazda bulunması;
kişisel verilerin yasa dışı biçimde işlenmiş olması;
kişisel verilerin doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak toplanmış olması.

Kontrolörün kişisel verileri kamuya açıklamış olduğu ve kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atmak zorundadır.”

Bu maddeden de anlaşılacağı üzere  veri sahipleri, verilerinin artık toplanma amacı ile ilgili olarak tutulmasının gerekli olmadığı, veri sahibin rızasının bulunmadığı yahut veri sahibinin verisinin işlenmesini istemediği veya kişisel verinin GDPR’ye aykırı işlendiği durumlarda verilerinin silinmesini veya bundan sonra işlenmemesini talep edebilme hakkına sahiptir. Veri kontrolörünün, kişisel veriyi başka veri kontrolörleriyle paylaşmış veya kullanımlarına açmış olması durumunda, söz konusu verilere ilişkin kısayol, kopya veya çoğaltılmış versiyonları silmeleri bakımından da sorumlu olduğu görülmektedir.

Bu düzenleme ile fiili ve hukuki anlamda, özellikle algoritmalar ve diğer otomatik veri işleme yöntemleriyle,  verileri üzerinde denetim ve kontrolünü yitiren veri sahiplerine önemli bir hak tanınmıştır.

GDPR kapsamında kabul edilen unutulma hakkı 6698 sayılı Kanunda yer almamaktadır. Bununla birlikte unutulma hakkına ilişkin olarak; “cinsel taciz mağdurunun isminin kodlanmaksızın bir kitapta yayımlanmasından dolayı kişilik haklarının ihlal edildiği ve bu sebeple tazminata hükmedilen” Yargıtay 4. Hukuk Dairesi’nin 03.07.2013 tarih ve 2013/6256 esaslı kararında ve hakkında yapılan haberlerin internet ortamından silinmesi amacıyla başvuran kişinin haklı bulunduğu AYM’nin 03/03/2016 tarih ve B.2013/5653 no’lu kararı ile Türkiye’ de yargı kararıyla uygulama alanı bulmuştur. Yargı kararıyla da kabul edilmiş bulunan unutulma hakkı konusunda hukuki düzenlemelerde yer almaması 6698 sayılı kanunun yapım sürecinde de eleştirilere sebep olmuş idi. Bu sebeple AB üyesi devletler açısından büyük önem verilen unutulma hakkı konusunda Türkiye’ nin de acil bir yasal dayanağının bulunması gerekmektedir.

Veri Taşınabilirliği Hakkı

GDPR da, 95/46 sayılı Direktif’te bulunmayan başka bir yeni düzenleme de veri taşınabilirliğidir. GDPR 20. Maddesine göre, veri işleme faaliyetinin veri sahibinin usulüne uygun alınmış rızasına dayanması veyahut veri işlem faaliyetinin bir sözleşmeye dayanması, yada veri işlemenin otomatik yollarla gerçekleşmesi halinde; veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı bulunur”

Veri taşınabilirliği hakkı kullanırken, veri sahibinin, teknik açıdan uygulanabilir olması halinde, kişisel verilerin doğrudan bir kontrolörden diğerine ilettirme hakkı bulunur. Veri taşınabilirliği hakkın kullanımı, verilerin silinmesi talep etme (unutulma) hakkını ortadan kaldırmaz. Söz konusu hak kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmaz.

Veri Kontrolörü Ve Veri İşleyicisi Ayırımı, Veri İşleyenlerin Tamamının Veri İşlemeden Sorumlu Olması

95/46 sayılı Direktif’te “kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri”nin işlenmesine ilişkin kurallara uymakla yükümlü olan ve hukuka aykırı olarak yapılan iş ve işlemlerden sorumlu olan tek kişi “veri kontrolörü” (veri sorumlusu), başka bir ifadeyle veri sahipliğini elinde bulunduran kişi, olarak düzenlenmekteydi. GDPR ile kontrolör, işleyici ve alıcı olarak üçlü bir veri sahipliği ve sorumluluğu düzenlemesi getirilmiştir.

Kontrolör, yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ

İşleyici, ise kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ

Alıcı, üçüncü bir kişi olsun veya olmasın, kişisel verilerin açıklandığı bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.

GDPR da getirilen düzenleme ile veri sahipliğine ilişkin veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu hüküm otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisini uygulayanların, yani her türlü işleme faaliyetinin tüm faillerinin (kontrolör, işleyici, alıcı) söz konusu işlemeden kaynaklı her türlü veri ihlali ve hukuka aykırılıktan sorumlu olduğunu ortaya koymaktadır. Bu hükmün uygulanmasının yansımaları oldukça geniş olacaktır. Hem veri sorumluları hem de veri sorumlusunun talebiyle veriyi işleyen üçüncü kişiler bakımından hukuki sorumluluk ortaya çıkmaktadır. Bu kapsamda GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından ve AB üyesi ülkelere mal ve hizmet sağlayan kuruluşlar bakımından da bağlayıcı olacaktır. Bu durumda hatalı ve hukuka aykırı işleme faaliyeti yapan bu kuruluş veya kişiler açısından GDPR ile getirilen yüksek oranlı para cezaları bu işleyiciler için de bağlayıcıdır.

Veri Sahibinin Rızası

Veri işlemeyi hukuka uygun hale getiren veri sahibinin rızasına ilişkin 95/46 sayılı Direktif’te veri sahibinin açık rızasına vurgu yapılmaktaydı. GDPR de ise veri sahibinin lehine olacak biçimde güçlendirilmiş bir rıza kavramı dikkat çekmektedir. GDPR da tanımlar bölümünde veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge olarak tanımlanmıştır.

Aynı zamanda tüzüğün 7. Maddesine göre veri sahibinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur. Söz konusu beyanın bu Tüzük açısından ihlal teşkil eden hiçbir kısmı bağlayıcı değildir.  Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilmesi gerekmektedir.

Görüldüğü üzere kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca ilişkin, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın veri işleyenin aynı amaç veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir. Aynı şekilde rızanın elektronik araçlarla istendiği durumlarda da bu istek, sade, açık ve uğruna kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır.

Diğer yandan kullanıcıların çevrimiçi sosyal ağların veya web tarayıcılarının gizlilik ayarlarına ilişkin sessiz kalmaları yahut o zamana kadar herhangi bir itirazda bulunmamış olmaları durumunda varsayılan ayarlar geçerli bir rızanın alındığı  anlamına gelmeyecektir.

Aynı şekilde GDPR ile birlikte yapılan yeni düzenlemeye göre veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır. Tüzüğe göre veri sahibi özgürce vermiş olduğu rızasını her zaman geri alma hakkına sahiptir. GDPR ile getirilen bu geniş hak ve yetki veri sahiplerine verilerinin kaderini belirleyebilme konusunda oldukça geniş bir alan sağlarken, veri işleyenlere ise oldukça detaylı sorumluluklar yüklemektedir.

–       Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından geçerli koşullar

GDPR’ ın 8 maddesi ile yeni getirilen düzenlemeye göre veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi durumunda, doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Bu durumda veri kontrolörü mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf etmek zorundadır.

Bu hükümden de anlaşılacağı üzere günümüz çocuklarının bilgi teknolojileri ve sosyal medya kullanımlarına yönelik ileride ortaya çıkması muhtemel bir ihlali gözetilmiştir. Çocukların kişisel verilerinin işlenmesinde 16 yaş sınırı gözetilmiş ve 16 yaşın altındaki çocuklar açısından velayet hakkı bulunan ebeveynden çocukların kişisel verilerinin işlenmesi açısından, ebeveynler ayrıca çocuklar için bir rıza zorunluluğu getirilmiştir.

Veri Sahibinin Hakları

GDPR 13. Maddesine göre “Bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, kontrolör kişisel verilerin elde edildiği anda aşağıdaki bilgilerin tamamını veri sahibine sağlar:

kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri;
uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı;
işleme faaliyetinin, veri sahibinin çocuk olması durumunda , kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler;
varsa, kişisel verilerin alıcıları veya alıcı kategorileri;
uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.


paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör kişisel verilerin elde edildiği anda adil ve şeffaf bir işleme sağlanması için gereken aşağıdaki ek bilgileri veri sahibine sağlar:


kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ya da işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;
işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;
bir denetim makamına şikayette bulunma hakkı;
kişisel verilerin sağlanmasının yasal ya da sözleşmeye bağlı bir gereklilik mi yoksa bir sözleşme yapılması için gereken bir gereklilik mi olduğu ve ayrıca, veri sahibinin kişisel verileri sağlamak zorunda olup olmadığı ve söz konusu verilerin sağlanmamasının muhtemel sonuçları;
profil çıkarma da dahil olmak üzere, otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.


Kontrolörün kişisel verileri bu verilerin toplanma amacı dışında bir amaçla işleme faaliyetine niyet ettiği hallerde, kontrolör söz konusu işleme faaliyetinden önce diğer amaca ilişkin bilgileri ve 2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.
Veri sahibinin halihazırda bu bilgilere sahip olduğu hallerde ve ölçüde, 1, 2 ve 3. paragraflar uygulanmaz.


Veri Sahibinin Haklarının Kullanımına İlişkin Şeffaf Bilgilendirme Ve Bildirimde Bulunma Yükümlülüğünü Veri Kontrolörünün Yapma Zorunluluğu

GDPR’ ın 12. Maddesinde kullanıcı haklarına ilişkin bilgilendirme yükümlülüğü veri kontrolörünün üzerine bırakılmıştır. Buna göre “Kontrolör spesifik olarak bir çocuğa yönelik her türlü bilgi başta olmak üzere işleme faaliyeti ile alakalı olarak, veri sahibinden kişisel verilerin toplandığı hallerde ve veri sahibinden alınmadığı hallerde sağlanacak bilgiler atıfta bulunulan her türlü bilgi ile veri sahibinin verilerine erişim hakkı, düzeltme, kısıtlama ve silme hakkı, itiraz hakkı, profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı kapsamındaki her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak veri sahibine sağlamak için gerekli tedbirleri alır. Bilgileri yazılı olarak veya, uygun olduğu hallerde, elektronik yollar da dahil olmak üzere diğer yollarla sağlar. Kontrolör veri sahibinin haklarının kullanılmasına kolaylık sağlar.”

Aynı şekilde GDPR 24. Maddesine göre “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.”

Bu hükümler birlikte değerlendirildiğinde GDPR kapsamında veri kontrolörleri, kullanıcılarını bilgilendirmek ve sahip oldukları yasal haklar konusunda gerekli hatırlatmaları yapmakla yükümlü olup, aynı zamanda söz konusu yükümlülüklerini gerçekleştirdiklerini belgelemekle de yükümlü tutulmaktadır.

Tüzüğün 25. maddesine göre “Kontrolör, son teknoloji, uygulama maliyeti ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından teşkil ettiği çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygular ve veri sahiplerinin haklarını korur.”

Yine bu hükümler birlikte değerlendiğinde kullanıcılara ilişkin kişisel verilerin, kontrolörün sistemlerinde verisi saklanacak olan kişinin her ne şart altında olursa olsun mutlak suretle izninin alınmış olması gerekmektedir. Bu sistemde herkesin ücretsiz, kolay ve çabuk biçimde dilediği zaman sistemden ayrılma hakkı bulunmaktadır. Bu kuralın ihlal edilmesi durumunda veri kontrolörleri ağır tazminatlar ödemek zorunda kalacaklardır.

Aynı zamanda 25. Maddeye göre veri kontrolörü iç işleyişi ile alakalı politikalarını belirleyerek, veri işlemesine başlangıçtan itibaren veri koruması ve tasarımdan itibaren veri koruması ilkelerini karşılamaya yönelik gerekli tedbirleri almalıdır. Bu ilkeye göre veri kontrolörü, gerek veri işleme vasıtalarının ve yönteminin belirlenmesi sırasında, gerekse veri işleme anında öngörülen veri koruma kurallarının etkili bir biçimde uygulanması için gerekli araçları kullanarak, bulanıklaştırma, takma ad kullanımı, asgari veri işleme v.b. uygun teknik ve yapısal önlemleri almalıdır. Veri kontrolörü kişisel verilerinin veri sahibinin herhangi bir girişimi olmaksızın belirsiz sayıda kişinin erişimine açılmamasını sağlaması gerekmektedir. Kontrolörün bu yükümlülüğü verinin toplandığı süre ve işlenmesi sırasında,  kişisel verinin saklandığı ve veriye erişilebildiği müddetçe geçerlidir.

Zorunlu Veri Koruma Görevlisi

GDPR 37. Maddesine göre “ Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi belirler:

işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;
kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana ”

Bu maddeden de anlaşılacağı üzere 9. Maddede sayılan “Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesinin yasaktır.  Ancak istisnalara binaen işlenmesi halinde her halükarda veri işleyenin alanın yeterli uzmanlık bilgisi olan bir veri koruma görevlisi bulundurması zorunludur ve işleme faaliyetinden bu veri koruma görevlisi sorumludur. GDPR hükmüne göre veri koruma görevlisinin iş akdiyle istihdam edilmesi de mümkün olduğu gibi veri koruma görevlisinin birden fazla şirket veya kamu kurumu adına çalışması mümkündür.

Riskli Veri İşleme Faaliyetleri Bakımından Zorunlu Veri Koruma Etki Değerlendirmesi

GDPR’nin 35. maddesiyle özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapma zorunluluğu getirilmiştir. Bu yeni düzenlemede, özellikle yeni teknolojik veri işleme metodlarının kullanıldığı veri işleme faaliyetlerinin gerçek kişilerin hak ve özgürlükleri bakımından yüksek bir risk içermesinin muhtemel olduğu durumlarda, söz konusu işlemenin kapsamı, niteliği, bağlam ve amacı da dikkate alınarak Tüzük hükümlerine uyumun arttırılması amacıyla veri kontrolörü, öncelikle bir veri koruma etki değerlendirmesi (VKED) yapılmasından sorumlu tutulmaktadır. Maddenin ikinci fıkrasında özellikle profil çıkarma dahil olmak üzere otomatik veri işleme sistemlerinin kullanılması, hassas verilerin işlenmesi veya ceza mahkûmiyeti ve suçlara ilişkin verilerin işlenmesi, kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi halinde VKED yapılması zorunludur.

Buradan da anlaşılacağı üzere kişisel veri işleme faaliyetlerinin GDPR hükümlerine uygun olarak gerçekleştirilmesine yönelik alınacak önlemlerin belirlenmesinde söz konusu VKED sonuçlarının dikkate alınacağı ifade edilmektedir. VKED’ nin özellikle büyük ölçekli işleme faaliyetlerinde gerekli olduğu vurgulanmaktadır.

Ayrıca bir VKED sonucunda, işleme faaliyetlerinin kontrolörün mevcut teknoloji ve uygulama maliyetleri açısından uygun tedbirlerle hafifletemeyeceği yüksek bir riski içerdiğinin ortaya çıkması durumunda, veri işleme faaliyetinden önce veri koruma otoritesine, Türkiye açısından denetim makamı olan Kişisel Verilerin Korunması Kurumuna danışılması gerekmektedir. Denetim makamı olan KVKK bir veri koruma etki değerlendirmesi gerekliliğine tabi olan veya olmayan işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklayacaktır.

95/46 sayılı Direktif’te yer alan veri işleme faaliyetlerinin veri koruma otoritelerine bildirilmesine ilişkin genel hüküm, kişisel verilerin korunması konusunda köklü bir çözümü getirmediğinden yeni düzenleme ile ayrım gözetmeksizin tanımlanan bu genel bildirim yükümlülüğü yerine VKED’nin yapılmasının çok daha amaca uygun olacağı düşünülmektedir.  VKED’de veri kontrolörü, yüksek risk olasılığını ve şiddetini değerlendirmeden önce işlemenin amaç ve kapsamıyla riskin kaynaklarını göz önünde bulundurabilecektir.

Yazan: Asli Telli Aydemir, telli.asli@gmail.com

Genel Veri Koruma Düzenlemesi (Bundan sonra GDPR olarak anilacaktir: General Data Protection Regulation) Avrupa Birliği üyesi ülkelerde 25 Mayis 2018 itibariyle yürürlüğe girdi; düzenlemelere uymayan şirketler ve hizmet aldıklari kurumlar ciddi cezalara tabi olmayan başladilar bile! Düzenlemenin dört yıldır üzerinde uğrasildigi ve son 20 yilin kisisel veri mahremiyeti baglaminda en büyük sivil zaferi olarak nitelendirilmesi tesadüf degil. Cambridge Analytica ve Facebook baglantili skandallarin yillardir es gecilen bilincin isik hiziyla yerlesmesine neden olacagi asikar. Tabii bununla da kalmiyor; kurumlar bugüne kadar hayasizca fetis nesnesi olarak topladiklari verilerin islenmesi icin harcadiklari kapital ve enerjiyi yeni süreci anlamaya harcamak zorunda… Hatta gectigimiz birkac yildir cokca tartisilan “Unutulma Hakki“ gibi konular, artik rutin bicimde takip edilen ve sonuclandirilan talepler olarak degerlendirilecek. Son birkac yilda bu anlamda kazanilan davalar ve dikkat ceken bireylerin farklilik gösteren talepleri, post-kapitalist gözetim toplumunu yöneten carklarin asinmasina neden oldu. Ancak özellikle post-truth ve cok-uzun-okumadim (tl;dr*too-long-didn`t-read) caginda, kisisel veriyle ilgili ince dokunmus bir düzenlemenin ayrintilarini cözmek herkesi sarhos ediyor adeta;)

Arastirmaci anne gözüyle Facebook, Instagram gibi kitle platformlarina bakinca milenyum kusaginin dogumu itibariyle hiper-sosyallestirilmis imgelerden ibaret yasamlari carpiyor gözüme. GDPR düzenlemesi çocukların verileriyle ilgili bazı özel şartlar getiriyor. Cocugum yanibasimda Türkiye fiziksel cografyasinda yasiyorum demeyin; aslinda uyku disindaki zamaninizi cografi sinir tanimayan dijital aglarda geciriyorsunuz ve eminim 25 Mayis arifesinden beri yüzlerce mahremiyet uyarisi aldiniz, kah e-posta hesabinizda, kah taradiginiz web sayfalarinda, kah cevrimici haber sitelerinde… Gelin, birlikte bakalim:

“Çocuklar kişisel verilere ilişkin belirli bir korumayı hak ederler, çünkü söz konusu risklerin, sonuçların ve güvencelerin; kişisel verilerin işlenmesine ilişkin haklarının daha az farkında olabilirler. Bu tür bir özel koruma, özellikle, çocuklara yönelik sunulan hizmetler kullanılırken, çocukların kişisel bilgilerini kişisel olarak pazarlama veya kişilik ya da kullanıcı profilleri oluşturma ve çocuklarla ilgili kişisel verilerin toplanması amacıyla kullanmalıdır. Ebeveyn sorumluluğu tasiyan kisinin rızası, doğrudan sunulan önleyici jest veya danışmanlık hizmetleri bağlamında gerekli olmamalıdır. ”

Bu açıklamanın çok büyük bir payı olsa da, sadece GDPR`in yol gösterici bir uygulamasıdır, ancak yasal baglayicilik icermez. Yakın tarihli bir London School of Economics Medya Politikası Projesi yuvarlak masa toplantısında, işleyişin yasal temeli, bilgi toplumu tanımıyla ilgili karışıklık olmasa bile yorumlanmaya tabi oldugunu gösterdi. Madde 8’de “doğrudan çocuklara sunulan” ifadesinin anlamı (çocuklar için “dijital rıza onayı” olarak adlandırılan), çocukların profili ile ilgili kurallar, ebeveynlerin rızasının nasıl doğrulanacağı (rıza yaşından küçük çocuklar için) ve risk bazlı etki değerlendirmelerinin ne zaman ve nasıl yapılacağı muglak kaldi. Ayrıca, uygulamanin, çocukların haklarını talep etme veya mahremiyet ihlal edildiğinde tazminat talep etme konusunda nasıl etkinleştirileceği de açık değildir.

Önümüzdeki aylarda düzenlemenin isleyisiyle ilgili tablo ortaya cikacak. Çocukların kendi kişisel verilerinin nasıl kullanıldığına dair veri okuryazarlıklarının 11-16 yaş arası yıllar boyunca nasıl geliştiğini görecegiz. Ama bir yandan da isimiz var, yapilabilecekler cok: (1) çocuklarla odak grup araştırması yaparak nasıl keşfettiklerini araştırmak için yeni projeler gelistirmek; (2) politika ve eğitim / farkındalık yaratma önerilerini formüle etmek için çocuklarin katilimiyla müzakere panelleri düzenlemek; ve (3) çocukların dijital gizlilik becerilerini ve farkındalığını desteklemek ve tanıtmak için çevrimiçi bir araç seti oluşturmak…Musterek veri kültürü olusturmak icin tabandan ve yatay örgütlenmeyi bir kez daha hatirlatiyor bize genc kusak.

GDPR’nin çocukların gizliliğini ve verilerini korumak için nasıl islev gösterecegini yakından izlemek gerekiyor. Hazirda bazı sürprizler var. İngiltere’de 12-15 yaş grubundakilerin% 24’ü tarafından kullanılan WhatsApp, Avrupa’daki birçok ülkede dijital rıza yaşının 13’e ayarlanmış olmasına bakılmaksızın, hizmetlerini 16 yaşından büyüklere kısıtlayacağını açıkladı. Avrupa`da dijital rıza yaşı uzunca bir süre once 13 olarak belirlendi. Instagram ise hesap acarken veya link baglantili/Facebook entegre olarak kullanilirken 18 yas sinirinda set cekmis durumda. Belki de bu, Birleşmiş Milletler Çocuk Hakları Sözleşmesi’nin (UNCRC) belirledigi sinir olarak uygulanmakta?

Bu gibi değişiklikler, etkili yaş doğrulamasının şimdi yürürlüğe konulacağı anlamına mı geliyor yoksa GDPR, çocukların katılım haklarının bir parçası olarak, yararlı hizmetlere erişmek için yaşlarını yalanlamaları için istenmeyen bir teşvik haline mi gelecek? Bu onları daha iyi nasıl koruyacak? Peki bu karmaşıklaştırıcı manzara dijital okuryazarlıklar adina ne anlama geliyor, okulların çocuklara internet ile nasıl eleştirel etkileşime gireceklerini öğretmesi mümkün olacak mi? Türkiye örneginde oldugu gibi ögretmenlerin bu konudaki eksikliklerinin ivediyetle tamamlanmasi, daha da önemlisi egitim ve bilisim politikalarinin bu yönde düzenlenmesi gerekiyor. Belli ki okul basarisinin, PISA skorlari ve günü kurtaran sinavlardan alinan yüksek puanlara bagli olarak sekillenmedigi günler coktan geldi; ayni anda izlenen ekranlar cesitlendi (binge-watching), veri okyanuslari dalgalandi- Yasamlarimiz film seridi hizinda akarken, ne kadarinin seyirlik olduguna biz internaut`lar (interneti sekillendiren bireyler) karar vermeye basladik; NIHAYET!

Isinizi Kolaylastiracak Kaynaklar

*EDRi (European Digital Rights Initiative) ilgili blog post (Ingilizce): https://edri.org/a-guide-individuals-rights-under-gdpr/

*Dijital kürasyon yapan aktivistler, veri arastirmacilari ve uzmanlari icin EDRi direktörünün katildigi kompakt bir GDPR haberi (Ingilizce):  https://www.youtube.com/watch?v=pKvcZz8TKuE

*Ilgili sosyal medya kampanyasi icin: https://twitter.com/edri/status/1004367305034235905

*Kamu yararina acilmis konuyla ilgili websiteleri: https://gdprexplained.eu ve  https://timetodisagree.eu

* Cocuk haklari ve mahremiyetiyle ilgili Ingiltere`de yürütülen calismalarla ilgili bir blog post:  http://blogs.lse.ac.uk/mediapolicyproject/2018/05/25/what-will-the-general-data-protection-regulation-gdpr-mean-for-childrens-privacy-and-rights/

YERSİZ ŞEYLER

Twitter’da “parodi hesap” diye bir pratik türedi: Bilinmeyen bir kişi bir siyasetçinin ismini ve resmini kopyalayarak onu taklit eden bir Twitter hesabı oluşturuyor. Sonra da adeta o siyasetçi söylemiş gibi mesajlar göndererek insanları (yüzlerce, binlerce, yüzbinlerce insanı) kandırmaya başlıyor. Gerçek ve taklit hesapları ayırt etmenin en kolay yolu, isminin yanında mavi “verified” (doğrulanmış) işareti olup olmadığına bakmak. Bu konuda bilgilendirici bir cıvıltı hazırlamıştım.

Bilindiği gibi sosyal medya (özellikle Twitter ve Facebook) günümüzde güncel siyasette küçümsenemeyecek bir rol üstlenmektedir. Özellikle geçtiğimiz on yıl içinde sosyal medya, bir yandan vatandaşların duygu ve düşüncelerini açıkça ifade edebildikleri bir yere dönüşürken, öbür yandan bu ifadelerin sık sık çatışması/zıtlaşması yoluyla siyasî polarizasyon/kutuplaşmanın da en belirleyici odak noktası olmuştur.

View original post 463 kelime daha

*AccessNow’ın 14 Mayıs 2018 tarihli ‘Türkiye-FinSpy Raporu’ndan

Özetleyen: Derya Güçdemir, H.Ü.SBE. Y.lisans öğrencisi

Alman şirketi FinFisher, geliştirdikleri FinSpy isimli kötü yazılımı Türkiye’deki Adalet Yürüyüşü protestolarına ve muhalif görüşlere karşı kullanmış olmakla suçlanıyor.

Kullanıcıların dijital haklarını savunmayı hedefleyen Access Now’ın yayınladığı rapora göre, FinFisher’ın geliştirdiği kötü yazılım saldırıları sonucunda, yazılımı mobil cihazları hedefleyerek toplum mühendisliği kampanyalarının bir parçası olarak kullandı ve saldırıların ölçeğini ve saldırganlığını artıran taktikler kullanarak Adalet Yürüyüşü protestolarında ana muhalefet partisini hedefledi.

Almanya, Münih’de 2008 yılında kurulan FinFisher, web sitesinde terör ve suçu engellemek ve araştırmak için kolluk kuvveti ve istihbarat kurumu ile özellikle işbirliğinde bulunduğunu, yazılımlarını yerleştirme yöntemlerinin en yeni bilgisayarlar, akıllı telefonlar, tabletler ve en çok kullanılan işletim sistemlerini kapsadığını ve kendilerinin hükümete bilgi teknolojileri ihlali ve uzaktan izleme çözümleri sağladığını belirtmektedir. Misyonlarının organize suça karşı başarılı operasyonlar gerçekleştirmek için birinci sınıf bilgi ve siber çözümler sağlamak olduğunu ve nötr değer (value-neutral) taşıyan teknolojiler ürettiklerini söyleseler de, teknolojilerinin baskıcı rejimler tarafından kullanılması ve ürünlerini insan haklarını ve bilginin özgürlüğünü ihlal etmek için kullanmış olan ve kullanan hükümetlere satmasından dolayı demokrasi, insan hakları ve ifade özgürlüğü konularında eleştirilerin hedefi haline gelmiştir.

Peki, saldırı nasıl gerçekleşti? Casus yazılımın kişilere yayılmasını sağlamak amacıyla, yürüyüşün orijinal web sitesi olduğu iddia edilen ‘adaleticinyuru.com’ isimli siteye internet trafiğini yönlendirmek için Twitter hesapları açtılar. Bu Twitter hesaplarından, protestoyu destekler paylaşımlarda bulunan kişiler, yürüyüş ile ilgili popüler etiketler kullanarak, insanlara cevap vererek, insanları iktidar partisine karşı direnmek için cesaretlendirerek ve kötü amaçlı siteye link ile yönlendirerek web sitesinin tanınırlığını ve yayılımını artırdı. Facebook’da da aynı kötü amaçlı link paylaşıldı. Bunun asıl amacı insanları kötü niyetli siteye çekmek ve CHP’nin Twitter hesaplarını hedeflemek olsa da, aynı zamanda takip kitlesi küçük ya da büyük fark etmeksizin yürütüşte bulunan herhangi bir Twitter kullanıcısına FinSpy isimli kötü amaçlı yazılımı sevk etmekti.

Saldırıda kullanılan sahte Adalet Yürüyüşü sayfası, ziyaretçileri bir çeşit Android uygulaması olduğu sanılan uygulamayı indirmeye ikna etmek için tasarlanmıştı. Uygulamanın tam olarak ne olduğu açıklanmasa da, saldırganlar uygulama ile ilgili genel bir bilgi paylaşarak kitleyi yürüyüşe katılmaya çağırdı. Uygulama yüklendiği zaman “cloud service” (bulut hizmeti) etiketi ve Android imgesiyle ana ekranda görülmektedir –bu şekilde güvenilirliklerini temin etmişlerdir-, kullanıcı uygulamayı açtığında ya da cihaz yeniden başlatıldığında, kötü amaçlı yazılım kendisini ana ekrandan kaldırmaktadır. Bunun amacının uygulamanın fark edilmesini engellemek ya da kişi uygulamayı araştırmayı bırakana kadar ortaya çıkabilecek şüpheyi engellemek ya da kişinin uygulamayı indirdiğini ve yüklediğini unutmalarını sağlamak olarak değerlendirilmektedir.

Bunun dışında, saldırı için diğer Twitter hesaplarını da kullandılar. Başka bir saldırgan Adalet Yürüyüşü’nün resmi Twitter hesabı olarak (@Adalet_icinYuru) isimli hesabı kullandı ve sahte Adalet web sitesinin linkini profiline ekledi. Böylece Twitter hesabını ziyaret eden herhangi bir kişiyi, profilde verilen linkin yürüyüşün resmi web sitesi olduğuna inandırmaya yönlendirdi. Twitter hesabından yürüyüşe ait gerçek içeriklerle ilgili retweetler paylaştılar. Raporda, Adalet Yürüyüşü’nden önce protestonun katılımcılarını hedeflemeyi amaçlayan başka Twitter hesaplarının olduğu da belirtilmektedir. Kötü amaçlı kampanyaya katılmaya kandırılan Twitter kullanıcılarının kim olduğunu ayırt etmenin zor olduğu söylenmektedir.

Ayrıca, protestoyu destekleyen bazı Twitter hesaplarının protestodan çok daha önce oluşturulduğu görülmektedir. İlginç bir şekilde, bu hesapların ilk baştaki paylaşımlarının anti-Gülen tweetleri olduğu, Emniyet Genel Müdürlüğü’nün tweetlerini desteklediği ve Adalet Yürüyüşü protestoları ile hükümet yanlısı tweetler atmayı bıraktığı ve çeşitli CHP hesaplarını takip etmeye başladığı (CHP’nin tweetlerine kötü amaçlı link ile cevaplar vererek) belirtilmiştir. Bahsedilen profilin Türkçe bir botnet ile ilişkili olduğu, benzer Twitter hesaplarından ve kurgusal personalardan oluşan bir ağ şeklinde düzenli olarak aynı içeriği paylaştığı, aynı hesaplardan içerikleri retweet ettiği ve birbirlerinin tweetlerini desteklediği ortaya konmuştur. Rapor, bahsedilen botnet aktivitesinin siyasi olarak yönlendirildiği, Recep Tayyip Erdoğan’ı ve güvenlik güçlerini destekleyen hesaplara odaklandığı, CHP’yi kötülediği ve Türkiye’nin mevcut dış politikadaki pozisyonunu olumladığını söylese de, botnetin amacının ne olduğunu kavramanın güç olduğunu, çünkü bu hesapların kısmen aktif olduğunu ve sınırlı durumlarda düzensiz bir şekilde kullanıldığını belirtmektedir.

Şirket kullanıcılara Twitter hesapları aracılığıyla ulaşarak ve kullanıcıları sahte kötü amaçlı yazılmış web sitelerine çekerek, FinSpy isimli casus yazılımı kişilerin cihazlarına yerleştirdi. FinSpy’ın ele geçirme kapasitesi ve yapabilecekleri ise adres defteri bilgisinin, takvimin ve telefon görüşmesi kayıtlarının toplanması; dosyaların, ekran görüntülerinin ve fotoğrafların toplanması; konumun izlenmesi; kurbanın mikrofonunun gizlice dinlenmesi ya da (FinFisher şirketinin terminolojisinde SpyCall ‘casus arama’ olarak ifade edilen) gizli aramaların yerleştirilmesi; ayrıca Line, WhatsApp, Viber, Telegram, Skype, Facebook Messenger, Kakao ve WeChat gibi mesajlaşma uygulamalarından toplanan iletişim ve medya dosyaları olarak sıralanmaktadır. Böylece, uygulamayı indiren ya da web sitesini ziyaret eden kişilerin cihazlarına bulaşmış olan kötü yazılım ile kişilerin mesajları, medyaları, görüşmeleri ve lokasyonları dinlenmiş ve takip edilmiştir. Bu durumdan etkilenen ne kadar kişi olduğu ya da kimlerin etkilendiği bilinmemekte. Sadece yürüyüşe katılan ya da protestoyu destekleyen bireylerin değil, CHP’li milletvekillerinin konuşmalarının veya yazışmalarının da takip edilmiş olması muhtemel.

Sonuç olarak, raporda, Access Now’ın yaptığı operasyonlar sonucunda, FinSpy’ın Türkiye’de Adalet Yürüyüşü boyunca insan hakları savunucularını ve aktivistleri hedeflemek için kullanıldığı, yazılımın başka bir uygulamanın arakasına gizlendiği ve Twitter ve diğer sosyal medya platformları aracılığıyla yarı-otomatik kampanya ile dağıtıldığı sonucuna varılmıştır. Raporda FinSpy’ın, Türkiye’de vatandaşların gizlilik, ifade özgürlüğü ve fikir hakkını zayıflatma niyetiyle kullanıldığı belirtilmektedir.

Konuyla ilgili FinFisher isimli şirketten bir açıklama henüz yapılmadı. Adalet Yürüyüşü için bu gözetimi kimin talep ettiği de henüz bilinmiyor. Cumhuriyet Gazetesi’ndeki habere göre, CHP milletvekilleri konuyu mecliste araştırma önergesi haline getireceklerini belirtti. Ulaştırma, Denizcilik ve Haberleşme bakanı Ahmet Arslan ise “bakanlık olarak böyle casus yazılım almalarının söz konusu olmadığını” söyledi. Değinilmesi gereken bir nokta ise, CHP milletvekili Zeynep Altıok Akatlı’nın konuyu soru önergesi ile 11 ay önce gündeme taşımış olması.

Son görüş olarak, şirketlerin gerek kar gerek gözetim amaçlı birbiri ardına ortaya çıkan gizlilik ihlallerinin gelişen teknolojiler ile ilgili olduğunu düşünebiliriz, fakat aynı zamanda şirketlerin eylemlerini gözeten ve ihlalleri ortaya çıkaran gruplar ve savunucuların artan çabaları ile de ilgili olduğunu, konunun görünürlüğünün arttığını da gözden kaçırmamalıyız.

Access Now raporda sosyal mühendislik kavramını, “insanların sosyal araçlar ya da etkileşimler ile manipüle edilmesi” ve  “genellikle toplum mühendisliğini yapan bireye ya da kuruluşa, kaynağa ya da yere erişim sağlayan bazı eylemleri gerçekleştirmesi” olarak tanımlamaktadır.

http://www.wiki-zero.net/index.php?q=aHR0cHM6Ly9lbi53aWtpcGVkaWEub3JnL3dpa2kvRmluRmlzaGVy

Oxford Dictionaries, botnet kelimesini kötü amaçlı yazılımın bulaştığı özel bilgisayarlardan oluşan ve kişinin bilgisi olmaksızın bir grup tarafından kontrol edilen bir ağ olarak tanımlamaktadır.

Raporda WhatsApp, Facebook, Telegram, SMS ve çeşitli mesajlaşma uygulamalarına ait bilgilerinin nasıl ele geçirildiğini gösteren tablolar mevcuttur.

Kaynak: 

https://www.accessnow.org/european-made-finspy-malware-is-being-used-to-target-activists/

Neredeyse bir iç savaş çıkartma girişimi olan meşum Kabataş iftirasının kaynağı internet miydi yoksa geleneksel medya kanalları mıydı?


Doç.Dr. Erkan Saka

Kadir Has Üniversitesi Yeni Medya bölümü asılsız haberlerle mücadele konusunda Facebook ile sürdürdüğü işbirliğinin bir parçası olarak konuyla ilgili bir grubu bu hafta bir araya getirdi. Programın ilk iki saatine katılabildim ve bu sürede aldığım notlardan bu yazıyı hazırladım. Facebook yetkilileri bu konuda özellikle de seçim yaklaşırken aldıkları önlemleri anlatacaklardı daha sonra ama o kısma ben katılamadım. Seçimlerin ilanının çok hızlı gerçekleşmesi, ABD seçimlerinden sonra dünyadaki en büyük seçimlerden birinin Türkiye’de olacak olması Facebook’un alacağı önlemleri hayatî hâle getiriyor. Önümüzdeki günlerde bu konuda somut olarak ne yapacaklarını duyurabilirler.

Öncelikle böyle bir toplantıya beni de davet ettikleri için Yeni Medya bölümüne teşekkür ederim. Katılabildiğim kısımda konuşma fırsatım olamadı ama buradan aklımdakileri paylaşacağım.

1) Asılsız haber (ya da farklı şekilde kullanılan kavramsallaştırmaları) meselesini içinde bulunduğumuz kültürel ve siyasî ortamdan ayrı düşünemeyiz. En ideal haberciliğin yapıldığı durumda bile vatandaşların haberle olan ilişkisi kendi ideolojik ve kültürel konumlanmalarından ayrı düşünülemez. Defalarca yanlışlığı belirtilmiş enformasyon partizan amaçlar uğruna paylaşılmaya devam ediyor. Hele de bu enformasyon iktidar çevrelerinin işine geliyorsa bunu önlemek imkânsız gibi. Ayrıca başka bir bağlamda, daha önce yine P24’e yazdığım üzere medya en kolay günah keçisi. Ortaya çıkan bütün ifşaatlara rağmen Trump’ın ABD Başkanı seçilmesinde sosyal medyanın o kadar da etkili olduğuna inanmıyorum. Hattâ bir skandal seviyesinde olsa bile Cambridge Analytica’nın da seçimleri, sonucu değiştirecek kadar etkilediğini kanıtlamak zor. Belki yeni zamanlarda medyanın etkileme kapasitesi üzerine daha çok kafa yormak gerek. Tabii, ağır Facebook ve Google eleştirisi yapmak bugünlerde prim yaptıran bir durum. Pek de bir sonuca vardıracak olmasa da dramatik ve bazen apokaliptik çıkarımlarla tam da eleştirdikleri pozisyonlara düşen kişileri sıkça görmeye başladık.

2) Asılsız haber meselesi ülkeden ülkeye farklı konumlanmalar içinde olabilir. Örneğin Türkiye’de asılsız haber kaynağı öncelikle neresidir? Neredeyse bir iç savaş çıkartma girişimi olan meşum Kabataş iftirasının kaynağı internet miydi yoksa geleneksel medya kanalları mıydı? Buna benzer birçok yaygın asılsız haberin kaynağı hâlâ geleneksel medya görünüyor.

3) Tam da etki konusuyla ilişkili olarak şunu yeniden düşünmek gerek. Asılsız haber çok hızla yayılabilir ama güvenilir bir haber kaynağı daha geç haber yapsa da asılsız haberin etkisini büyük ölçüde kırabilir. Hızla yayılması o haberin aynı hızla bir sonuca yol açacağı anlamına gelmez. Birçok okur eyleme geçmeden önce daha güvenilir kaynakları kontrol ediyor ve bu kaynaklar bir süre sonra tamamen medya gündemini belirliyor. Profesyonel gazetecilerin haberi yarım saat daha geç girip gündemi yine de belirleyebilmesi mümkün. Hız ve güvenilirlik ilişkisine yeniden bakmak gerek.

4) Göründüğü kadarıyla tüm gelişmelere rağmen yapay zekâ bu işi tek başına çözebilecek durumda değil. Algoritmalar sürekli yenilense de bir insan gücüne ihtiyaç var. Facebook, Google ve Twitter gibi devler sivil inisiyatiflerle işbirliği yapabilir. Aslında bir tür sosyal gözetim mekanizması, bir kolektif akıl devreye girebilir. İyi bir geribildirim mekanizmasıyla enformasyon doğrulama konusunda yetkinlik kazanmış çevreler fark yaratacaktır.

5) Veri aktivizmi olarak tanımlanabilecek faaliyetler: Enformasyon akışına karşı güvenilir ya da düzenlenmiş bilgiye ulaşılabilecek alanlar yaratılması hayatî bir konu. Wikipedia gelmiş geçmiş en güzel örnek olarak karşımızda duruyor. Daha küçük ve niş alanlarda benzer işler yapılabilir ki birkaç projemizi de önümüzdeki günlerde duyuracağım.

6) “Eğitim şart” klişesine rağmen ülke çapında seferberliğe devam edilmesi gerektiğine inanıyorum. Konferans şeklinde değil ama dijital okuryazarlığı yayacak her çabanın sürece katkısı olacaktır. Ulaşılabilen tek bir yerel gazetecinin bile etkisi bazen kritik olabilir.

7) En hayatî durumlar dışında cezaî yaptırımlar söylemi ters tepecek bir alan olabilir. Bu alanda bir kanunî düzenleme otoritelerin bunu manipüle edip muhalefete yönelik bir tehdide dönüştürmesiyle sonuçlanacaktır.

8) Yeni iş modellerinin geliştirilmesi elzemdir. Zaten bu bağlamda bu sitede de benzer sitelerde de artan içeriği görebiliyorsunuz. Nasıl ki Netflix, Spotify vb Türkiye’de abone kazanabiliyor, belki Türkiye’deki haber okuruna da bir şans vermek lazım…

Kaynak:
http://platform24.org/etkinlikler/yazarlar/3047/internetteki-asilsiz-haberlerle-mucadele

(Yazarın izniyle)

 

[image error]

Günümüz teknolojileri ile akıllı telefon sahibi herkes amatör düzeyde kendi filmini yapabilecek koşullara sahip. İzlenebilir bir film için yine de teorik ve pratik bilgilere ihtiyacımız var. Bu atölye ile katılımcılar temel sinematografi bilgisi ve kullanılacak applicationlar için uygulamalı pratik bilgiye sahip olabilecek.

Tarih

17 Mayıs 2018 (Perşembe)

Atölye Programı

10:30 – 16:3 0

Akıllı Telefon İle Çekim ve Kurgu Teknikleri

Uygulamalı Çekim ve Kurgu

Sosyal Medyada Video Paylaşımı

Yer

Hacettepe Üniversitesi İletişim Fakültesi Dijital Hikaye Anlatımı Atölyesi

(Beytepe Kampüsü – Edebiyat Fakültesi Binası)

Detaylar

Atölyeye katılımlar ücretsizdir. 15 kişi ile sınırlıdır.

Başvurular: iletisimproduksiyonatolyesi@gmail.com (15 Mayıs 2018’e kadar)