Bugün hayatımızın her yerinde kullandığımız, hayatımızı kolaylaştıran, karşılığında haberimiz olmaksızın kişisel verilerimizi işleyen ve her şeye rağmen kullanmaktan vazgeçemediğimiz akıllı casus asistanları (A.C.A) her geçen gün daha fazla tanıyoruz.

Geçtiğimiz yılın ortasında Harishankar Vakası ile gündeme gelen bir mühendis, kendi modeminin internet protokol takımı geçmişini incelediğinde, evini temizleyen robot süpürgenin aslında evinin haritasını Google ile iletişime geçerek haritalandırdığını tespit etti. Mühendis, Android Hata Ayıklama Köprüsü’nün (ADB) tam kök erişimi verdiğini ve bu erişimin herhangi bir şifreyle korunmadığını keşfetti.  Bunun üzerine robot süpürgenin en basit haliyle internete erişimini kesmesiyle, adeta açığa çıkmış bir casus gibi çalışmayı kestiğini ve robot süpürgenin misyonunun göründüğü kadar masum olmadığını, bütün evinin haritasını yurtdışına aktardığını fark etti. Ayrıca ADB bağlantılarının şifrelenmemiş olması sebebiyle kötü niyetli kişilerin kendisinin haberi olmaksızın süpürge üzerindeki kamera aracılığıyla görüntü verilerini ve aynı ağ üzerindeki veri paketlerini kullanarak farklı verilere erişebileceğine ilişkin güvenlik açığını ortaya çıkardı.

Bugünlerde ise ABD Bölge Yargıcı Beth Labson Freeman’ın gündeminde farklı bir A.C.A yer alıyor: Google Asistan. İhtiyacımızın olduğu anlarda bir ses kadar bizlere uzakta olan Google Asistan, Hey Google! komutunun yanı sıra, bir fermuar sesi, bir yaprak hışırtısı, mutlu aile toplantılarında komik bir şaka sonrası yükselen kahkaha sesleri kadar bizlere yakın olabilir mi? Bunun incelendiği davada Google tarafından 68 milyon dolarlık uzlaşma teklifi şu an gündemde. Kaldı ki, çok yakın bir tarihte benzer kuşkularla Siri üzerinden Apple’a yöneltilen davada 95 milyon dolarlık teklif kamuoyunda ses getirmişti. Benzer tartışmalar ayrıca kaleme alınması gereken Apple’ın Illinois Biometric Information Privacy Act (BIPA, Biyometrik Verilerin Gizliliği Yasası) ihlali iddiasıyla devam eden yargılama için de söz konusudur.

Google hakkındaki iddialar, Google Asistan'ın, kullanıcıların Okay Google gibi bir anahtar kelimeyle Google Asistan'ı kasıtlı olarak veya cihazlarını manuel olarak etkinleştirmediklerinde bile iletişimi etkinleştirebileceği ve kaydedebileceği yönünde. Davacılar bu tür durumları False Accepts olarak yani yetkisiz bir kullanıcının yanlışlıkla kabul edilmesi olarak adlandırıyor ve Google'ın, Google Asistan'ın konuşma tanıma yeteneklerini geliştirmek için False Accepts’lerden elde ettiği kullanıcı ses kayıtlarını hukuka aykırı olarak topladığını, kullandığını ve ifşa ettiğini iddia ediyor.

Davada, Google'ın bu davranışının, Google'ın Gizlilik Politikasında kullanıcılara taahhüt ettiği gizlilik güvencelerini ihlal ettiği ve hukuka aykırı bir uygulama olduğu iddia ediliyor. Davacılar, Google'ın sözleşme ihlali ve Kaliforniya Haksız Rekabet Yasası'nı (Cal. Bus. & Prof. Code § 17200) ihlal ettiği iddiasıyla tazminat talebinde bulunuyor. Davacıların tüm iddiaları Google tarafından reddedilirken, gelinen aşamada yargılamanın uzun sürmesi, yargılama devam ederken finansal riskin öngörülememesi ve bu iddiaların hızlı bir şekilde ortadan kalkmasını sağlamak amacıyla 68 milyon dolarlık uzlaşma teklifi, ABD Bölge Yargıcı Beth Labson Freeman’ın onayını beklemektedir. (Link)

Yurtdışında bu kadar gündemde olan bir konunun Türkiye’de milyonlarca kullanıcısı olan bu A.C.A’lar yönünden re’sen araştırma yetkisi olan Kişisel Verileri Koruma Kurumu (KVKK) tarafından henüz gündeme alınmamış olması ayrı bir eleştiri konusudur. Ancak bu durum, Türkiye’de bilişim sistemleri aracılığıyla veri işleyen veri sorumlularının, Apple ve Google’ın karşı karşıya kaldığı riskle karşılaşmayacağı sonucunu doğurmamaktadır. Zira, KVKK tarafından yayınlanan Kişisel Veri Güvenliği Rehberi, Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler veya Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler gibi rehberlerle veri sorumlularının uymaları gereken ilke ve esaslara dikkat çekilmektedir. (Link) Her ne kadar bu tavsiyeler normlar hiyerarşisinde kendisine yer bulamasa da KVKK tarafından yapılacak incelemelerde bu tavsiyelere uyulup uyulmadığının da denetleneceğinde şüphe bulunmamaktadır.

Veri sorumluları Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12. maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu noktada Bilişim Hukuku’nun dinamizmi de göz önünde bulundurulduğunda alınabilecek teknik ve idari tedbirlerin sınırlı sayıda olduğunu söylemek mümkün değildir. Ancak bu tedbirlerin başında Kanun’un da emrettiği üzere, veri işleme faaliyetinin dar yorumlanması, olabildiğince az ve veri işleme amacına uygun şekilde veri işlenmesi gelmektedir. Bununla birlikte, veri işleme faaliyetini yürüten ilgili kullanıcıların yetki matrisinin belirlenmesi, erişim loglarının denetlenmesi ve saklanması, ağ güvenliğinin sağlanması, sistemin sızma testlerinin yapılarak düzenli olarak zararlı yazılımlara karşı denetlenmesi, güvenlik duvarı ve antivirüs sistemlerinin güncellenmesi ve veri işleme amacının ortadan kalkması akabinde belirlenen veri işleme politikası doğrultusunda verilerin imha edilmesi alınması gereken temel tedbirlerdir.

Google davasının dayandığı temel iddia olan False Accepts’lerin veri sorumlusunun alması gereken tedbirleri almadığını açıkça ortaya koymaktadır. Bu False Accepts’lerin bilinçli olarak sistemde bırakılması, başta Google’ın kendi Gizlilik Politikasında kullanıcılara verdiği güvenceleri ihlal ettiği, Aydınlatma yükümlülüğünü yerine getirmediği, veri işleme amacını belirlenebilirlikten uzak bir noktaya taşıdığı, veri işleme amacını gerçekleştirmeye elverişli, meşru ve ölçülü bir işleme faaliyeti olmadığı öne sürülebilir. Bu durumun teknik bir yetersizlikten kaynaklandığı kabulünde dahi, veri sorumlusunun bu yetersizlikten sorumlu olmayacağı düşünülemez. Zira bu durum, False Accepts’lerle ilgili kişilerin devamlı olarak kayıt altına alınması durumunu gündeme getireceğinden veri sorumlusunun başta özel hayatın gizliliği olmak üzere kişinin maddi ve manevi varlığının korunması gibi diğer birtakım temel hak ve özgürlüklerinin ağır ihlali niteliğindedir. (Kişisel Verileri Koruma Kurulunun 24/08/2023 Tarihli ve 2023/1461 Sayılı Kararı)

Gerekli tedbirlerin alınmaması sebebiyle ortaya çıkan bu durumlar aynı zamanda ceza hukuku bağlamında da “Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması”, “Haberleşmenin gizliliğini ihlal”, “Bilişim sistemine girme” suçlarının oluşmasına elverişli fiillerdir. Bu nedenle, veri sorumlularının, girişimcilerin ve start-up’ların gerekli tedbirleri alma noktasında hassas davranması büyük önem taşımaktadır. Konu yalnızca idari boyutuyla değerlendirilmemeli, bu eylemlerin cezai sorumluluk doğurabileceği ve kişilik hakları ihlal edilen kişilerin tazminat hakları da göz önünde bulundurulmalıdır.

Bu bakımdan A.C.A. kullanıcılarının, veri ihlallerinin önüne geçmek amacıyla öncelikle Anayasal güvence altındaki haklarını bilmeleri ve bu konudaki güncel çalışmaları yakından takip etmeleri gerekmektedir. Kullanıcılar, işlenen her bir verinin kümülatif olarak profilleme gibi faaliyetleri kolaylaştırdığını ve bu verilerin asla önemsiz olmadığını gözetmelidir. Mümkünse bu tarz cihazların ana ağdan izole edilerek farklı bir ağda tutulması ve antivirüs yazılımlarının kullanılması gibi kişisel tedbirlerin alınması, hukuka aykırı veri işleme faaliyetlerine maruz kalma ihtimalini en aza indirecektir.