Tüketiciler kutuları işaretlemekten o kadar yorulmuş ki, politikaları bile okumuyorlarsa, rıza/onay formları tek başına pek bir şey ifade etmiyor. İşletmeler üçüncü taraf araçlarıyla müşteri deneyimini geliştirmek için yarışırken, Genel Veri Koruma Yönetmeliği’nin[1] (General Data Protection Regulation) onay koşulları kritik bir kör noktayı gözden kaçırıyor: komut dosyası tabanlı veri hırsızlığının artan tehdidi (the growing threat of script-based data theft).
Genel Veri Koruma Yönetmeliği’nin resmen yürürlüğe girmesinden bu yana altı yıldan biraz fazla zaman geçmiştir. Avrupa Parlamentosu ve Avrupa Birliği Konseyi tarafından kabul edilen Genel Veri Koruma Yönetmeliği, bireylere verileri üzerinde daha fazla kontrol sağlamak ve daha özellikli olarak, kişisel bilgilerinin bir hizmet sunmak için gerekenler dışında herhangi biriyle ve herhangi bir amaçla kullanılmayacağı veya paylaşılmayacağına dair güvenceler sağlamak için oluşturulmuştur. Genel Veri Koruma Yönetmeliği ayrıca insanlara, ihlalde bulunan Avrupa Birliği’ndeki (AB) herhangi bir işletmenin sorumlu tutulacağı şekilde, reddetme veya unutulmayı isteme yetkisi de verecekti.
Genel Veri Koruma Yönetmeliği, tanıtıldığı günden bu yana veri gizliliği konusunda farkındalığın artmasına ve işletmelerin daha fazla koruma önlemi ve gizlilik politikası benimsemesi ihtiyacına kesinlikle yardımcı olmuştur. Ve birçok izleyici, yalnızca ihlal edenlere kesilen ağır para cezalarına dayanarak düzenlemeyi başarılı ilan edebilir. Bunlar arasında, 2023 yılında 1,3 milyar dolar ile şimdiye kadar verilen en büyük Genel Veri Koruma Yönetmeliği para cezasına sahip olan Meta da yer alır. Ceza alan diğer işletmeler arasında Amazon (780 milyon dolar), TikTok (377 milyon dolar), WhatsApp (247 milyon dolar), Google (99 milyon dolar), H&M (39 milyon dolar) ve daha fazlası yer almaktadır.
Ancak bu yüksek profilli ihlalleri aştığınızda, Genel Veri Koruma Yönetmeliği’nin yetersiz kaldığı ve düzenlemenin orijinal misyonunu başarmak istiyorsak hâlâ yapılması gereken işler olduğu daha da netleşmektedir. Başlamak için harika bir yer, bireylerden düzenlemeye uygun olarak verilerini toplamak ve işlemek için açık izin almak için kullanılan Genel Veri Koruma Yönetmeliği’nin onay formu yükümlülükleridir. Formlarda aşağıdaki sorular yanıtlanmalıdır:
- Veriler neden toplanıyor ve nasıl kullanılacak?
- Hangi tür kişisel veriler toplanıyor?
- Verileri hangi kuruluş topluyor ve varsa hangi üçüncü taraflar verilere erişebilecek?
- Kişi rızasını özellikle ne için verdiğini anlıyor mu?
Bu sorulara ve diğerlerine verilen yanıtlar o zamanlar yeterli görünmüş olabilir, ancak birkaç nedenden dolayı hedefi tutturamıyorlar. Başlangıç olarak, artık “rıza/onay yorgunluğu” adı verilen bir olgudan haberdarız. Günümüzde insanlar sürekli olarak veri toplama ve işleme faaliyetleri için rıza göstermeleri yönünde talepler alıyor. Üstüne üstlük bu formlar karmaşıktır ve zamanla, küçük yazıları okumak yerine, alıcılar fazla düşünmeden körü körüne talepleri onaylarlar.
Bir diğer eksiklik ise bu formların son yıllarda gelişen teknolojik gelişmeleri dikkate almamasıdır. Sohbet robotları ve ödeme çözümleri gibi uygulamaların tanıtılmasıyla işletmeler müşteri deneyimlerini önemli ölçüde iyileştirebilir, ancak bunun bir bedeli olabilir. Bu uygulamaları kullanıma sunmak için işletmelerin web sitelerine üçüncü taraf komut dosyaları (scripts) eklemesi gerekir. Ancak şeytan ayrıntılarda gizlidir çünkü şirketler bu komut dosyalarının hedeflenen iş amaçlarının dışında formlara ve verilere erişebileceğini fark etmezler, Genel Veri Koruma Yönetmeliği’nin tam olarak önlemek için tasarlandığı şey de budur. Ayrıca, fikri mülkiyet (intellectual property) ve müşterilerin kişisel olarak tanımlanabilir bilgileri (personally identifiable information), kredi kartı verileri ve daha fazlası dâhil olmak üzere son derece gizli bilgilere erişmek isteyen kötü niyetli kişiler tarafından görüntülenebilir ve manipüle edilebilirler.
Komut dosyaları çeşitli şekillerde görüntülenebilir ve işlenebilir. Bir olasılık, kullanıcıların web formlarına girdiği hassas verilerin çalınmasını içeren dijital kopyalamadır. Bu veriler, çevrimiçi ödeme sayfalarından elde edilen ödeme bilgilerini ve kişisel olarak tanımlanabilir bilgileri içerebilir. 2023 yılında T-Mobile, 37 milyon müşterinin kişisel ve hesap bilgilerine dijital kopyalama saldırısında erişildiğini açıklamıştır. Daha yakın bir zamanda, MGM Resorts International, işletmeye 100 milyon dolara mal olan bir dijital kopyalama saldırısının kurbanı olmuştur.
İlgili bir diğer örnek ise web tedarik zinciri saldırılarıdır. Bu örnekte, üçüncü taraf bir eklentinin ‘JavaScript’i[2] tehlikeye atılır ve tüm alt akış kullanıcıları aniden veri hırsızlığı riskiyle karşı karşıya kalır. Gartner’a göre[3], 2025 yılına kadar dünya çapındaki kuruluşların yüzde 45’i yazılım tedarik zincirlerine yönelik saldırılar yaşayacaktır.
Bu eğilim daha da yoğunlaşacak ve yapay zekâ artık yeni nesil saldırılara güç vererek bunları daha karmaşık, daha sinsi ve her zamankinden daha zor tespit edilebilir hale getirecektir.
Peki, Genel Veri Koruma Yönetmeliği taahhütlerini yerine getirmek zorunda olan işletmeler bu durumda ne yapacaklardır? Şirketler çabalarını artırmalı, bu da birinci ve üçüncü taraf ‘JavaScript’ ortamları üzerindeki kontrolü yeniden kazanarak rızanın/onayın ötesine geçmek anlamına gelmektedir. Bu bir tavsiyeden daha fazlası olup; veri güvenliğini sağlamayı ve Genel Veri Koruma Yönetmeliği uyumunu sürdürmeyi amaçlayan her işletme için bir zorunluluktur.
[2] Çevirenin Notu: ‘JavaScript’, geliştiricilerin etkileşimli web sayfaları oluşturmak için kullandığı bir “programlama” dilidir. JavaScript işlevleri, sosyal medya akışlarını yenilemekten animasyonlar ve etkileşimli haritalar göstermeye kadar, bir web sitesi kullanıcısının deneyimini iyileştirebilir. İstemci tarafındaki bir komut dosyası dili olarak, ‘World Wide Web’in temel teknolojilerinden biridir. Örneğin, İnternette gezinirken bir görsel döngüsü, görmek için tıkla açılır menüsü ya da bir web sayfasında dinamik olarak değişen öğe renkleri görüldüğünde JavaScript efektleri görülmüş olur [<https://aws.amazon.com/tr/what-is/javascript/>].
[3] <https://www.gartner.com/en/newsroom/press-releases/2022-03-07-gartner-identifies-top-security-and-risk-management-trends-for-2022>.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.