Gezgin (mobil) aygıtlarda yaygın kullanılan anlık ileti (mesajlaşma) uygulamalarının veri gizliliği konusu ülkemizde ve dünya kamuoyunda sık sık gündeme geliyor. AB ülkelerinde GDPR (General Data Protection Regulation) olarak bilinen veri gizliliği yasaları ile kişisel veriler korunuyor. AB’deki bu yasalar nedeniyle WhatsApp gizlilik sözleşmesi güncellemesinde AB ülkelerini zorunlu tutmuyor.
WhatsApp uygulamasının gizlilik sözleşmesini değiştirdiğini açıklaması ve kullanıcılarına 8 Şubat'a kadar süre tanıması tüm dünyada ve ülkemizde tepkilere yol açtı. Dünyada ve ülkemizdeki başta sosyal medya ortamları olmak üzere birçok mecrada geçtiğimiz hafta boyunca büyüyerek WhatsApp uygulamasını silme kampanyaları ve alternatif uygulama arayışları başladı. Gerek sosyal medya paylaşımlarında öne çıkan gerekse kullanıcı sayıları kayda değer artış gösteren “Telegram” ve “Signal” adlı anlık ileti uygulamaları bu alternatif arayışlarında öne çıktı.
WhatsApp’ın Twitter Üzerinden Yaptığı Açıklama
Facebook bünyesindeki WhatsApp ileti paylaşım şirketi, son dönemdeki gizlilik politikasındaki değişiklik ile ilgili açıklama yaptı. WhatsApp "Yakın zamanda gizlilik politikamızı güncelledik” ifadelerinin yer aldığı açıklamasında; "Özel mesajlarınızı göremeyiz veya aramalarınızı duyamayız, Facebook da göremez. Ne WhatsApp ne de Facebook mesajlarınızı okuyamaz veya WhatsApp üzerinden arkadaşlarınız, aileniz ve iş arkadaşlarınızla yaptığınız aramaları duyamaz. Ne paylaşırsanız paylaşın, aranızda kalır. Bunun nedeni, kişisel mesajlarınızın uçtan uca şifreleme ile korunmasıdır. Bu güvenliği asla zayıflatmayacağız" ifadelerine yer verildi.
WhatsApp’ın 8 Şubat’ta yürürlüğe girecek olan yeni gizlilik ilkelerine göre Facebook ile veri paylaşımına izin isteyecek. Gerekli onayı vermeyecek olan kullanıcılar, WhatsApp kullanamayacak. WhatsApp kullanıcılarından toplanan kişisel veriler, Facebook’un yanı sıra şirketin diğer yan kuruluşlarıyla da paylaşılacak. Aslında 2016 yılında ilk adımı atılmış olan bu politikanın şimdiki adımıyla, uygulamayı kullanmaya devam etmek isteyen kullanıcılar bu koşulları kabul etmek zorunda bırakılırken değişikliği onaylamayan kullanıcılar 8 Şubat 2021’den sonra uygulamayı kullanamayacaklar.
Anlık İleti Uygulamalarında Şifreleme ve Gizlilik
Bilgisayar Mühendisleri Odası (BMO) 5. Dönem Yönetim Kurulu tarafından yapılan açıklamada "Uygulamasının Yeni Gizlilik Politikası Dayatması, Alternatif Uygulamalar ve Kişisel Verilerimizin Korunması” konularındaki haklı kaygılara yer verildi. BMO anlık mesajlaşma uygulama programlarını karşılaştırdı. BMO’nun dikkate değer açıklaması şöyle:
“WhatsApp, kullanıcılar arası veri aktarımında (transferinde) uçtan uca şifreleme (E2E) kullandığından söz ederek, bu durumun değişmeyeceğini ve kullanıcıların güvende kalacaklarını açıklamakta; yeni gizlilik politikası sonrasında yalnızca üst verilerin (örneğin: kiminle ne zaman iletişim kurulduğu bilgisi, kullanılan cihaz bilgisi, konum bilgisi, telefon numarası, IP adresi vb.) ortaklarıyla paylaşılacağını, kullanıcıların uygulama içindeki paylaşımlarının şifrelenmiş olarak aktarılmaya devam edeceğini belirtmektedir. Ancak Whatsapp uygulamasının istemci (client) ve sunucu (server) katmanlarındaki kaynak kodlarının tamamı kapalı olduğu için bu iddia bağımsız otoritelerce kesin olarak kanıtlanamamaktadır. İstemciler arası iletişim tümüyle şifrelenmiş olarak gerçekleşse bile istemci düzeyinde gerçekleşen işlemlerin de şirketin kontrolünde olduğu gözden kaçırılmamalıdır. Diğer yandan, Whatsapp uygulamasının sahibi olan Facebook’un sicili, topladığı kişisel verileri kullanma konusunda temiz değil. Geçmişte kullanıcılarından topladığı bilgileri resmi otoritelerle, ABD’de CIA ve NSA gibi istihbarat örgütleriyle paylaştığı çok sayıda habere konu olmuş; dahası, bir önceki ABD seçimlerinde bu bilgilerin başkan adaylarından biri yararına kullanıldığını gösteren “Cambridge Analytica” skandalı unutulmamıştır.
Telegram uygulamasında ön tanımlı mesajlaşmada veriler istemciden sunucuya şifrelenmiş olarak iletilmekte ve şifrelenmiş veri sunucuda çözülüp alıcının istemcisine yeniden şifrelenerek gönderilmektedir. Telegram, sunucularında bulunan kullanıcı verilerine erişilmek istendiği takdirde veriye erişim için birçok farklı hukuk sisteminden izin alınması gerektiğini öne sürmektedir. Uygulamada gizli mesajlaşma seçeneği kullanıldığında ise uçtan uca (E2E) şifreleme yapılmakta, yani göndericinin iletisi şifrelenmiş olarak alıcıya iletilmekte ve alıcının uygulamasında çözülmektedir. Telegram’ın özgür yazılım olan mobil, web, masaüstü uygulamalarına karşın tüm iletişimin akışını sağlayan sunucu yazılımları özgür yazılım değildir, yani kaynak kodları kamusal erişime açık değildir. Ayrıca bu uygulamanın da bir şirketin sahipliğinde olması ileride gizlilik politikasını değiştirme riskini taşımaktadır.
Signal uygulaması, gerek istemci ve sunucu yazılımları düzeyinde bütün olarak özgür yazılım olmasıyla gerekse yazılı, sesli ve görüntülü veri aktarımında uçtan uca (E2E) şifreleme kullanmasıyla kişisel verilerin korunması yönünden daha güvenli bir seçenek olarak görünmektedir. Signal’in, kimin kiminle mesajlaştığı üstverisi (metadata) gibi verileri yalnızca kullanıcı uygulamasında tutması, gizlilik özellikleri için önemli bir avantajdır. Kâr amacı gütmeyen bir vakfın kontrolünde olması nedeniyle de şirketlerin kâr odaklı değişen politikalarının oluşturduğu risklerle karşı karşıya değildir. Özgür yazılım olması, kamusal erişime açık olan kaynak kodlarının gelecekte de erişilebilir olacağının ve yeni sürümlerinin de aynı özellikleri taşıyacağının güvencesidir. Dolayısıyla saydamlığı ve sürekliliği güvence altındadır. Güvenlik ve saydamlık konusunda doyurucu açıklamaları bulunmayan, “yerli” olma iddiasıyla ortaya çıkan ve dünya genelinde olmasa da ülkemizde gündeme gelen “Bip” ve “Dedi” gibi bazı uygulamalar, açık kaynak kodlu ya da özgür yazılım olmamaları nedeniyle kullanıcılara güven verememektedir. Ayrıca hiçbir üçüncü tarafla veri paylaşmamak gibi bir taahhütleri de söz konusu değildir.
Kişisel Verilerimizi Nasıl Korumalıyız?
AB vatandaşlarının kişisel verilerinin, kısaca GDPR (General Data Protection Regulation) olarak bilinen, kişi hak ve özgürlükleri temel alınarak oluşturulan, 1990’lı yıllardan bu yana güncellenerek geliştirilen yasal düzenlemeyle sıkı biçimde korunuyor.
BMO açıklamasında; “Ülkemizde 2016’dan bu yana yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), GDPR’nin ilk düzenlemeleri baz alınarak oluşturuldu. Fakat söz konusu kanunda hukuksal gelişmeler doğrultusunda gerekli güncellemeler yapılamadı” ifadeleri ile kişisel verilerin korunmasının önemine dikkat çekti. WhatsApp uygulaması nedeniyle gündeme gelen kişisel verilerin korunması konusunda ülkemizde vatandaşlarımızın duyarlılık göstermesi ve tepkilerini dile getirmeleri son derece önemli. Kişisel verilerimiz konusunda konusundaki duyarlılığımızı artırmalıyız. Kişisel verilerin korunmasında evrensel standartlar uygulanmalıdır. Kişisel verilerin gizliliği, her birey için temel bir gereksinim ve korunması gereken bir haktır.
Kişisel verilerimizin korumak için şu konulara dikkat etmeliyiz : Veri aktarımı sağlayan anlık ileti uygulamaları ve sosyal medya uygulamalarında, gerekli ya da zorunlu olmadıkça kritik kişisel bilgilerinizi (örneğin: sağlık bilgileri, kredi kartı bilgileri, ev adresiniz vb.) paylaşmaktan kaçınmalıyız. Kişisel sır ya da ticari sır olarak değerlendirdiğiniz bilgileri, anlık ileti ve sosyal medya ortamlarında paylaşmamalıyız. Çocuklarınızın kullandıkları aygıt ve uygulamaları kontrol ve takip edin, onları kişisel verilerin gizliliğinin önemi konusunda bilgilendirin.
