Küresel Gizlilik Asamblesi’nin 17 Mart 2020 tarihinde yapmış olduğu açıklamayı okurken size bu konuyu aktarmanın önemli olduğunu düşündüm. Halk sağlığını korumak kadar insan haklarının ve veri gizliliğinin de korunmasının altını sıklıkla çizen açıklamada aşağıdaki hususlara yer verildiğini görüyoruz:
Veri koruma otoritelerinin pandemi döneminde geliştirilen Temas Takip uygulamalarında gizliliğin korunması için en iyi uygulamaların ne olduğunun anlaşılması için tüm kamu kurum ve kuruluşlarına etkin bir yardım gerçekleştirmelerinin gereğinin önemi ortadadır. Veri Koruma Otoriteleri’nin diğer kamu kurum ve kuruluşlarından farklı olarak bağımsız bir denetim organı olduğu ve sadece idari para cezası yaptırımı uygulamak görevi olmadığını, başta kamu kurum ve kuruluşlarına gizlilik ve mahremiyet kurallarını uygulamaları için yardım etme görevi olduğunu söyleyebiliriz.
Diğer yandan da temas takip uygulamalarının en önemli başarısı bireylerin gizliliğini koruması ve bireylerde gizliliğin korunduğuna dair güven oluşturmasında yatmaktadır. Kamu kurum ve kuruluşları, uygulama geliştiriciler ile yaptığı anlaşmalarda “Tasarımda Gizlilik” ve “Varsayılan Gizlilik” kurallarına öncelikle yer vermeleri, geliştirilen uygulama konusunda kamuoyunu bilgilendirmeleri gerekmektedir.
Özellikle bu uygulamaların tasarımında mahremiyetin ele alınması, gizlilik ve etik ilkelerle uygulamaların donatılması inovasyon açısından da kolaylaştırıcıdır.Halkın uygulamalara güvenini kazandırmak şu aşağıda yer alan sorulara verilecek cevaplarla daha mümkün görünmektedir. Sorular Küresel Gizlilik Meclisi tarafından şu şekilde hazırlanmıştır:
Tasarımda gizlilik kurallarının yer aldığını düşünüyor musunuz?
Tasarım sizi gizlilik konusunda gerçekleşecek risklerden haberdar etti mi? Güncel mi?
Merkezi ya da merkezi olmayan gizlilik kuralları konusunda yeterince bilgilendirildiniz mi?
Veri sorumlusunun kim olduğunu yeterince anladınız mı? Başvuru yolları konusunda bilgilendirildiniz mi?
Uygulamanın şeffaf olduğunu düşünüyor musunuz?
Uygulama konusunda yeterince kamusal tartışma yapıldı mı?
Temas takip uygulamanızın geçici olduğu ve pandemi dönemi sona erdiğinde uygulamayı silebileceğini konusunda yeterince bilgilendirildiniz mi?
İstatiksel çalışmalar ya da bilimsel araştırmalar nedeni ile veri tutmayı ve sonrasında bu amaçlarla verilerinizin işlenmesini istiyor musunuz? Eğer düşünüyorsanız, uygulamada bu konuda hangi gizlilik kuralları benimsenmiştir? Anonimleştirme kavramı konusunda bilgilendirildiniz mi?[1]
Bu sorulara ek olarak aşağıda yer alan soruların da eklenmesi doğru olacaktır. Sorular:
Uygulamanın periyodik zamanlarda güncellenmesi ve yeni özelliklerin eklenmesi halinde gizlilik konusunda yeterince bilgilendirildiğinizi düşünüyor musunuz?
Uygulamanın geliştiricilerinin gizlilik kuralları konusunda yeterince eğitimli olduğunu düşünüyor musunuz?
Veri sorumlusunun gizlilik konusunda yeterince eğitimli olduğunu düşünüyor musunuz?
MERKEZİ VE MERKEZİ OLMAYAN TEMAS TAKİP YAZILIMLARININ GDPR AÇISINDAN DEĞERLENDİRİLMESİ.
Temas Takip Sistemlerinin henüz yeterince tartışıldığını ya da tartışılması için uygun ortamların yaratıldığını düşünmesek de pandemi döneminde normale dönme aşamalarında hayatımızın bir parçası hatta dijital kimlik pasaportumuz olacağı gerçeği uzak değil. Havaalanların da, şehir içi tüm seyahatlerde, hastane ziyaretlerinde ya da adliyeye girerken bu pasaportu kimlikle birlikte sunma zorunluluğu bizi bambaşka bir eşiğe taşıyacak.
Temas Takip Sisteminin “Gizlilik” ve “Mahremiyet” unsurlarını merkezine yerleştirmesi ile ilgili tartışma ise en çok da teknik tartışmalardan ibaret. Stephanie Rossello[2] ve Pierre Dewitte’nin[3] Avrupa Hukuku Blog’ u için birlikte kaleme aldıkları makalede, Temas Takip Sisteminde uygulayıcıların merkeziyetçi mi yoksa merkezi olmayan yazılım geliştirmeleri mi gerekiyor, konusu üzerinde ilginç bir tartışmaya imza attıklarını görmekteyiz. Belki de bugüne kadar konuşmadığımız ve geliştirmemiz gereken bu yaklaşım bizi uygulayıcıların yazılımlarına bakış açısından çok farklı bir platforma götürüyor. Aşağıda makaleyi kendi eksenimde ve önemli bulduğum noktalar çerçevesinde paylaşıyorum:
25 MAY 2020 / TARAFINDAN, AVRUPA HUKUK BLOGUNDA YAZILAN YAZIDAN ÇEVRILMIŞTIR. STEPHANİE ROSSELLO VE PİERRE DEWİTTE YAZISI
(https://europeanlawblog.eu/2020/05/25/anonymization-by-decentralization-the-case-of-covid-19-contact-tracing-apps/ (Erişim tarihi: 25.05.2020)
COVID-19 (COVID-19 uygulamaları) ile mücadelede kullanılan temas izleme uygulamaları tartışmasında, uzmanlar, “gizlilik koruma” yazılımının temel bir bileşeni olarak “ademi merkeziyetçilik” kavramını ön plana çıkarmaktadır. Merkezi ve merkezi olmayan yazılımlar büyük ölçüde teknik olsa da, AB veri koruma yasası kapsamında da önemli etkileri vardır. Avrupa Komisyonu (AK) ve Avrupa Veri Koruma Kurulu (EDPB) “olarak merkezi olmayan yazılımlar yani tek merkezi olmayan yazılımlar [veri] minimizasyonu ilkesi ” ni reddeden bir yaklaşım değil tam tersine aslında verinin gizliliğini daha çok sağlayan bir uygulama olarak karşımıza çıkmaktadır.
“Manuelden dijital temas izlemeye…”
Temas izleme, sosyal mesafe ve karantina gibi diğer önlemlerle birlikte , bulaşıcı hastalıkların yayılmasını kontrol etmek için uzun zamandır kullanılmaktadır . Geleneksel olarak manuel olarak, yani bir etkileşim grafiği oluşturmak için enfekte olmuş hastalarla görüşülerek gerçekleştirilen bu uygulama, şimdi, coğrafi konum verilerinin kullanımından mobil trafik bilgilerinin analizine kadar dijital araçların desteği ile giderek daha fazla geliştirilmektedir. COVID-19 krizinde birçok Avrupa ülkesi , konum verilerinin kullanılmasından muhtemelen daha az gizlilik-invaziv olan Bluetooth Düşük Enerji (BLE) teknolojisinin kullanımına başvurdu .
BLE tabanlı COVID-19 uygulamaları geçici tanımlayıcıların (EphID' ler) emisyonuna ve alımına dayanır. Genel olarak, aşağıdaki gibi çalışırlar. İki kişi birbirinin etki alanına girdiğinde ve sosyal mesafeyi ihlal ettiğinde, her iki uygulama kendi EphID' lerini yayınlar ve yakındaki uygulama kullanıcılarının EphID' lerini kaydeder. Bir uygulama kullanıcısı COVID-19 ile enfekte olursa, uygulamanın operatörüne enfekte olduğu ve son karşılaşmaları hakkında bilgi verme olanağı doğar. Enfekte olmuş bir kullanıcıyla karşılaştıktan sonra enfekte olma riskini hesaplayan uygulama, bu riskin belirli bir eşiğe ulaşması durumunda, kişinin / kişilerin enfekte olduğu ihtimali ile prosedür hakkında bilgilendirir.
“Merkezi olmayan ve merkezi yazılım sistemleri”
BLE kişi izleme uygulamaları bağlamında, temel endişe merkezi ve merkezi olmayan yazılım sistemleri arasındaki ayrımda yatmaktadır. Fiziksel açıdan bakıldığında, merkezi sistemler genellikle son kullanıcılarla iletişimde çekirdek dağıtım merkezi olarak tek bir sunucuya güvenir. İşlevsel bir bakış açısından, yazılım sistemine dahil olan her bir varlığın belirli, farklı bir rol üstlendiğini ima ederler. (örneğin, Netflix' te bir film akışı yaparken Netflix' in merkezi sunucusu videoyu sağlar; kullanıcıya ulaşır.). Bu aynı zamanda, merkezi sunucunun güvenliği ihlal edildiğinde tek bir hata noktasının olduğu anlamına gelir.
Merkezi olmayan sistemler merkezi bir varlığa olan ihtiyacı ortadan kaldırır ve belirli bir görevi yerine getirmek ve üstlenmek için birden fazla sunucuya veya son kullanıcı aygıtlarına (“eşler”) güvenir. Bu varlıkların her biri (neredeyse) benzer bir rolle görevlendirilir (örn. Eşler arası dosya paylaşımı durumunda, her bir varlık hem dosyaların yüklenmesine hem de indirilmesine katılır). Blok zinciri teknolojisi muhtemelen en popüler olan merkezi olmayan sistemdir. De Filippi' nin işaret ettiği gibi , gizliliği koruyan merkezi olmayan sistemlerin çoğu kişisel verilerin gizliliğini ve gizliliğinin arttırılmasını sağlamaya odaklanmaktadır (“ TOR gibi)”) Veya kişisel verilerin (MIT projesi Enigma gibi ) üzerinde kullanıcı kontrolünün sağlanmasına odaklanır.
COVID-19 uygulamaları bağlamında ve DP-3T protokolünde belirtildiği gibi, merkezi olmayan ve merkezi dijital temas izleme arasındaki fark :
İlk olarak, her uygulama kullanıcısının sözde rastgele EphID'leri, her uygulama kullanıcısına özgü, kalıcı bir sahte tanımlayıcı temelinde arka uç sunucusu tarafından değil, kullanıcının kendi gizli anahtarı temelinde oluşturulur. Bu, arka uç sunucusu operatörünün , kullanıcının telefonunun oluşturduğu her EphID'yi kalıcı tanımlayıcısına geri döndürmesini önler ve her bir gözlemi tanımlamayı ya da bir bireyle (potansiyel olarak) ilişkilendirilmesini önler.
İkincisi, virüs bulaşmış bir kullanıcının arka uç sunucusuyla paylaştığı veriler, bu zaman dilimi içinde gözlemlenen EphID'lerden ziyade bulaşıcı zaman penceresi sırasında yayınladığı EphID'lerle sınırlıdır.
Üçüncü olarak, risk puanının hesaplanması arka uç sunucusundan ziyade kullanıcının telefonunda gerçekleşir.
GDPR çerçevesinde ademi merkeziyetin (ve merkezileştirmenin) etkileri
Belirli durumlarda, merkezi olmayan sistemler, sırasıyla veri minimizasyonu ve amaç sınırlaması ilkelerine uyumu kolaylaştırabilir. Bu ilkeler, kişisel veri işlemeyi “en aza indirmek” ve “ayırmak” için “ tasarımda gizlilik ” (yani veri koruma ilkelerini teknolojinin tasarımına yerleştirmeyi amaçlayan stratejiler) kurallarında teknik eşdeğerlerini bulur . İlk strateji, işlenen kişisel veri miktarını en aza indirmeyi, ikincisi ise “ verileri birleştirmeyi veya ilişkilendirmeyi ” zorlaştırmayı amaçlamaktadır.
Arka uç sunucusu merkezi bir senaryoda işlenen verileri takma ad olarak kabul ederler. Merkezi olmayan sistemlerde ise bu veriler arka uç sunucuda anonimleştirilerek kaydedilir. Bir kullanıcı ile eşleştirilmesi ve tanımlanabilir olması engellenir. Merkezi olmayan yaklaşım, arka uç sunucusuna daha az (kişisel) veri (yani yalnızca etkilenen kullanıcılarla ilgili EphID'ler) sağlayarak uygulamanın birincil amacına ulaşmanın (yani risk altındaki kişileri bilgilendirmek ve sonraki adımlarda yol göstermek) mümkün olduğunu göstermektedir. Ayrıca, merkezi olmayan bir senaryoda, kişisel verilerdeki hesaplamalar, bu verilerin orijinal kaynaklarından (kullanıcının telefonundan) üçüncü bir tarafa (arka uç sunucusu) aktarılması gerektiğinden mümkün olduğunca arka uç sunucusundan ziyade kullanıcının telefonunda tutulur. Merkezi olmayan yaklaşım bu nedenle veri minimizasyonu ilkesi ile daha uyumlu görünmektedir.
Arka uç sunucusunun tüm uygulama kullanıcılarının verilerini barındırması ( yani kalıcı tanımlayıcılar), arka uç sunucusuna güvenilmezse, bu tür verilerin veri sahibinin bilgisi olmadan yeniden kullanılma olasılığını artırabilir. Bu, amaç sınırlaması ilkesini ihlal edecektir. DP-3T protokolünün tarafları, aslında, tasarımla, merkezi çözümün, arka uç sunucusunun, enfekte olmuş kullanıcının etkileşime girdiği insanların ağını yeniden yapılandırmasına izin verdiğini açıklar . Dahası, DP-3T üyeleri, yeni virüs bulaşmış her kullanıcının iletişim geçmişini ve arka uç sunucusunun erişime sahip olduğu iletişim geçmişlerinin hacmini yüklediğinden, sunucunun virüs bulaşmamış kullanıcılar arasındaki etkileşimler hakkında bilgi öğrenebileceğine dikkat çeker.. Merkezi olmayan bir yaklaşımda, karşılaştırma olarak, “ sistem iki kullanıcı dışındaki herhangi bir kuruluşla etkileşim hakkında herhangi bir bilgi ortaya koymaz ”. Bazıları, merkezi çözümlerin epidemiyologların daha fazla bilgi edinmesini sağlama avantajı sunduğunu ileri sürmüş ve hastalığın yayılmasında avantajlı olduğunu ifade etmişlerdir. Veri koruma perspektifinden bakıldığında, hastalığın yayılması hakkında bilgi edinmek, enfeksiyon riski altındaki kişileri bilgilendirmekten farklı bir amaç içermektedir. Böyle bir amaç, enfekte olmuş bir kullanıcının etkileşim verilerinin merkezi bir çözüm altında gerçekleşen arka uç sunucusuyla paylaşılmasını zorunlu kılmaz. Hastalığın yayılması hakkında bilgi edinmek için tartışmasız olarak bu tür verilere erişmesi gereken tek kişi epidemiyologlardır. Kullanıcılara, risk altında olmaları durumunda, temas olaylarını virüslü kullanıcılarla gönüllü olarak paylaşma seçeneği sunan DP-3T protokolü, merkezi olmayan bir çözümün, hastalığın yayılması hakkında bilgi edinme seçeneğini de destekleyebileceğini göstermektedir.
“Bir koruma olarak ademi merkeziyetçilik, bir çıkış yolu değil mi?”
GDPR, “ kişisel verilerin tamamen veya kısmen otomatik yöntemlerle işlenmesi […]” için geçerlidir (vurgu eklenmiştir) (madde 2.1. GDPR). Yukarıda gösterildiği gibi, ademi merkeziyet, işlenen kişisel verilerin türünü ve miktarını sınırlandırabilir, ancak kendi başına, bu tür verilerin niteliğini anonim olarak değiştiremez, ikincisi GDPR kapsamı dışında kalır. Bu, özellikle veri koruma yetkilileri tarafından sıklıkla ortaya konan geniş ve sıfır riskli kişisel verilerin tanımı ışığında geçerlidir. Anonimleştirme Teknikleri hakkında Working Party 29. Madde Çalışma Grubu, şimdi EDPB). Bu yaklaşımda, eğer teorik olarak veri konusunu yeniden tanımlayabilen biri varsa, maliyetler, zaman, bu tür yeniden tanımlamanın gerektireceği çabalar dikkate alınmaksızın, veriler kişisel veri kabul edilecektir. (Avrupa Birliği Adalet Divanı’nın Breyer kararı)[4]
DP-3T protokolünün Veri Koruma Etki Değerlendirmesi'nde açıklandığı gibi, arka uç sunucusu yükleme ile ilgili trafik bilgilerini depolayıp işleyerek virüs bulaşmış kullanıcıyı yeniden tanımlayabilir. Bu protokolde yeniden tanımlama olasılığını da ortadan kaldıran bir yaklaşım sağlanmalıdır. Bu değerlendirme kesinlikle Breyer çizgilerini takip etse de, muhakemesini, kullanıcıyı yeniden tanımlamak için gereken maliyet ve zaman gibi diğer faktörler açısından değil, esas olarak yeniden tanımlama araçlarının yasallığı ile sınırlar.
Onların içinde dijital yakınlık sistemlerinin gizlilik ve güvenlik risk değerlendirmesi , DP-3T üyeleri merkezi bir çözüm altında, enfekte kullanıcıların merkezi olmayan senaryosunda yeniden tanımlama saldırılarına karşı savunmasız olacağını belirtmektedir. Aynı zamanda, arka uç sunucusu tarafından işlenen verilerin risk tabanlı bir yaklaşım altında bile kişisel veri olarak nitelendirilebileceği anlamına geliyorlar. DP-3T üyeleri , merkezi çözümlerde, arka uç sunucusunun zaman içinde herhangi bir uygulama kullanıcısının konumunu izleyebileceğini , arka uç sunucunun EphID'leri geri alarak her bir uygulama kullanıcısını tanımlayabileceğini iddia eder. Bu verileri diğer veri kümeleriyle birleştirerek akıllı seyahat kartı veya CCTV görüntüleri ” gibi veri dinamiklerinin oluşturulmasını sağlayabilir. Bu işlemin hukukiliği ölçütü esasında Breyer kararında yatmaktadır, arka uç sunucusu tarafından yeniden tanımlama olasılığının da merkezi bir çözüm çerçevesinde kanuna aykırı olduğu ileri sürülebilir. Bu nedenle, hangi çözümün arka uç sunucusu tarafından işlenen veriler için daha fazla anonimlik sağladığına ilişkin anlamlı bir sonuç, arka uç sunucusu tarafından yeniden tanımlamanın, merkezi veya merkezi olmayan bir çözüm altında gerçekleşme olasılığının daha yüksek olup olmadığı analizine bağlı olacaktır. Çözüm, sunucu kullanıcının telefonuna erişim sağladığında kullanıcının hakimiyetinde olan bir yapının sağlanmasıdır.
Birlikte Değerlendirme ve Sonuç
Temas Takip Sistemlerinin veri mahremiyeti, gizlilik ve kişisel verilerin korunması konusunu tasarımla birlikte ele almaları, kamuoyunun aydınlatılması kadar önemlidir. Aydınlatma Yükümlülüğünü yerine getirmek ya da Bildirim Yükümlülüğüne sistemsel olarak imkan tanımak elbette önemlidir ancak geliştirilen uygulamaların teknik olarak güvenlik açıklarının aza indirilmesi ya da tamamen ortadan kaldırılması güven ilkesinin oluşmasında en önemli etkendir.
Yukarıda teknik olarak ifade edilen tek merkezi olmayan uygulamalar, blockchain teknolojilerinin kullanılması verinin anonimleştirilmesi, veriye erişimin ve veri sızmalarının önüne geçilmesi için güvenli bir kapı oluşturması, veri minimizasyonunun sağlanması açısından dikkat çekicidir. Merkezi sistemlerin ise hata oranı oldukça yüksek, karmaşık olmaması nedeni ile güvenlik açıkları oldukça fazla ve verinin anonimleştirilmesi aşamasında da yeterince başarılı olmaması açısından tercih edilmemesi gerektiğini söylemek mümkündür.
Dijital giriş pasaportu haline gelecek olan Temas Takip ekran çıktılarını bileklik olarak bulundurmadan sosyal hayata katılmamız mümkün gibi görünmese de, kamu kurum ve kuruluşlarının bu sistemlerin kullanılmasını zorunlu kılarken sistemlere karşı güven oluşturması zorunlu olmalıdır.
Kullanıcı merkezli ve tamamen kullanıcının mobil sistemlerinde verinin saklanmasının sağlanması ve onun kontrolüne bırakılması da dikkate değer bir unsurdur.
Analizde, merkezi olmayan mahremiyet korumasının, GDPR'nin gerektirdiği şekilde, veri minimizasyonu ve amaç sınırlaması ilkesine uyumu kolaylaştırmak için bazı durumlarda yararlı olabileceği ortaya konulmuştur. Ancak, ademi merkeziyetçilik, kişisel verileri anonim hale getirmez. Bir teknolojinin nihai veri koruma etki değerlendirmesi yalnızca somut bir olgusal (teknik ve organizasyonel) ortam göz önüne alındığında yapılabilmesine rağmen, merkezi olmayan gizlilik koruma teknolojilerini geliştirirken ve dağıtırken bu hususları göz önünde bulundurmak yararlı olabilir.
--------------------------------------------
[1] Global Privacy Assembly, https://globalprivacyassembly.org/contact-tracing-statement/ (Erişim Tarihi:25.05.2020)
[2]Stephanie Rossello, yapay zeka ve gizlilik koruma teknolojileri üzerine araştırmalar yürüttüğü KU Leuven'in (Belçika) BT ve IP Hukuku Merkezi'nde araştırmacıdır. Halen, gizlilik koruma makinesi öğrenme tekniklerine dayanan bir endüstriyel veri platformu geliştirmeyi amaçlayan Horizon 2020 MUSKETEER (ICT-13-2018-2019) projesinde yer almaktadır.
[3]Pierre Dewitte, Ekim 2017'de KU Leuven Merkezi Bilişim ve IP Hukuku'na katıldı ve şimdi gizlilik mühendisliği, akıllı şehirler ve algoritmik şeffaflık üzerine disiplinlerarası araştırmalar yapıyor. Ana araştırma yolu, her iki disiplin için ortak bir kavramsal çerçeve oluşturarak ve yazılım geliştirme yaşam döngüsünde (KU Leuven) teknik ve örgütsel azaltma stratejileri için karar ve takas desteği sağlayarak yazılım mühendisliği uygulamaları ile veri koruma düzenlemeleri arasındaki boşluğu kapatmayı amaçlamaktadır. C2 ödül projesi).
[4]Breyer kararında, Adalet Divanı'nın işlevsel yaklaşımı, dinamik bir IP adresinin niteliği ya da kişisel veri olarak nitelendirilmesine ilişkin doktrinel spekülasyonların üstesinden gelmeyi sağlar. Burada konu açısından önemli olan husus, verilerin diğer verilerle birleştirilerek tanımlanabilir bir kişiye ulaşmak noktasındadır. İnternet erişim sağlayıcısı tarafından ilgili kişinin farklı konularda saklanan kişisel verilerinin birbiri ile birleştirilerekbelirli bir kişiyi tanımlamak için kullanılması noktasında anonimleştirmenin önemi vurgulanmalıdır. Ayrıca, Adalet Divanı'nın Breyer kararı dijital profilleme ile ilgili kavram üzerinde de yoğunlaşmamızı sağlamıştır. Mahkeme kararında Kişisel verilerin toplanması ve kullanılmasının sınırlarını göz önünde bulundurarak 95/46 sayılı Direktifin 7 (f) maddesinin yorumlanmasına da odaklanılmıştır. Direktifte ilgili kişinin rızası olmadan verilerin işlenemeyeceği ve bu anlamda gerçek bir savunmada meşru menfaat kavramı üzerinde de durulması gerekliliği ortaya çıkmaktadır. Hiçbir meşru menfaat kullanıcıların temel hak ve özgürlüklerinin kullanılmasını ortadan kaldıramaz., Mararri, Daniela, Kişisel Veriler ve Siber Güvenlik: Adalet Divanı’nın Breyer Kararı, 11 Nisan 2017, http://www.sidiblog.org/2017/04/11/dati-personali-e-cybersicurezza-la-decisione-breyer-della-corte-di-giustizia/, (Erişim Tarihi: 25.05.2020)