Privacy by Design-Şirketlerin rekabet avantajı yaratması için yeni formül

Source:123rf

Apple, Facebook, Google gibi bigtech firmalarının sosyal medya yer alan mahremiyet konulu kamuoyu/reklam çalışmalarının sizce sebebi nedir?

Kişisel verilerin korunması (“Veri Koruma”, “Gizlilik” veya “Mahremiyet”) sadece Türkiye’de değil, tüm dünyada gündemde olan bir konu. Avrupa Birliği’nde Genel Veri Koruma Regülasyonu’nun (“GDPR”), bizde ise Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) aynı anda yürürlüğe girmesi nedeniyle kişisel veriler alanındaki uyum çalışmaları tüm şirketlerin ajandalarında en üst sırada yer alıyor.

Peki Veri Koruma mevzuatlara uyum şirketler açısından gelecekte ne gibi bir fayda yaratabilir?

İçinde bulunduğumuz veri temelli ekonomide kişisel verilerin davranışsal reklam, iş geliştirme vb. amaçlar için çok büyük bir kullanım alanı olduğu dikkate alındığında, bireylerin haklarına saygılı, onları doğru noktada bilgilendirerek şeffaflık sunan yani mahremiyet odaklı mevzuatlara uyum sağlayan şirketlerin rakiplerine karşı büyük bir rekabet avantajı yaşacağını söyleyebiliriz. Bunun iki temel sebebi bulunmakta;

• İtibar Kaybı:Kullanıcılar mahremiyet algısına eskisinden daha çok önem veriyor, dolayısıyla buna saygı duymayan uygulamaları terk ediyor (Örn. son dönemde yaşadığı Cambridge Analytica ve diğer kişisel veri alanındaki skandallar sonrasında büyük kan kaybı yaşayan Facebook).
• Otoritelerin hukuka aykırı şekilde veri işlenmesine ilişkin son dönemdeki kararları: Veri Koruma Otoriteleri, Veri Koruma kurallarına aykırı elde edilen veya işlenen verilere ilişkin artan idari para cezaları kesiyor ve bu kullanımları durduruyor. Dolayısıyla verinin niceliğinin yanında niteliği de -yani hukuka uygun olması- artık önem taşıyor.

Son aylarda Apple başta olmak üzere Facebook, Google gibi bigtech firmalarının sosyal medya yer alan kamuoyu/reklam çalışmalarının odağına Mahremiyet konusunu koymalarını bahsi geçen rekabet avantajına ulaşma çabası olarak okuyabiliriz.

Şirketler veri temelli rekabet avantajını nasıl yaratacak?

Şirketlerin veri temelli rekabet avantajı yaratabilmeleri veri koruma alanındaki uyum durumlarını sürekli hale getirmelerine bağlıdır. Bu sürekliliğin formülü ise şirketlerin uyum süreçlerini kendileri için bir öz-denetim meselesi haline getirmeleri halinde olacaktır.

Bu sayede bir ürün veya hizmet kullanıcıya sunulduktan sonra ortaya çıkacak bir veri koruma uyumsuzluğu sebebiyle iş modelinin olumsuz etkilenerek kullanıcı güvenini kaybetmesi ve bunun hem zaman hem ekonomik anlamda görünmez bir maliyet yaratmasının önüne geçilebilecektir.

İşte bu noktada General Data Protection Regulation (“GDPR”) uyarınca kanuni bir yükümlülük haline getirilen, bizim kanunumuzda ise “İlkeler” hükümleri içerisinde gizli bir şekilde gömülü olan Privacy by Design (“PbD”) yani tasarımdan itibaren gizlilik ilkesi devreye girmektedir.

PbD nedir?

Pbd, bir uygulamanın tasarım ve mimari çalışmalarının en başında Veri Koruma kurallarının dikkate alınması ve uygulamanın bu vizyon ile geliştirilmesini savunan bir sistem mühendisliğidir.

Veri koruma uyumu yapılmadan geliştirilen bir uygulama canlıya çıktıktan sonra bu uyumun sağlanması amacıyla uygulama ve veri akışlarında değişiklikler yapılması gerekebilmekte, bu durum kullanıcı deneyimini etkilemektedir.

PbD’nin asli amacı uygulamanın daha proje aşamasındayken veri koruma ilkeleri ile uyumlu geliştirilmesi; bu sayede uygulamanın veri koruma uyumsuzluklarını gidermek için sonradan yapılacak değişikliklerle tabiri caizse yamalı bohçaya dönmesini engellemektir.

PbD yaklaşımının sahipliği kimde olmalı?

Ne hukukçular, ne mühendisler; hepimiz aynı gemideyiz.

Veri koruma düzenlemeleri denilince ilk anda akla sadece hukukçular gelse de, PbD yaklaşımı teknik ve tasarım odaklı ilkelerden oluşmaktadır.

Bu nedenle PbD yaklaşımının, geliştirilecek olan uygulamanın mimarisinden ve tasarımından sorumlu kişiler -yani mühendisler, yazılımcılar ve iş birimleri tarafından- sahiplenilmesi ve bu birimlerin proje yönetim metodolojilerinde bir öz denetim unsuru olarak sıfır noktasında dikkate alınması gerekmektedir.

Hukukçuların ise bu birim ve/veya kişilerle dirsek temasında bulunup, muğlak noktalarda yol gösterici veya onaylayıcı rolünde olmaları önerilmektedir.

PbD ilkeleri nelerdir?

PbD yaklaşımının pratiğe dökülebilmesi için kerteriz noktası olarak alınabilecek bir takım temel ilkeler bulunmaktadır. PbD terimini ilk kez kullanan Ontario Bilgi ve Gizlilik Kurulu Başkanı Ann Cavoukian tarafından yayınlanan ve bugün herkes tarafından kabul edilen 7 temel ilkesi şunlardır;

Saymayın, toplam 7 kişi var

• Tepkisel değil proaktif, düzeltici değil önleyici: Bir uygulamanın kullanımı esnasında çıkabilecek mimari veya teknik veri koruma sorunlarının önceden görülmesi ve ortaya çıkmalarının engellenmesi hedeflenmelidir. Bu ilke gereğince veri koruma kurallarının uygulamanın yapımını şekillendiren bir unsur haline gelerek geliştirmenin ilk aşamasında dikkate alınması gerekmektedir.
• Gizliliğin standart ayar olması: Hiçbir aktif hareket dahi yapmasa, kullanıcıların gizliliği korunmalıdır. Yani, uygulamaların standart -default, varsayılan- ayarlarının veri koruma kuralları ile uyumlu olması sağlanmalıdır (“Privacy by default”). Bir sosyal medya platformuna kaydolduğumuzda gizlilik ayarlarımızın standart olarak en sıkı seviyede olup, bizim isteğimize göre verilerimizin kamu veya belirlediğimiz üçüncü kişilerle paylaşılabilir olması buna örnektir.
• Gizliliğin tasarıma entegre olması: Gizlilik, bilgi sistemlerinin ve iş akışlarının hem mimarisine hem tasarımına entegre olmalıdır. Yani Gizlilik sağlanması için yapılacaklar bir risk gerçekleştikten sonra değil, o uygulamanın tasarlanması aşamasında dikkate alınmalı ve uygulama tasarımı bu temel üzerine inşa edilmelidir.
• Sıfır toplam değil, pozitif toplam: Kullanıcı, gizlilik unsurunun sağlanması için verimlilik, veri güvenliği veya estetik zevk açısından bir takım hususlardan vazgeçilmek zorunda bırakılmamalı (“sıfır toplam”), kullanıcının hem gizliliği sağlanmalı hem de diğer hususlardan en üst seviyede faydalanması sağlanarak kazan-kazan yaklaşımı benimsenmelidir (“pozitif toplam”).
• Uçtan uca güvenlik: Verinin bir uygulama içerisindeki toplanma anından başlayarak imha anına kadar tüm yaşam döngüsü boyunca güvenliğinin sağlanması ve şirketlerin bu konuda sorumluluk üstlenmesi gerekmektedir.
• Şefafflık ve görünebilirlik: Bir uygulamanın, verinin tüm yaşam döngüsünü kapsayacak şekilde her aşamadaki veri işleme eylemi hakkında şeffaf olup kullanıcıları bilgilendirmesi ve gerektiği noktada bu işleme eylemlerine ilişkin hesap verebilmesi gerekmektedir.
• Kullanıcıya saygı: Tasarımcıların ve mimarların uygulama tasarlarken kullanıcı odaklı bir anlayış benimsemeleri ve kullanıcıların çıkarlarını en üst seviyede değerlendirerek uygulama geliştirmeleri gerekmektedir.

Bu ilkeler hiç şüphesiz soyut niteliktedirler. Ancak PbD’nin GDPR uyarınca bir yükümlülük haline gelmesi ile beraber bu ilkelerin pratiğe nasıl döküleceğine ilişkin Veri Koruma Koruma otoriteleri çeşitli dökümanlar yayınlamaktadırlar.

PbD’yi pratiğe dökebilmek için bu dökümanlardan Norveç Veri Koruma Otoritesi’nin Tasarım ve Başlangıç itibariyle Gizlilik yoluyla Yazılım Geliştirme Rehberi ve daha yeni tarihli olan European Data Protection Supervisory’nın PbD Ön Görüş Raporu iyi bir başlangıç noktası olacaktır.

Kaynakça

• How privacy has become the new competitive advantage in a world of personalisation https://www.marketingtechnews.net/news/2019/may/07/how-privacy-has-become-new-competitive-advantage-world-personalisation/
• Privacy by Design-The 7 Foundational Principles Implementation and Mapping of Fair Information Practices https://iapp.org/media/pdf/resource_center/Privacy%20by%20Design%20-%207%20Foundational%20Principles.pdf