Loading

API EKOSİSTEMİ ve KİŞİSEL VERİLERİN KORUNMASI

dijital temalı yerküre

Application Programming Interface (API) uygulama programlama arayüzü anlamına gelir. Sağladığı kolaylıklar sayesinde çevrimiçi dünyada çok fazla kullanılmakta ve birçok son kullanıcı da farkında olarak veya olmayarak API ile sunulan imkanlardan yararlanmaktadır. API terimi “bir uygulamanın, servisin ya da platformun; sahip olduğu yeteneklerin, içerdiği verilerin yahut sunduğu hizmetlerin -genellikle- belirli sınırlandırmalar dahilinde ve verilen izinler ile kullanılabilmesini sağlayan bir arayüz” olarak tanımlanabilir. Çok daha basit ifadeyle bir uygulamanın başka uygulamaya kapı açması ya da birinin diğerine komut vermesi imkanıdır. Günlük hayatta mesela bir blogger’ın blogunda twitter adresinden atılan tweetleri twitter’a has arayüz ile görebiliyorsanız ve bunlar otomatik güncelleniyorsa, API aracılığı ile sağlanan kolaylıklardan sadece biri ile tanışmışsınız demektir. Yine örnek olarak şehrinizdeki trafiği size gösteren ve bununla ilgili başka değişik hizmetler veren bir uygulama pek tabii bu veriyi kendisi toplamak yerine hali hazırda toplayan şirketten ya da belediyeden alıyor olabilir. Bunun için kendisine açılan kapıdan girmesi ve doğru komutu iletmesi yeterlidir. Kullanıcı yararına değerlendirilecek örneklerden biri ise tek bir uygulama ile birden çok uygulamanın veya bir uygulamadaki birden çok hesabın yönetilmesidir. API ile birbirine uyumlu uygulamalar birbirlerini yönetebilmektedir.   Bir anlamda API teknolojisi, profesyonel yaşamda iş bölümü yapmanın ya da dışarıdan hizmet alımının web dünyasındaki karşılığı olarak kabul edilebilir. Yeni fikirlerin, programların, uygulama ya da servislerin üzerinden, her şeyi kendi imkanlarıyla gerçekleştirme külfetini kaldırmaktadır. Muhteşem bir fikri olan ancak bu fikrin hayata geçmesi için toplaması pek zor olacak veriye ihtiyaç duyan bir girişimcinin fikrinin ölü doğması engellenebilmektedir. Örneğin Google topladığı verileri danışmanlık hizmetlerinde anonim olarak kullanmakta ya da kullanmak isteyenlere ücretli ya da ücretsiz şekilde vermektedir. Bu girişimci için her anlamda (para, zaman, enerji vb.) maliyeti düşürmektedir. Ayrıca bir uygulamanın sunduğu hizmetteki eksiklerin giderilerek başka bir uygulama aracılığıyla kullanılabilmesi; geliştiriciler (developer) için fırsatlar sunmakta, kullanıcılar için kullanışlılığı artırmakta ve dolayısıyla platformun popülerliğinin artması ihtimalini kuvvetlendirmektedir. Yakın zamanda İstanbul Büyükşehir Belediyesi de İstanbul’a dair akıllı şehir girişimlerinden faydalanabilmek için oluşturduğu veri havuzunu, API desteği vererek, ücretsiz olarak geliştiricilerin kullanımına sunmuştur. Tüm bahsedilenler ışığında teknolojik start-up ve uygulama çeşitliliğinin büyük ölçüde artmasını da yine API ekosisteminin doğru işletilmesine borçlu olduğumuzu ifade etmek gerekir. Çünkü bu sayede kimse Amerika’yı yeniden keşfetmek için çaba sarf etmek zorunda kalmamaktadır.

Finansal teknolojiler ve dijitalleşen ekonomi için de API kilit rol oynamakta hatta “API ekonomisi” veya “Platform ekonomisi” kavramları da kullanılmaktadır. Bu sayede izin verildiği ölçüde borsalar da dahil iktisadi dijital ortamlar birbirine bağlanabilmekte, ortak olarak yönetilebilmekte ve ortak veritabanı kullanılabilmektedir. Öyle ki tek bir platformda onaylı hesap oluşturan bir kişinin, dünyanın neresinde olursa olsun, birbiri ile uyumlu tüm dijital online platformlarda saniyeler içinde yatırımcı veya banka hesabı sahibi olabilmesi mümkündür. Dahası, “Müşterini Tanı” (Know Your Customer) yükümlülükleri tüm taraflar için daha rahat karşılanacağından finansal teknolojilere olan ilgi ve ulaşabilirlik küresel olarak artabilmektedir. Çok uluslu şirketler veya işbirlikleri vasıtasıyla ekonomik sınırları ve küresel ekonomiye katılımın önündeki coğrafi engelleri tam anlamıyla kaldırabilmek sadece bir idea olmaktan çıkmışken; devletler yahut piyasanın kendisi de ortak ekonomik pazar oluşturabilecektir. Facebook’un Libra’sı buna örnek olarak verilebilir. Yani özetle daha fazla küreselleşen, daha fazla dijitalleşeceğimiz, uzakların daha yakın olacağı bir geleceğe kendimizi hazırlamamız gerekiyor. 

Teknolojik imkanların gelişmesiyle paralel olarak gelecekte daha fazla insan arasında daha fazla sayıda ve daha çeşitli ilişki olacağı su götürmez bir gerçektir. Gülün dikensiz olmadığı gibi hayatı kolaylaştıran teknolojiler de kendi riskleriyle gelmektedir. Bir kez API en basit haliyle uygulama, servis ya da platformların dışarıya açılan kapılarıdır dedikten sonra ilk endişe edilmesi gereken şey ise veri güvenliği ve mahremiyetidir. Çünkü kapı varsa o kapıdan girenler ve çıkanlar da vardır. Evimizin kapısından rastgele herhangi bir insanın girmesini istemediğimiz gibi bu sanal kapılara da erişebilecekleri belirlemek gerekir. Aynı bağlamda eve gelen misafirin, evimizin en gizli, en özel yerlerinin dokunulmazlığını ihlal etmemesi ne kadar doğal ve kritik bir beklentiyse, bu sanal kapılar vasıtasıyla ulaşılabilecek verilerin mümkün olduğunca kısıtlanmış olması da öyledir. Bir misafirin kendisine su içmesi için verilen bardağı izinsiz kendi evine götürmesinin, bardağın verilme amacıyla bağdaşmadığı aşikardır. Elbette evin içindeki eşyaların hukuken korunması gibi çevrimiçi evrende mahfuz ya da anlık oluşturulan veri de hukuken korunmaktadır. Korunan verilerin en hassası dolayısıyla en kutsalı ise gerçek kişilerin kişisel verileridir. Kişisel verilerin korunmasını emreden muhtelif hükümler aslında uzun sayılabilecek bir geçmişe sahip olsa da bu konu en çok 2016 yılındaki Amerika Birleşik Devletleri başkanlık seçimi ile ilgili Cambridge Analytica skandalıyla kamuoyunun gündemine oturmuştur. Bu seçimin kaderinin kişisel verilerin hukuka aykırı şekilde kullanılmasıyla değiştiği geniş kabul görmektedir. Sıradan bir vatandaşın, yapay zeka algoritmalarının potansiyelini idrak edebilmesi için kendisine ulaştırılan reklamların ne kadar isabetli olduğunu yahut tavsiye edilen çevrimiçi içeriklerin ne kadar ilgisini cezbettiğini referans alması yeterli olacaktır. Bu nispette ve daha ötesinde politik manipülasyon keza mümkündür. Yani aslında teknoloji gelişip tehdit oldukça bu husustaki küresel farkındalık artmıştır. Günümüzde ise bireysel hak ve özgürlükleri teminat altına alma sorumluluğunu hisseden devletler, kişisel verilerin korunması için oldukça sıkı regülasyonlarına sahiptir. Zira kişisel verilerin korunması bir insan hakkı olarak görülmekte ve AİHS madde 8 hükümleri kişisel verilerin hukuka aykırı olarak erişilebilirliğini ve kullanılmasını da kapsamaktadır. Kişisel verilerin korunmasına farklı kanunlarda değinilmiş olsa da bu verilerin otomatik yöntemler ile ya da bir kayıt sisteminin parçası olarak her türlü işlenmesi, depolanması, kullanılması ve aktarılmasına dair esas hükümler; Avrupa Birliği ülkelerinde ya da vatandaşları hakkında GDPR (General Data Protection Regulation), ülkemiz Türkiye’de ise 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili uluslararası sözleşmeler ile düzenlenmektedir.

API yetkileri sunan uygulama, servis ya da platformlar özünde veri transferinde bulunurlar ve otomatik yöntemlerle kişisel verileri işleme imkânları olduğu gibi uhdelerindeki veri kayıt dizinlerini de erişime açmaları mümkün olabilmektedir. Dolayısıyla API veri koruma hukukunun doğrudan konusudur. Hatta esasen veri koruma regülasyonlarının özellikle ve evleviyetle gündeme gelmesine vesile olan Cambridge Analytica skandalı da API aracılığıyla, Facebook için üretilen üçüncü parti uygulamanın kendisine verilen yetkileri istismar etmesi ile patlak vermiştir. Şöyle ki; Cambridge Analytica adlı danışmanlık şirketi API yetkilerinin istismarıyla toplayıp tasnif ettiği milyonlarca kişinin kişisel verisini işleyerek, iddialara göre, bir kişinin sıradan bir fotoğrafından cinsel yönelimini veya birkaç beğenisinden tüm karakter yapısını bile büyük isabetle tahmin edebilen algoritmalar oluşturup kullanmıştır. Elde ettiği devasa büyüklükteki veri sayesinde bireylerin analizi ve manipülasyonunda daha önce eşine rastlanmamış bir beceri göstermiştir. Nitekim skandaldan sonra yöneticilerinin ve işbirlikçilerinin yargılandığı, bu isimle bilinen şirket resmi olarak faaliyetini durdurmuştur. Bu meşhur skandalın diğer tarafı olan Facebook da veri mahremiyeti konusunda ilk günden beri olağan şüpheli olarak akıllarda yer etmektedir. Bu skandal ile Facebook’un bu verileri bilinçli olarak sattığı da iddialar arasında yer bulmuştur. Zira böyle bir farkındalık yaygınlaşmasına istemeden hizmet eden Facebook için bu olay ilk değildi ve son da olmamıştır. Ülkemizde de Facebook, “Fotoğraf API” hatası olarak bilinen güvenlik zafiyetleri konusunda kusurlu bulunmuştur. Üçüncü parti uygulamaların Facebook’daki kullanıcı fotoğraflarına erişmesine izin veren API’da bulunan açık sebebiyle kullanıcıların herkesten gizli olan hatta taslak olarak bulunan fotoğraflarına bile dışarıdan erişilebilmiştir. Kişisel Verileri Koruma Kurulu’nun 11/04/2019 tarih ve 2019/104 sayılı kararıyla da -kısaca- veri ihlalini usulünce bildirmemiş ve veri güvenliği için yeterli özenle yeterli tedbirleri almamış olmasından sebeple, Facebook toplam -1 650 000 TL- para cezasına mahkûm edilmiştir. Tabii tehlikeler sadece Facebook'a özgü değildir, tüm dijital aplikasyonlar veri ihlali riski taşımaktadır ve bu konuda son kullanıcının da üzerine düşen, uygulamalara verdiği izinlere ve gizlilik ayarlarına dikkat etmektir. 

Uygulamaların, servislerin ve platformların yumuşak karnı olan API’lar için en önemli husus yetkilerin mümkün olduğunca dar tutulmasıdır. Kişisel veri koruma hukukunun en temel prensibi işlenen verinin amaçla bağlantılı, sınırlı ve ölçülü olmasıdır. Amaç doğrultusunda mümkün olan en az verinin toplanması, depolanması, değiştirilmesi, yeniden düzenlenmesi, aktarılması ile hizmet sunulmalıdır. Bu faaliyetlerin hepsi veri işleme faaliyetidir. Örneğin bir kıyafet mağazasının müşterinin parmak izi verisine sahip olması düşünülemez. Yine aynı perakendeci, standart bedenler ile ürün satışı yaptığından, mobil uygulamasında müşterinin detaylı vücut ölçülerini kaydetmeksizin kıyafet satabileceği için bu veriyi bu şekilde işlemesi hukuka uygun değildir. Ya da Instagram’da ve Twitter’da hesaplara bağlanan “kim unfollow etmiş” tarzı uygulamalar yahut kullanımı kolaylaştıran farklı programlar API sayesinde yazılarak hesaplara erişebilmekte, kullanıcının komutları doğrultusunda manuel işlem yapabileceği gibi otomatik de işlem yapabilmektedir. Dolayısıyla aynı programların kullanıcının iradesi dışında değişik profilleri takip edip gönderilerini beğenmesi de mümkündür. Bu gibi durumlarda, bıçağın öldürmek için mi yoksa meyve soymak için mi yapıldığına imalatçısının karar verdiği akılda tutulmalıdır.

Kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olarak ve de belirli, açık ve meşru amaçlar için yapılması da yine veri koruma hukukunun temel ilkelerindendir. Dolayısıyla API aracılığıyla yazılan uygulamalar meşru amaçlar için kullanılmak üzere yazılmalıdır. Casus programlar hukuka uygun olmamakla birlikte Türk Ceza Kanunu kapsamında da ciddi suçlar oluşturmaktadır. Aynı şekilde bireyleri fişleme mahiyetinde kategorize etmek meşru olmayan amaçlardandır. Bağımsız geliştiricilerden API yetkilerini istismar edenlerin API erişiminin kesilmesi, açıkların giderilmesi API erişimine izin veren platformun sorumluluğundadır çünkü veri sorumlusu sıfatıyla verileri koruma görevi veri sorumlusuna yüklenmiştir. Zira kimin neyi, nasıl, ne kadar yapabileceği platformlar tarafından belirlenmektedir. En azından gerekli önlemleri özenle almış olmaları beklenmektedir.

Veri aktarılması ve aktarılan verinin alınması da yine Kişisel Verileri Koruma Kanunu tarafından düzenlenen bir veri işleme faaliyetidir. Üçüncü taraflara veri aktarım yöntemi API veya değil fark etmeksizin kanun kapsamındadır. Veri aktarımı yapılıp yapılmadığı ve hangi özel ya da tüzel kişilere aktarım yapılıyor olduğu, bu aktarımın amacı ve kapsamı veri sahibi olan gerçek kişiye (veri ilgilisi) bildirilmelidir. Kişinin başvurusu ile bu bilgileri öğrenme hakkı vardır ve veri sorumlusu bu bildirimden kaçınamaz. Belirli istisnalar dışında yeterli bilgilendirme ve açık rıza olmaksızın veri aktarımı yapılamaz. İşbirliği yapacak platformlar açısından bu aydınlatma yükümlülüğü önem arz etmektedir. Aynı şekilde çok uluslu ortaklıkların yurtdışına veri aktarması, örneğin finansal teknolojilerde “Know Your Customer” verilerinin yurtdışına aktarılması kanunun ve uluslararası sözleşmelerin emredici hükümleriyle bağlıdır. Hangi ülkeye, ne amaçla, hangi tedbirler alınarak, hangi verilerin aktarılacağı ve hedef ülkede hangi hukuki korumalar ile verilerin korunduğu önem taşımaktadır. 

API uygulamalarının günlük hayatta işlediği veriler daha ziyade ilgili (verinin ait olduğu) kişiler tarafından alenileştirilen verilerdir. Alenileştirilen verilerin hukukun genel prensiplerine uygun olarak işlenmesi KVKK açısından sorun teşkil etmemektedir. Herkese açık çevrimiçi paylaşımlar ilgili kişi tarafından alenileştirilmiş sayılmaktadır. Finansal ekosistemdeki API ile veri paylaşımında ise kanunun emredici hükümlerinde belirli amaç ve sebepler ile istisna kabul edilmiştir. Bu minvalde diğer kanun hükümleri ve uluslararası sözleşmeler gereğince finansal suçları önlemek amacıyla MASAK gibi finansal denetim kurumlarına aktarılan veriler Kişisel Verileri Koruma Kanunu tarafından sayılan istisnalar kapsamında değerlendirilir. Aynı hükümler, ilgili uluslararası kurumlar için yurtdışına veri aktarımında da geçerlidir. Ülkemizde devlet, ulusal güvenlik ve hatta istihbarat toplama gerekçeleriyle; bilhassa da global olarak en hassas konulardan olan suç gelirlerinin aklanması ile mücadele kapsamındaki eylemleriyle KVKK istisnalarından yararlanmaktadır.

Sonuç olarak; insanın, paranın ve eşyanın mekândan serbestleştiği serbestlik çağında tabii olarak serbest geliştiricilere imkân sağlayan, ulaşılabilir ve basit platformlar öne çıkacaktır. Tabii olarak iletişim çağında iletişimin en zahmetsiz ve kapsayıcı yöntemleri tercih edilecektir. Yine tabii olarak bireysellik çağında en kişiye özgü olan en yaygın olacaktır. API ekosistemi tüm bu özelliklerin sunulması ve ihtiyaçların karşılanması için en uygun ortam olarak kabul edilmektedir. Hatta bazı ülkeler finansal teknolojilerde aynı API altyapısının kullanılmasını regülasyonlarla zorunlu tutarak, yeknesaklık amaçlamakta ve sağlam temeller atmaktadır. Kişisel fakat küresel servislerin daha fazla kişisel veriyi dolaşıma sokacağı gelecekte, API ekosistemi ve kişisel verilerin korunması hukuku etki-tepki prensibiyle birbirlerini şekillendirerek geliştirmeye devam edecektir. Bu sebeple, birlikte ele alınmaları gerekir. Kişisel verilerin, ilgili kişiye ait ticari bir meta olmasından ziyade, korunmasının insan hakkı olduğu yaklaşımı, insanı insan yapan özeliklerin dijital uzayda aşındırılamayacağının teminatıdır. Bu minvalde kanun koyucu kendine ahlaki bir görev tanımlamaktadır. Her geçen gün bu düzenlemelerin daha sıkı uygulanması ve uygulamaların daha sıkı denetlenmesi muhtemeldir. Dolayısıyla şirketlerin ve start-upların büyük bedeller ödememek için büyük hassaslıkla konuyu değerlendirmesi gerekir. Tek seferlik KVKK uyumluluk çalışmalarındansa hukuki ve teknik desteğin sürekliliği hayatidir. Unutulmamalıdır ki gelecek yalnızca geleceğe ulaşabilenler için gelecektir.

Emin TOKATLIOĞLU
Standart Üye / 1 Yazı / 481 Okunma

2016 yılında Marmara Üniversitesi Hukuk Fakültesi'nden mezun olmuştur. Öğrenciliğinden bu yana sivil toplum ve profesyonel yaşamla iç içe olan yazar, şu an avukatlık yapmaktadır. Ticari şirketlere hukuki danışmanlık kapsamında multidisipliner çalışsa da öncelikli olarak Finansal Teknolojiler Hukuku, Ticaret Hukuku ve Bilişim Hukuku yanında veri mahremiyeti konusuyla da kişisel ve profesyonel olarak ilgilenmektedir.


Yorum Yap

E-Posta adresiniz yayınlanmayacaktır.

ya da üye olmadan yorum yap ve onaylanmasını bekle.
ÜST