Veri gizliliği ve güvenliğiyle ilgili tartışmalar, genellikle Google, Facebook ve diğerleri gibi büyük teknoloji devlerinin kullanıcı verileriyle ne yapabildiklerine odaklanır. Tüm iş modellerini kişisel verileri toplamak ve daha sonra bunları kazanç elde etmek üzerine kuran işletmeler ise daha az konu edilir. Bu işletmelere veri komisyoncuları denir. Peki, bunlar kimlerdir, bilgilerinizi nasıl toplarlar, bu bilgilerle ne yaparlar ve onlardan nasıl kurtulabilirsiniz?
Veri komisyoncuları nedir?
Veri Komisyoncuları, sizin kişisel bilgilerinizi satan şirketlerdir. Veri komisyoncuları, kim olduğunuza dair ayrıntılı bir resim oluşturmak ve daha sonra bunu satmak için çeşitli kaynaklardan bilgi toplar. Veri komisyonculuğu büyük bir iştir. Dünya çapında 4.000 kadar veri komisyonculuğu şirketi vardır sektörün yıllık değerinin 200 milyar olduğu tahmin edilmektedir. En önemli veri komisyoncuları arasında Experian, Equifax, Acxiom ve Epsilon şirketleri yer alır.
Veri komisyonculuğu sektörü şeffaf olmamakla eleştiriliyor. Veri komisyoncuları, verilerini topladıkları, analiz ettikleri, paylaştıkları ve bu sayede kazanç sağladıkları kişilerle etkileşim kurmaya dair herhangi bir motivasyon taşımaz.
Veri komisyoncusu nedir?
Bu bağlamda “bilgi aracısı” ve “veri komisyoncusu” terimleri aynı anlamda kullanılır. Veri komisyoncularının verilerini topladıkları kişilerle doğrudan bir ilişkisi yoktur, bu nedenle çoğu kişi verilerin toplandığının farkında bile değildir. İnsanlar çevrimiçi gizlilik politikalarını ve kullanım koşullarını genellikle okumadan ve hatta bazen hiç düşünmeden “kabul ediyorum” seçeneğine tıklayarak kabul eder. Ancak izin verilen verilerin miktarı ve bu kadar çok web sitesinde nasıl bir kümülatif etkinin söz konusu olduğu her zaman belli değildir.
Veri komisyoncuları nasıl bilgi toplar?
Veri komisyoncusu siteleri, kapsamlı tüketici profilleri oluşturmak için noktaları birleştirmek suretiyle, sizin hakkınızda hem çevrimiçi hem de çevrimdışı birçok şekilde bilgi edinebilir:
- İnternetteki gezinme geçmişiniz. Bir arama motorunu, sosyal medya uygulamasını veya daha başka uygulamaları her kullandığınızda, çevrimiçi bir test doldurduğunuzda veya bir yarışmaya katıldığınızda ya da farklı web sitelerini ziyaret ettiğinizde, elektronik bir iz bırakmış olursunuz. Veri komisyoncuları bu izleri, kim olduğunuz hakkında genel bir resim oluşturmak için kullanır. Çoğu web sitesinde yüklü olan web izleme, çevrimiçi etkinlikleriniz hakkında bilgi toplar. Veri Komisyoncuları bu bilgileri toplamak için web kazımayı kullanır; bu, herhangi bir web sitesinden veri ayıklayan küçük bir yazılım veya komut dosyasıdır.
- Genel kaynaklar. Doğum sertifikaları, evlilik izinleri, boşanma kayıtları, seçmen kayıt bilgileri, mahkeme kayıtları, iflas kayıtları, motorlu araç kayıtları ve sayım verileri bu kapsamdadır.
- Ticari kaynaklar. Kısaca satın alma geçmişiniz; satın aldığınız ürünler, bunları ne zaman satın aldığınız, indirim, kupon ya da müşteri sadakat kartı kullanıp kullanmadığınız gibi.
- Onayınız. Bir mağazanın sadakat programı gibi şeylere kaydolduğunda, farkında olmadan verilerinizin paylaşılmasına izin vermiş olabilirsiniz (minik yazıları okumadığınız sürece).
Veri komisyoncuları hangi bilgileri toplar?
Veri komisyoncuları, bu farklı kaynakları kullanarak sizin hakkınızda çok fazla bilgiyi bir araya getirir. Toplanan bilgi türleri şunlardır:
- Adınız
- Adres (şu anki ve önceki adresler)
- Doğum tarihi
- Cinsiyet
- Medeni durum
- Aile durumu, çocuklarınız varsa yaşları
- Kimlik numarası
- Eğitim düzeyleri
- Varlıklar
- Meslek
- Telefon numarası
- E-posta adresleri
- Satın alma alışkanlıkları – neyi, ne zaman ve ne kadar satın alıyorsunuz
- Kişisel ilgi alanları ve hobiler
Gelir düzeylerinizi, sağlık durumunuzla ilgili bazı ayrıntıları, siyasi görüşünüzü ve tüm suç kayıtlarınızı da bilmeleri mümkündür.
Veri komisyoncuları bu bilgileri, “yeni anneler”, “fitness tutkunları” gibi kullanıcı segmentleri oluşturmak için toplar ve ticari amaçlarla diğer şirketlere satarken bu bilgileri kullanır. Bazı kategoriler zararsız görünebilir ancak bunlar izinsiz olur ve tıbbi veya kişisel koşullara (mesela “HIV hastaları”) odaklanırsa etik sorular gündeme gelebilir.
Toplanan bilgi hacmine rağmen, Veri komisyoncularının elde ettiği bilgiler her zaman doğru değildir. Örneğin, siz bir arkadaşınız ya da aile üyesi için bebek kıyafetleri satın alıyor olabilirsiniz ama veri komisyoncusu sizi, olmadığınız halde ebeveyn olarak algılar. Siz ilaçları yaşlı bir akrabanız için alıyor olabilirsiniz ama bu veri komisyoncusu tarafından sizin sağlık durumunuzla ilgili bir durum olarak yorumlanır.
Verileriniz nasıl kullanılır?
Veri komisyoncuları, verilerinizi çeşitli ticari amaçlar için diğer şirketlere satar. Bunlar:
- Pazarlama ve reklam. İşletmeler, size pazarlama mesajları, müşteri teklifleri ve çevrimiçi reklamlar hazırlayabilmek için veriler satın alır. Seçim kampanyaları sırasında, siyasi partiler size siyasi mesajlar göndermek için verileri kullanabilir.
- Risk azaltma. Bazı işletmeler dolandırıcılığa karşı mücadele etmek için veri komisyoncularından satın aldığı verileri kullanır. Örneğin, bir müşterinin kredi başvurusu sırasında verdiği bilgilerin veri komisyoncularının verdiği bilgilerle eşleşip eşleşmediği kontrol edilebilir. Bilgiler ayrıca, bir tüketicinin bir kredide temerrüde düşme olasılığını hesaplamak için de kullanılabilir.
- Sağlık sigortası. Sağlığınız hakkındaki bilgiler (hangi ilaçları satın aldığınız ve hangi semptomlar için internette arama yaptığınız gibi), veri profilinize bağlı olarak size hangi sigorta planının sunulacağı üzerinde araştırma yapmak için sağlık sigortası şirketleri tarafından kullanılabilir.
- Kişi arama siteleri. Spokeo, PeekYou, PeopleSmart, Pipl gibi kişi arama siteleri bir kişiyi ismine göre aramanızı ve genellikle ücret karşılığında adres, telefon numarası, e-posta adresi, doğum tarihi gibi bilgileri elde etmenizi sağlar. Bu sitelerde yer alan bilgiler veri komisyoncularından gelir ve bazen doxing, sosyal mühendislik veya kimlik hırsızlığı için kullanılabilir.
Veri komisyonculuğu yasal mı?
Yasalar her zaman olduğu gibi yargı bölgelerine göre değişir ve yasal durum her zaman apaçık değildir. Veri komisyoncuları bilgi almak için genellikle herkese açık olarak erişilebilen kayıtları kullandıklarında, bazı gri alanlar olsa da faaliyetleri yasal olarak görülür.
AB'de, Avrupa Birliği'nde tüketici verilerini hedefleyen veya toplayan her türlü kuruluşu kapsayan bir veri gizliliği ve güvenlik yasası olan Genel Veri Koruma Yönetmeliği (GDPR) yürürlüktedir. Bu yönetmeliğe göre, verileri toplanmadan önce tüketicilerin buna açıkça izin vermesi gerekir. GDPR ayrıca tüketicilere, kuruluşların kendileriyle ilgili tuttuğu verilerin silinmesini talep etme hakkını verir. Diğer ülkelerde de buna benzer yasalar vardır; örneğin Brezilya'ya LGPD (Lei Geral de Proteção de Dados).
ABD'de, GDPR'ye denk kapsayıcı bir federal yasa olmadığı için daha parçalanmış bir görüntü söz konusudur. Yasalar eyalete göre değişiklik göstermekle birlikte, bazı eyaletler veri konusuna diğerlerine göre daha fazla hassasiyet gösterir. Örneğin, Kaliforniya'nın Tüketici Gizlilik Yasası, tüketicilerin veri komisyoncularının kendileri hakkında derlediği bilgilerin kopyalarını edinmelerine, bu bilgilerin silinmesini ve verilerin satılmamasını talep etmelerine izin verir.
Kullanıcı verilerini toplamak için gereken onay, çoğu web sitesinde satır aralarına gizlenir. Dolayısıyla kullanıcılar için verilerinin ne kadarı üzerinde kontrol sahibi oldukları her zaman açıkça belli değildir.
Veri komisyoncularının yaptığı veri ihlallerine örnekler
Veri komisyonculuğuna dair etik ve yasal konuların yanı sıra, endişe yaratan bir konu da veri ihlallerinin kapsamıdır. Veri Komisyoncuları, yanlış ellere düştüklerinde etkilenen kişiler için ciddi sonuçlar doğurabilecek hassas bilgileri derler.
Önemli veri komisyonculuğu olayları örnekleri:
- 2017 yılında Equifax, 147 milyon kişinin kişisel bilgilerini etkileyen bir veri ihlali yaşandığını duyurdu. Şirket daha sonra Federal Ticaret Komisyonu ile 50 eyaletle etkilenen kişilerin tazminatına yardımcı olmak için 425 milyon dolara kadar para cezası içeren bir anlaşma yaptı.
- 2015 yılında, T-Mobile'a ait ancak Experian'ın sunucularında saklanan 15 milyon kayda erişim sağlandı.
- 2011 yılında Epsilon’a gerçekleştirilen saldırıda, e-posta pazarlama listelerine milyonlarca kişinin adı arı ve e-posta adresi sızdırıldı ve bu kişiler sonradan çeşitli spam’lere ve belirli kişilere yönelik kimlik avı girişimlerine maruz kaldı.
- 2003 yılında Acxiom bir korsanlık saldırısına maruz kaldı ve 1,6 milyardan fazla kayıt (isimler, adresler ve e-posta adresleri) çalınarak spam göndericilerine satıldı.
Kendinizi bilgisayar veri komisyoncularına karşı koruma
Veri komisyoncularının oluşturduğu listelerden tamamen ayrılmak kolay değildir. Yine de, veri toplama işlemlerinin iptal edilmesi için veri komisyonculuğu siteleriyle tek tek iletişime geçerek bilgilerinizin kaldırmasını isteyebilirsiniz. Ancak bu zaman alan bir işlemdir. Alternatif olarak, bunu sizin adınıza yapması için ödeme yapabileceğiniz şirketler de vardır. Çevrimiçi gizliliğinizi korumak için gerekli adımları uygulayarak veri komisyoncusu listelerinden ilk aşamada uzak durmaya çalışmak ise çok daha iyi bir yaklaşımdır.
Kendinizi veri toplama sitelerinden silme
Privacy Rights Clearinghouse kapsamlı bir Veri komisyoncusu listesine sahiptir. Bu liste, gizlilik politikalarına bir bağlantı ve her bir aracıdan nasıl veri silineceğine dair bilgiler içerir. Bunun tek seferlik bir süreç olma ihtimali düşüktür. Etkili bir sonuç için muhtemelen düzenli olarak yeniden ziyaret etmeniz gerekir. AB'de ikamet ediyorsanız, bu kılavuzda GDPR silme taleplerini nasıl gönderebileceğiniz ve kendinizi veri toplama sitelerinden kaldırma hakkında daha fazla bilgi yer alır.
Brand Yourself adlı bir şirket, verilerinizi büyük veri komisyoncularının veritabanlarında tarar ve verilerinizin nerede bulunduğuna dair bir rapor sunar. Bu, kendinizle ilgili verileri sildirebileceğiniz veri komisyoncuları bulmak için bir başlangıç noktası sağlar.
Bu sitelerden kayıtlarınızı sildirmek için genellikle e-posta yoluyla onlarla iletişime geçmeniz gerekir. Bunu yapmak için yeni, tek kullanımlık, ikincil bir e-posta hesabı oluşturmak iyi bir fikirdir. Burada amaç birincil e-posta hesabınızı güvende tutmak ve spam'den korumaktır.
Bir şirketin kişisel verilerinizi nasıl işlediği konusunda endişeleriniz varsa ülkenizdeki ilgili devlet kurumuna şikayette bulunabilirsiniz. Ülkelerde bunun için farklı kurumlar bulunmaktadır; örneğin ABD’de Federal Ticaret Komisyonuve İngiltere’de Bilgi Komisyonu Ofisi.
Sizi veri komisyoncularından uzak tutmak için özel şirketlere ödeme yapın
Verilerinizin gizli kalmasını sağlayacak şirketlere örnek olarak PrivacyDuck ve DeleteMe verilebilir. Ancak bu şirketler hizmetleri için ücret talep eder.
Aşağıdaki adımları uygulayarak çevrimiçi gizliliğinizi koruyun
- Haklarınızın ne olduğunu görmek için ülkenizdeki veya eyaletinizdeki veri gizliliğini yöneten yasal çerçeveyi öğrenin.
- Kişisel bilgilerinizi sosyal medyada paylaşmaktan kaçının. Örneğin, doğum tarihiniz genellikle bir tanımlayıcı veya güvenlik sorusu olarak kullanılır, bu nedenle bunu herkese açık olarak yayınlamaktan kaçının.
- Sosyal medya hesaplarınızı yalnızca arkadaşlarınız ve aileniz görebilecek şekilde gizli tutmayı düşünün.
- Çevrimiçi testlere veya çekilişlere katılmaktan kaçının; bunlar genellikle hakkınızda veri yakalar.
- Güvenilir olmayan kaynaklardan riskli uygulamaları indirmekten kaçının ve kullanmadığınız gereksiz uygulamaları silin.
- Çevrimiçi hesaplarınızı asgari seviyede tutun ve yalnızca gerçekten kullandığınız hizmetler için hesap açın.
- Tanımadığınız kişilerden gelen e-postaları açmaktan kaçının.
- İzlemeyi engellemek için izleme engelleme ve reklam engelleme yazılımı içeren bir web tarayıcısı kullanın.
Çevrimiçi gizliliğinizi geliştirmek için bir VPN veya Sanal Özel Ağ da kullanabilirsiniz. VPN kullanarak internete bağlandığınızda IP adresiniz gizli kalır ve verileriniz şifrelenir. Kaspersky VPN Secure Connection, korsanların verilerinizi okumasını engeller ve çevrimiçi gizlilik sağlar.
İlgili Makaleler: