Metaverse’de Kişisel Veriler Korunacak mı?
Metaverse, 2021 yılının başlarında fazla bilinmeyen ve kullanılmayan bir terimken, aynı yılın sonlarına doğru bir anda çok konuştuğumuz bir konu olmaya başladı. Metaverse, sanal gerçeklik (VR) ile 3D platformlarında kullanıcılarının etkileşime geçmesini hedefleyen bir ürün olarak kısaca özetlenebilir.
Web 3.0’ın bir getirisi olan VR ve AR teknolojisi, Metaverse’e özgü bir konu olmadığı gibi, Metaverse’den bağımsız ilerleyen bir alan. Sanal gerçeklik ve artırılmış gerçeklik, Metaverse olsa da olmasa da iş hayatı, eğitim, oyun, eğlence, satış ve ticaret sektörlerinde yakın gelecekte sıklıkla konuşulmaya ve kullanılmaya zaten başlanacaktı.
Apple’ın CEO’su Tim Cook da yakın zamanda kendisine gelen bir soru üzerine “artırılmış gerçeklik teknolojilerinde potansiyel olduğunu, buraya yatırımlar yapacaklarını” açıklamış ancak “Metaverse” kelimesini kullanmamıştı. Elon Musk ise, “Metaverse’ün abartıldığını, bir gerçeklikten çok pazarlama taktiği olduğunu, kendi projesi Neuralink’in daha iyi olduğunu, çünkü burada bir VR cihazı kullanmadan sanal gerçeklik yaşanabileceğini” açıklamıştı.
Facebook, Ekim 2021’de adını “Meta” olarak değiştirdiğini ve Metaverse platformu kurma hazırlığında olduğunu açıkladı. Microsoft da Kasım 2021’de yaptığı açıklama ile ürünlerinden biri olan Teams uygulamasına Metaverse özelliği ekleyeceğini açıkladı.
Bunların yanı sıra, şu anda aktif olarak kullanılan Decentraland, Second Life, Roblox gibi farklı içerik ve özellikte Metaverse’ler mevcut. Buralarda blockchain (ethereum) ile akıllı sözleşmeler ve diğer etkileşimler mevcut olmaya başladı. Ancak, bu Metaverse’lere girmek için VR cihazına ihtiyaç yok. Yani, geldiğimiz aşamada, VR ile girdiğimiz platformlar mı metaverse, yoksa blockchain alt yapısı ile çalışan Web 3.0 platformları mı metaverse, şu an için bir fikir birliği yok.
Görüldüğü üzere, tek bir Metaverse olmadığı gibi, her birinin geliştiricisi, özellikleri ve kullandığı teknolojiler farklı olacak. Ayrıca Metaverse platformlarının hangisinin talep göreceği, hangisinin ayakta kalacağı, hangisinin bir anda ilgi görüp sonra yok olacağı ya da hangisine şu an anladığımız şekliyle “Metaverse” deneceği henüz belli değil. Buradan yola çıkarak Metaverse’lerin henüz yeterince tecrübe edilmediğini ve yakın gelecekte Metaverse ve ona bağlı ürünlerin çerçevesinin çok fazla değişebileceğini, ancak şu anki bakış açısı ile sosyal medya uygulamalarının VR içeren sanal gerçeklik platformları şeklinde karşımıza çıkan versiyonu olacağını söyleyebiliriz.
Bu nedenle Metaverse ve kişisel verilerin korunmasını değerlendirdiğimiz bu yazıda yaygın olarak “yakın gelecekte” gerçekleşmesi muhtemel sorunlardan bahsedeceğiz.
Metaverse’de Kişisel Verilerin Korunması ile ilgili Muhtemel Sorunlar
Metaverse, Big Data ve Metadata
Çok bilinen “bir şey ücretsizse ücret ‘sizsiniz” cümlesini sosyal medya platformları ve diğer mobil uygulamalarda deneyimledik. Buralarda, kullanıcıların uygulamaların arayüzünde ve profillerinde gördükleri fotoğrafları, etkileşimleri, arkadaşları, mesajları gibi içeriklerimizin görüldüğünü ve kullanıldığını biliyoruz. Ancak, uygulamaların işine, bizim bu “görünen” içeriklerimizden (data) çok “görünmeyen” (metadata) bilgilerimiz yarıyor.
Sosyal medyada ve uygulamalarda, bizim bildiğimiz ve kontrol ettiğimiz bir profilimiz mevcut. Ancak bir de çok iyi bilmediğimiz ve kontrol de etmediğimiz arka plandaki profilimiz olduğunu biliyoruz. Örneğin, sosyal medya profilimizde yaşımız, cinsiyetimiz, hatta ilgi alanlarımızı belirtmiş olabiliriz, ancak uygulama, burada belirtmediğimiz ve doğrudan bizim paylaşmadığımız bazı başka bilgilere de sahip oluyor: en son tatile ne zaman ve nereye gittiğimiz, bir sonraki tatilimizi nereye planladığımız, duygusal durumumuz, evimizde başka kimlerin yaşadığı, işyerimizde başka kimlerin çalıştığı, hangi arkadaşımızla aynı doktora gittiğimiz, siyasi görüşümüz, ve daha bir çok verimiz.
Sosyal medya uygulamalarının bu gibi bilgilere ulaşabilmesi mobil telefonumuzda başlıca konum olmak üzere, kamera, mikrofon, kişiler, takvim gibi içeriklerle elde edilen “metadataya” ulaşması ile gerçekleşiyor.
Bütün bu konuları aslında bugüne kadar az çok bilmekte ya da fark etmekteydik. Metaverse ise, artık bizim telefonumuzdaki içeriklerle değil, Metaverse’deki avatarımızın data ve metadatası ile ilgileniyor olacak.
Aslında kelime olarak da benzediği üzere, Metaversede de en değerli şey “metadata” olacak ve artık “data” değil “metadata” çağında olacağımızı daha net söyleyebileceğiz.
Peki Metaverse, mobil telefonlarımızdakilerden farklı hangi verilere erişebilecek? Metaverse’de yapılan tüm işlemlerde, platformdaki davranışlarımıza ek olarak VR ve AR cihazları ile edinilen verilerin işlenmesi ve toplanması mümkün olacak. Örneğin, Metaverse’de bir konserde eğlenirken, soluk soluğa kalan bir kişinin, vücut ısısı değişimi ve gözündeki hareketler ile kişinin sağlık sorunu tahmin edilerek en yakın hastanenin reklamları gösterilmesi sağlanabilecek.
Metaverse platformlarının ve buralarda kullanılan giyilebilir VR cihazlarının veri güvenliği de en önemli konulardan biri. Web 2.0’da kullanıcı bazında henüz edinemediğimiz biyometrik veri farkındalığını web 3.0’da edineceğiz. Facebook’un yüz tanıma sistemini sonlandıracağını açıklaması da, geçmiş tecrübeleri nedeniyle ilerideki tartışmaları şimdiden bir miktar önleme amaçlı olarak değerlendirilebilir. Metaverse’de edinilen ve kullanılan göz retinası, yüz tanıma bilgisi, avuç içi ve parmak izi gibi biyometrik verilerin bir şekilde başkaları tarafından ele geçmesi, Metaverse platformlarının veri ihlaline uğraması ile bu veriler “deep fake” ile dolandırıcılık işlemlerine konu edilebilir.
Metaverse ve Kişisel Veri Profilleme
Metaverse’de dijital ikizimiz avatarlar, gerçek hayatta yaptığımız eylemlerde bulunabilmek için, bilgisayardaki gibi tıklama veya telefondaki gibi ekrana dokunmadan çok, bazı özel cihazlar, giyilebilir teknolojik ürünlerden yararlanmak gerekecek. Şu an bunlar gözlük ve mikrofon içeren “headset”lerden öteye gitmese de yakın gelecekte VR giysileri ve 5 duyunun 5’ini de algılamayı sağlayacak ürünler de konuşuluyor olacak.
Metaverse’de VR gözlüklerimiz ile nereye bakıyoruz, göz tam olarak hangi noktada, ne görüyoruz, hangi görünüye kaç saniye harcıyoruz, görüntünün en çok hangi noktası dikkatimizi çekiyor, bunların ölçümlenmesi ve profillenmesi mümkün olacak.
Metaverse için kullandığımız VR cihazlarının özellikleri ve sensörleri ile yüz ifadelerimiz, kafa ve vücut hareketlerimiz, içerikleri gördüğümüzde verdiğimiz tepkiler, hatta nabız ve kalp atış hızımız, gözümüzün fizyolojik anlık değişimleri bile izlenebilecek ve buralardan çok sayıda sonuç çıkarılabilecek.
Diğer yandan VR teknolojisinin getireceği veri toplama yeteneği konu ile ilgisi olmayan kişilerin de kişisel verilerinin toplanması ve işlenmesi söz konusu olabilecek. Bunun bir örneği, Facebook’da zaten görülmüş ve Mark Zuckerberg Facebook kullanıcısı olmayan kişilerin de verilerinin toplandığını itiraf etmişti. Çok tutmayan google glass’ta ise gözlük, kayda başladığı anda çevreyi uyarma özelliği eklenmişti. Bu gibi uygulamaların Metaverse’lerde nasıl uygulanacağını hep birlikte göreceğiz.
Facebook Metaverse’ü sosyal medya platformu amacıyla kullanmaktan öte, yayınladığı videoda Metaverse’ün iş hayatında kullanılmasını göstermişti. Microsoft da benzer bir şekilde Teams’i Metaverse’e çevireceğini açıklaması ile, ileride çalışanların kişisel verilerinin toplanması ve buradan sonuçlar çıkarılması ile ilgili yeni tartışmalar doğabileceğini anlıyoruz. Örneğin İşverenin çalışana “bilgisayarın karşısındasın ama gözlerin ekrana yeterince odaklanmamış” ya da “görüşmelerde kalp atışın çok yükseliyor, kendine güvenmiyorsun” gibi VR ve AR olmayan dünyada edinemeyeceği bilgilerle bazı tespitlerde bulunması söz konusu olabilecek. Aslında şimdi de benzer durumlar yapay zekalı yazılımların iş hayatında kullanılması ile ilgili tartışılıyor ve Amsterdam Mahkemesinde görülen UBER davası sonucunda yapay zekalı yazılımın çıkardığı veriler ile kişiler hakkında önemli sonuçlar doğuracak kararlar verilmemesi gerektiği yönündeki emsal karar mevcut. Metaverse’ün iş hayatına yansımaları ile GDPR 22. madde bu konu çok daha fazla gündeme geliyor olacak.
Metaverse ve Etik
Metaverse’de sosyal medyadan çok daha fazla etkileşim ve iletişime geçmek mümkün olacağı için kişiler, kontrolsüzce paylaştığı kişisel verileri nedeniyle şimdikinden çok daha fazla tacize, siber zorbalığa, sosyal mühendislik ile yapılan dolandırıcılıklara maruz kalacak. Bu noktada Metaverse ürünlerinin geliştiricilerinin kullanıcı politikaları önem arz edecek. Kullanıcıların bilgilerinin görünürlüğünü kısıtlaması, istemediği kullanıcıları engellemesi, topluluk kurallarını ihlal edenlerin uzaklaştırılması gibi tedbirlerin bu ortamlarda da alınması zorunlu.
Hukuki Sorumluluğu ve Uygulanacak Kanunları Belirleme
Metaverse, şu an kullanılan bir çok sosyal medya veya iletişim uygulamasında mevcut olan benzer hukuki sorunları devam ettirecek. Bunun en büyük göstergesi, şu an da sosyal medya uygulamalarının yerel kişisel verilerin korunması mevzuatını tanımama eğiliminde olması. Aynı zamanda bu gibi platformlar 6698 Sayılı KVKK anlamında yurtdışı aktarım sayıldığı için KVKK’nın yurtdışı aktarım şartlarını yerine getirmeleri bekleniyor. Benzer düzenleme, GDPR’da da AB dışına veri aktarımları için mevcut.
Daha öteye gidersek, Metaverse’de etkileşimin sosyal medya platformlarından daha kapsamlı olduğu ve toplanan verilerden çok daha fazla sonuç çıkabileceği öngörüldüğünde, bu verilerin kimler tarafından toplandığı, kimler tarafından kullanıldığı ve ne şekilde aktarımlar yapıldığının tespiti ve uygulaması daha zor hale gelecektir.
Şeffaflık ve Kullanıcı Kontrolü
Dünyada yürürlükteki farklı veri koruma mevzuatında genel olarak, ilgili kişilerin bilgilendirilmesi, kişisel verilerinin hangi amaçla, hangi yöntemle işlendiği, kimlere aktarıldığı konusunda şeffaf bilgi verilmesi düzenleniyor. KVKKda da aynı esas, 10. maddede “aydınlatma yükümlülüğü” olarak düzenleniyor. Aydınlatma yükümlülüğü, hem Kişisel Verileri Koruma Kurumu, hem de farklı ülkelerin veri koruma otoriteleri tarafından giderek daha açık, daha şeffaf hale getirilecek şekilde yorum yoluyla genişletiliyor.
Metaverse gibi, toplanan verilerin çok ve kapsamlı olduğu ve kapsamlı aktarımlar, veri paylaşımları yapıldığı bir alanda, aydınlatma yükümlülüğünün ne kadar yerine getirilebileceği, getirilse dahi kullanıcıların buna nasıl hakim olabileceği tartışma konusu olmaya devam edecek. Aynı zamanda açık rıza alınması gereken hususlarda, Metaverse platformlarının ne kadar kanunlara uygun davranacağı da tartışmalı. Sosyal medya platformları ve Whatsapp’ta da aynı konular tartışılmış ve en son Whatsapp’a KVKK tarafından, kullanıcıların doğru bilgilendirilmediği, hizmetin açık rıza şartına bağlandığı, yurtdışına veri aktarımı yapıldığı gibi gerekçelerle ceza verilmişti.
Burada bir öneri olarak, Metaverse platformlarının 3 boyutlu AR olanaklarının gizlilik seçenekleri ve bilgilendirme için de kullanılması, kullanıcılara 2 boyutlu yazılar okutmak yerine, gizlilik bildirimlerinin anlatıldığı ve sonuçlarının simule edildiği “gizlilik odalarına” girerek Metaverse’ün ruhuna uygun seçimler yapmalarının sağlanması getirilebilir.
İlgili Kişinin Haklarını Kullanması
Veri koruma mevzuatında Dünya genelinde verisi işlenen kişilere sağlanan haklar mevcut. GDPR ve KVKK’da da ilgili kişinin kişisel verilerinin silinmesini, düzeltilmesini isteme, işlenen verileri ve aktarıldığı taraflar ile ilgili bilgi isteme ve unutulma hakkı gibi hakları mevcut. Metaverse ortamında toplanan kişisel verilerin ve bu verilerden çıkan diğer sonuçların fazlalığı göz önüne alındığında uygulama zorlukları yaşanacak.
Ayrıca, Metaverse’ün sadece sosyal medya platformu değil, iş platformlarında da kullanılacağı düşünüldüğünde (Örneğin Microsoft Teams, Meta Horizon) Metaverse platformu üzerinden çalışan bir çalışanın, kişisel verilerinin silinmesini talebi halinde, İşveren’in bunu yerine getirmesi ne kadar mümkün olacak? Metaverse bu verilerin ayrı bir veri sorumlusu mu, yoksa veri işleyeni olarak mı hareket edecek? Bu soruların ilerleyen zamanlarda cevaplanması gerekecek.
Sonuç
Metaverse’de kişisel verilerin korunmasından bahsettiğimizde, Avrupa Veri Koruma Tüzüğü’nde (GDPR) yer alan “privacy by design” ilkesinin en çok konuşulması gereken konu olduğu sonucuna varabiliriz. Oluşturulan platformların, yaşanan büyük skandal ve uygulanan cezalardan yola çıkılarak “gizliliğe ve kişisel verilerin korunmasına” uygun şekilde inşa edilmesi gerekecektir. Kullanıcıların da giderek bilinçlenmesi ve Apple gibi şirketlerin gizlilik yönünde radikal uygulamalara başlaması ile Metaverse platformlarının kişisel verilerin korunmasını, sadece “yasal gereklilik” değil “kullanıcı nezdinde güven ve bağlılık” açısından zorunluluk olarak da görmeleri gereken bir zamana gelmiş bulunuyoruz.
Dünya Ekonomik Forumu tarafından 2017’de hazırlanan bir rapor, seçilen 6 farklı ülkedeki insanların %47’sinin kullanıcılara yeterli gizlilik kontrolü sunmaması nedeniyle bir hizmeti kullanmayı bıraktığını veya kullanmaktan kaçındığını söylüyor. Rapora göre, bu rakam Çin için %70’e kadar çıkıyor. Bu araştırma, kullanıcı gizliliği ve kişisel veri kontrollerinin tüketiciler için artık hizmeti alıp almamakta karar vermeyi etkilediğini gösteriyor.
Bu noktada, dünyadaki farklı veri koruma mevzuatında ve aynı zamanda 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile GDPR’da geçerli ilkelerden minimizasyon ilkesine uygun davranılarak, işlenen kişisel verilerin sınırlandırılması ve bu konuda şeffaf davranılması ve Kullanıcıların kendi verilerini kendilerinin yönetebileceği yöntemler kullanılması gerekecek. Böylelikle, Metaverse platformları için şu an duyulan korkular yerine, teknolojik gelişmelerin faydalarından yararlanmak daha mümkün olabilir.
https://www.eralp.av.tr/makaleler/