ABD’de Veri Mahremiyetinin Geleceği

KIRKPATRICK: Dolayısıyla, evet. Harika. Herkese günaydın. Ben David Kirkpatrick. Gazeteciyim ve Technomy Media’nın kurucusuyum.

GOLDSTEIN: Çantamdan bana gözlüklerimi uzatır mısın?

KIRKPATRICK: Technomy Media, teknolojinin her şeyi nasıl değiştirdiğine dair bir konferans ve yayın şirketi, bugün harika bir örnek sunuyor. Bugün GDPR’den sonra ABD’nin veri mahremiyetinin geleceğine dair bir oturumdayız. Paneli canlı takip edenler için anımsatma: Burası Dış İlişkiler Konseyi. Panelistlerimiz Lynn Goldstein, Marc Groman ve Karen Kornbluh. Kendilerini hemen size tanıtacağım. Ve tüm bunlar kayıt altına alınıyor. Karen de şu anda bizlerle. Harika.

Dolayısıyla evet, kısaca panelistleri size takdim edeyim. Burada New York’ta benimle birlikte Lynn Golstein var. Kendisi bir nevi iş dünyasının resmi temsilcisi. Uzun zamandır büyük finans kurumlarında mahremiyet alanında çalışan bir hukukçu ve 10 yıl JPMorgan Chase’da baş mahremiyet memuru olarak görev aldı. Sivil alanda çok fazla çalışma yürüttü ve bugün birçok kar gütmeyen ilginç operasyona katıldı; mahremiyet konusunda ne yapmak gerektiğini araştırdı. Bu kendisinin kapsamlı bir şekilde angaje olduğu bir konu. Ayrıca şu anda GDPRSimple isimli bir şirketi yönetiyor. Şirket küçük ve orta ölçekli işletmelere GDPR’den dolayı uygulamaları gerekenler konusunda yönlendirmede bulunuyor.

Washington’da, ekranınızın sol tarafında, Marc Groman Washington’daki hükümetin iki emektarından birisi. Kendisi halihazırda Groman Danışmanlık Grubu’nda müdürlük yapıyor; ancak Obama yönetiminin son dönemlerinde OMB’de mahremiyet konusunda kıdemli danışman idi. Bundan önce,

Başkan Obama tarafından kurulmuş olan Federal Mahremiyet Konseyi başkanlığını yürüttü ve bu konsey başkanın siber güvenlik ulusal eylem planına öncülük etmişti. Kendisinin daha önce FTC’de, Kongre’de mahremiyet uzmanı olarak uzun bir kariyeri oldu ve hükümet dışında da çok fazla çalışma yürüttü.

Karen Kornbluh, sağ taraftaki — doğru söyledim değil mi, Karen?

KORNBLUH: Evet.

KIRKPATRICK: Tamam, teşekkürler. Kendisi burada Konsey’de dijital politika konusunda kıdemli uzman. Bundan önce, Nielsen’de küresel kamu politikası, kurumsal sosyal sorumluluk, mahremiyet ve strateji alanlarından sorumlu başkan yardımcılığı yürüttü. Ancak ondan önce, OECD nezdinde ABD’nin büyükelçisi idi ve teknolojinin dünyayı nasıl değiştirdiğine dair büyük resimdeki politika meselelerine oldukça derinden müdahil olmuştu. Ayrıca, Hazine Müsteşarlığı’nda başkan yardımcılığı ve FCC’nin yasal ve hükümet-hükümetlerarası meselelerinde ofis direktörlüğü yapmıştı.

Bunlar çok uzun özgeçmişler. Hepsini tamamladım. Panelimize katılan iki kişi Washington’da ve bu kişiler Washington’da olan bitenleri yakından takip ediyorlar ve Lynn burada New York’ta konunun şirketler boyutunu ele alıyor. Ve burada GDPR’den sonra ABD’de mahremiyet politikası, yönetmelikler ve uygulamalar konusunda yaşanacak olan şeyleri tartışmak üzere bir araya geldik. GDPR son derece önemli, çünkü bir kişinin en sonunda dijital çağda mahremiyet konusunda bir şeyler yaptığını gösteriyor. Doğru mu yanlış mı yapıldığını tartışmak ayrı bir konu. Ancak en azından bir şeyler yapıldı. Ve bence bu hükümlerle aynı fikirde olmayan birçok kişi bizim farklı bir şeyler yapmamız gerektiği konusunda hemfikir. Dünya değişiyor.

Ve bildiğiniz gibi, bir teknoloji gazetecisi olarak benim yaklaşımıma göre, hükümetler teknoloji ağırlıklı toplumda yaşanan şeyleri doğru bir şekilde anlamıyorlar ve bu doğrultuda doğru adımlar atmıyorlar. Dolayısıyla bu anlamda AB, beklenmedik bir tutum sergiledi; olan biteni gerçek anlamda algıladı.

Sun Microsystems’dan Scott McNealy, konuşma yaptığı konferanslardan birinde şöyle söylemişti: “Mahremiyetiniz yok, aşın artık bunları. Mahremiyetin ihlal edilme biçimleri gözardı edilebilir ve bu konu hayal edebileceğimizden çok daha geniş; keza dünya giderek birçok cihaz ve verinin birbirine bağlandığı bir yer haline geliyor.

Ve bu bence gerçekten de korku verici bir şey. Siz ne düşünürseniz düşünün. Ve ben genel anlamda kişisel verilerim konusunda çok endişeli değilim. Bazı insanlar, kendi verilerinin kamusal denetime açılmasına istekliler. Ancak biz oldukça tuhaf bir noktadayız. Ve bence ne yapılacağını bilemiyoruz. Dolayısıyla, hükümetin ne yapması gerektiği ve ne yapacakları konusunun bu panelde tartışılması gerekiyor.

New York’tan katılan Lynn ile başlayalım. Durumun ne kadar iyi veya ne kadar kötü olduğuna dair kendi görüşünüzü paylaşabilirsiniz. Belki de gidişata dair söylenecek olumlu şeyler de vardır.

GOLDSTEIN: Evet. Dolayısıyla bence şirketler için en önemli birinci şey, Avrupa’da olmasanız bile GDPR’nin halen size uygulanması – eğer Avrupa’da yerleşik bireylere mal ve hizmet sunarak iş yapıyorsanız. Dolayısıyla onların faaliyetlerini izliyorsanız, yani Avrupa’da yerleşik bireylerin. Dolayısıyla bu konunun oldukça önemli olduğunu düşünüyorum. Bu, GDPR’den önce var olan hukuktan farklı bir durum. Dolayısıyla işler eskisi gibi değil. GDPR’ye dikkat etmezseniz, size mal ve hizmet sunan veya bireyleri izleyen internet işletmelerine dikkat etmeniz gerekiyor.

İkinci olarak, birçok şirket – hem Avrupa içinde hem de dışındakiler- daha önceki yasalara dikkat etmediler; çünkü cezalar çok yüksek değildi ve veri koruma mercileri, düzenleyicilerin pek fazla görevi yoktu. Ve dolayısıyla Avrupa’da eski hukuka göre kurulmuş olan bir şirket iseniz, sizin başınıza bir şey gelme olasılığı oldukça düşüktü. Onlar, büyük teknoloji şirketlerine dikkat ettiler. Onlara karşı yürütülen eylemler konusunda basına çok fazla haber yansıdı. Ancak eğer daha küçük bir şirket iseniz veya hatta Avrupa’da daha az varlık sergileyen daha büyük bir şirket iseniz, size herhangi bir dava açılma olasılığı düşüktü.

Bu durum değişti. Cezalar oldukça yüksek. Anti-tröst türü cezalar var.

KIRKPATRICK: Bu birçok şirket için çok yüksek rakamlar.

GOLDSTEIN: Evet, dünya çapında toplam yıllık bilançonun yüzde ikisi veya 10 milyon Euro. Dolayısıyla eğer büyük bir şirket iseniz bu yüksek bir rakam.

KIRKPATRICK: Ve hatta bu rakam tek bir bireyle ilgili bir ihlal için söz konusu.

GOLDSTEIN: Bu doğru. Ortada bir ihlal var. Daha büyük çaplı bir ihlalin yüzde 4’ü. Dünya çapında bilançonun yüzde dördü, veya yirmi milyon Euro. Dolayısıyla ortada büyük rakamlar var – özellikle de büyük şirketler için. Ancak küçük şirketler için bile, şu şekilde düşünmemelisiniz. Rakamlar benim için çok büyük değil. Çünkü değişen bir şey var: Bireyler artık şirketler karşısında özel bir dava hakkı sunuyor. Artık onlara karşı dava açabiliyorlar. Bu konuda işbirliği yapabiliyorlar. ABD’de olduğu gibi şirketlere karşı dava açabiliyorlar.

Ve daha küçük çaplı bir şirket olsanız bile, sizi dava etmeyeceklerini çünkü çok zengin olmadığınızı düşüneceksiniz. Yapabilecekleri bir diğer şey ise, daha önce ellerinde olmayan ölçekte bireysel haklar olduğu için şirketlere şikayette bulunabilmeleridir. Ve bunlardan birini özellikle belirtmek istiyorum, çünkü çok önemli. Bilgilendirilme hakkına sahipsiniz. Bu hak, hangi kişisel verilerin toplandığını ve nasıl toplandığını içeriyor. Kişisel verilere erişim hakkınız var. Kişisel verilerinizin düzeltilmesi veya

tam değilse tamamlanması hakkınız var. Bazı koşullar altında kişisel verilerinizin silinmesi hakkınız var. Unutulma hakkını çoğunuz işitmişsinizdir. Ondan söz ediyorum.

Bazı koşullar altında kişisel verilerinizin işlenmesini kısıtlama hakkınız var. İşleme onay veya sözleşmeye dayandığında verilerin taşınması hakkınız var. Ve bunlar otomatik araçlarla yapılıyor. Bazı koşullar altında kişisel verilerin işlenmesine karşı çıkma hakkınız var. Otomatik karar alma süreçlerine konu olmama hakkınız var ve bu kapsamda bazı istisnalar hariç veri işlemesi de söz konusu. Bu, teknoloji şirketlerinin çok fazla önem gösterdikleri bir konu; keza bu günlerde teknolojimizin büyük oranda bağımlı olduğu bir otomatik işleme süreci söz konusu. Dolayısıyla, eğer bu haklardan biri ihlal edilirse, denetim merciine şikayette bulunup tazminat kazanma hakkınız var. Ve grup veya sınıf eylemleri söz konusu olduğunda parayla ilgili olmayan bir talepte bulunma hakkınız var.

Dolayısıyla, dün tamamen tesadüfi bir şekilde Uluslararası Mahremiyet Yetkilileri Derneği Avrupa Birliği’ndeki tüm veri koruma yetkililerine ulaştı ve onlara GDPR’nin uygulamaya geçirilmesinden bu yana kaç tane şikayet aldıklarını sordu. Ve bunların özellikle GDPR ile bağlantılı olup olmadığı konusunda veri koruma yetkililerinin aldıkları şikayetleri birbirinden ayıramadılar. Bunların sayılarını sordular; tümü yanıtlamadı ancak yanıtlayanların verdikleri bilgilere göre Birleşik Krallık’ta bir aydan kısa sürede binin üzerinde şikayet gelmişti. Bu, GDPR’nin uygulamaya konduğu bir aydan kısa süre zarfındaki ihlallere dair bir etki oldu.

Yani, eğer bu yeni hakların Avrupa’da iş yapan bir şirket üzerinde etki doğurmayacağını düşünüyorsanız tamamen yanılıyorsunuz.

KIRKPATRICK: Hey, Lynn, şu noktayı doğru anlayıp anlamadığımı teyit eder misin? Bir kişinin AB vatandaşı olup olmamasından bağımsız olarak herhangi birinin AB içindeki verileriyle ilgili bir mesele, değil mi?

GOLDSTEIN: Evet bu çok doğru.

KIRKPATRICK: Evet. Dolayısıyla, eğer kişisel verilerinizden herhangi birisi AB’de ise, veri-temelli bir şekilde beni hedeflemenizi istemiyorum diyebilirsiniz. Benim üzerimden herhangi bir şekilde otomatikleştirilmiş işleme yapmayın diyebilirsiniz.

GOLDSTEIN: Bu çok doğru.

KIRKPATRICK: Dolayısıyla, bu sadece ilginç değil. Facebook’un AB’deki tüm veri merkezlerinden AB-dışı vatandaşların tüm verilerini geri çekmesinin de sebeplerinden biri budur.

GOLDSTEIN: Evet. Dolayısıyla, bunun iyi mi kötü mü olduğunu düşünmenizden bağımsız olarak, Avrupa’ya tatile gittiğinizde, GDPR koruması altında oluyorsunuz. Avrupalı vatandaşlar buraya geldiğinde ise, aynı koruma onlar için geçerli değil. Dolayısıyla, sizin AB vatandaşı olup olmamanızla ilgili bir mesele söz konusu değil. Bu, vatandaşlık temelinde bir durum değil. Bu kişisel verilerin nerede yer aldığı ve şirketin nerede iş yaptığıyla ilgili bir konu. Konuşmamı burada sonlandıracağım.

KIRKPATRICK: Harika, tamam. Teşekkürler, Lynn. Bu konulardan çoğuna geri döneceğiz. ,

Marc, şu anda devreye girebilirsin. ABD’nin veri mahremiyetinin geleceği konusunda neler olup bittiğini anlat bakalım.

GROMAN: Merhaba. Ve çok teşekkürler. Burada olmak gerçek anlamda bir onur. Sizinle ve Dış İlişkiler Konseyi çatısı altında yaklaşık 18 yıldır üzerinde çalıştığım bir konu hakkında konuşma fırsatı bulmak bir onur. Bu konuya tutkuyla bağlıyım ve çok fazla müdahil durumdayım. Belki de Lynn’den biraz farklı bir perspektif benimseyeceğim. GDPR’nin bu konudaki diyalogun bir etmeni olmasından mutluyum. Hepinizin burada olmasından ve bu çok önemli söyleşiyi yapmamızdan mutluyum. Ayrıca, GDPR konusunda internet üzerinde çok fazla miktarda yanlış bilgi olduğunu düşünüyorum. Bu konuda uzun uzadıya konuşmaktan mutluyum.

Daha da önemlisi, şu anda büyük şirketlerle, Fortune 500 içindekilerle çalışıyorum. Ayrıca, çok fazla sayıda yeni işletmeye danışmanlık yapıyorum ve Dünya Ekonomik Forumu ile çalışıyorum. Amacım, veri politikası konusunda bir nevi küresel yaklaşım geliştirmek. Dolayısıyla bu şekilde karşılıklı faaliyet gösterebilen bir çerçevemiz olabilir ve hangi ülkede olduğunuzdan bağımsız olarak, farklı ekonomilerin farklı yaklaşımlar benimseyeceğini anlıyoruz. Ve ben şirketlerle çalışırken onlarla spesifik olarak GDPR konusunda çalışmam. Bunu yapabilirim, ancak şirketleri küresel bir perspektif benimsemek konusunda teşvik ediyorum. GDPR uyum programına ciddi kaynaklar ayırmayın. Kaynaklarınızı, stratejik, kapsamlı, ileriye dönük ve küresel bir veri programına yatırın. Ve GDPR bunun parçası olmalı.

Konuyu ben bu şekilde görüyorum. Bence GDPR’nin özellikle veri yönetişimi fikirleri bağlamında çok pozitif katkıları var ve bunlar risk, güvenlik, siber güvenlik, mahremiyet ve hatta işletmelerin gelişimi açısından kritik önemde. Veri yönetişimiyle kast edilen, verilerinizin nerede olduğunu bilmeniz. Ve özel sektör veya kamı sektöründe tüm verilerinin nerede olduğunu bilen bir birim yok. Dolayısıyla, inovasyonu yönlendiren herhangi bir şey, yeni teknolojilerin gelişimine yönelik yatırımları teşvik eder ve yeni teknolojilerin yarattığı bazı konuların –gerçek anlamda büyük katkıları olanların- ele alınmasını sağlar.

ABD’ye baktığımızda ve bunun Amerikan birimleri açısından ne anlam ifade ettiği konusuna gelirsek, birkaç gözlem paylaşmak istiyorum. Öncelikle, mahremiyetin partiler üstü veya bipartizan bir mesele olması gerektiğini düşünüyorum. İnsanlar, farklı felsefelerden siyasi spektrumun geniş bir yelpazesinden geliyorlar. Ancak bu konu gerçek anlamda partiler üstü bir konu. Yönetmelik ve mevzuatın uygun rolü konusunda son derece güçlü ve saygılı tartışmalar yürütebiliriz. Bence bunlar

önemli tartışmalardır. ABD’nin genel ve kapsamlı bir mahremiyet yasası olması gerektiğine uzun zamandır inanıyorum.

Bence kapsamlı bir mahremiyet yasasına sahip olmak hem işletmeler hem de ABD açısından iyi bir şey. Kurallar konusunda netlik, açıklık tüketicilere ve işletmelere fayda sağlayacak ve ABD’nin denizaşırı bölgelerdeki mahremiyete dair yaklaşımı konusunda daha iyi bir söylem geliştirmemize izin verecek, Amerikan şirketlerine, Amerikan ürünlerine ve bizim yaptığımız şeylere olan güveni teşvik edecektir. Bunun çok önemli olduğunu düşünüyorum. Bence endüstriden çok daha az dirençle karşılaşacağız, keza mevzuat ve yönetmelik konusunda çok fazla yasa teklifi var. Ve çok fazla sayıda Amerikalı yetkili, federal mahremiyet yasası konusunda çağrıda bulunuyorlar. Bence bu ivme devam edecek. Bence bu tartışma burada Washington’da da devam edecek.

GDPR’nin tüm çerçevesini buraya ithal etmeye ihtiyacımız olduğuna inanmıyorum. Bence bildirim, tercih, saydamlık, kullanım, güvenlik, asgariye indirme, hesap verebilirlik konularında adil bilgilendirme ilkeleri konusunda konuşmalıyız. Bunlar bence dijital çağda, dördüncü endüstriyel devrimde önemli hususlar. Hızla ortaya çıkan yeni teknoloji ortamında, büyük veri makineleri üzerinden öğrenim sağlanan, yapay zekanın gündemde olduğu bir çağda çalışabilmek için onları bu şekilde dönüştürüyoruz. Bence, dünya çapında karşımıza çıkan temel ilkeler, zamanın testinden geçmiş durumdalar. Onları bu şekilde düşünüp uyguluyoruz. Ve bence bunlar önümüzdeki dönemde tartışmalarımızın bir parçası olacak.

Bunlar bugün değinmek istediğim başlıca hususlar. GDPR, küresel bir sohbete yön veriyor. Dünya çapında 100’ü aşkın ülkenin belli bir mahremiyet yasası var. Ve şu anda onlarcası – Brezilya’dan Hindistan’a, Japonya’ya dek- kendi çerçeveleri üzerinde çalışıyorlar. Ve çoğu da GDPR ve AB modeline yönelmiş durumdalar. Ve bence bunun sebebi, ABD’nin bu alanda liderlik rolünü yitirmiş olması. Bu rolden vazgeçtik. Veri, veri mahremiyeti ve veri koruma söz konusu olduğunda dünya çapında güvenilir bir birim olarak görülmüyoruz artık. Ve dolayısıyla, bu konuda dünya çapında konuştuğumuzda pek bir güvenilirlik arz ettiğimizi düşünmüyorum. Başkaları Avrupa modeline bakarken, bizim modelimiz pek o kadar rağbet görmüyor.

Tanıdığım her birim, inovasyon istiyor. Vatandaşlara daha iyi hizmet veren yeni teknolojiler benimsemek istiyorlar. Kendi Silikon Vadilerini kurmak istiyorlar. Ancak bir veri çerçevesi konusunda düşündükçe, şu anda birimlerin çoğu, ABD’de şu anda olandan ziyade bir Avrupa modelini tasarlıyorlar. Bugün gözlemlediğim her şeyden söz etmeyeceğim. Bu konuda bir tartışma yapabiliriz, ancak liderlik pozisyonumuzu yitirdiğimizi düşünüyorum. Ve şahsen bu konu benim için son derece endişe verici. Bence bu tür tartışmalara artık öncülük yapmamamız, Amerikan endüstrisi açısından da endişe verici.

KIRKPATRICK: Ve Marc, bence....

GROMAN: Evet konuyu burada kapayacağım—evet.

KIRKPATRICK: Bence prosedürel olarak ABD’nin daha ayrıntılı şekilde hareket etmesi gereken noktaları anlamaya başlıyoruz, çünkü bence bu konu tartışmamızın odağına yerleşmeli. Lynn, tüm AB ülkelerindeki veri koruma mercilerinden bahsediyordu. Bizim bir veri koruma merciimiz yok. Kanada’nın bir ulusal mahremiyet komiseri veya benzeri bir kurumu var. Bizde o da yok. bizim ulusal düzeyde kayda değer bir mahremiyet koruma altyapımız da yok. Dolayısıyla, Marc’ın sözünü ettiği noktaları vurgulamak gerekiyor.

Peki, Karen.

KORNBLUH: Evet beyefendi. Dolayısıyla Al Gore bilgi süper-otobanının çerçevesini belirlediği günden beri İnternet politikası konusunda çalışmaktayım. Ve ilk olarak senin sözünü ettiğin bir konuyu ele almakla başlayacağım, David. Bildiğin gibi, mahremiyet konusu öldü. Birçok insan bu şekilde düşünüyor. Bence özellikle son dönemde Cambridge Analytica konusundaki haberler de oldukça ilginç. Mahremiyet noksanlığından kaynaklanabilecek farklı bir zarar türünü gösteriyor.

Bence insanlar, ayakkabı numaralarının bilinmesi ve internetteki her gezintiniz sırasında bir ayakkabı çiftine dair aynı reklamın sizi sürekli takip etmesi konusunda oldukça gayretli. Ancak insanların sizin siyasi veya felsefi fikirlerinizi öğrenmesi veya bunlara müdahale etmesi, ardından da bunu mikro düzeyde hedefleme ve dezenformasyon yayma amaçlı kullanmaları fikri oldukça farklı. Dolayısıyla, son haftalarda öğrendiklerimizin korkutucu şeyler olduğunu düşünüyorum. ABD’deki insanlar, Avrupa’dakilerin daha önceki deneyimleri sebebiyle farkında oldukları –örneğin Demir Perde’nin ardındaki veya İkinci Dünya Savaşı’ndan önceki hayat nasıldı?- mahremiyet meselelerinden bazıları karşısında çok daha uyum sağlamış durumda. Burada insanların deneyimleri çok daha yakın tarihli.

Dolayısıyla burada birkaç tespitte bulunmak istiyorum. Bunlardan biri; Mayıs 25’te yani GDPR uygulamaya konduğunda, bunun dünyanın sonu veya başlangıcı olmaması, sadece başlangıcın sonu olmasıydı. Tüm bunlar, ulusal DPO’ların, Avrupa Adalet Mahkemesi’nin koordinasyon içerisinde yorumlayıp uyguladığı şeyler. Bir başka yönetmelik dizisi, AB’nin mahremiyet yükümlülükleri daha var ve bunlar hemen daha sonra uygulamaya geçmesi beklenen davranışsal reklamlar açısından son derece önemli. Ancak bu konuda çok fazla lobi yapıldı, dolayısıyla tarih ötelendi. Bunlar izleme ve profilleme konularına odaklanacak.

Şirketler, düzenleyicilerle birçok açıdan tavuk-yumurta oyunu oynuyorlar. İnsanlardan, tüm hizmetleri kullanmak üzere izinlerini talep etmeniz beklenmiyor; sadece veri kullanımı izni gerekiyor. Ve gördünüz gibi, insanlar aslında kısıtlamasız, kapsamlı bir izin elde etmeye çalışıyorlar. Bu, karanlık modellerin kullanımıyla ilgili bir konu. Öyle ki size onayınız alınarak veri kullanma tercihi veriliyor, ancak web etkileşiminin tasarlanma biçiminde kendi izninizi vermeye mecbur bırakılıyorsunuz. Dolayısıyla şirketler arasında bir tavuk-yumurta oyunu söz konusu oluyor.

Şurası net ki, farklı şirketlerin tamamen farklı çıkarları var. Bildiğiniz gibi, platformların verileri veya Microsoft’u kullanan otel zincirinizle kıyasla çok farklı çıkarları bulunuyor. Bir Apple’ın da bir Facebook veya Google’a kıyasla çok farklı bir çıkarı var. Dolayısıyla, tüm bunların nasıl işlediğini göreceğiz. Ve sözünü ettiğiniz gibi, aktivistler değişiyor – iş modellerine de meydan okuyorlar. Tüm iş

modeline meydan okumak için bu yasayı kullanıyorlar. Ve bu şirketler bu denli büyük olunca, tüm hizmet karşısında onayınızı talep ettiklerinde sizin gerçekten bir tercih hakkınız var mı? Başka bir Facebook veya Google var mı? Dolayısıyla bazı meydan okumaların gerisindeki bazı alt metinler gerçek anlamda tüm iş modeline erişiyor.

GDPR konusunda çok fazla faaliyet göreceğiz. Burada işler hızlı ilerliyor. Ve bunun sebebi sadece GDPR değil; kısmen GDPR. Kaliforniya tam da şu anda teknolojiyi ve ülkenin elini zorluyor. Ülkede bir referandum yaşandı ve şu anda yasama organı ön planda – bu hafta ayın 28’ine doğru bir yasa teklifini gündeme getirecekler. Yoksa, referandum bekleniyor. Ve GDPR’de gördüğümüz bazı şeyler söz konusu olacak. Bilgiyi derleyenlerden bilginize erişim hakkı var; bilme hakkı var. Çocuklar söz konusu olduğunda izin verme veya vermemenin farklı düzeyleri var. Ve en önemlisi de, verilerin ihlallerine dair özel bir eylem hakkı var ve bunun büyük zararları doğacak.

Dolayısıyla tüm bunlar gerçek anlamda ilginç. Bir yıl gecikmeli olarak uygulanacak. Ve bence insanları şüphelendiren şey, bunun Kaliforniya’yı herkesten önce ele geçirmek üzere bir federal eylem için çok fazla teşvik yaratacağı. Bence çok daha ilginç bir aşamadayız. Ve Beyaz Saray’ın teknolojinin ve mahremiyetin neye benzeyeceği konusunda konuşmaya başlayacağına dair yakın tarihli haberler var. Ve Kaliforniya’da dün bu konuda teknoloji şirketleri bir toplantı gerçekleştirdi.

Değinmek istediğim bir diğer nokta ise; ABD’nin bir nevi “cezalı” liderliği. Obama yönetimi döneminde bu konuda çok fazla girişimde bulunuldu. Bu salonda bulunan birçok kişi bu konuda çalıştı ve bir mahremiyet yasa tasarısı hazırlamaya çabaladı. OECD’de bulunduğum sırada, internet politika yapım ilkelerinden bazılarını ele almıştık. ABD yönetimi çapında ülkelere şunu söylemeye çalışan çabalar söz konusu oldu: Haydi, ileriye bakın, politikaları yapabilirsiniz, ancak hepimizin üzerinde uzlaştığı, bilginin serbest dolaşımda olduğu ve insan haklarına saygı duyulan bir çerçeve olmalı. Ancak ülkemizde mahremiyeti koruyun, tüketiciyi koruyun, siber güvenliği koruyun.

Ancak, burada, ABD’de bazı girişimler konusunda ileriye dönük adım atamadık. Ve diğer ülkelerin boşluğu doldurduğunu görüyoruz. Sadece Avrupa’da değil, Çin ve Rusya’da da farklı bir yaklaşım görüyoruz. Ve daha birçok küçük ülke bu konuda son derece mutsuz durumda. Ve konu sadece mahremiyetle ilgili değil. Papua Yeni Gine kısa süre önce Facebook’u kapattı. Birçok ülkede Facebook, İnternet ile eşdeğer görülüyor, çünkü dezenformasyonu kontrol altına alamazsınız. ABD birçok açıdan liderliğini yitirdi.

Ve sözünü etmek istediğim son bir nokta var: FIPP’ler meselesi ve izleyeceğimiz ilkelerin neler olduğu. Mahremiyet konusunda gerçekten akıllı bir grup insanla birlikte çalışıyordum ve ben bir mahremiyet uzmanı değilim. ancak tüketicilerin rıza gösterebileceği soruları gündeme getiriyorlar. İşlerin çok karmaşık olduğu ve verilerinizin nasıl kullanıldığını gerçekten anlayamadığınız durumlarda bu konu gündeme geliyor. Cisimlerin İnterneti’nden söz ederken mesela. Dolayısıyla, tüm bu onay meselesi gerçekten ilginç. Ağ etkileri sebebiyle bu piyasalardan bazılarında rekabet olmaması durumunda bir tercih hakkınız var mı? Bu konuyla ilgili Almanya’da bir vaka var. Ve bir kez daha, kullanım koşullandırılmadığı durumlarda veya bu karanlık modeller söz konusu olduğunda, gerçekten bir tercih var mı? Bu, Schrems’in gündeme getirdiği şeylerden biri.

Dolayısıyla bence gerçekten ilginç bir durumdayız. ABD’de büyük bir tartışma yaşanacak ve umarım geriye dönük bakmak yerine önümüzde 21.yüzyılın sorularından bazılarına yanıt bulunur.

KIRKPATRICK: Teşekkürler, Karen. Max Schrems, genç bir Avusturyalı. Kendisi ben henüz bir öğrenci iken, Avrupa’da Facebook’a dava açtı ve bu dava büyük ses getirdi. Ayrıca Brüksel’de, halihazırda onun için çalışan son derece yüksek rütbeli avukatları oldu. Bu kişi, Avrupa hukukunda muazzam bir etki doğurdu. Olay şu: Kendisi Facebook’tan verilerini talep etti ve kendisine dair düşündüğünden de fazla verinin onların elinde olduğunu fark etti. Ardından da, kelimenin tam anlamıyla bir “cihat” başlattı.

Karen, söylediğin bir şey hakkında başka bir gözlemde bulunmak istiyorum: Tüketiciler, onaylarını vermeyebilirler. Bu, diğer tarafta da bir ironi veya komplikasyon doğurur. Bildiğiniz gibi, şirketlerin yapması gereken veya yapabilecekleri şeyleri işittiğinizde, bunların çoğu aslında onların yapamayacağı şeylerdir. Bildiğiniz gibi, bir bireyin verilerinin kendi algoritma ve veri merkezi ekosistemleri dahilinde yönetilebilmesine dair farklı varyasyonlar var. Bunlardan bazıları, pahalı bir programlama ile mümkün. Ve bunu kolaylıkla yapabilmeleri pek mümkün değil.

Dolayısıyla gerçek anlamda tuhaf bir dönemeçteyiz. Bence, daha büyük bir sorun söz konusu: Hükümet ve endüstrinin hem münferit ülkelerde hem de küresel olarak birlikte çalışamaması. Şu anda en büyük teknoloji şirketlerinin bir kısmı bu hafta Kaliforniya’da mahremiyet konulu bir toplantıda Bilgi Teknolojisi Endüstri Konseyi çatısı altında bir araya gelip stratejilerinin ne olması gerektiğini belirliyorlar. Ancak bunu kendi başlarına yapabilecek durumda değiller.

Dolayısıyla, hem Lynn’e hem de Marc’a, dinleyicilerden sorularını talep etmeden önce şu konudaki yorumlarını sormak isterim. Lynn, bu zamana değin niçin bir ilerleme kaydetmediğimizden bahsetmiştin. Bu konuda ikinizin de yorumunu almak istiyorum. Kısaca görüşlerinizi paylaşır mısınız?

GOLDSTEIN: Elbette. Washington’daki kişilerin de bu konuda yorumda bulunmaları gerek; çünkü benden daha iyi anlıyorlar. Marc, Obama yönetimi sırasında önerilen bir federal mahremiyet yasamızın olduğundan söz etmişti. Bence birçok kişi mahremiyetin mavi veya kırmızı bir mesele olmadığı konusunda hemfikir olacaktır. Demokrat ve Cumhuriyetçiler bir federal mahremiyet yasasına ihtiyacımız olduğu konusunda evrensel bir görüş birliğine varamazlar. Ancak bir dizi sebepten dolayı böyle bir yasayı geçiremedik. Elimizde bir yasa teklifi olduğu sırada çok fazla lobi yapıldı.

Öte yandan, Kongre’mizin düzenlenme ve komitelerin Kongre çerçevesinde tertiplenme süreci de söz konusu ve bu da kapsamlı bir mahremiyet yasa tasarısının geçmesini son derece zorlaştırdı. Karen, Kaliforniya yasa tasarısından söz etti. Kaliforniya, mahremiyetin korunması alanında oldukça etkili. Burası, ABD’nin çok büyük bir eyaleti. Dünyanın beşinci en büyük ekonomisi. Ayrıca mahremiyetin dikkat çeken bir hukuki konu haline gelmesinden beri ABD’de mahremiyet alanında lider oldu.

Bence Kaliforniya’da yaşananlar bir fark yaratacak. Muhtemelen Kaliforniya Çevrimiçi Mahremiyet Yasası’nın sahip olduğu etkiyi doğuramayacak, çünkü interneti etkilediğinizde, sadece Kaliforniya’da

yaşayanlara hak vermenin ötesinde bir etki doğuruyorsunuz. Ancak bence niçin bunun Kongre’de geçmediğinin de açıklanabiliyor olması gerek. Ama bence Kongre’nin mevzuata yaklaşma biçimiyle de ilgili bir sorun söz konusu. Niçin şu anda bir federal yasamız olmadığı ve gelecekte de olmayabileceğiyle ilgili bir durum...

KIRKPATRICK: Marc, bu konuda yorum yapmak ister misin? Aynı fikirde misin?

GROMAN: Bence bu, mahremiyet yasasının geçirilmesinde karşılaşılan zorluklardan biriydi. Ancak bir eşik değer yaratmaya ihtiyacım var, çünkü mahremiyet çok-boyutlu ve karmaşık bir meseledir. Ve şundan emin olmak isterim ki, en azından bu odada ve New York’tan katılanlar ile aynı şekilde düşünüyoruz. Mahremiyetten söz ederken, ticari sektör mahremiyeti karşısında kamu sektörünü yerleştiririm. Ticari sektör mahremiyetinde genellikle şirketlerin veri toplama ve kullanmasından söz edilir. Kamu sektöründe ise ABD hükümetinin veri toplama ve kullanımı anlamına gelir. Ve ABD hükümeti söz konusu olduğunda, onu sivil hükümet, yasa uygulama, istihbarat ve askeri topluluklara bölüştürmeniz gerekir, çünkü orada da çok farklı rejimler söz konusudur.

Ve dünya çapında karşılıklı faaliyetler bağlamında bunlar son derece anlamlı. Schrems’den söz ettiğiniz için şuna değinmek isterim, keza pek anlaşılmayan bir konu var ve çok daha büyük çaplı bir sohbetin parçası olabilir. Ancak bizim güvenli limanlarımızda kazaya sebep olan meseleler bizi mahremiyet kalkanını yeniden müzakere etmeye yöneltmektedir ve bu konu sadece ticri sektörle değil, Snowden-sonrası dünyadaki istihbarat topluluğu ile ilgilidir. Bu sabah bu konuya ayrı bir panel ayrıldı, ancak insanların bu konuda doğru bilgiye sahip olmasını istiyorum.

Şimdi de ABD’deki federal mevzuattan söz edelim. Beni tanımayanlar için bilgilendirme: iki yıl boyunca (2009-2010 yılları arasında) Enerji ve Ticaret Komitesi’ne Henry Waxman başkan olduğu sırada mahremiyet konusunda özel danışmanlık yaptım ve başından sonuna dek En İyi Uygulamalar Yasası’nı kaleme aldım. Aynı süre zarfında Beyaz Saray ile de çalışmaktaydım. Ve o esnada tamamen bipartizan bir şekilde çalıştık. Joe Barton ve Cliff Stearns gibi çok daha destekleyici ve sürece angaje olan üyeler ve Mary Bono Mack, Cumhuriyetçi üyelerdi.

Mücadele, eyalet yasasının önlenmesi ve yasaların mevcut yasalarla kesişimi idi. Bunlar gerçekten büyük meseleler. Ve Washington’daki arkadaşlarımın bunları bildiğini biliyorum, ancak ben Kongre veya Beyaz Saray’da çalışan kişilerin bakış açısını anlamak istiyorum. Son altı ayda yetmiş paydaşla görüştüm ve bu konuya beş yüz saatimi ayırdım. Ve süreç şu şekilde işliyor: Herhangi bir endüstri seçilmiyor, şu an için bazıların belirliyorum. Dolayısıyla bir toplantıda Telekom endüstrisi gündeme geliyor ve Google, Microsoft, Facebook, Apple ve Amazon’un kötü yanları ele alınıyor.

Ardından mali sektör gündeme geliyor ve temelde bir mahremiyet yasası olan GLBA’ları olduğu için ne kadar şanslı olduklarından söz ediliyor. Ve ISP’lerden, boruhatlarından ve Silikon Vadisi’nden söz ediyorlar. Ardından büyük yayıcılar devreye giriyor ve üçüncü tarafların faydalarından söz ediliyor. Üçüncü taraflar sorun kaynağıdır. Üçüncü taraflar devreye girdiğinde, sorumluluk sahibi bir öz yönetimden söz edilir. Ardından teknoloji ve endüstriyi tamamen farklı bir şekilde açıklarlar. Dolayısıyla, endüstri ve hükümet birlikte çalışamadıkları için bundan söz etmekteyiz. 50 paydaşla

görüştüğümüz için bunların tümü farklı bir görüş ve yaklaşım sunmaktadır. Buna karar vermek ise politika yapıcılara düşmektedir.

Ve kısmen bu durum mahremiyet konusundaki mevcut sektörel yaklaşımımızdan kaynaklanıyor. Eğer temiz bir ortam söz konusu olsaydı, bugün birçok ülkenin yaptığı gibi, bu durum bir meydan okuma doğurmayacaktı. Gerçek anlamda mahremiyet için hassas, pratik, ölçeklendirilebilir ve uygulanabilir hükümler yaratabileceğimizi düşünüyorum. Bu, içinde yaşadığımız dünya değil. HIPAA var, GLBA var, FCRA, COPPA, CAN-SPAM var. Videolar için Özel Koruma Yasası. Kablo Yasası. Ve daha niceleri. Federal düzeyde her bir yasa için standartlar ve tanımlamalar farklıdır. Yaşanacak olan şeylere dair tartışma, belli bir rekabetçi etki doğuracaktır. GLBA gibi bazı yasalar özünde hiçbir şeydir. GLBA’sı olan topluluk, daha yüksek standartlara konu olur. Diğer alanlara – örneğin FCRA ve muhtemelen HIPAA- dokunulmaz.

KIRKPATRICK: Sizin sözünüzü kesmek istemiyorum ama kısaltmalarınızın tümünü anlamadığımı belirtmek isterim.

KORNBLUH: New York’taki kişilere, burada D.C.’deki politika yapıcıların tümünün PTSD’si olduğunu söylemek istiyorum.

GROMAN: Doğru. Ve eyalet düzeyinde, önleme tartışmasından söz etmiştim. Yönetmelik ve düzenlemelere ihtiyacımız var. Federal düzeyde de önlemeye ihtiyacımız var. Ancak, bir yasa tasarısında önlemenin nasıl tanımlanacağı ve araçlarına dair çok daha fazla zaman haracım. Bu konuyla yedi yıl boyunca ilgilendim. Kapsamlı bir önleme, bir günde beş bin eyalet yasasını yok edebilir. Bugün bundan daha fazlası geçerli. Bazı endüstrilerin bundan memnun olacağını biliyorum, ancak içlerinden çoğu mevcut kanın kapsamına girmeyen farklı yasalar bir gün içerisinde ortadan kalktığında bunun etkisi çok çarpıcı olacak.

Dolayısıyla elimizde sağlığı saf dışı bıraktığımız, ansak insanların genomlara dair herhangi bir eyalet hukukunu önleyen bir federal emir istedikleri vakalar var, doğru mu? Dolayısıyla ortada bir eşitlik yok. Ve önlemenin kapsamı kendi başına bir meydan okuma. Komite yaklaşımı da bunun lehine işliyor. Aynı partiden olan kişilerin iki komite konusundaki düşüncelerinin ifadesinin, aynı komite konusunda farklı parti üyeleriyle başa çıkmaktan daha zor olduğunu fark ettim. Dolayısıyla ortada böyle bir mesele var. Ancak, herhangi bir yeni çerçevenin mevcut sektörel çerçevemizle ne düzeyde uyumlu olduğunu incelememiz gerekiyor ve bunu da pratik, uygulanabilir şekilde yapmalı, etrafa en az zarar veren şekilde gerçekleştirmeliyiz. Ancak belli bir aksaklık yaşanmalıdır.

KIRKPATRICK: Bu sorunu çözmüş olmanızdan dolayı çok memnunum. Sizin gibi derin bir deneyimi ola birinin bunu açıklıyor olması da harika bir şey. Mikrofonu bekleyin. Doğrudan mikrofona konuşun. Ve lütfen ayağa kalkarak isminizi be kurumunuzu belirtin. Tek bir soru ile kendinizi sınırlandırın. Net olun. Buradan başlayacağım. Ardından Karen, Washington’da yarı moderatör olma konusunda razı oldu. Şu beyefendiye mikrofonu verelim – lütfen tek bir soru. Çok fazla soru daha var keza.

Q: Merhaba. Ay evet özür dilerim. İsmim Alex Yergin. Datawallet’ta çalışıyorum. Burası, tüketiciden işletmeye doğru bir veri paylaşım şirketi.

Benim sorum şu şekilde: Dünya çapında mahremiyete yönelik bu itici güç, yeni iş modelleri yaratabilir mi? Örneğin, verilerin kişiler üzerinden toplanıp işletmelere verilmesinin aksine, bireylerin kendi verilerine sahip oldukları, ardından da bunlar için izin verdikleri modeller....

KIRKPATRICK: Ne anlamlı bir soru. Gerçekten hızlı bir şekilde yanıt verelim. Belki de üçünüz de bu soruya hızla değinebilirsiniz, keza son derece önemli bir mesele.

GOLDSTEIN: Yanıt evet, daha şimdiden yapıldı. Ve ardından verilere kimin sahip olduğu meselesi var. Bunu araştıran, ağırlıklı olarak Boston’da yer alan işletmeler var. Evet.

KIRKPATRICK: Her yerde işletmeler var.

GOLDSTEIN: Evet.

KIRKPATRICK: Marc, bu konuda kısaca görüşünü almak isterim. Bunun büyük bir mesele olduğu konusunda hemfikir misin?

GROMAN: Görmeyi umduğum şey, bir dizi inovasyon ve yatırımdır ve verilerinizin kontrolü, saydamlığı, yönetişimi ve yönetimine dair bir dizi yeni teknoloji... Bu, verilerin yönetimine dair farklı yöntemler sunabilen teknolojilere yönelik yeni bir yatırımdır ve bence yönetmelikler açısından son derece faydalı olacaktır.

KIRKPATRICK: Karen.

KORNBLUH: Evet bence akılda tutulması gereken şey, ABD’nin eylemlerini düzenlemesi ABD’nin de harekete geçmesinin sebeplerinden biri, tüm bunların uygulanma ve yorumlanma biçimine dair net sinyaller göndermektir. Çok fazla yumurta- tavuk oyunu oynayacak şirket olacak ve bunlar bizi en azından ortak bir paydada bir araya getirecek. Belli bir netlik kazanana dek insanlar açısından zorlu bir süreç olacak.

KIRKPATRICK: Ancak, dünya çapında bu konuda çok fazla inovasyon yapılıyor. Bu sorunu çözebileceklerini düşünen şirketlere tonlarca para akıtılıyor. Cambridge Analytica ve Rus seçim manipülasyonu skandalları, daha önce yaşananların çok daha fazlasını tetikledi. Ancak yine de çok

fazla şey yaşanıyor. Blok zinciri, kişisel verilerin saklanması konularında çok fazla konuşma yapılıyor. Kimse henüz sihirli formülü bulamadı.

Karen, Washington’dan birini seçin, lütfen.

KORNBLUH: Mark. Lütfen siz tespit edin birini, rica ediyorum.

Q: Ben Georgetown’dan Mark MacCarthy. Teknoloji ticaret derneği SIIA’dan katılıyorum.

Marc ve Lynn’e, yeni mevzuat parçalarının oluşumunun pratik boyutlarına işaret ettikleri için teşekkür etmek istiyorum. Ancak Karen’in “onayın rolü” konusundaki sorusuna da değinmek istiyorum. Bu, GDPR’ni ne olduğuna dair tartışmanın gerçek anlamda odak noktası olmuştur ve birçok açıdan ortada kaçırılmış bir fırsat vardır, çünkü mahremiyet hukuku konusunda çalışan akademisyenler, on yılı aşkın süredir, rızanın bu alandaki bireysel hakları tam olarak korumadığını bilmektedir. Eğer bu konuda iyi bir kitap arıyorsanız, Woody Hartzog’un mahremiyet rehberine dair yeni kitabı harika bir mesaj vermektedir. Dolayısıyla soru şudur: Bunu yapmazsanız ne olur?

Ve bu noktada, ABD’de federal düzeyde hiçbir şey olmadığı şeklinde David’in savına bir istisna getirmek istiyorum. Federal Ticaret Komisyonu ABD’de etkin bir mahremiyet düzenleyici olarak faaliyet gösteriyor ve risk-temelli bir yaklaşım benimsiyor. Yaklaşımları, elbette rıza konusunda düşünülmesine dair; ancak buradaki temel nokta insanları gerçek bir zararın riskinden korumaktır. Bu çerçeve, insanların yeni mahremiyet yasası hakkında düşünmeleri için bir çerçeve teşkil edebilir mi? İnsanları korumanın bir yolu olarak rızayı görmek yerine, insanlara zarar vermenin riskinin nasıl önlenebileceğini düşünmelisiniz. Bu alanda ne tür tedbirler yararlıdır?

KIRKPATRICK: Tamam. Panelistlerden bu konuda bir – iki hızlı yorum yapmak isteyen biri var mı?

GROMAN: Dolayısıyla, mevzuatın temelini oluşturması gerekiyor. Ve biz risk temelli bir yaklaşım benimseyeceğiz. Ancak bu tercihimiz, onayın artık anlamlı olmadığı anlamına gelmemektedir. Adil Bilgi Uygulama İlkeleri’nin (FIPP’ler), bildirim ve tercihin meydan okunması gerektiğini düşünüyorum. Ve FIPP’lerin değerinden söz ettiğimizde, hesap verebilirlik ve amaçlarımızın geniş olduğunu, tüketici kontrolü, saydamlık, veri güvenliği ve sınırlandırmaları kullandığımızı kast ediyorum. Tüm bunlar birlikte bir çerçeve oluşturabilir. Herhangi bir çerçevenin çekirdeğinde ise risk olmalıdır.

Aslında tüm bunlar GDPR’nin çekirdeğinde yer alıyor. Bu kelime GDPR içinde yetmiş beş kez kullanıldı. Ancak bunu farklı bir şekilde takdim ediyorlar. Bunu, temel hakların önünde bir risk olarak sunuyorlar. Zarar verme riski hakkında düşündüğümüzde, risk hakkında çok farklı bir düşünce şekli söz konusu. Ancak risk bunun çekirdeğinde yer alıyor. Burada onay konusuna orantısız şekilde odaklanmamızın bir hata odluğunu düşünüyorum. Burada meşru bir çıkar söz konusu. Müşterilerimin

kullandığı bilginin kullanımına yönelik çok fazla temel var. Ve bazı kategoriler haricinde ortada rıza temelli bir durum yok.

Ve son olarak Woody’nin, sizin de sözünü ettiğiniz kitabında ABD’deki rızanın hiçbir zaman gerçekleşmediğinden söz ediliyor ve bu konuda ihtilaflı davranacağım. Bunu çok fazla denediğimizi düşünmüyorum. Dört yıl boyunca endüstride çalıştım. Bir kullanıcı arayüzü nasıl inşa edilir, biliyoruz. Çalışmalarımız var. Tüketicinin tercih yapmasını ve bazı davranışları sergilemesini nasıl sağlarız, biliyoruz. O kadar karmaşık bir durumda değiliz. Dolayısıyla, bir tercih mekanizması inşa ettiğimizde, onları daha iyi yapabiliriz. Eğer istersek onları daha net bir hale getirebiliriz. Ancak birçok sebepten dolayı kasıtlı kararlar aldık. Ve tüm bunlara değindiğini düşünüyorum.

KIRKPATRICK: Onları kasıtlı olarak karmaşık kıldı, şeklindeki tespitinizle hemfikirim. Ancak biraz daha hızlı olalım, çok fazla kişi soru sormak istiyor.

KORNBLUH: David, sadece bir konuya değinebilir miyim?

KIRKPATRICK: Evet, lütfen. Lütfen.

KORNBLUH: FTC noktası. Burada, komisyonda bir yuvarlak masa toplantısı var. Yani Konsey’de bu konulardan bazıları ve bu dijital politika meseleleri hakkında bir toplantı var. Ve görüştüğümüz konulardan bir de FTC ve ödeme yeteneğine sahip olmak açısından ellerinin ne kadar bağlı olduğu ve konuyla ilgilenecek vasıflara gerçek anlamda sahip uzmanların işe alınması da önemlidir. Bu kişilerin kural yapma yeteneği yoktur. Sadece bu olaydan sonra şeylere bakabilirler. Bir onay kararnamesi yoluyla olanlar hariç, bir yetkileri de yoktur. Dolayısıyla bence FTC’den bahsetmek gerçekten ilginçtir. ABD, bu konuda düzenleme yapmayı unuttu bence.

Senatörlerin Mark Zuckerberg’i sorguladıkları bir oturumu düşünün. Açık yönetmeliklere ihtiyaç vardı. Bay Zuckerberg, sizi nasıl yönetebiliriz? (Gülüşmeler) Bağımlı oldukları üç adet uzman ajansı olduğunu düşünüyorum. Yani uyuşturucuları düzenlerken, FDA’yı kullanmak üzere organik kimyayı bilmeniz gerekmiyor. Yani, FTC ve onun rolünü araştırıyoruz ve şunu soruyorum: Şöyle bir yaklaşıma ihtiyacımız var mı, yoksa bu daha ziyade 21.yüzyıla dair bir yaklaşım mı? Bunu akıllıca nasıl düzenleyeceğimiz hakkında düşünelim biraz.

KIRKPATRICK: Bir zamanlar Kongre nezdinde bir teknoloji ofisimiz vardı ama şimdi yok. Avrupa Birliği’nin ise, devasa bir uzmanlık yelpazesi barındıran 12000 kişilik bir teknoloji değerlendirme mercii var. Bunu belirtmek gerekiyor.

GOLDSTEIN: David, kısaca söylemek gerekirse. Avrupalı düzenleyiciler, GDPR’nin ortaya çıkışıyla birlikte, GDPR’nin bile yeterli olmadığını anladılar; çünkü onayın da bir sınırı var ve meşru çıkarın bazı bürokratik boyutları söz konusu. Ve örgütler için verilerinizi yönetmeniz ve etik bir yaklaşım

konusunda söz etmeye başladılar. Benim de kıdemli strateji uzmanı olduğum “Bilgi Hesap Verebilirlik Vakfı” adlı bir örgüt var ve etik veri etki değerlendirmeleri ve rızanın mümkün olmadığı durumlarda verilerinizi sorumlu bir şekilde yönetmenin diğer yolları konusunda –bu özellikle ABD’deki örgütler açısından önemli- çok fazla çalışma gerçekleştirdi.

Ve yapmanız gereken şeylerden biri, Birleşik Krallık’ta veri koruma mercii konusunda düşünmektir. Avrupa Birliği’ndeki Avrupa Veri Koruma Denetçisi, bu etik veri yaklaşımı konusunda konuştu. Bu, düşünmeye başlamanız gereken şeylerden biri, keza sonraki adımda karşımıza çıkacak: Verilerinizi sorumlu bir şekilde yönettiğinizi gösteren veya kanıtlayan diğer araçların etik yollar izlediklerine dair etik veri etki değerlendirmeleri. Ve bu konu hakkında düşünmeye başlamanızı öneririm. Yapay zeka, makine üzerinden öğrenme gibi konularda buna ihtiyacınız var. Cisimlerin İnterneti’nden söz ettik. Bu günlerde veri işleme amacıyla ileri düzey faaliyetleri kullanırken onay almanız mümkün değildir. Dolayısıyla, onay dışındaki şeyleri düşünmeye başlamalısınız. Meşru çıkar, Avrupa’da bunu yapmaya başlamanızın bir yoludur; ancak alternatif araçlar konusunda düşünmeye başlamalısınız.

KIRKPATRICK: Teşekkürler. OK. Esther. Söz alabilirsin.

Q: Evet, ben Esther Dyson.

Kısa bir gözlem ve soru. Sürekli aklımdan geçiyor. Eğer sağlığı, verileri düzenler gibi düzenlersek, şirketlerin faaliyetlerinin etkilerine ve şirketlerin kamu sağlığına dair sattıkları şeylere bakarsak, harika olmaz mı* Mesele, GDPR ve ICANN, WHOIS sistemi ile ilgili. Dolayısıyla bence ICANN Avrupa’da bunu uygularken çok kötü bir iş çıkardı. Eğer bir websiteniz varsa, kim olduğunuzu söylemeli ve size erişme imkanları sunmalısınız. Bu, alan ismi sisteminin bir gereğidir. Ve insanlar artık GDPR’nin website sahiplerine mahremiyet sağlaması gerektiğini iddia ediyorlar. Dolayısıyla, gücü olan şeylerin mahremiyeti ile mahremiyeti hak eden kişiler arasında köklü bir muharebe söz konusu. Ve bu özel çatışmayla nasıl başa çıkacağınız konusunda görüşlerinizi almak isterim.

KIRKPATRICK: Bu gerçekten ilginç ve karmaşık bir konu. Birisi bu konuda çok hızlı bir gözlem paylaşabilir mi? Karen, bu konuda bir fikrin var mı?

KORNBLUH: Hayır. (Gülüşmeler.)

KIRKPATRICK: OK. Aslında bunu bir soru olmaktan ziyade bir gözlem ve yorum olarak değerlendirmek isterim. Washington’dan birine bağlanalım, çünkü çok kısa süremiz kaldı ve çok fazla soru var.

KORNBLUH: David, son iki sorumuzu birleştireceğim. Sorularınız iki yerine tek parçalı olabilir mi ve kendinizi tanıtabilir misiniz?

Q: Teşekkürler, Karen. John Croft, Northrop Grumman Corporation’dan.

Marc’ın kesinlik ve güvenlik konusundaki yorumuna değinmek istiyorum. Son üç yılda, tipik bir ülkenin güvenli bir liman kurması gerekiyordu. Güvenli limanlar yok oluyor. Verilerinizi güvenli limanın ardından yer değiştirmeniz için geçici bir strateji bulmanız gerek. Ardından mahremiyet kalkanı gündeme geliyor. Mahremiyet kalkanına kaydoluyorsunuz. GDPR gündeme geliyor. GDPR’ye uyum sağlıyorsunuz. O zaman da Brüksel şöyle diyor: Belki de mahremiyet halkanı artık anlamlı değildir. Benim sorum ise şu şekilde: ABD ile AB arasında verilerin hareketliliği için transatlantik istikrar açısından olanaklar nelerdir? Çünkü şu anda ortam çok ama çok belirsiz görünüyor.

Q: Merhaba. Amazon’dan Charlotte Newman. Mali hizmetler kamu politikasına odaklanıyorum.

Sorum Karen’a. Tarihsel desteklerden söz etmiştiniz—

KIRKPATRICK: Mümkünse mikrofonu daha yakından tutar mısınız. .

Q: Elbette. Dolayısıyla bir kez daha, Charlotte Newman. Ben Amazon’danım.

Benim sorum Karen’a. Karen, AB’de bireysel veri mahremiyeti komisyonları ve AB çapındaki kurumları yönlendiren AB’deki tarihi dayanaklardan söz etmiştiniz. Burada, ABD’de, Cambridge Analytica sonrası bir dünya söz konusu. Ama, tartışmakta olduğumuz türden bir federal yasaya yol açacak olan bir kamu savunuculuğuna zemin hazırlayacak yeterlilikte bir kırılma noktası yaşandı mı?

KORNBLUH: Yani transatlantik düzeyde. Ve bir ABD yasası olacak mı? Marc, yanıt vermeyi dener misin?

GROMAN: OK. Dolayısıyla bence bu durum tüm ülkelere ve endüstriye yarayacak. Ve sınır-ötesi işçi akışlarını teşvik etmeliyiz. Bunlar dördüncü endüstriyel devrim ve dijital ekonomi açısından kritik önem arz ediyor. Bu noktada en azından kısa vadede şüpheciyim. Mahremiyet kalkanının kalıcılığı konusunda bile sorular söz konusu. Bunu müzakere ettiğimiz dönemde Mahremiyet ve Sivil Özgürlükler İzleme Kurulu’muz konusunda oldukça sorun yaşanmıştı. Bu, istihbarat topluluğumuzu gözden geçirme yeteneğine sahip olan bağımsız bir kurumdu.

Şu anda böyle bir kurum yok. Dolayısıyla Avrupalı eski bir meslektaşla her konuşmamda bunu vurguluyorlar. Dolayısıyla tutarlılığı görmek istiyorum. Endüstri açısından bu konuda kesinliği görmek istiyorum. O noktaya kusa vadede ulaşabileceğimiz konusunda şüphelerim var. Uzun vadede ise, daha iyimserim. Çok fazla ortak şeyin daha olduğunu düşünüyorum. Yirmiye yakın ülkenin mahremiyet yasalarını okudum. Bence bu ortak ilkelerden kendimiz için bir şeyler çekebiliriz.

Hükümetin denetimi meselesi karmaşık ve kapsam dışı kalan, ayrı bir konu. Cambridge Analytica meselesinin bu konuda bir itici güç olup olmadığını bilmiyorum, ama ben bu konuda Karen’in yaklaşımına bayıldım. İnsanların daha önce düşünmedikleri türden, çok farklı bir zararı vurguladı.

KIRKPATRICK: Lynn, bildiğim kadarıyla sizi harekete geçirmeye neyin ilham kaynağı olduğu konusunda bir yorumunuz olmuştu. Kısaca alabilir miyiz?

GOLDSTEIN: Son olarak elimizde çok fazla miktarda veri ihlali oldu. Cambridge Analytica yaşandı. Her türlü olay oldu. Ve halen ABD’de bir mahremiyet yasası yok. bu durum bizim için bir itici güç olacak mı, onu da bilmiyorum.

KIRKPATRICK: Ne yazık ki söyleşiyi tamamlamak durumundayız. Ancak bence bu meselenin son derece önemli, çok-boyutlu ve daha fazla tartışmaya gebe olduğunu görmüş olduk. Hepinize çok teşekkür ederim. (Alkışlar) Washington’daki panelistlee de teşekkürler.

Kaynak: https://www.cfr.org/event/future-us-data-privacy-after-gdpr