Giriş
Günümüzde etkisini artırarak gösteren Koronavirüs (COVID-19) salgın hastalığı sebebiyle birçok şirket evden çalışma sistemine geçerek, toplantılarını video konferans yoluyla devam ettirmektedir. Ek olarak uzaktan eğitim süreçlerinde de gerek kamu kurum ve kuruluşları gerek özel eğitim kurumları, uzaktan eğitim modeline geçiş yapmış ve video konferans metodunu uygulamaya başlamışlardır. Söz konusu video konferans görüşmelerinde ilgili kişilerin; ses, görüntü, IP ve konuma ilişkin verilerinin işlenmesi söz konusu olabilmektedir. Aynı zamanda hizmet sağlayıcı şirketin sunucularının yurtdışında bulunması halinde bu durum, süreç içerisinde işlenen kişisel verilerin yurtdışına aktarımına da sebebiyet verecektir. Sürecin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) bahsi geçen mevzuata bağlı idari süreçleri bir yana, ilgili uygulama ve metotlar aynı zamanda veri güvenliğine ilişkin soruları da gündeme getirmiştir. İşbu yazıda, günümüzde en çok tercih edilen video konferans uygulaması olan Zoom Video Communications, Inc. (“Zoom App”) veri güvenliği ve veri işleme açılarından incelenecektir.
Kişisel Verileri Koruma Kurumu’nun Uzaktan Erişim Platformları Konusundaki Görüşü Nedir?
Kişisel Verileri Koruma Kurumu (“Kurum”), 7 Nisan 2020 tarihinde yaptığı kamuoyu duyurusu ile konuya değinmiştir. İlgili kamuoyu duyurusunda; bazı platformlarda kullanıcıların ad, soy ad ile ses ve görüntü gibi biyometrik veri kapsamına giren verilerin işlendiği, bu verilerin Kanun’un 5. ve 6. maddelerine uygun olarak işlenmesi gerektiği belirtilmiştir. Aynı zamanda ilgili platformlardan veri merkezleri yurtdışında bulunanların yurtdışına veri aktarımını Kanun’un 9. maddesine uygun olarak gerçekleştirmesi gerektiği, aksi halde veri ihlali meydana gelebileceği belirtilmiştir.
Zoom App Nedir?
Zoom App basit düzlemde, kişiler arası kamera ve mikrofon aracılığı ile görüşme altyapısı hizmeti sunan bir video konferans platformudur. Skype, Facetime ve Zoom App video konferans metotlarında başlıca alternatiflerin başında gelmekte olup, özellikle ücretsiz versiyonun sunmuş olduğu 100 kişi ile 40 dakikalık görüşmeler gerçekleştirme seçeneği sunan Zoom App, bu listenin başına gelmektedir. Bu durum, Amerika Birleşik Devletleri’nin California eyaleti merkezli Zoom App’in borsadaki değerinin son üç aylık süreçte iki katının üzerine çıkmasına neden olmuş ve uygulama son dönemde 60 milyondan fazla kişi tarafından indirilmiştir. Zoom App, bu olağanüstü dönemde her ne kadar değer kazanmış olsa da aynı zamanda süreç içerisinde sebebiyet verdiği birçok güvenlik açığı ile de gündeme gelmiştir.
Zoom App Nezdinde Hangi Veri Güvenliği İhlalleri Ortaya Çıkmıştır?
a) Kişisel Verilerin Facebook’a Aktarılması
Tartışma konusu yaratmış olan en büyük veri güvenlik ihlali, geçtiğimiz dönem ortaya çıkan ve Zoom App’in kullanıcılarına ait kişisel verileri Facebook ile paylaştığına ilişkin iddialardır. Bu bakımdan Zoom App’in, kullanıcılarının cihaz bilgileri ile hangi servis sağlayıcısını kullanarak bağlandığı gibi bilgilerinin, uygulamayı açmasıyla birlikte Facebook’a aktarılmasını sağlayan bir kod kullandığı tespit edilmiştir. Bunun üzerine Zoom App, yaptığı açıklamada verilerin Facebook ile paylaşıldığını kabul ederek, paylaşımı sağlayan kodun uygulamadan kaldırıldığını belirtmiştir. Ancak yine de ABD’nin New York eyaletinde, veri güvenliği açısından gerekli önlemlerin alınmadığı sebebiyle uygulamaya karşı toplu dava açılmış ve soruşturma başlatılmıştır.
Motherboard’da yayınlanan habere göre; kullanım koşullarında ve gizlilik politikasında belirtilmemesine rağmen bazı kişisel verilerin Facebook ile paylaşıldığının ortaya çıkması üzerine, San Jose, California’da Zoom App’e karşı toplu dava açılmıştır. Davacı makamının iddialarına göre uygulamanın tasarımının ve güvenlik önlemlerinin, veri güvenliğini sağlama bakımından yetersiz kaldığı ve kullanıcıların kişisel verilerinin yetkisiz bir şekilde ifşa edildiği tespit edilmiştir.
b) Uçtan Uca Şifreleme Yönteminin Kullanılmamasından Kaynaklı Güvenlik Açığı
Techcrunch haberine göre; iki güvenlik araştırmacısı Zoom App kullanıcıların Windows şifrelerinin çalınmasına neden olabilecek bir yazılım hatası, bir başka güvenlik araştırmacısı ise kullanıcıların kamera ve mikrofonları da dahil Mac sistemlerine erişim sağlayabilecek iki yazılım hatası bulmuştur. Bu yazılım hatalarının, kullanıcıların cihazlarına zararlı yazılımlar yüklenmesine olanak sağladığı belirtilmiştir. Zararlı yazılımlar sayesinde ise kullanıcının hem kamerasına hem de mikrofonuna ulaşılarak ses ve görüntü kaydı yapılabileceği ortaya çıkmıştır. Söz konusu güvenlik açığının, uçtan uca şifreleme yönteminin kullanılmamasından kaynaklandığı belirtiliyor. Uçtan uça şifreleme yönetimi kısaca, iki taraf arasında gerçekleştirilen görüşmenin üçüncü kişilerce izlenmesi ve erişilmesini engelleyen sistemdir. Bu konuya ilişkin olarak geçtiğimiz senelerde Zoom App, aynı güvenlik açığı sebebiyle kullanıcıların izni olmadan kameralarını etkinleştirdiğini itiraf etmiş ve kamuoyuna duyuru yaparak bu açığı giderdiğini ifade etmişti.
Söz konusu güvenlik açıklarından faydalanarak bazı video-konferans görüşmelerine sızmayı başaran kişilerin, kullanıcıların ekranlarına müstehcen görüntüler yansıtmaları üzerine konuyla ilgili FBI (Federal Soruşturma Bürosu) tarafından inceleme başlatılmıştı. “Zoom Bombalama” (Zoombombing) olarak da adlandırılan bu işlemde, herkese açık gerçekleştirilen görüşmelerin URL’sine erişen üçüncü kişiler kullanıcıların video-konferansına erişerek konferansta bulunan kullanıcılar ile pornografik veya şiddet içerikli görüntüler paylaşmaktadır. Zoom App, hâlihazırda bu durumun önüne geçmek adına yeni geliştirdiği güncelleme ile herkese açık görüşmeler de dâhil link üzerinden video konferansa erişim sağlandığında kişinin konferansa katılımını, her halükarda video konferansı oluşturan kişinin karşısına düşen onay penceresini onaylaması ile mümkün kılmıştır.
Zoom App’in Merkezinin Bulunduğu Amerika Birleşik Devletleri’nin Uygulamaya Yaklaşımı Nasıldır?
Amerika Birleşik Devletleri, Zoom App ile ilgili olarak birçok inceleme başlatmış ve bünyesindeki birçok kuruma bu konuda yönlendirmede bulunmuştur. FBI geçen haftalarda kullanıcıları uyararak uygulama ayarlarını değiştirmelerini önermiştir New York Eğitim Departmanı tarafından yapılan açıklamada ise, uygulamanın incelendiği ve uygulamada tespit edilen güvenlik açıkları nedeniyle uygulamanın kullanılmayacağı belirtilerek, 1800 okulda uzaktan eğitim için başka bir uygulamanın kullanılmaya başlanacağı belirtilmiştir. Zoom App de bunun üzerine 29 Mart 2020 tarihinde yayımladığı güncel gizlilik politikasında eğitim kurumlarına özgü bir politika hazırlama yoluna gitmiştir.
Son olarak merkezi Amerka Birleşik Devletleri’de bulunan sivil toplum kuruluşu Electronic Frontier Foundation da Zoom App’i, video konferans toplantısı başlatan kişinin; diğer katılımcıların aktivitesini izlemesi, Zoom App’e bağlı pencerelerin nerelerde aktif olup olmadığının tespit edilmesi ve bu kişi tarafından katılımcıların işletim sistemi, IP ve konum verisinin tespit edilebilmesi gibi sebeplerle veri güvenliği noktasında bir tehdit unsuru olarak tanımlamıştır.
Zoom App Hangi Tip Kişisel Verileri İşlemektedir?
Tüm bu süreçlerin ardından Zoom App, 29 Mart 2020 tarihinde internet sitesinde yayımladığı gizlilik politikasını güncellemiş ve kullanıcılarının uygulamayı güncelleyerek bu gizlilik politikası çerçevesinde verilerinin işleneceğini belirtmiştir. Söz konusu gizlilik politikasına göre Zoom App;
– Kullanıcılarının yalnızca Zoom App kapsamında verilen hizmet ile zorunlu olan ölçüde kişisel verilerinin (kullanıcı IP, işlem ve cihaz verileri gibi) işlendiğini ve kullanıcılarının nasıl ve nereden Zoom App’e bağlandığına yönelik olarak herhangi bir kişisel veri işlemediğini,
– Kullanıcılarının verilerini hiçbir şekilde üçüncü taraflara satmadığını/aktarmadığını,
– Video konferans yöneticisinin talep etmediği sürece gerçekleştirilen görüşmelere ilişkin kayıt işlemi gerçekleştirmediğini,
– Hiçbir şekilde kullanıcılarının gerçekleştirdiği görüşmeleri depolayarak satmadığını ve pazarlama amaçlı bu içerikleri kullanmadığını,
– Kullanıcılarının kişisel verilerinin genellikle Amerika Birleşik Devletleri’nde bulunan sunucularda saklandığını,
– Video-konferans yöneticisinin kayıt işlemi gerçekleştirmesi durumunda yalnızca gerekmesi halinde görüşmenin Zoom Cloud’ta depolandığını ve bu durumda da gerekli yetkilendirme önlemlerinin alındığını,
– www.zoom.us veya www.zoom.com sitelerinin ziyaret edilmediği sürece kullanıcılarının verilerini pazarlama amaçlı da kullanmadığının altını çizmiştir.
İlgili gizlilik politikasında aynı zamanda Avrupa Veri Koruma Tüzüğü (GDPR) atfı da yapılarak ilgili tüzüğe uyum sağlandığı belirtilerek Zoom App ile video konferans gerçekleştiren kullanıcılar ile www.zoom.us veya www.zoom.com sitelerini ziyaret eden kullanıcıların işlenen kişisel verileri her bir süreç bazında ayrıca tablo ile gösterilmiştir.
Sonuç ve Değerlendirme
– Tüm süreç içerisinde veri güvenliği konusundaki kamuoyunda ortaya çıkan endişe ve soru işaretleri ile veri otoritelerinin açıklamaları, video konferans konusunda hizmet veren birçok veri sorumlusunu kendi veri işleme politikalarını revize etme sürecine teşvik etmiş olup gerekli düzenlemeleri gerçekleştirme bakımından da bir zemin oluşturmuştur.
– Burada her ne kadar veri sorumlusu olarak hizmet sağlayıcı konumundaki ilgili şirketler işaret edilse de, çalışanlarını ilgili platformlara zorunlu olarak yönlendiren şirket ve kurumların da gerekli veri güvenliği tedbirlerini almaları ve kullandıkları platformların güvenilirliğini araştırmaları oldukça önemlidir. Özellikle çalışanlarını bu şekilde birtakım platformlara yönlendirip sonrasında çalışanları hakkında veri güvenliği ihlaline sebebiyet veren şirketlerin bu noktada sorumlulukları da gündeme gelebilecektir.
– Çalışanlarını; iş süreci veya aldığı hizmet gereği ses, görüntü, konum, IP ve cihaz bilgisi gibi kişisel verileri işleyen, sunucuları yurtdışında bulunan ve gerekli veri güvenliği tedbirlerini almayan bir platformu kullanmaya zorunlu kılan bir veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında sorumludur.
– Bu nedenle hizmet aldığı platform nezdinde veri güvenliğine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun öngördüğü incelemeleri gerçekleştirip çalışanlarına ilişkin de yine ilgili kanunun düzenlediği gereklilikleri (açık rıza, aydınlatma yükümlülüğü vb.) süreç içerisinde yerine getirmelidir.