Kişisel Veri Satışı Nasıl İşler ve Kendinizi Nasıl Korursunuz

What Are Data Brokers?

Veri brokerları, insanların kişisel bilgilerini toplayan, bunu iyi bir şekilde paketleyen ve diğer şirketlere para karşılığında satan şirketlerdir. Diğer şirketler, daha iyi iş kararları alabilmek için bu verilere ihtiyaç duyarlar.

Kişisel verileri satılan insanlar bunun farkında bile değiller. Bu arada, veri brokerları milyar dolarlık işletmelere dönüşüyor.

Bu şirketlerin ne kadar büyük olduğuna dair bir fikir vermek için:

• 2019’da reklam şirketi Publicis, veri brokerı Epsilon’u 4.4 milyar dolara satın aldı.
• Acxiom’un değeri 4 milyar dolar
• ZoomInfo yıllık olarak neredeyse 500 milyon dolar kazanıyor

Tüm bunlar, kişisel veri toplama, paketleme ve satma işleminden elde edildi.

Ve işlerinde ne kadar başarılı olduklarına dair bir fikir vermek için, bir kişinin internet üzerindeki bazı şirketlerin verilerini nasıl bildiğini anlamaya çalıştığı bu yazıya göz atın.

Sonunda, Facebook’un bile bir veri brokerından veri satın aldığını öğrendi. Evet, otomatik veri işleme için en üstün algoritmalara sahip olduğunu düşündüğümüz Facebook, kullanıcıları hakkındaki verileri veri brokerlarından satın aldı.

Veri brokerları veri işleme konusunda ciddi. Örneğin Acxiom, dünya genelinde 500 milyondan fazla insanın verisini işleyen 23.000’den fazla sunucuya sahip. Bu, toplam dünya nüfusunun yaklaşık %7’si.

Ancak katılmıyorlar ve dünya nüfusunun %10’unun verisini işlediklerini iddia ediyorlar. Yalnızca iki ülke – Çin ve Hindistan – Acxiom’un işlediği kişisel verilere sahip kişilerin listesinden daha fazla nüfusa sahip.

Onlar Hangi Tür Kişisel Veriyi Toplar ve İşler?

Veri brokerları, toplayabilecekleri her kategori veriyi toplar ve işler. Onlar için neyin iyi olduğu veri bu. Acxiom kişi başına 1500 veri noktası işler.

Temel kişisel bilgilerin, yani isim, e-posta adresi, ev adresi, telefon numarası veya SSK dışında, davranışınızla ilgili büyük miktarda veriyi de işlerler.

Bu, politik görüşlerinizi, dünya üzerine felsefi görüşlerinizi, çevrimiçi satın alma davranışınızı, aile yaşamınızı vb. içerebilir.

Örneğin, çevrimiçi satın alma davranışınızı analiz ederken, birçok veri noktasını analiz edebilirler. Örneğin, çevrimiçi olarak bir tişört satın almak onlara şunlar hakkında bilgi verebilir:

• Satın almadan önce neleri gezdiğiniz
• Gündüz, öğleden sonra mı yoksa geç saatte mi satın alıyorsunuz
• Hafta içi mi yoksa hafta sonu mu satın alıyorsunuz
• Satın almadan önce çevrimiçi mağazayı kaç kez ziyaret ettiniz
• Benzer ürünlere bakıp bakmadığınız
• Tişörtün renk ve deseni neydi
• Tişört üzerinde bazı kelimeler basılıysa, ne anlama geliyor
• Bu kelimelerin dünya görüşlerinizle nasıl ilgili olabileceği
• Bu kelimelerin bekar mı yoksa evli misiniz ya da çocuğunuz var mı olduğunuza dair bir ipucu olup olmadığı
• Bu kelimelerin belirli bir NBA takımını destekleyip desteklemediğiniz anlamına gelip gelmediği
• En son satın aldığınız tişört boyutuyla aynı tişört boyutunu mu aldınız, yoksa kilo mu aldınız

Bunlar 1500 veri noktasından daha azdır, ama fikri anladınız.

Bu, gerçekten etkileyici. Ve bir sonraki seferde, bu veriyi satın almış rastgele bir çevrimiçi şirket tarafından ilgili bir reklamla karşılaşacaksınız.

Veri Brokerlarının Kişisel Veri Toplama Yöntemleri

Bildiğiniz üzere, sadece çevrimiçi olmakla bazı kişisel bilgileriniz zaten açığa çıkar. Eğer bu kategoride değilseniz, siz de maruz kalıyorsunuz. Özel gözatma mümkün olsa da, çok az kişi bunu tercih eder.

Verinizi açığa çıkardığınızda, veri brokerları kollarını açarak sizi bekler.

Verilerinizi iki şekilde elde ederler: satın alarak ya da kendileri toplayarak. Satın alma açıklayıcıdır. Toplama, çoğunlukla web kazıma yöntemiyle yapılır.

Web Kazıma

Web kazıma, birinin internet üzerindeki herhangi bir web sitesinden veri çıkarmak için küçük bir yazılım parçası veya komut dosyası göndermesine olanak tanıyan çevrimiçi bir aktivitedir.

Bu yüzden, veri brokerları kişisel veri içerebilecek herhangi bir web sitesine web kazıyıcıları gönderir. Veriyi toplar ve işlenmeye hazır bir formatta veri brokerına geri gönderir. Sonra işleme başlar. Bir kişi hakkında birçok veri noktasını eşleştirirler, nihayetinde bir kişinin profilini oluştururlar.

Çoğu durumda, şunları kazıyarak veriyi toplarlar:

Kamu kayıtları. Mahkeme kayıtlarınız, oy kayıtlarınız, boşanma kayıtlarınız ve şehir/devlet/federal kayıtlar en azından kısmen halka açıktır. Veri brokerları bunu fırsat bilerek veritabanlarına ne kadar çok şey toplayabileceklerse o kadarını toplarlar.

Sosyal ağ profilleri. Sosyal medya profillerinizin halka açık kısımlarını kazımaktan çekinmezler; adınız, telefon numaranız, e-posta adresiniz vb.

Web siteleri, web sitelerinden halka açık verileri kazımaya nadiren izin vermez ve üyeler için özel alanlardan web kazımasını neredeyse her zaman yasaklar. Ancak, veri toplayıcılar bunu ciddiye almaz ve Kullanım Koşulları’ndaki hükümlere bakmaksızın çalışmaya devam ederler. Yani LinkedIn’e bir kazıyıcı gönderirlerse, halka açık veriyi kazımanın yanı sıra, sadece üyelere görünür olan verilere erişmekten çekinmezler ve bunu toplarlar.

Evet, Kullanım Koşullarına aykırıdır, ama bu işe devam ediyorlar.

Halka açık veri ihlallerini kazıma. Bir web sitesinden kişisel veri sızarsa, veri brokerlarının yapacak işi vardır – ihtiyaç duyduklarını almak için kazıyıcıyı doğrudan kaza yerine gönderirler. Bu, hassas verileri de içerebilir.

Diğer veri brokerları. Latince bir atasözü vardır: “Bir insan, diğer bir insana kurttur (Homo homini lupus est)”. Ancak, bir veri brokerı diğer bir veri brokerına kurt değildir. Birbirlerinin veritabanlarını kazırlar, bu hiçbir zaman yasal bir işleme yol açmaz.

Yani, bir veri brokerının sizin hakkınızda birçok veri noktası varsa, diğerleri, er ya da geç, bu veriyi de alır – sizin rızanız ve bilginiz olmadan.

Diğer şirketlerden verinizi satın almak

Kazıma yeterli olmadığında veya mümkün olmadığında, veri brokerları kendi cebinden veri için ödeme yapar.

E-posta listesi toplayıcıları. Var oluşlarının tek amacı, insanların e-posta adreslerini ilgi alanlarına göre toplamak, onları segmentlere ayırmak ve kullanıcıların belirli özelliklerine dayalı olarak veriyi paketlenmiş şekilde satmaktır.

Örneğin, onlara başvurabilir ve kişisel finans uygulamaları kullanan 30 yaş üstü erkeklerin e-posta listesini satın alabilirsiniz. Ya da paleo diyetiyle ilgilenen insanların e-posta listesi.

Bazı işletmeler bu listeleri satın alır, ama veri brokerları da satın alır.

Verinizi toplamış olan diğer şirketler. Kullanıcıların verilerini satmayı amaçlamayan birçok çevrimiçi işletme, kendi ihtiyaçları için bu veriyi yönetir. Ancak, veri brokerları doğru fırsatla doğru zamanda onlara gelirse, bazıları satmaya karar verebilir.

Bazı yasalar bu tür satışlardan sizi korur, diğerleri korumaz. İpucu: Makalenin ilerleyen kısımlarında Kullanım Koşullarını okumadan kabul edersiniz.

Kendinizi Nasıl Korursunuz?

Veri brokerleri vahşi batıda çalışsa da, size tanınan veri konusu hakları ile onlara meydan okuyabilirsiniz. Ancak, uygulanabilir yasalar bu hakları size veriyorsa, böyle haklara sahipsinizdir.

Bu makale yayımlandığında, GDPR, CCPA, Nevada NRS63, Brezilya LGPD, Kanada PIPEDA ve bazı diğer yasalar, kullanıcı bilgilerinin satışından kullanıcıları korumaktadır.

Dünya genelinde veri gizliliği yasalarında iki ana eğilim olduğunu göz önünde bulundurarak – GDPR’ye benzer yasalar ve sadece ABD eyalet yasalarına özgü CCPA’ya benzer düzenlemeler – korunma için iki ana yol vardır. Her ikisi de kullanıcıların onayına dayanır. Bunlardan biri onayı gerektirirken, diğeri gerektirmez.

Onayın Gerekli Olduğu Durumlarda Koruma

Kullanıcıların kişisel bilgilerini toplamak için onay gerektiren yasalar genellikle veri satışı için de onay gerektirir. Bu tür yasalar arasında AB GDPR, AB dışı Avrupa ülkeleri, Brezilya, Arjantin, Tayland, Güney Afrika, Dubai, Avustralya, Yeni Zelanda, Japonya, Çin, Rusya ve son birkaç yıl içinde yeni veri koruma yasaları çıkaran ya da eski yasalarını güncelleyen diğer ülkeler bulunmaktadır.

Kişisel bilgiler için açıkça onay gerektiren yerlerde, bu, veri kontrolcüsünün gizlilik politikasında kullanıcının verilerinin satılacağını kullanıcıya bildirmesi gerektiği anlamına gelir. Eğer kullanıcı onay verirse, bunu yapmalarına izin verilir. Kullanıcı hayır derse, satış gerçekleşmemelidir.

Adım Adım Koruma

Aşağıdaki adımları takip edin:

1. Uygulanabilir veri koruma yasalarını belirleyin. İşletmenin bulunduğu yerdeki ve sizin bulunduğunuz yerdeki yasaların her ikisi de geçerli olabilir. Eğer verilerin kullanılması/işlenmesi için onay gerekiyorsa, 2. adıma geçin.
2. Gizlilik politikalarını kontrol edin. Kişisel verileri ne için ve ne amaçla kullandıklarını belirleyin. Kişisel veriyi hangi taraflarla paylaştıklarına veya veri satış işlemlerini anlatan herhangi bir bölüme özellikle dikkat edin.
3. Veri kontrolörüne bir veri konusu talebi gönderin. Bilgileri isteyin:
   • Kimlerle ve hangi amaçla kişisel verinizi paylaştıkları ve
   • Personal veri satıp satmadıkları, özellikle de sizin verileriniz dahil olmak üzere.

   Bu size veriyle ne yaptıkları hakkında bir fikir verecektir. Ancak biraz mücadele etmeye hazır olmanızda fayda var. Eğer bir AB vatandaşıysanız ve bir ABD veya Hint işletmesine bir veri konusu talebi gönderirseniz, bu işletmeler GDPR’ye uygun olmayabilir.

   Bu, onlara GDPR’nin AB kullanıcılarıyla etkileşimde bulunduklarında onlara uygulandığını açıklamanız gerektiği anlamına gelir ve uyumlu olmaları gerekir. Talebinizi görmezden gelirlerse, ulusal veri koruma otoritenize bir şikayette bulunun. Size istenen bilgiyi vermek zorunda kalacaklardır.

4. Verilerinizi satıp satmadıklarını belirleyin. İstenen bilgiye sahip olduktan sonra, bununla ne yaptıklarını, kendiniz veya veri koruma otoritesi aracılığıyla belirleyin.
   Eğer satmıyorlarsa, işte bu noktada son bulur. Eğer satıyorlarsa, okumaya devam edin.
5. Verilerinizi satmayı durdurmalıdırlar. Bu kendiliğinden anlaşılır bir şey. Ve cevapları – olumlu ya da olumsuz – ne olursa olsun, 6. adıma devam edin.
6. Veri koruma otoritesine bir şikayette bulunun. Eğer verileriniz izniniz olmadan satıldıysa ve sizi GDPR ya da benzeri bir yasa koruyorsa, veri gizlilik haklarınız ihlal edilmiştir. Bu, veri koruma ajansına şikayette bulunulmasını gerektirir. Prosedür, verinizi satan işletme için maddi bir GDPR cezasıyla sonuçlanmalıdır.

Onayın Gerekmediği Durumlarda Koruma

Onayın gerekmediği durumlar:

1. Uygulanabilir yasa, verilerin kullanımı veya satışı için açıkça onay gerektirmez, ancak satıştan çıkmak için size hakkınızı verir. Bu, Kaliforniya, Nevada ve Kanada için geçerlidir. Virginia 2023’te bu gruba katılacak. Diğer bazı ABD eyaletleri izleyebilir, ancak Kanada’nın yakında onay gerektirmesi muhtemeldir.
2. Uygulanabilir yasa yok, eski veya yeterli koruma sağlamıyor. Bu, ABD’nin geri kalan eyaletlerini (Kaliforniya, Nevada ve yakında Virginia hariç), Hindistan, Endonezya ve veri korumanın olmadığı veya eski olduğu diğer ülkeleri içerir.
   Eğer uygulanabilir yasa size herhangi bir kişisel veri koruması sağlamıyorsa, kendinizi korumanın bir yolu yoktur. Veri brokerından bilgilerinizi silmelerini isteyebilirsiniz, ancak istedikleri takdirde size kapıyı kapatabilirler. Dolayısıyla, kendi başınıza kalırsınız.

Eğer bu özel durumda size Kaliforniya CCPA veya Nevada NRS603A uygulanıyorsa, şunları yapın:

1. Gizlilik politikalarını okuyun. Kişisel bilgilerin satışı hakkında herhangi bir şey belirtip belirtmediklerini kontrol edin. Kanun, veri satışı hakkında bilgilendirme yapmalarını zorunlu kılar.

Bu kanuna uymak zorunda olan işletmeler, kişisel veri satışı ile ilgili bir bildirimle birlikte gizlilik politikasına bir bağlantı ve opt-out (katılmıyorum) butonu sağlamalıdır.

2. Eğer CCPA uygulanıyorsa, web sitesine geldiğinizde bir Veri Satışı bildiriminin olup olmadığını kontrol edin. Böyle bir bildirim varsa, opt-out butonuna tıklayın ve verilerinizi asla satmamalılar.

   Eğer bunun için çok geçse, okumaya devam edin.
   

3. Web sitesinde “Kişisel Bilgilerimi Satma” veya “Bilgilerimi Satma” metniyle bir opt-out butonu/bağlantısı/seçeneği olup olmadığını kontrol edin. Eğer şirket veri satıyorsa, web sitesinde bir tane bulundurmakla yükümlüdür. Genellikle web sitesinin alt kısmında bulunur. Veri brokerine veri satılmasını engellemek için de katılmıyorum seçeneğini işaretleyebilirsiniz.
   

4. Bilgi sahibi olmak için bir talepte bulunun. Kişisel bilgileri satıp satmadıklarını ve kime sattıklarını sorun. Süreçte kimliğinizi doğrulamanız gerekebilir, çünkü her talepte bulunan kişiye bilgi vermemelidirler.
5. Talebinize verilen yanıt, şirketin veri satıp satmadığını ve eğer satıyorsa kime sattığını size bildirecektir. Verinizin satıldığı yerleri bilmek için nereye bakmanız gerektiğini öğreneceksiniz. Bu arada, veri satışından çıkabilir ve işletmenin sahip olduğu sizinle ilgili tüm bilgilerin silinmesini talep edebilirsiniz.
6. Veri brokerine bilgi sahibi olma talebinde bulunun. Bakalım sizin hakkınızda ne var.
7. Sizin hakkınızda herhangi bir bilgileri varsa, veri tabanlarından verilerinizin silinmesi için bir talepte bulunun ve kişisel veri satışlarından çıkmayı seçin.
8. Herhangi bir şirketten veri konusu talebinize yanıt alamazsanız, Başsavcıya şikayette bulunduğunuzdan emin olun. Uyumsuz işletmelere karşı harekete geçmeye yetkilidirler.

Ekstra adım: Brand Yourself’a göz atın. Bu, ana veri brokerlarının veri tabanlarında bilgilerinizi tarayan bir şirkettir. Tarama, verilerinizin bulunduğu yerlere dair bir raporla sonuçlanır. O zaman nereden başlayacağınızı bileceksiniz.

Diğer yandan, eğer Kanada PIPEDA sizin durumunuza uygulanıyorsa, yani siz veya söz konusu işletme Kanadalıysa, “olumsuz onay” verdiğinizden emin olun.

Bu, veri denetleyicisiyle iletişime geçip verinizi diğer taraflara satmamalarını istemek anlamına gelir. Ayrıca, verilerinizin kime ifşa edildiğini öğrenmek için bir talepte bulunabilir ve sonra tüm kayıtlarından kişisel bilgilerinizi silmelerini talep edebilirsiniz.

Son Sözler

Muhtemelen verileriniz, sizin rızanız ve bilginiz olmadan birinin sunucularında yer alıyor. Ve büyük ihtimalle para karşılığında satılıyor.

Eğer bu durumdan rahatsız değilseniz, hayatınıza devam edebilirsiniz. Ancak sizi endişelendiriyorsa, harekete geçmenin tam zamanı olabilir.