QR Kodlar: Kişisel Verilere Giden Kestirme Yol

Dilimize “kare kod” olarak geçen ancak terimsel karşılığı “quick response (hızlı cevap) codes” olan kare biçimli QR kodlar, ilk olarak 1994 yılında Japonya’da araba parçası üreten Denso Wave tarafından üretilen parçaları izlemek amacıyla geliştirildi. Bu iki boyutlu barkodlar, çoğu akıllı telefon kamerasının anında ve bir üçüncü parti uygulamasına gerek duymadan 4000 karaktere kadar bilgi (information) okumasını veya web tabanlı kaynaklara (URL) erişimini sağlıyor.

COVID-19 Salgını ile birlikte teması azaltmak adına restoranlar başta olmak üzere birçok yerde QR kod kullanımı artmakta. Yeni normal olarak adlandırdığımız şu günlerde QR kodlar salgınla mücadele tedbirlerinden biri olarak hayatımızda yerini aldı. QR kodların teması azaltması, kolayca kurulması, uygun maliyetli olması ve kullanılmasının son derece kolay olması gibi sebeplerden ötürü çeşitli kurum ve işletmeleri QR kod kullanımına yönelmiş durumda, aynı sebeplerden dolayı salgın sonrası günlerde de bu kodlar, hayatımızda kalıcı olacağa benziyor.

Bu teknolojinin birçok pratik yönünün olması yanında çoğu durumda çalışma mantığı bilinmeden kullanılması ise veri güvenliği anlamındaki endişeleri de beraberinde getiriyor.

Temassız hayata entegrasyonu kolaylaştıran bu teknolojinin bilmediğimiz birçok yönü bulunuyor. QR kodların dezavantajlarından bazılarını saymak gerekirse;

• Kişi listesi ekleme: Bir QR kod, telefonunuzda otomatik olarak yeni bir kişi listesi oluşturabilir ve bu liste kötücül veriler içeriyorsa cihazınızı saldırıya açık hale getirebilir.
• Telefon araması yapma: Bir QR kod, herhangi bir numaraya arama başlatabilir ve başlatılan bu arama arayan kimliğinizi kötüniyetli kişilere ifşa edebilir
• SMS gönderme: Bir QR kod, önceden belirlenmiş bir alıcıya gönderilmek üzere bir kısa mesaj oluşturabilir ve “gönder” butonuna bastığınız takdirde kötü niyetli kişilere verilerinizi ifşa edebilir veya saldırıya açık hale getirebilir.
• E-posta gönderme: Bir QR kod; bir e-posta taslağı oluşturabilir ve alıcı, konu satırlarını kendi kendine doldurabilir. “Gönder” butonuna basmanız halinde, oltalama (phishing) saldırılarının mağduru olabilirsiniz.
• Ödeme yapma: Bir QR kod, saniyeler içerisinde ödeme gerçekleştirebilir. QR kodun kötücül bir yazılımı olması halinde hackerlar kişisel verilerinizi veya hesap bilgilerinizi ele geçirebilir.
• Konumunuzu teşhir etme: Bir QR kod, bulunduğunuz coğrafi konumu bir uygulamaya gönderebilir.
• Web sayfası açma: Bir QR kod, internet tarayıcınızı önceden belirlenmiş bir web tabanlı kaynağa (URL) yönlendirebilir. Bu web tabanlı kaynak kötücül yazılım içeriyorsa uygunsuz içeriklere maruz kalabilirsiniz.
• Takvimde etkinlik oluşturma: QR kodu takviminize bir etkinliği not etmek amacıyla kullandığınız takdirde, takvim uygulamanızı hackerlara ve potansiyel saldırılara karşı savunmasız hale getirebilir.
• Sosyal medya hesaplarını takip etme: Bir QR kod sosyal medya hesaplarınızın birinden otomatik olarak belirlenmiş bir hesabı takip etmenize sebep olabilir ve kişisel verilerinizi ifşa edebilir.
• Tercih edilen bir Wi-Fi ağı ekleme: QR kod yazılımında; bir ağ bağlantısının otomatik kimlik denetimi ve doğrulamasını barındırıyor olabilir. Bu da tercih edilen ağlarınıza kötücül ve gizliliği ihlal edilmiş bir ağ bağlantısını ekleyebilir. 

Görüldüğü üzere QR kodlar aracılığıyla başta kimlik ve iletişim verileri olmak üzere cihazda bulunan ya da cihaz aracılığıyla erişmenin mümkün olduğu çok sayıda kategoride kişisel verilere erişim sağlama imkanı söz konusudur.

KVKK’nın (“Kanun”) 3/1(e) maddesinde kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmaktadır. Dolayısıyla QR kodların kullanılması ile kişisel verilere erişilmesi ve devamında gerçekleştirilen işlemlerin, KVKK bağlamında bir kişisel veri işleme olduğu açıktır.

QR kodların yukarıda kısaca aktarılan kullanım alanları ve amaçları dikkate alındığında burada bahsi geçen kişisel veri işleme faaliyetleri yönünden Kanun’un 28. Maddesinde zikredilen istisnai hallerden herhangi birinin uygulama alanı bulduğundan söz edilebilmesinin mümkün olmadığı da anlaşılmaktadır. O halde burada Kanun kapsamında kalan bir veri işlemenin söz konusu olduğu görülmektedir. Dolayısıyla söz konusu veri işleme faaliyetinin amaç ve araçlarına karar veren veri sorumlusu (örneğin restoranın sahibi olan gerçek ya da tüzel kişi) yönünden Kanun’un 10. Maddesinde düzenlenen aydınlatma yükümlülüğü uygulama alanı bulacağı tartışmasızdır. Bu noktada veri sorumlusu, QR kodu kullanmaya yönlendirdiği ilgili kişiyi (kullanıcılar/ müşteriler vd) Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11.  maddede sayılan diğer hakları konusunda açık ve anlaşılır bir şekilde bilgilendirmelidir. Fakat uygulamaya baktığımızda QR kodların kullanımı ile ilgili olarak ilgili kişilerin neredeyse hiçbir zaman aydınlatılmadığını görmekteyiz. Dolayısıyla salt aydınlatma yükümlülüğünün yerine getirilmemesi dahi, başkaca bir araştırmaya gerek olmaksızın tek başına bir ihlal teşkil etmektedir.

Mobilelron adlı teknoloji şirketi tarafından 2020 yılının Eylül ayında gerçekleştirilen bir çalışma QR kod kullanıcılarının kod kullanımına dair bilgi eksikliğinin ne kadar fazla olduğunu ve yukarıda bahsettiğimiz aydınlatma yükümlülüğünün yerine getirilmesinin ne kadar önemli ve gerekli olduğunu gözler önüne sermektedir. Çalışma; Amerika Birleşik Devletleri, Birleşik Krallık, Almanya, Hollanda, Fransa ve İspanya genelinde 4.408’in üzerinde kişiyle QR kodların salgın dönemindeki kullanımı ve bu kullanımın şirketler ve/veya taraflar olası riskleri üzerine bir farkındalık çalışması içerecek şekilde gerçekleşmiştir[1]. İlgili çalışmanın bulgularına göre:

• Katılımcıların %46’sı son bir hafta içinde, %76’sı son bir ay içerisinde, %86’sı ise son bir yıl içinde QR kod tarattığını söylüyor,
• Katılımcıların %54’ü salgının başlangıcından bu yana QR kodların kullanımının arttığını fark ettiklerini ifade ediyor,
• Katılımcıların %58’i ileride QR kodların daha fazla kullanılmasını istediğini ifade ediyor

Yukarıda bahsettiğimiz gibi çoğu kişi mobil cihazlarında güvenlik açığı olduğu ve QR kodların yarattığı güvenlik risklerinin büyük bir ölçüde farkında değil. Öyle ki:

• Katılımcıların neredeyse yarısı (%48) QR kod kullanımına endişeli yaklaşmasına rağmen QR kod kullanmaktan çekinmiyor, öte yandan katılımcıların %63’ü bir QR kodun kötü niyetli olup olmadığını anlayamayacaklarını ifade ediyor,
• Katılımcıların %61’i QR kodun taranmasıyla bir URL adresine erişilebildiğini biliyorken, %’49’u bir QR kod aracılığıyla uygulama indirilebileceğini bildiğini ifade ediyor. QR kod aracılığıyla ödeme yapılabileceğini, sosyal medyada bir kişinin takip edilebileceğini ya da bir telefon çağrısı başlatılabileceğini bilen katılımcıların oranı ise yalnızca %22’de kalıyor,
• Çalışmaya katılan %47’lik bir kesimin ise mobil cihazlarında güvenlik yazılımının olmadığı ve/veya böyle bir yazılımı cihazlarına indirdiklerinden haberdar olmadıkları anlaşılıyor.

Son dönemlerde ülkemizde de kullanımı artan QR kodlara yönelik farkındalık çalışmaları yapılması ve bu yöntemle  aslında bu kodların ulaşabileceği verilerin ne kadar geniş olduğu, yine kod bağlantısı ile ulaşılan verilerin hangi bilgileri içerdiği, elde edilen bu verileri nasıl/ kimlerle paylaşıldığının bilinmemesinin ilgili kişilerin başta mahremiyet hakkı olmak üzere temel hak ve özgürlükleri yönünden büyük bir ihlal riskini bünyesinde barındırdığını anlatmak gerekiyor.

QR kodların erişim sağladığı cihazlar üzerinde gerçekleştirdiği işlemler vasıtasıyla kişisel verileri işlediğine ve bu verileri işlerken -genel olarak- ilgili kişi olan cihaz sahibine karşı aydınlatma yükümlülüğünün yerine getirmediğine değindik. Öte yandan aydınlatma yükümlülüğünün yerine getirilmesi söz konusu veri işleme faaliyetinin hukuka uygunluğunu sağlayacak tek unsur değildir. Zira kişisel verilerin işlenebilmesi için öncelikle Kanun’un 4. maddesi düzenlenen ilkelerin dikkate alınması ve akabinde erişilen verinin niteliğine göre Kanun’un 5. ve 6. maddelerinde düzenlenen hukuki sebepler dikkate alınarak hangi hukuki sebebe dayanılarak verinin işlenebileceğini değerlendirmek gerekmektedir.

Kişisel verileri toplanan ilgili kişilere herhangi bir aydınlatma yapılmadığı için ilgili kişilerin işlemenin dayanağı olan hukuki sebebin ne olduğunu ve bunun hukuka uygun olup olmadığını değerlendirebilmesi mümkün olmamaktadır. Bu noktada yapılacak bir değerlendirme neticesinde bu verilerin işlenmesinin tek hukuki sebebinin açık rıza olabileceği varsayılırsa, örneğin uygulamadaki örneklere bakıldığında bir menüyü okumak için temassız fiziki menü kartı sunmak suretiyle kişisel veri toplamadan sipariş almak mümkündür, burada açık rızanın geçerlilik şartlarının da dikkatlice değerlendirilmesi gerekmektedir. Bilindiği üzere rıza; ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır ve aktif bir hareketle verilmelidir.  Hal böyle iken QR kodu ile yalnızca bir restoranın menüsüne bakıyor olmak ya da sosyal medyada konum bildirmek gibi -pasif kalmak suretiyle- birtakım eylemler Kanun’a uygun bir şekilde kişisel verilerin işlenmesine açık rıza verildiği anlamına gelmeyecektir.

Son olarak ifade etmek gerekirse, QR kodlar günlük hayatımızın çeşitli alanlarında kolaylaştırıcı bir role sahip olurken bunun bir bedeli olarak da sınırsız sayıda kişisel veriye erişmede bir kısa yol teşkil ettiğini görüyoruz.  Kişisel verilerimizin aydınlatma yükümlülüğü yerine getirilmeksizin ve gerekli olduğu durumlarda açık rıza alınmaksızın işlenmesinin sonuçlarının hafife indirgenemeyecek kadar ağır olduğunu hatırlamakta fayda var. Kişisel veri ilgilileri olarak bizlere düşen ise QR kod kullanılmasının hızlı ve pratik olmasının getirdiği avantajları benimseyip, hayatımızın her alanında sorgulamaksızın kabul etmek ve kişisel verilerimize sınırsız bir erişim sağlamak yerine; dezavantajlarını da araştırarak bilgi sahibi olmak,  bireysel olarak alabileceğimiz güvenlik önlemlerini almak ve hukuka aykırı şekilde veri işleyen kişilere geçit vermemek olacaktır.

[1] https://www.mobileiron.com/sites/default/files/Datasheets/qr-codes/qr-code-one-pager.pdf

Teşekkür Notu:

Bu yazı, Zelal Binici ve  Elif Sağlam tarafından birlikte kaleme alınmıştır.