25 Mayıs 2018 de yürülüğe girmesi hedeflenen Avrupa Birliği Genel Veri Koruma Yönetmeliği(EU GDPR – General Data Protection Regulation) ile vatandaşların kişisel verilerini control eden ve kullanan kuruluşların uyması gereken kurallar ile yapmaları gereken işlemler konusunda bir çok sorun ortaya çıkacak gibi görünüyor.
Tam bu noktada en büyük sorunlardan biriside WHOIS hizmetini (web alanlarını tescil ettirenler için çevrimiçi kimlik ve iletişim bilgileri hizmeti) gerçekleştiren ICANN(Internet Corporation of Assigned Names – İnternet Tahsisli Sayılar ve İsimler Kurumu) nın içine düştüğü açmaz olacak.
Mevcut sistemde, alan adı kaydedicilerinin, alan adlarını tescil ettirmek isteyen kişi ve kuruluşların kimlik ve iletişim bilgilerini kaydetmesi mecburi bir durumdur. ICANN ile yapılan sözleşme gereği bu bilgileri, WHOIS hizmeti aracılığıyla komuoyuna sunmaları gerekmektedir.
Peki neden bu hizmete ihtiyaç vardır?
Marka sahipleri, avukatlar ve siber güvenlik uzmanları ve araştırmacıları tarafından sıklıkla kullanılan bu veri tabanı, fikri mülküyet ihlali, kötü amaçlı yazılım dağıtımı ve diğer siber suçlar konusunda , alan adı sahipleri ile iletişime geçmek için ilk başvurulan kaynaklardandır. Aynı zamanda WHOIS bilgileri , sahte haberler veya orijinal olmayan malları satan sahtekar web sitelerinin tuzaklarına düşmemek için araştırma yapan tüketiciler içinde son derece faydalı olabilmektedir.
GDPR, alan adı kayıt şirketleri tarafından toplanan kişisel bilgilerin kullanımını ve kullanılabilirliğini düzenleyerek, en azından kısa vadede WHOIS verisine erişimi etkileyecektir. ICANN, alan adı tescil için kullanılan kimlik ve iletişim bilgilerinin toplanarak kamuya açılmasının GDPR yönergesi kapsamına girmediğine dair bazı yasal görüşler alsada durum hala tam bir muammadır. Her ne kadar “rıza gösterilmesi” kapsamında verilerin işlenmesi için yasal bir zemin varsada, rızaya ilişkin yeni şartlar, kayıt şirkeleri ve tescil ettirenler arasındaki sözleşmelerde yer alan onayların koruma yönergesine uyma olasılığının düşük olduğu aşikardır.
ICANN, WHOIS veritabanına üçüncü şahısların değilde akredite edilmiş belirli kişilerin erişebileceği katmanlı bir erişim modeli üzerinde çalışmaktadır.
Yönergenin yürürlüğe girmesine sayılı günler kalmış olmasına ragmen, ICANN ın ara modeli aşağıda belirtmiş olduğumuz durumlar dahil whois verilerinin gelecekteki mevcudiyetiyle ilgili pek çok soruna çözüm bulamamıştır.
- Geliştirilen ICANN modeli, kayıt hizmeti veren şirketlerin GDPR deki yeni kısıtlamaları tescil ettirenin lokasyonunu dikkate almaksızın uygulamasına izin verecek, sonuç olarakta ABD deki kayıt şirketleri kullanılarak yine ABD deki tescil ettiren kişi veya kuruluşlarla iletişim kurma özgürlüğünü etkilemiş olacaktır.
- ICANN , tescil ettiren ile kamuoyu arasında iletişimi sağlamak için anonimleştirilmiş bir e-posta adresi sistemi geliştirmeyi önermektedir. Ancak aynı tescil sahibinin sahip olduğu diğer alan adlarını aramak daha zor hale gelecektir. Oysaki bu tarz bir çoklu sorgulama marka sahipleri ve siber güvenlik uzmanları için önemli bir ihtiyaçtır.
Whois sorgulamanın GDPR ye uymak için özel bir sistem oluşturma zorluluğunun ötesinde, ICANN nın akreditasyon sistemini 25 Mayıs tarihine kadar yetiştirme olasılığı pek mümkün görünmemektedir. Yeni modelin hazırlanmasından önce ICANN nın bir çözüm sunmasının ne kadar zaman alacağı hala belirsizdir. Buda demek oluyor ki, GDPR a uymak zorunda olan alan adı kayıt ve tescil hizmeti veren şirketlerin büyük miktarlarda para cezaları almamak için WHOIS verilerini belirsiz bir süre için karartmak zorunda kalmaları gerekecektir.
Netice itibariyle ICANN, kurumsal olarak mevcut uyum çabalarına rehberlik eden bir mektupla Avrupa Veri Koruma Makamlarına ulaşmış, GDPR nin yürürlüğe girmesinden sonra da uyum sağlama yolunda destek verme devamlılığı üzerine kurulu bir eylem planı oluşturmuştur. Marka sahipleri, avukatlar, siber güvenlik uzmanları ve WHOIS veri erişimine ihtiyaç duyan herkese tavsiyemiz bu konuya dair gelişmeleri yakından takip etmeleri olacaktır.
