LinkedIn kimlik doğrulaması yapınca aktarılan kişisel veriler

 (thelocalstack.eu)
5 puan yazan GN⁺ 2026-02-22 | 2 yorum | WhatsApp'ta paylaş
  • LinkedIn’in kimlik doğrulama süreci, kullanıcı pasaportunu ve yüz fotoğrafını gönderdiğinde tamamlanıyor gibi görünse de, veriler gerçekte LinkedIn’e değil ABD şirketi Persona’ya aktarılıyor
  • Persona; pasaport fotoğrafı, yüz tanıma için biyometrik veriler, NFC çip verileri, cihaz bilgileri ve konum bilgileri gibi çok geniş kapsamlı kişisel veriler topluyor
  • Bu veriler AI eğitimi için kullanılıyor ve hukuki dayanak olarak ‘meşru menfaat (legitimate interest)’ gösterildiği için açık rıza olmadan işleniyor
  • Persona’nın 17 alt işleyicisinden (subprocessor) 16’sı ABD şirketi ve OpenAI, Anthropic gibi AI şirketleri pasaport ile yüz verilerini analiz ediyor
  • ABD’deki CLOUD Act nedeniyle veriler Avrupa sunucularında saklansa bile ABD hükümeti erişebiliyor; bu da Avrupalı kullanıcıların kişisel verilerinin fiilen korunmadığı anlamına geliyor

LinkedIn doğrulama sürecinin gerçek yapısı

  • LinkedIn’deki ‘Verify’ düğmesine basıldığında kullanıcı Persona Identities, Inc.’e (San Francisco merkezli) yönlendiriliyor
    • LinkedIn müşteri konumunda, kullanıcı ise Persona’nın veri işleme sürecinin konusu haline geliyor
    • Kullanıcıların çoğu, Persona’nın varlığını fark etmeden pasaportunu ve yüz fotoğrafını yüklüyor

Persona’nın topladığı veriler

  • Kimlik doğrulama sürecinde Persona şu bilgileri topluyor
    • İsim, pasaportun tam görüntüsü, gerçek zamanlı selfie, yüz geometrisi (biyometrik veri)
    • NFC çip verileri, ulusal kimlik numarası, cinsiyet, doğum tarihi, e-posta, telefon numarası, adres
    • IP adresi, cihaz ve tarayıcı bilgileri, dil, konum bilgileri
  • Ek olarak ‘tereddüt algılama’, ‘kopyala-yapıştır algılama’ gibi davranış temelli biyometrik veriler (behavioral biometrics) de izleniyor

Üçüncü taraf verilerle çapraz kontrol

  • Persona, kullanıcının verdiği bilgiler dışında devlet veri tabanları, kredi kuruluşları, telekom şirketleri, kamu hizmeti sağlayıcıları gibi kaynaklarla da çapraz doğrulama yapıyor
    • Bu, basit bir kimlik kontrolünden ziyade arka plan soruşturması düzeyinde bir veri taraması anlamına geliyor

AI eğitim verisi olarak kullanım

  • Gizlilik politikasına göre yüklenen pasaport görüntüleri ve selfie’ler, AI model eğitimi için kullanılıyor
    • Amaç, ülkeye göre pasaport tanımayı geliştirmek ve hizmeti iyileştirmek
    • Hukuki dayanak ‘meşru menfaat’ olarak gösteriliyor; yani kullanıcının açık rızası olmadan işlenebiliyor
    • Bunun GDPR kapsamında temel hak ihlali oluşturup oluşturmadığı belirsiz

Verilerin paylaşımı ve erişen taraflar

  • LinkedIn’e iletilen bilgiler; isim, doğum yılı, kimlik belgesi türü, veren kurum, doğrulama sonucu ve bulanıklaştırılmış kimlik belgesi kopyası
  • Persona verileri şu taraflarla da paylaşıyor
    • Hizmet sağlayıcılar ve veri ortakları, bağlı şirketler, potansiyel alıcılar, kolluk kuvvetleri
  • 17 alt işleyici (subprocessor) listesinde şunlar yer alıyor
    • Anthropic, OpenAI, Groqcloud (veri çıkarımı ve analiz)
    • AWS, Google Cloud, Snowflake, MongoDB gibi altyapı ve veritabanı hizmetleri
    • Stripe, Twilio gibi ödeme ve iletişim API sağlayıcıları
  • Bu 17 şirketin 16’sı ABD’de, 1’i Kanada’da bulunuyor; AB içinde yerleşik şirket yok

CLOUD Act ve veri egemenliği sorunu

  • Persona ABD ve Almanya’da veri merkezleri işletiyor, ancak ABD şirketi olduğu için CLOUD Act kapsamına giriyor
    • ABD mahkemeleri, veriler yurtdışındaki sunucularda tutulsa bile hukuki emirle erişim sağlayabiliyor
    • Persona’nın politikası, “kolluk kuvvetleri ve ulusal güvenlik amaçlı taleplerde veri sağlanacağını” açıkça belirtiyor
    • Buna gizlilik emri (gag order) eşlik edebileceğinden kullanıcıya bildirim yapılmayabilir

EU-US Data Privacy Framework’ün sınırları

  • Persona, EU-US Data Privacy Framework (DPF) sertifikasına sahip
    • Ancak bu, Privacy Shield yerine getirilen bir mekanizma ve hukuki etkisini bir Executive Order’dan alıyor
    • Gelecekte yönetim değişirse geri çekilme ihtimali bulunuyor
    • noyb gibi gizlilik kuruluşları zaten buna karşı hukuki itirazlar başlatmış durumda

Biyometrik verilerin riski ve saklama istisnaları

  • Persona, yüz geometrisi verilerini doğrulama tamamlandıktan sonra veya 6 ay içinde sildiğini belirtiyor
    • Ancak hukuki gereklilik halinde saklama istisnası bulunduğundan, ABD mahkeme emriyle süresiz saklanma ihtimali var
    • Biyometrik veriler değiştirilemeyen benzersiz tanımlayıcılar olduğundan, sızıntı halinde telafisi yok

Hukuki sorumluluk ve kullanıcı hakları

  • Persona’nın tazminat sorumluluğu 50 dolarla sınırlı
    • Uyuşmazlıklar yalnızca ABD tahkim kurumu (AAA) üzerinden bireysel zorunlu tahkim yoluyla çözülebiliyor
    • AB kullanıcıları için İrlanda hukukunun uygulanacağı belirtilse de, CLOUD Act’in önceliği nedeniyle fiili koruma zayıf kalıyor

Kullanıcılara önerilen adımlar

  • Doğrulamayı zaten tamamlamış kullanıcılar şunları yapabilir
    • Veri erişim talebi: idv-privacy@withpersona.com
    • Silme talebi: doğrulama sonrasında gereksiz verilerin silinmesini istemek
    • DPO ile iletişim: dpo@withpersona.com adresine AI eğitimi için kullanıma itiraz gönderilebilir
    • Doğrulamayı yeniden değerlendirme: basit bir rozetten daha önemli olanın biyometrik verilerin korunması olduğu unutulmamalı

Sonuç

  • LinkedIn’in kimlik doğrulaması yalnızca 3 dakikada bitse de, gerçek veri akışını anlamak için 34 sayfalık hukuki belgeleri okumak gerekiyor
  • Kullanıcılar pasaportlarını, yüz verilerini, biyometrik verilerini ve kredi kayıtlarını ABD’li bir şirkete veriyor
    ve AI eğitimi, devlet erişimi, hukuki istisnalarla saklama risklerine maruz kalıyor
  • Avrupalı kullanıcıların verileri fiilen ABD hukuk düzeninin altına girmiş durumda
  • Basit bir mavi rozet uğruna kişisel kimliğin bütünü teslim edilmiş oluyor

İlgili okumalar

2 yorum

 
cherrycoder 2026-02-22

Görünüşe göre ABD içindeki karşı istihbarat faaliyetlerinde de beklenmedik ölçüde sık kullanılıyor.
 
GN⁺ 2026-02-22
Hacker News yorumları

  • Persona’nın CEO’su LinkedIn’de doğrudan açıklama yaptı
    Kişisel verilerin yapay zeka eğitiminde kullanılmadığını, kimlik doğrulamasından sonra biyometrik verilerin hemen silindiğini ve kalan verilerin 30 gün içinde otomatik olarak silindiğini söylüyor
    Gerçekte hukuk ekibi devreye girdiğinde belgeler çoğu zaman gereğinden fazla kapsamlı yazılıyor. Bu yüzden gerçekte olduğundan çok daha karanlık görünebilir; böyle bir açıklama şeffaflık açısından anlamlı

    • Bu tür açıklamalar hukuki belgelere yansımadığı sürece hiçbir anlamı olmadığını düşünüyorum. CEO’nun sözüne güvenmek yerine bunun belgelerde yer alması gerekir
    • Politikada “her an değiştirilebilir” deniyor; o halde CEO’nun sözünün ne anlamı var? Gerçekte sadece soft delete yapıp verileri tutuyor da olabilirler
    • “pointing out” yerine “claiming that” demek daha doğru olur gibi. Açıkça verileri yasa dışı toplayıp model eğitiminde kullanan şirketlerle ilişkiler düşünülünce buna güvenmek zor
    • Hukuk ekibinin aşırı geniş ifadeler kullanması, içeride bir şeylerin net olmaması ya da veri kullanımına alan bırakma niyeti taşıması anlamına da gelebilir. Gerçekten kullanıcı mahremiyetini korumak istiyorlarsa bunu hukuki belgelere yazmaları gerekir
    • Biyometrik verilerin sunucuya gönderilmesi tuhaf. Neden cihaz üzerinde işleme (on-device processing) yapılmadığını merak ediyorum. Parolalarda olduğu gibi sadece hash+salt gönderilen bir yapı daha güvenli olmaz mı

  • Eskiden LinkedIn için özel bir e-posta adresi açıp kayıt olmuştum; hesabı siler silmez o adrese spam e-postalar yağmaya başladı
    Deney yapmak isterdim ama güvenimi zaten kaybetti. LinkedIn’in verileri sattığına inanıyorum

    • Mozilla’nın CEO’sunun tek çevrimiçi profilinin LinkedIn’de olduğu birini işe alması ironik geliyor. Gözetim karşıtı söylemi olan bir kurum neden böyle bir seçim yapar, anlamıyorum
    • LinkedIn’in hack geçmişi fazla kabarık. Ayrılan kullanıcıların verilerini sonuna kadar sıkmaya çalışıyormuş gibi hissettiriyor
    • LinkedIn’in özünde bir bilgi toplama platformu olduğunu düşünüyorum. Microsoft’un onu Skype gibi satın alması da aynı bağlamda görünüyor
    • Eski LinkedIn’de e-posta tarama, sahte hesap oluşturma gibi sorunlu bir geçmiş vardı
    • LinkedIn temelde kamusal profil platformu. Gizli kalmasını istediğiniz bilgileri yüklememek gerekir. Spam kaçınılmaz; e-posta filtreleme daha gerçekçi bir çözüm

  • Yeni hesap açarken kimlik doğrulama zorunlu tutuldu. Pasaportla doğrulama yapmak zorunda kaldım; sonrasında kişisel veri dökümüne baktım ama neredeyse hiçbir bilgi verilmemişti
    Reklam ayarları varsayılan olarak açıktı ve tüm süreç çok rahatsız ediciydi.
    Şirket hesabı olduğu için mecburen yaptım ama merkeziyetsiz alternatif hizmetlere çok ihtiyaç olduğunu hissettim

    • Mevcut hesaba erişimde de doğrulama zorlanıyor. Hesabı silmek ya da AI içerik kullanımını reddetmek için daha da fazla bilgi vermek zorunda olmak çelişkili bir yapı
    • AI botları sorunu yüzünden kimlik doğrulamanın gerekebileceğini anlıyorum ama mahremiyeti korurken güven tesis edecek bir yol gerekli. Persona CEO’sunun LinkedIn yanıtı da bakmaya değer
    • Bu hizmetlerin istediklerini yapabilmesinin nedeni ağ etkisi. Kullanıcılar kilitlenmiş durumda, ayrılmaları zor ve bu da güce dönüşüyor
    • Persona’nın Peter Thiel ile bağlantılı olması da endişe verici. Devlet gözetimiyle birleşme riski var

  • Persona üzerinden yapılan kimlik doğrulamanın sonuçta devlet verisinin zenginleştirilmesine (enrichment) katkı sağladığını düşünüyorum
    Coursera, Wealthsimple, Lime gibi büyük hizmetler buna zaten bağımlı olduğu için kaçınmak zor, ama veri kullanımına dair hukuki güvenceler gerekli
    Kanada veya Avrupa gibi dijital egemenliği tartışan bölgeler yerel alternatifleri büyütmeli

    • Gerçekte iş başvurusu, kiralama, vize, elektronik imza gibi gündelik süreçlerde de bundan kaçınmak zor
    • KYC platformlarının yeri ancak “cehennem” olur diye alaycı bir ifade kullanılmış

  • Persona büyük ölçekli kişisel verileri işlerken güven verecek yeterliliğe sahip değilmiş gibi görünüyor
    İlgili blog yazısı: https://vmfunc.re/blog/persona

    • CEO ile blog yazarının X(Twitter) konuşması da bakmaya değer. Bunun bir hack değil, frontend source map sızıntısı nedeniyle iç değişken adlarının açığa çıkması olduğu söyleniyor
    • Eski internet ruhunu hissettiren hoş bir yazı olduğunu söyleyenler de vardı
    • Ama sitenin Firefox bellek sızıntısına yol açtığına dair teknik bir uyarı da yapıldı
    • “Continue” düğmesine basınca bir anda müzik çalmaya başladığına dair bir uyarı da vardı

  • LinkedIn, Google, Facebook gibi platformların temel yapısı, kullanıcıyı ürün olarak satmaktır
    Birisi sizi hedef almak için para ödüyorsa, o para eninde sonunda sizden çıkarılır
    Bunun uzun vadede ekonomik eşitsizliği derinleştirdiğini düşünüyorum

    • Bu yazı o kadar etkileyici ki mahremiyetin önemini anlatırken alıntılamak istiyorum. Ben de Google hizmetlerini kullanıyorum ama onların iş modelini hep aklımda tutuyorum
    • LinkedIn aslında ücretli ürünler de satan bir platform. Sorun, bununla yetinmeyip veriyi daha fazla kullanmaları
    • Herkes “havalı ve ücretsiz” diye kullanıyor ama sonuçları için gerçek sorumluluk alan neredeyse kimse yok
    • LinkedIn’e bazen kullanıcılar hedef olmak istedikleri için katılıyor. Şirketlerin iş arayanları bulduğu yapı karşılıklı fayda da sağlayabilir. Ama enflasyon gibi makroekonomik sorunları sosyal medyaya yüklemek aşırı olur
    • Sonuçta “ürün sizsiniz” gerçeğini unutmamak gerek

  • LinkedIn TikToklaşmış bir gösteriş sosyal ağına dönüştü. “Sektörel bilgi biriktiriyorum” bahanesiyle zaman kaybını meşrulaştıran bir yapı bu
    Gerçek uzmanlardan çok kişisel markasıyla geçinen insanlar dolu

    • Kullanıcıların çoğu akışı neredeyse hiç takip etmiyor. Sadece bağlantı yönetimi ya da mesajlaşma için kullanıyor. Akış sadece gürültü, en iyisi görmezden gelmek
    • Ben LinkedIn’i tek yönlü (write-only) bir kanal olarak kullanıyorum ve gerçekten çevrimdışında çok iyi bağlantılar kurdum
    • Sadece gerçekten tanıştığım insanlarla bağlantı kurma şeklinde katı bir ağ politikası uygularsanız akış çok daha temiz oluyor

  • Yazıdaki “Avrupa pasaportunu tarattım ama verilerin tamamı Kuzey Amerika şirketlerine gitti” kısmı dikkat çekiciydi
    LinkedIn’i Avrupa merkezli bir ağ olarak görmek pek mümkün değil

    • Yazarın kastı muhtemelen “Avrupa’daki kendi ağı” idi
    • Avrupa’da aslında Xing kullanmak gerekir ama orada insan kendini fazla yalnız hissederdi
    • “Let that sink in” gibi ifadeler GPT üretimi yazıların izi gibi duruyor, bu yüzden güven vermiyor
    • Avrupalıların LinkedIn kullanmasının nedeni ağ etkisi. Teknolojinin ABD merkezli yoğunlaşması büyük bir hataydı; Çin’de olduğu gibi yerli alternatifler büyütülmeliydi

  • Böyle bir mahremiyet aktivizmine ihtiyaç var. Ben de LinkedIn doğrulaması yaptım ama yazarın sunduğu uygulanabilir karşılıklar listesi etkileyiciydi

  • Son zamanlarda sürekli “e-posta alınmıyor” şeklinde hata mesajı görüyorum. Ama gerçekte e-postalar düzgün geliyor
    Düğmeye basınca sadece “bir sorun oluştu” yazıyor ve ücretli kullanıcı olmama rağmen çözülmüyor
    Destek ekibinin aynı adrese e-posta göndereceğini söylemesi absürttü. Böyle yapılar merkeziyetsizliğin gerekliliğini tekrar hissettiriyor

    • Çağrı merkezi sistemleri sanki bilerek bu kadar karmaşık tasarlanmış gibi. Alt kademe çalışanların yetkisi yok; sadece bileti devrediyor ya da sizi başka bölüme aktarıyorlar.
      Telefon sistemlerinde AI ses tanıma da işi kolaylaştırmak yerine daha da kötüleştiriyor. On yıllar boyunca birikmiş canavar gibi yapısal bir karmaşıklık hissi veriyor
    • Belki de uzak görsel yüklemeyi engelliyor olup olmadığınızı kontrol etmeniz önerilmişti. E-postanın ulaşıp ulaşmadığını ölçmek için çoğu zaman takip pikseli kullanılıyor