Dünyada Neler Oluyor?
Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.
Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.
Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.
Amazon x CNIL
Eyalet Konseyi, Fransız Veri Koruma Otoritesi (“CNIL”) tarafından gerçekleştirilen Amazon’un çerez işleme hususundaki hukuka aykırılıklarına ilişkin kararını onadı. Bu kapsamda Amazon, 35 Milyon Euro para cezası ödemek zorunda kalacak. Amazon, daha önce CNIL tarafından verilen kararı Eyalet Konseyi’ne taşımıştı, Konsey 27 Haziran 2022’de yetkili otorite CNIL’in vermiş olduğu kararla mutabık kaldı.
Bu gelişme Amazon için bir büyük bir engel olsa da, internet kullanıcıları için dolaylı bir zafer. İnternet kullanıcılarının bilgisayarlarına yerleştiren küçük dosyalarla veri işleme faaliyetinde bulunan ve arka planda bigdata çapında veri seti oluşturan Amazon’un kullanıcılarından rıza gerektiren noktalarda rıza almaması ihlal kararının en büyük gerekçesi.
Öyle ki, internet kullanıcıları başka bir web sitesinde yayınlanan bir reklamı tıkladıktan sonra amazon.fr sitesini ziyaret etmesi ile ihlale sebebiyet veren uygulama fark ediliyor. Çerezler veri koruma otoritelerinin olaya müdahale etmesine kadar internet kullanıcılarının herhangi bir doğrulaması olmadan gizlice işleme faaliyetinde bulunuyordu ancak zorunlu olmayan bu tür çerezler için rıza almak bugün şart.
CNIL, Aralık 2020’de Amazon’a karşı yaptırımını açıklarken, sitenin bilgi bannerında verilen bilgilerin tam ve net olmadığını vurgulamıştır. Tüm çerezlerin genel ve yaklaşık tanımları ile amaçlarına yer verilmekte olduğu ve hangi role hizmet ettikleri, reddetme hakkı gibi detayların bulunmadığı belirtilmiştir. 1,5 yılın sonunda Fransız idari sisteminin en yüksek mahkemesi, CNIL’ın 35 Milyon Euro’luk cezasını onayarak Amazon’un talebini reddetmiştir.
Amazon, bu anlamda tüm dünyada sabıkalı bir pazaryeri olup Kurum tarafından da 27/02/2020 Tarihli ve 2020/173 Sayılı Kararı ile toplamda 1.2M idari para cezası ile yaptırıma tabi tutulmuştu.
Birleşik Krallık x Çerez Paneli
İngiltere Çerez Onay Kutularını çöpe atmayı planlıyor ancak bunun üzerine bir Gizlilik Kampanyası Grubu, çerez onay kutularını kaldırma önerilerinin internet kullanıcılarını gözetlemeyi kolaylaştıracağı konusunda uyardı. Plana göre hükümet bir opt-out mekanizması kurmayı hedeflemekle birlikte web sitesinde kullanıcıya opt-out ile ilgili net bilgilendirme yapılması gerekliliğini getiriyor.
Online platformlarda gizlilik ve ifade özgürlüğü kapsamında kampanyalar yürüten Open Rights Group bu teklifin insanların faaliyetlerini gözetlemeyi “varsayılan seçenek” haline getireceğini vurguluyor. Çerezlerin kullanım amaçlarının belirtildiği ve teklif ile yaşanması muhtemel risklere vurgu yapıldığı bir açıklamada bulunan grup, açıklamasında aynı zamanda çerez panellerinin can sıkıcı olabileceğini ancak birilerinin hakkınızda ayrıntılı veri dosyaları oluşturmadan önce izin almasında önemli sebeplerin olduğunu belirtmiştir.
Bahse konu regülasyonlar, Kraliçe’nin geçen ay yaptığı konuşmada açıklanan dijital reform faturasının bir çıktısı olarak İngiltere’nin bağımsız veri gözlemcisinin yönetim yapısını değiştirmeyi de öneren işlevsel bir nitelikte.
Bugün Türkiye’de Çerez Rehberi Kişisel Verileri Koruma Kurumu’nun en güncel yayınıyken, İngiltere’de de aynı hususların konuşuluyor olması dijitalin yalnızca bizim için değil dünya çapında gelişmekte olduğuna ve önem sırasında yukarıya yükseldiğine işarettir. Çerez Rehberi de İngiltere’de yükselen kaygılara paralel olarak çerez kullanımının varsayılan seçenek olarak düzenlenmesinin doğru olmadığı şeklinde konuyu ele almaktadır.
TikTok x ABD
21 Haziran 2022 tarihli habere göre, TikTok ABD vatandaşı kullanıcılarının verilerini Oracle’ın ABD sunucularına göndermeye başlayacağını duyurmuştur. Duyurudan saatler sonra TikTok’un Çin’deki çalışanlarının ABD’li kullanıcıların verilerine defalarca eriştiği iddia edilmiştir. Bu iddia ise “TikTok Tapes” (TikTok Kasetleri) olarak adlandırılan 80 saatten fazla sızdırılmış dublajlı aramalara dayandırılmaktadır.
Habere göre Çin’deki mühendisler ABD’li kullanıcı verilerine Eylül 2021 – Ocak 2022 tarihleri arasında erişebilmişlerdir. Uluslararası haber kanalı Buzfeed’de konu edilen haberdeki bir diğer iddia ise 2021 Eylül ayındaki bir toplantı sırasında “Çin’de her şey görüldü” şeklinde açıklamada bulunulduğu ve ABD’deki çalışanların Çin’deki iş arkadaşlarına dönerek ABD’li kullanıcı verilerinin nasıl sızdığına ilişkin cevap aradığı belirtilmiştir.
2020 yılının Ağustos ayında ABD Başkanı Trump, TikTok’un sahibi Çin menşeili şirketi uygulamayı ABD’li bir şirkete satmaması halinde ülke çapında kullanımını engelleyeceği şeklinde tehdit etmişti. Trump açıklamasında ABD’nin ulusal güvenliğini zayıflattığına dair güvenilir kanıtın bulunduğunu iddia etmişti. TikTok’un veya uygulamanın sahibi olan ByteDance’in verileri Amerika’da bulunan herhangi bir teknoloji şirketinden farklı kullandığına ilişkin herhangi bir kanıt bulunmuyor olsa da Facebook veya Snapchat gibi uygulamalardan farkı, şirketin Çin Halk Cumhuriyeti menşeili olmasıydı.
Yasak asla gelmemiş olsa da TikTok, operasyonunun bazı bölümleri için ABD teknoloji devlerinden Oracle’dan gelen teklifi kabul etti ve aylar sonra güncel ABD Başkanı Biden yasağa ilişkin kararı geri aldı ancak ticari soruşturmayı devam ettirdi.
TikTok günün sonunda Oracle anlaşmasıyla ilerlemiş ve kullanıcı verilerinin ABD’de depolandığını garanti ederek veri güvenliği endişelerini defalarca bertaraf etmeye çalışmıştır. Sunucuları Birleşik Devletlere taşımak ABD ve Çin şubelerini ayırmak açısından mantıklı bir adım olsa da ABD hükümetinin gözünde TikTok, Amerika’nın büyük teknoloji sektörüne girmek için kullanılan bir atılım olarak algılanmaktadır.
Amerika’nın “ulusal güvenlik” boyutundaki kaygıları bundan birkaç yıl önce ütopik algılanabilecek olsa da Cambridge Analytica Skandalı sayesinde sosyal platformlarda edinilen bilgilerin amacı dışında kullanılması halinde seçim sonuçlarına etki edebilecek güçte olduğuna veri güvenliği dünyasının paydaşları olarak hâkim olduğumuz bir noktadayız.
OpenSea x Customer.io
Ticaret hacmine göre dünyanın en büyük NFT pazarı OpenSea bünyesinde, platformun e-posta dağıtım ortağı Customer.io‘daki bir çalışanın kullanıcı verilerini sızdırmasından sonra veri ihlali meydana gelmiştir. OpenSea, müşterilerini olası kimlik avı saldırılarına karşı uyardığı açıklamada, sözleşmeli bir e-posta satıcısı olan Customer.io’daki bir personelin gelen e-postaları indirme ve paylaşma yetkisini kötüye kullandığını belirtmiştir.
OpenSea’ye göre, geçmişte herhangi bir şekilde OpenSea ile e-posta adresini paylaşmış olan herkes büyük risk altında olup toplanan verilere göre ihlalden etkilenen kişi sayısının 1,8 milyondan fazla olduğu bilinmektedir. OpenSea, soruşturmanın devam eden aşamasında, customer.io ile yardımlaştığını ve yaşanan durumu kolluk görevlilerine bildirdiğini de ayrıca eklemiştir.
Yaşanan bu e-posta ihlali ile milyonlarca kullanıcının gizliliği ihlal edilmiştir. Kullanıcılar çok sayıda beklenmedik e-posta almaya ve posta kutuları spamlarla dolmaya başlamıştır. OpenSea, kendi gibi görünen ancak farklı domain’lerden gönderilen e-postalara tıklamamak gibi önlemler alınması gerektiğini vurgulamıştır. OpenSea, şimdilik herhangi bir şifre veya diğer kişisel bilgilerin çalındığının görünmediğini söylese de, e-posta ihlali ile kişisel bilgilerin, dijital kimliklerin ve diğer özel verilerin tehlikede olabileceği de bir ihtimal olarak değerlendirilmelidir.
Bu bakımdan, soruşturmanın ilerleyen aşamalarında, OpenSea ve customer.io bakımından GDPR ve Elektronik İletişim Gizliliği Yasası uyarınca veri ihlali suçlamalarının ve bazı yaptırımların gündeme gelebileceği söylenebilir.
Dünya çapında gün geçtikçe yeknesak uygulanma derecesi yükselen veri koruma hukuku ve temel ilkeleri, ülkemizde de hem yakın takipte olunan GDPR etkisi hem de yerel düzenlemelerle çağın gidişatı ile yarışır bir rota izlemektedir. Bu rotanın evrimleşmiş destinasyonunda “merchantability” olarak ifade edilen ve ilgili kişilerin kendi kişisel verilerinin değerini kendilerinin belirlediği bir mutabakat sistemi olacaktır. O gün geldiğinde gerek regülatörler gerek regülasyon oluşturma süreci gerçek anlamda tam iki taraflı çalışır şekilde dizayn edilecektir.
