Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2023 Ocak ayına aittir.

Google x Konum İzleme

Google, Amerika Birleşik Devletleri’nin (United States of America, “ABD”) Washington DC ve Indiana eyaletlerinde açılan 29,5 milyon dolar değerindeki iki konum izleme davasını daha sonuçlandırdı.

Eyaletler kullanıcıların rızası olmadan takip ettiği iddiasıyla Google’a dava açtıktan sonra, arama devinin Washington DC’ye 9.5 milyon dolar ve Indiana’ya 20 milyon dolar ödemesi bekleniyor. 29.5 milyon dolarlık anlaşma, Google’ın geçen ay benzer iddialar üzerine 40 eyalete ödemeyi kabul ettiği 391.5 milyon dolarlık ödemeye ekleniyor.

DC Başsavcısı Karl Racine “Ofisim Google ile, şirketin tüketicileri kandırma ve manipüle etmesi sebebiyle 9,5 milyon dolar ödemesini gerektiren bir anlaşmaya vardı. Bu manipülasyon lokasyon verilerine erişilebilmesi için kullanılan karanlık desenleri de içeriyor. Google, kullanıcıların konumlarının izlenmesini neredeyse imkânsız hale getirdiği için dava açtık. Şimdi, bu anlaşma sayesinde Google’ın, tüketicilere konum verilerinin nasıl toplandığını, saklandığını ve kullanıldığını da açıklaması bekleniyor.” şeklinde açıklamada bulundu.

Karanlık Desen nedir?

Karanlık desenler, internet sitesi ziyaretçilerini kasıtlı olarak belirsiz ve potansiyel olarak zararlı kararlar vermeye zorlayan, yanıltıcı, zorlayan ve/veya teşvik eden tasarım öğeleridir. Aldatıcı bir şekilde etiketlenmiş düğmeler, geri alınması zor seçimler ve kullanıcının dikkatini belirli seçeneklere veya belirli seçeneklerden uzaklaştıran renkler ve gölgeler gibi grafik öğeler şeklini alırlar.

Oregon Başsavcısı Ellen Rosenblum ve Nebraska Başsavcısı Doug Peterson liderliğindeki konum izleme uygulamaları konusunda Google ile yapılan 391.5 milyon dolarlık anlaşma, başsavcı liderliğindeki şimdiye kadarki en büyük tüketici gizliliği anlaşmasıydı.

Başsavcılarla yapılan müzakerelerin bir parçası olarak, multi-milyon dolarlık anlaşmaya ek olarak Google, 2023’ten itibaren konum izleme açıklamalarını ve kullanıcı kontrollerini önemli ölçüde iyileştirmeyi kabul etti.

Google bir açıklamasında davanın daha önce çözüme kavuşturulmuş ve geçmişte kalan bir konuya ilişkin olduğunu, ayrıca hesap kurulum sürecinde topladığı veriler hakkında daha “ayrıntılı” bilgiler sağlamaya başlayacağını ve tek bir basit akışta konum geçmişinizi, web ve uygulama etkinliğinizi kapatıp silmek için yeni bir geçiş başlattığını söyledi.

Apple x CNIL

Fransa’nın veri koruma kurumu (Commission nationale de l’informatique et des libertés, “CNIL”) Apple’a gizlilik ihlalleri nedeniyle 8 milyon avro para cezası verdi. CNIL, ABD teknoloji devinin “terminallerinde reklam amaçlı kullanılan tanımlayıcıları yatırmadan ve / veya yazmadan önce Fransız iPhone kullanıcılarının (iOS 14.6 sürümü) onayını almadığını” tespit etti.

Dava, girişim ​​lobisi France Digitale tarafından Mart 2021’de Apple’ın veri koruma kurallarına uymadığını iddia eden bir şikâyetten kaynaklanıyor.

Kendisini bir gizlilik şampiyonu olarak ilan eden Apple, geçen yıl, hedefli reklam amaçları için üçüncü şahıslar tarafından çevrimiçi olarak izlenmek için kullanıcılardan onaylarını isteyen bir özellik olan Uygulama İzleme Şeffaflığı’nı kullanıma sunmuştu.

CNIL’in mahremiyet cezalarına karar veren altı kişilik bir grup olan kısıtlanmış (restricted) komitesi, Aralık ortasında 6 milyon avro para cezası verilmesini savunan düzenleyici raportörünün tavsiyelerinin ötesine geçmeye karar verdi. Bununla birlikte, raportör o sırada, iOS 15’te Apple’ın yasaya uygun olarak onay topladığını söyledi.

Apple sözcüsü yaptığı açıklamada, Apple’ın “hayal kırıklığına uğradığını” ve karara itiraz edeceğini söyledi.

Microsoft x AI

Microsoft, OpenAI yapay zekâ teknolojilerini Word, Outlook ve PowerPoint gibi tüm Office uygulamalarında hayata geçirmeyi planlıyor.

Yapay zekâ sayesinde, kullanıcıların bir nota dayalı olarak belgelere otomatik metin bölümleri ekleyebileceklerine inanılıyor. Bunların yanı sıra, AI’ın, kullanıcının alıcıya iletmeyi seçtiği bilgilere dayanarak otomatik e-postalar oluşturmak için kullanılabileceği belirtiliyor.

Microsoft, 2019 yılında ürünleri için yeni teknolojiler geliştirmek üzere OpenAI’a 1 milyar dolar yatırım yapmıştı. 2021 yılında ise, programcıların kod yazmasına yardımcı olan ve OpenAI ile işbirliği içinde geliştirilen bir araç olan Copilot tanıtılmıştı.

Geçtiğimiz günlerde, Microsoft’un Bing arama sonuçlarını bir bağlantı listesi yerine doğal dilde sunmak için OpenAI’nin yapay zekâ botu ChatGPT’yi kullanabileceğine dair haberler internette yer aldı.

Çalışanlara göre, Microsoft’un planları arasında üretkenliğini artırmak için aynı araçları Microsoft 365 ofis paketine entegre etmek de bulunuyor. The Information’a konuşan bir kaynak, şirketin bir yıldan uzun süredir e-posta ve belge oluşturmak için kişiselleştirilmiş araçlar geliştirdiğini ve müşteri verilerine dayalı yapay öğrenme yöntemleri geliştirdiğini söyledi

Yapay zekâ teknolojilerinin başarılı bir şekilde kullanılması için bir dizi gereksinimin karşılanması önem arz ediyor. Örneğin, ChatGPT’nin her zaman doğru sonuçlar vereceği garanti edilemiyor, bunun nedeni ise web’i haberler veya güncellemeler için sürekli olarak taramaması olarak gösteriliyor. Microsoft’un yapay zekâ ile metin oluşturma araçları yanlış veya rahatsız edici bilgiler sağlarsa, kişilerin kullanmaktan vazgeçmesi kaçınılmaz olabilir.

AI’ın bireysel müşteriler için verilere yetkisiz erişim riski olmadan güvenli bir şekilde yapılandırılabilmesi için gerekli veri korumasının da garanti edilmesi gerekiyor. Kaynak, Microsoft’un OpenAI GPT-3 (Generative Pre-trained Transformer 3) ve GPT-4 doğal dil işleme algoritmaları için gizlilik koruma yöntemleri üzerinde çalıştığını belirtti.

Yapay zekâ ile hayatın, özelikle de iş hayatının daha pratik hale getirilmesi günümüz için oldukça heyecan verici olsa da beraberinde getirdiği endişelerin nasıl çözümleneceği şu an için merak konusu.

Meta x IDPC

İrlanda Veri Koruma Otoritesi (“IDPC”), Meta’nın kişiselleştirilmiş reklamlar için kullanıcı verilerini yasa dışı olarak işlemesine ilişkin nihai kararını verdi. IDPC, Avrupa Birliği otoriteleri ile büyük bir çatışma içerisinde.

Avusturya, Almanya, Fransa, İtalya, Hollanda, Norveç, Polonya, Portekiz ve İsveç makamlarının karara karşı resmi itirazlarda bulunmuş olsa da İrlanda Veri Koruma Otoritesi, EDPB’nin (European Data Protection Board, “EDPB”) kararına karşılık verdiği karar ile tepki topladı.

Bu kararın, davayı sonuçlandırmayabileceği söyleniyor. Kişisel verilerin Facebook platformunu geliştirmek veya kişiselleştirilmiş içerikler için kullanılması gibi konuların kararda kapsanmadığı ve Noyb tarafından yapılan şikayetleri tam olarak ele almadığı belirtiliyor. EDPB, konuyla ilgili ek soruşturma talep ederken, IDPC’nin şikâyet kapsamını İrlanda hukuku uyarınca sınırlamasının hukuka uygun olmadığı dile getiriliyor.

Kullanıcı haklarının fiilen ihlali için ise asgari sınırdan para cezası verilmesi gündemde yer edindi. EDPB, çok daha yüksek bir para cezası talebinde bulunurken nihai rakamlara IDPC karar verdi. Şeffaflık problemi nedeniyle toplam 150 milyon avro para cezası verilirken milyonlarca Avrupalı kullanıcının verilerinin yaklaşık beş yıl boyunca herhangi bir yasal dayanak olmaksızın işlenmesine yalnızca 60 milyon avro para cezası verilmesi kafaları karıştırdı.

API x Araba Üreticileri

API (Application Programming Interface, Uygulama Programlama Arayüzü) güvenlik açıkları sebebiyle BMW, Mercedes ve Toyota Dahil 16 otomobil üreticisinin milyonlarca aracının etkilendiği, siber saldırganların araçları uzaktan kontrol edebilir, izleyebilir ve kişisel bilgileri sızdırabilir hale geldiği açıklandı.

Güvenlik araştırmacısı Sam Curry ve ekibinin açıklamalarına göre, API açıklarını keşfeden siber saldırganların uzaktan korna çalması, flaşör yakması, uzaktan lokasyon takibi yapması, aracı kilitlemesi/kilidi açması, aracı çalıştırması/durdurması söz konusu olabilmekte. Ayrıca, milyonlarca otomobil üreticisinin ve bayinin hesaplarının ele geçirilmesi, dahili sistemlere yönetici erişimi sağlanması, filoların ele geçirilmesi ve müşteri ile çalışan bilgilerine erişmeleri de mümkün.

Araştırmacılar, 16 üreticinin çeşitli otomobil modellerinde en az 20 API güvenlik açığı keşfetti. Bu açıkların bazılarından bahsetmek gerekirse:

Mercedes-Benz araçlarında yanlış yapılandırılmış SSO (Single-Sign-On) aracılığıyla dahili uygulamalara erişilmesi mümkün. SSO güvenlik açıkları, siber saldırganların Mercedes-Benz’in GitHub depolarına, SonarQube ve Jenkins gibi derleme sunucularına, dahili sohbet araçlarına erişmesine ve neredeyse tüm kanallara katılarak dahili bulut dağıtım hizmetlerine erişmesine olanak tanıyabilir.

Çok sayıda sistemde uzaktan kod yürütme (Remote Code Execution, “RCE”) gerçekleştirebilir ve çalışan ile müşteri bilgilerini açığa çıkaran, hesapları ele geçiren bellek sızıntıları tetiklenebilir. BMW ve Rolls Royce’daki SSO güvenlik açıkları, bilgisayar korsanlarının uzaktan çalışanlar ve bayiler tarafından kullanılan uygulamalar da dahil olmak üzere herhangi bir uygulamaya erişmesine olanak tanıyabilir. Örneğin, bilgisayar korsanları dahili bayi portallarına erişebilir, herhangi bir araç şase (Vehicle Identification Number, “VIN”) numarasını sorgulayabilir ve BMW’nin satış belgelerini alabilir.

Ferrari’deki diğer API güvenlik açıkları, bilgisayar korsanlarının herhangi bir Ferrari müşteri hesabını ele geçirmesine ve müşteri kayıtlarına erişmesine olanak tanıyabilir. Ferrari API’lerindeki erişim kontrollerini atlatmak, bilgisayar korsanlarının çalışan arka ofis yöneticisi kullanıcı hesaplarını oluşturmasına, değiştirmesine ve silmesine de olanak sağlayabilir. Ayrıca, bir saldırgan Ferrari’nin API ana bilgisayarına (api.ferrari.com) HTTP rotaları ekleyebilir ve ilişkili gizli bilgileri keşfedebilir.

Siber saldırganlar, herhangi bir Porsche aracının konumunu elde edebilir, kontrol komutları gönderebilir ve müşteri bilgilerine erişebilir. Uzaktan Jaguar, Landrover ve diğer araçlarda isim, telefon numarası, fiziksel adres, araç bilgileri ve şifre karmasına erişilebilir ve Reviver araçlarında müşterilerin dijital plakalarının üzerine yazılabilir.

Araştırmacılar ayrıca Honda, Infiniti, Nissan, Acura ve diğer “normal” araçların, siber saldırganların yalnızca araç şase numarasını kullanarak araçları tamamen uzaktan kilitlemesine, kilidini açmasına, motoru çalıştırmasına, motoru durdurmasına, hassas konum belirlemesine, farları yakmasına ve korna çalmasına izin verebilecek API güvenlik açıklarına sahip olduğunu tespit etti.

Yine araştırmacılara göre, bir siber saldırgan, KIA’nın 360 görüş kamerasına uzaktan erişebilir ve araçtan canlı görüntüleri izleyebilir.

Araştırmacılar, yaygın API güvenlik açıklarını, son beş yılda neredeyse aynı işlevselliğe sahip sistemleri kullanan çeşitli otomobil üreticilerine bağladı. Bu keşif, otomobil üreticilerinin akıllı otomobil endüstrisinde bir yer edinmek için uygulamaları hayata geçirmek acelesinde olduklarını gösterdi.

Cequence Security’de görev yapan Jason Kent’e göre, otomobil üreticileri uygulamalarını neredeyse hiç test etmiyor. Yapılan açıklamalarda otomobil üreticilerinin API güvenlik açıklarını yamalayarak artık kullanılamaz hale getirdiği belirtildi. API güvenlik açıkları, muhtemelen yakın gelecekte sıklıkla duymaya başlayacağımız bir konu başlığı haline gelecek.

Meta x Voyager Labs

Meta, gelişmiş yapay zekâ tabanlı araştırma çözümleri sunan Voyager Labs şirketinin, sahte hesaplar aracığıyla 600.000 kullanıcı verisi topladığını iddia ederek Facebook ve Instagram kullanımını yasaklatmak adına harekete geçti.

Geçtiğimiz günlerde yapılan bir şikâyette, Voyager Labs’in Meta sistemlerine erişiminin kalıcı olarak yasaklanmasına ilişkin talepte bulunuldu. The Guardian’ın soruşturması sonucunda şirketin 2019 yılında Los Angeles Polis Departmanı (“LAPD”) ile ortaklık kurduğu ve sosyal medya bilgilerini kullanarak gelecekte suç işleyebilecek kişileri tahmin edebileceğini iddia ettiği ortaya çıktı.

Kâr amacı gütmeyen bir kuruluş olan Brennan Center for Justice tarafından elde edilen ve 2021 yılında Guardian ile paylaşılan kamu kayıtları, Voyager’ın hizmetlerinin, polisin dijital yaşamları yeniden yapılandırarak ve arkadaş ağları da dahil olmak üzere faaliyetleri hakkında varsayımlarda bulunarak insanları gözetlemesine ve araştırmasına olanak tanıdığını gösterdi.

Bir iç kayıtta Voyager’ın, Arap gururunu sergileyen bir Instagram adı kullanmayı veya İslam hakkında tweet atmayı potansiyel aşırılık belirtileri olarak değerlendirdiği öne sürüldü.

Kaliforniya Federal Mahkemesi’nde açılan davada, Meta’nın Temmuz 2022’de ortaya çıkardığını söylediği faaliyetler detaylandırıldı ve Voyager’ın Facebook ve Instagram’ın yanı sıra Twitter, YouTube, LinkedIn ve Telegram’dan veri toplamak için sahte hesaplara dayanan bir gözetleme yazılımı kullandığını iddia edildi. Şikâyete göre Voyager, 600.000’den fazla Facebook kullanıcısından gönderiler, beğeniler, arkadaş listeleri, fotoğraflar, yorumlar ve grup ve sayfalardan bilgiler dahil olmak üzere bilgi toplamak için 38.000’den fazla sahte Facebook hesabı oluşturdu ve bu hesapları işletti.

Meta’nın başvurusunda, etkilenen kullanıcılar arasında kâr amacı gütmeyen kuruluşlar, üniversiteler, medya kuruluşları, sağlık tesisleri, ABD silahlı kuvvetleri ve yerel, eyalet ve federal devlet kurumlarının çalışanlarının yanı sıra emekliler ve sendika üyelerinin de bulunduğu belirtildi. Voyager’ın o dönemde müşterilerinin kimler olduğu ve verileri hangi kuruluşlara aktarmış olabileceği belli değil. Ancak ABD, Birleşik Krallık, İsrail, Singapur ve Birleşik Arap Emirlikleri’nde ofisleri bulunan Voyager’ın, yazılımını Meta’dan varlığını gizleyecek şekilde tasarladığı ve elde ettiği verileri kâr amacıyla sattığı iddia ediliyor.

Kasım 2021’de, iç kayıtların ortaya çıkmasının ardından Facebook’un, LAPD’ye bir ihtar göndererek “sahte” hesapların tüm sosyal medya gözetim kullanımını durdurmasını talep ettiği ve sahte hesapların “gerçek isimlerini politikasının ihlali olduğunu” belirttiği biliniyor. LAPD’nin ise Voyager ile çalışırken sahte profil özelliğini kullanıp kullanmadığı belli olmasa da ortaya çıkan e-posta yazışmalarında polis memurların sistemi “harika bir işlev” ve “sahip olunması gereken bir hizmet” olarak tanımladıkları ortaya çıktı.

Telekominikasyon x JV

Avrupa telekomünikasyon firmaları, geçen yıl Almanya’da yapılan denemelerin ardından bölgesel mobil ağ kullanıcılarına “kişiselleştirilmiş” reklam hedefleme seçeneği sunacak bir ortak girişim (joint venture) oluşturmayı planlıyor. Avrupa Birliği düzenleyicilerinin planlarını imzalayıp imzalamayacakları henüz belli değil.

Avrupa Komisyonu’nun (European Commission, “EC”) rekabet bölümüne sunulan bir dosyada, Almanya’dan Deutsche Telekom, Fransa’dan Orange, İspanya’dan Telefónica ve Birleşik Krallık’tan Vodafone, “gizlilik odaklı, dijital bir tanımlama çözümü” sunmak için müştereken kontrol edilen ve eşit olarak sahip olunan bir ortak girişim oluşturma fikrini ortaya koydu. Girişim, “birinci taraf” veri reklam hedefleme altyapısını tanımladıkları şekliyle, markaların ve yayıncıların dijital pazarlama ve reklamcılık faaliyetlerini destekleme odaklı.

EC’nin 10 Şubat’a kadar ortak girişimi temize çıkarıp çıkarmama ve dolayısıyla firmaların ticari lansmana devam etmesine izin verip vermeme konusunda karar vermesi gerekiyor.

Vodafone’dan bir sözcü, telekomünikasyon şirketlerinin EC’nin girişimi onaylayıp onaylamamayı değerlendirdiği bu aşamada amaçlanan ortak girişim hakkında yorum yapacak durumda olmadığını söyledi.

Firmaların kişiselleştirilmiş reklam hedeflemeye geçme planıyla ilgili ayrıntılar, 2022 yazında Almanya’daki ilk denemeler sırasında ortaya çıktı. Teknoloji daha sonra “dijital reklamcılık ve dijital pazarlama için operatörler arası bir altyapı” olarak tanımlanmıştı ve Vodafone, veri işleme için kullanıcı onayına dayanacaklarını söyledi. Projeye “TrustPid” lakabı verildi.

Telekomünikasyon şirketi reklam hedefleme önerisi, mobil kullanıcıların verilerinin reklamlar için işlenmesine yönelik yasal dayanak hakkında endişelerini dile getiren bir gizlilik gözlemcisinin radarına hızla girdi. Proje aynı zamanda Almanya ve İspanya’daki veri koruma yetkililerinin de erken ilgisiyle karşılaştı.

Düzenleyicilerle etkileşimin, telekomünikasyon şirketlerinin süreci daha açık hale getirmek için nasıl onay almayı önerdiği konusunda bazı ince ayarlara yol açtığı söylendi.

6 Ocak 2023 tarihli telekomünikasyon şirketlerinin dosyalama sunumu, “açık kullanıcı onayının” (opt-in yoluyla) hedefleme için amaçlanan yasal dayanak olduğunu onaylıyor. İlgili telekomünikasyon şirketlerinden birinin (Vodafone) temsilcisi yaklaşımlarını tartışırken, amacın pop-up’lar aracılığıyla kullanıcılardan izin almaya dayanmak olduğunu doğruladı.

Şimdilik halen her yerde bulunan izleme tanımlama bilgisine birinci taraf veri tabanlı bir alternatif, pazarlama için insanların verilerini işlemek için yasal bir temel gerektiriyor ve rızaya aranan alternatiflerin kabul görmesi giderek daha zor görünüyor.

Reklamlar için kullanıcı verilerinin işlenmesine yönelik sözleşmeden doğan gerekliliği iddia etmeye çalışan Meta‘ya büyük para cezası verilmesi veya TikTok’un “kişiselleştirilmiş reklamları” için rızadan meşru menfaat iddiasına geçmeye çalıştığında aldığı uyarılar gibi AB veri koruma düzenleyicileri tarafından verilen sürekli rehberlik şirketleri geri adım atmaya zorunlu bırakıyor.

Telekomünikasyon şirketlerinin ortak girişimi EC’den yeşil ışık alırsa, proje üzerindeki inceleme elbette hızlanacak ve teknik ayrıntılara gösterilen yakın ilgi yeni endişelere yol açacaktır. Bu nedenle, girişimin düzenleyiciler ve gizlilik uzmanları tarafından kabul edilip edilmeyeceğine karar vermek için henüz çok erken.

Mobil ağ kullanıcılarının kendileri de, internette gezinirken aniden rahatsız edici bir izin katmanıyla karşılaştıklarını fark ederlerse, rahatsızlık gündeme gelebilir; sonuçta kendilerine hizmet sağlanması için telekom şirketlerine ödeme yaptıklarından, toleransın düşük olacağı tahmin ediliyor.

Dahası, mobil kullanıcıları reklamları görmeyi seçmeye karanlık modeller kullanılmaksızın, gerçekten özgür, adil/manipülatif olmayan izlemeyi reddetme seçeneği sunularak ikna etmek büyük bir engel teşkil eder. Pek çok kişi, kendilerine gerçekten soru sorulursa izlemeyi reddedecektir.

Bu nedenle, telekomünikasyon şirketlerinin ortak girişim hedefleyen reklamlarını oluşturmalarına izin verilse bile, ağlarındaki mobil kullanıcıların bunu kabul edeceklerinin garantisi yoktur. Yine de eğer gerçekleşirse markaların yeni bir yaklaşımla web kullanıcılarını kazanma şansı olabilir.

İnsanların kişisel verilerini reklamlar için işlemeyi istemek konusunda şeffaf bir şekilde açık sözlü olmak; insanların verilerinin nasıl suistimal edildiğini, işlemenin hangi noktada son bulmuş olabileceğini veya gerçekte nelerin yaşandığını net bir şekilde açıklayamayan ürkütücü bir statükoya karşı farklı şeyler yapma fırsatı sunar.

AEPD x NOYB

Yakın tarihli bir kararla, İspanyol Veri Koruma Kurumu (Agencia Espanola Proteccion Datos, “AEPD”) gizlilik aktivisti kuruluşu NOYB tarafından Google Analytics aracını kullanmalarıyla ilgili olarak 101 Avrupa şirketine karşı yapılan şikâyetten birini reddeden ilk Avrupa Birliği veri koruma kurumu oldu.

AEPD’nin kararı, daha önce Avusturya, Fransa, İtalya ve Danimarka makamları tarafından alınan pozisyondan farklı. AEPD’nin kararı, İspanya Kraliyet Akademisi’nin (Real Academia Española, “RAE”) – İspanyolca dilini korumakla görevli, kar amacı gütmeyen, kamuya açık bir kurum – internet sitesinde Google Analytics’i kullanmasına yönelik yapılan şikayetle ilgilidir.

NOYB şikayetine yanıt olarak RAE tarafından:

  • RAE’nin bu aracı kullanmaktaki tek ve münhasır amacının, herhangi bir ticari kazançtan ziyade İspanyolca dilinin geliştirilmesini ve korunmasını garanti etme misyonunu yerine getirmek olduğu,
  • RAE’nin amacını gerçekleştirmesi için, istatistiksel veri toplamak üzere araçların kullanılmasının çok önemli olduğu,
  • RAE’nin yalnızca toplu, istatistiksel verilere erişimi olduğunu ve kullanıcıların IP adreslerine erişimi olmadığı,
  • Hiçbir kişisel verinin işlenmediğini, bir kullanıcıyı tanımlayabilecek tek bilginin Google’ın kullanıcılarına verdiği rastgele bir kimlik olacağını ve bu bilgilere dayanarak RAE’nin bir kullanıcıyı yeniden tanımlayamayacağı,
  • 3 Aralık 2020’de Google Analytics aracının kullanımının bırakıldığı,

argümanları savunuldu. AEPD, RAE tarafından öne sürülen iddialara yanıt olarak, RAE’nin GDPR’ı ihlal ettiğine dair hiçbir kanıt bulunmadığına karar verdi ve NOYB’un şikayetini reddetti.

AEPD’nin kararı, yalnızca Google Analytics aracının kullanılmasının otomatik olarak GDPR ihlali olarak kabul edilmediğini gösteriyor. AEPD, şikâyeti reddetmesinin belirli nedenlerine ilişkin ayrıntılı bir analiz sunmasa da, karar, Google Analytics aracının kullanımıyla ilişkili risk düzeyi konusunda AB veri koruma yetkilileri arasındaki farklı bakış açılarında bir değişikliğe işaret ediyor olabilir. AB veri koruma yetkilileri arasındaki baskın görüş, Google Analytics’in kullanımına karşı olmaya devam ediyor.

WhatsApp x IDPC

WhatsApp, veri koruma yasasını ihlal ettiği için İrlanda Veri Koruma Otoritesi (Irish Data Protection Commissioner, “IDPC”) tarafından 5,5 milyon avro para cezasına çarptırıldı. Para cezası, WhatsApp kardeş şirketleri Facebook ve Instagram’ın 390 milyon avroluk para cezalarına benzer şekilde, kullanıcıları hizmet koşullarındaki değişiklikleri kabul etmeye zorladığı için alındı.

Ancak IDPC, WhatsApp’a “bu ve diğer şeffaflık yükümlülüklerini aynı süre içinde ihlal ettiği için” zaten 225 milyon Euro para cezası verdiğinden para cezasının nispeten düşük bir seviyede tutulduğunu, bu nedenle “düzeltici tedbirler noktasında herhangi bir yaptırım teklif etmeyeceğini” ve 47 Avrupalı ​​düzenleyicinin tamamının IDPC’nin karar taslağının bu unsuruyla hemfikir olduğunu söyledi. WhatsApp’a ayrıca veri işleme yapılarını GDPR ile uyumlu hale getirmesi için altı ay süre verildi.

IDPC, şeffaflık eksikliği nedeniyle WhatsApp’a karşı çıkarken, teknoloji devinin hukuki sebepte “bir sözleşmeye dayanabileceği” konusuna karşı çıkmamıştı. Bu görüş diğer AB gizlilik düzenleyicileri arasında tartışıldığında, birçoğu IDPC’nin bakış açısına itiraz etti. Konu, kişisel veri işleme meşruiyeti aracı olarak “sözleşmeye” dayanılamayacapı konusunda mutabakata varan Avrupa Veri Koruma Kurulu’na (European Data Protection Board, “EDPB”) havale edildi.

WhatsApp sözcüsü yaptığı açıklamada, “WhatsApp, insanları koruyan uçtan uca şifreleme ve gizlilik katmanları sağlayarak özel mesajlaşma konusunda sektöre öncülük etti. Hizmetin çalışma şeklinin hem teknik hem de yasal olarak uyumlu olduğuna yürekten inanıyoruz. Hizmet iyileştirme ve güvenlik amaçlarıyla sözleşmeden doğan gerekliliğe güveniyoruz çünkü hizmetimizi yürütürken insanların güvenliğini sağlamanın ve yenilikçi bir ürün sunmanın temel bir sorumluluk olduğuna inanıyoruz. Karara katılmıyor ve temyize gitmeyi planlıyoruz.” dedi.

IDPC, EDPB’nin WhatsApp’a yeni bir soruşturma yürütmeye zorlama çabalarını da geri püskürttü. EDPB, IDPC’yi, WhatsApp Ireland’ın özel kişisel veri kategorilerini işleyip işlemediğini, verileri davranışsal reklamcılık amacıyla, pazarlama amacıyla işleyip işlemediğini belirlemek için hizmetindeki tüm işleme operasyonlarını kapsayacak yeni bir soruşturma yürütmeye yönlendirdiğini iddia etti. Yönlendirmenin EDPB’nin yetkisini aştığını içerebileceği noktada, IDPC, yönergenin iptalini talep etmek için Avrupa Birliği Adalet Divanı’nda iptal davası açmanın uygun olduğunu düşünüyor.

PayPal x Siber Saldırı

PayPal, 6-8 Aralık 2022 tarihleri arasında binlerce PayPal kullanıcısının hesabına yetkisiz erişim sağlandığı hakkında 18 Ocak’ta bir bildirim yayınladı. Yetkisiz erişilen hesap sayısının ortalama olarak 34.942 olduğu ve siber saldırının kimlik bilgisi doldurma saldırısı (credential stuffing attack) şeklinde gerçekleştiği bildirildi.

Kimlik Bilgisi Doldurma Saldırısı Nedir?

Kimlik bilgisi doldurma saldırısı, bir tehdit aktörünün otomatik bir süreç kullanarak hesaplar arasında tekrar kullanılan kimlik bilgilerini ele geçirmesi ve savunmasız platformlar üzerinde bu kimlik bilgilerini yineleyerek platformlardaki kullanıcı hesaplarına erişmesi ile meydana gelen bir siber saldırı türüdür.

Etkilenen tüm hesap sahiplerine gönderilen resmi bildirimde, saldırıların teyidinin 20 Aralık’ta yapıldığı belirtildi. PayPal,bu olay sonucunda kişisel bilgilerin kötüye kullanıldığına ya da hesaplarda yetkisiz işlem yapıldığına dair herhangi bir bilginin bulunmadığını belirtirken etkilenen hesaplara erişimin yetkisiz üçüncü taraflar için ortadan kaldırıldığı da vurgulandı.

Kesin açıklama yapılmamakla birlikte, siber saldırganların isim, adres, sosyal güvenlik numarası, doğum tarihi gibi kişisel verilere ulaşmış olabileceği bildirildi. PayPal, yaşanan bu olay sonrası hesapları etkilenen müşterilerine Equifax tarafından sağlanan kimlik izleme hizmetlerine iki yıl ücretsiz erişim sundu. Tüm kullanıcılara da farklı platformlarda kullandıkları benzer şifreleri değiştirmeleri, benzersiz, güçlü parola kullanımına geçmeleri ve iki faktörlü kimlik doğrulamayı aktifleştirmeleri tavsiye edildi.

Avrupa Adalet Divanı Kararı

Avrupa Adalet Divanı’ndan (European Court of Justice, “ECJ”), ilgili kişilere verilerinin kimlerle paylaşıldığını bilme hakkı tanıyan dönüm noktası niteliğinde bir karar çıktı. Kararda, şirketlerin ilgili kişi talebi üzerine kişisel verileri hangi kanallara aktardığını paylaşmakla yükümlü olduğu ve kişilerin sağladıkları bilgilerle ilgili bilinçli karar alabilmelerine olanak tanınmasının önemi vurgulanarak bu hususun şeffaflık ilkesinin bir uzantısı ve gereği olduğu değerlendirmelerine yer verildi.

Ne Olmuştu?

  1. Avusturya vatandaşları/sakinleri hakkında büyük bir veri tabanı tutan Avusturya posta servisinin, bilgileri üçüncü taraflarla paylaşması üzerine, veri sahipleri söz konusu üçüncü taraf veri alıcıları hakkında bilgi talep etmişti.
  2. Avusturya posta servisi ise bu bilgileri açıklamayı reddederek veri sahiplerinin erişim hakkı taleplerine yalnızca “posta siparişi ve kırtasiye satış noktaları aracılığıyla ticaret yapan reklamcılar, BT şirketleri, posta listesi sağlayıcıları ve hayır kurumları, sivil toplum kuruluşları (STK’lar) veya siyasi partiler gibi dernekler” gibi “alıcı kategorilerini” listeleyerek cevap vermişti.
  3. Bu listeleme aracılığıyla verilen yanıt, Avusturya Yüksek Mahkemesi nezdinde uygulamanın GDPR madde 15’in gerekliliklerini yerine getirip getirmediği konusunda soru işaretleri oluşturmuştu.

ECJ yaptığı değerlendirmelerde, GDPR madde 15’in, Avrupa Birliği Temel Haklar Bildirgesi (Charter of Fundamental Rights of the European Union, “CFREU”) 8/2 ile güvence altına alınan her bireyin kendisiyle ilgili verilere erişim hakkını ifade ettiğini belirtti.

Veri sahiplerinin bu hakları kullanabilmelerinin ancak alıcı isimlerine ulaşılması olduğunu ifade eden ECJ, verilerinhukuka uygun bir şekilde işlenip işlenmediğinin kontrol edilmesi, verilen yetkili alıcılara ifşa edilip edilmediğinin araştırılması, düzeltme, silme veya işlemenin kısıtlanması haklarının kullanılması gibi hakların, alıcı bilgisine sahip olunmadığı takdirde etkili bir şekilde kullanılamayacağını belirtti ve alıcı gruplarının genel anlamda sayılması yerine açıkça ve ayrıntılı şekilde listelenmesi gerekliliğini ortaya koydu.

Bütün bu değerlendirmelerin yanında mahkeme, ayrıntılı açıklamalarda bulunmamakla birlikte bu hakkın belirli durumlarda sınırlandırılabileceğini de belirtti. Bu sınırlamalara ilişkin ispat yükünü veri sorumlusunun üstüne bırakan ECJ, sınırlandırma yapılabilecek durumları şu şekilde açıkladı:

İmkânsızlık durumu; alıcıların belirli olmaması, örneğin verilerin yalnızca gelecekte veya hak taleplerini takip etmek için aktarılabileceği durumlarda, veri alıcıları hakkında ayrıntılı bilgi sağlanamaması mümkün olabilecektir.

Avrupa Adalet Mahkemesi Başsavcısı tarafından öne sürülen veri sorumlusunun, alıcının kimliğinin belirlenmesinin orantısız bir çaba gerektirdiği durumlarda imkânsızlık iddiasında bulunabilmesinin mümkün olup olamayacağı sorusu ise, ECJ tarafından cevapsız bırakıldı.

Veri sorumlusunun, ilgili kişinin erişim taleplerinin açıkça temelsiz olduğunu gösterdiği durumlar; “Açıkça” lafzen bir şeyin mâkul herhangi bir kişi için açık olduğu anlamına gelir. Dolayısıyla talepler ancak ‘temelsizlik’ gerçek anlamda bariz olduğunda, örneğin talep yetkisiz bir üçüncü kişi tarafından yapıldığında, temelsiz olarak nitelendirilebilecektir.

Veri sorumlusunun, veri sahibinin erişim taleplerinin “aşırı” olduğunu gösterdiği durumlar; Taleplerin gerekli bilgiyi almak için gerekenden daha sık yapıldığı durumlarda aşırılık söz konusu olabilecektir. Bunun yanında, bir hukuk davasını desteklemek gibi GDPR’da belirtilen ilgili kişi haklarıyla bağdaşmayan nedenlerle yapılan talepler de potansiyel olarak aşırı kabul edilebilecektir.