Dünyada Neler Oluyor?
Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.
Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.
Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.
TikTok x İtalya
TikTok’un Avrupa’daki kullanıcıları hedefleyen reklamcılığın yasal temelini değiştirme girişimi, planlanan gizlilik politikası değişikliğinden sadece birkaç gün önce İtalya veri koruma otoritesinin devreye girip yasal yetersizlik uyarısı yayınlamasıyla tehlikeye girdi.
Geçen ay TikTok’un kullanım koşullarını Avrupa Ekonomik Bölgesi, Birleşik Krallık ve İsviçre’deki kullanıcılara etkili olacak şekilde ve 13 Temmuz’dan itibaren uygulamaya koyulması üzere güncelleyeceğini duyurmasıyla gizlilik uzmanlarının radarına girdi. Kullanıcı verilerini kullanarak kişiselleştirilmiş reklam sunmak için rızaya dayanan uygulamayı değişiklik akabinde meşru menfaate dayandıracağı ve artık kullanıcılara iznini sormayacağı belirtilmişti.
TikTok’a “resmi uyarısını” açıklayan bir basın açıklamasında İtalyan makamı, planlanan yasal temel değişikliğin uyumsuz olduğu sonucuna vardı. İtalya TikTok’a resmi bir uyarı vermenin yanı sıra, platform “geri adım atmazsa” aciliyet prosedürü de dahil olmak üzere ek önlemler alma hakkını da saklı tuttuğunu söyledi.
İtalya’nın veri gözlemcisi, ayrıca, TikTok’un platforma kayıtlı çocuk kullanıcıların korunmasıyla ilgili olarak da yetersiz bir yasal temele geçmesi konusunda özel bir endişesi olduğunu söyledi. TikTok’a, kullanıcı verilerinin ‘meşru menfaat’ temelinde işlenmesinin en azından kullanıcıların cihazlarında depolanan bilgilerle ilgili olarak mevcut düzenleyici çerçeveyle çelişkili olacağı konusunda resmi bir uyarı yayınlama adımı da atıldı.
TikTok, İtalyan Veri Koruma Otoritesi’nin son bildirimine ilişkin değerlendirmenin devam ettiğini ve daha fazla yorum yapamayacağını duyurdu. İtalyan Veri Koruma Otoritesi ise TikTok’a yönelik iki açık soruşturmasının da “oldukça gelişmiş” olduğunu söyledi. Ayrıca, çocukların verilerinin işlenmesine ilişkin soruşturmanın da taslak karar aşamasına ulaşacağını ve gelecek ay gözden geçirilmek üzere diğer Avrupa Birliği Veri Koruma Ajansları’na gönderileceğini öne sürdü.
Avrupa Komisyonu x ABD
Avrupa Komisyonu, vatandaşların kişisel verilerini komisyona ait web sitelerinden birinden Amerika Birleşik Devletleri’ne (“ABD”) aktarırken kendi veri koruma kurallarını ihlal ettiği iddiaları nedeniyle dava ile karşı karşıya kaldı. ABD istihbarat servisleri, Avrupa Birliği (“AB“) sakinlerinin kişisel verilerine orantısız bir şekilde ve hiçbir yargı yolu olmaksızın erişebildiğinden, Amerikan yargı yetkisinin yetersiz veri korumasına sahip olduğuna hükmedildi.
Dava, yalnızca AB’nin yasa dışı olarak veri aktardığını belirten değil, aynı zamanda veri işleme uygulamaları hakkında yeterli bilgiyi ifşa etmediğini iddia eden bir Alman vatandaşı tarafından başlatıldı. Dava, AB vatandaşlarının bloğun ve üye devletlerinin geleceğine karar vermelerine katılımını amaçlayan bir konferans olan Avrupa’nın Geleceği Konferansı‘nın web sitesiyle ilgili. Sitenin sunucusu Amazon Web Servisleri’nce sağlandığından, etkinliğe kaydolurken IP adresi gibi kişisel veriler Amerika Birleşik Devletleri’ne aktarılıyor.
Web sitesi, kullanıcıların Facebook hesapları üzerinden giriş yapmalarına da izin verdiğinden, ABD merkezli bir sosyal mecra da kişisel verileri yasa dışı olarak ABD’ye aktarmakla suçlandı ve şu anda İrlanda Veri Koruma Otoritesi tarafından bu konudaki şikâyet inceleniyor.
Avrupa Veri Koruma Denetçisi (“EDPS“) nezdinde şikâyette bulunulmasına paralel olarak dava başlatıldı. Ancak, EDPS halihazırda bir dava devam ettiği gerekçesiyle soruşturmaları askıya aldı. EDPS ve Avrupa Komisyonu ise, yorum talebine derhal bir yanıt vermedi. AB Mahkemesi’nin kararını 12 ila 18 ay içerisinde vermesi bekleniyor.
Neopets x Hacker
Bir süre önce, sanal evcil hayvan sitesi Neopets tarafından kullanıcılarının verilerinin çalındığı bildirildi ve çalınan veriler hakkında soruşturma başlatıldı, ancak bilgisayar korsanının kullanıcı ayrıntılarıyla veri tabanına aldığı raporlarda iddia edilen ihlalin ölçeği doğrulanamadı. Site, önde gelen bir adli soruşturma firması tarafından desteklenen bir soruşturma başlattığını, kolluk kuvvetleriyle temasa geçtiğini ve güvenliğini arttırdığını söyledi.
Teknoloji haber sitesi Bleeping Computer, yaklaşık 69 milyon kullanıcının etkilendiğini iddia etti ve bilgisayar korsanının adlar, doğum tarihleri, e-posta adresleri, posta kodları, cinsiyet, ülkeler ve oyunla ilgili diğer bilgiler dahil olmak üzere çalınan verileri gösterdiği bir ekran görüntüsü sağladığını bildirdi. Hacker, çalınan verileri 90.000 dolara tekabül edecek bitcoin’e satışa çıkardığını duyurdu.
Bilgisayar korsanının basına, verileri Neopets’in sahipleri olan Jumpstart’a fidye olarak vermediğini, ancak potansiyel alıcılardan ilgi gördüğünü söylediği bildirildi. Neopets ise o zamandan beri kullanıcıları şifrelerini değiştirmeye çağırıyor ve soruşturma devam ederken güncelleme sağlayacağına söz veriyor.
Google Chrome x Hollanda
Hollanda, okullarda Chrome OS ve Chrome web tarayıcısının kullanımına yeni kısıtlamalar ekleyerek ülke genelindeki öğrencileri korumak için ek adımlar atıyor. Öğrenciler ve okul personelleri, Google Arama’yı kullanmaktan uzaklaştırılıp alternatif olan DuckDuckGo‘ya yönlendiriliyor. İlk raporlar, Hollanda eğitim bakanlığının iki Google ürününü yasakladığını belirtti. Ancak bir Google Hollanda sözcüsü BleepingComputer’e; ChromeOS ve Chrome tarayıcısının tamamen yasaklanmadığını ve okulların, öğrencilerin verilerini korumak için ek adımlar attıkları sürece ürünleri kullanmaya devam edebileceğini söyledi.
Hollanda Eğitim, Kültür ve Bilim Bakanı, İlk ve Orta Eğitim Bakanı ile birlikte geçen yıl ülkenin parlamentosuna hitaben yazdığı ortak mektupta; Google’ın arama geçmişleri ve Workspace for Education aracılığıyla kullanıcı etkinliğinin süresi dahil meta verileri işlemesiyle ilgili endişelerini dile getirmişti.
Google’ın Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile daha uyumlu olması beklenen iki hizmetin güncellenmiş sürümlerini yayınlamasının beklendiği en az Ağustos 2023’e kadar benimsemesi gerekecek. Google hizmetlerini kullanmaya devam etmek isteyen Hollanda okulları ise, SURF aracılığıyla yayınlanan Google Workspace for Education’daki teknik kılavuza başvurabilecek.
İrlanda x Komisyon
İrlanda’nın Veri Koruma Komisyonu iki ekstra komisyon üyesiyle genişliyor. İrlanda Hükümeti, Veri Koruma Komisyonu’nun ihtiyaçlarını desteklemek için iki ek komisyon üyesi atayacak. Atama sürecinin altı ay sürmesi bekleniyor. Adalet Bakanı, kararın Hükümetin ulusal otoritesinin kapasitesini geliştirmeye devam etme niyetinin “güçlü bir mesaj verdiğini” söyledi.
İrlanda Veri Koruma Komisyonu, ulusal veri gözlemcisi olmanın yanı sıra, genel merkezi İrlanda’da bulunan birkaç büyük teknoloji şirketinin de etkisiyle, GDPR kapsamında Avrupa Birliği’nin öncü veri denetçisi olarak da görev yapmaktadır. Bu şirketler Apple, Facebook, Google, LinkedIn, TikTok ve Twitter olduğundan İrlanda’nın mevkisi artmaktadır.
Ayrıca, birçok sektörde “daha yüksek yanıt verme standartlarına” hala ihtiyaç duyulduğunu kabul etti ve “İrlanda Veri Koruma Komisyonu, gerekli iyileştirmeleri sağlamayı amaçlayan yaptırım eylemlerini hedeflemeye devam edecek.” diye ekledi.
Ring Doorbell x Neighbours
Ring Doorbell, ABD’deki en popüler videolu ev izleme cihazı olup görüntülü kapı zili pazarının yaklaşık %40’ını elinde tutuyor. Bu sistem, bazen gizlilik savunucuları tarafından mahallelerde artan yaygınlığı nedeniyle “Amerika Birleşik Devletleri’ndeki en büyük şirkete ait gözetim ağı” olarak da tanımlanıyor. Amazon, şirketi 2018’de 1 milyar dolara satın aldı ve bu süre zarfında, gözetim görüntülerini paylaşmak için kullandığı “Neighbours” uygulamasından kamera korsanlığı olaylarına kadar, operasyonunun çeşitli yönleri için şimdiden tartışmalara yol açtı.
Ring, ülke çapındaki birçok kolluk kuvvetiyle olan ortaklıklarıyla övünmekte ancak kullanıcıların güvenlik kamerası görüntülerine bu kurumlar tarafından erişilmesi endişelere yol açıyor. Kolluk kuvvetleri, “yakın tehlike” içeren acil durum talepleri göndererek bu kısıtlamayı aşabiliyor ve Amazon, bu yıl şimdiye kadar taleplerden 11’ini yerine getirdiğini söylüyor.
Amazon, 2019’un sonlarında Ring gizlilik sorunları ve kolluk kuvvetleri erişimiyle ilgili endişeleri içeren soruşturmanın bir parçası olarak bu bilgileri ifşa etmeye zorlandı. Amazon, verdiği yanıtta, gözetim görüntülerini kolluk kuvvetleriyle düzenli olarak paylaşmadığını, ancak bunun, “yakın bir tehlike olduğu” inancına dayalı bir talepte bulunulan “acil veya çok acil bir durumda” yapılabileceğini söyledi. Ring ile ülke çapında ortaklık yapan kolluk kuvvetlerinin sayısı 2019’da sadece 400 iken şimdilerde bu sayı 2.161’e yükseldi.
Ring ayrıca, saklanan görüntülerin uçtan uca şifrelenmesini sağlamayı ve varsayılan sesi devre dışı bırakmayı taahhüt etmeyi reddetti. Ring, aynı zamanda kullanıcılarına gelişmiş gizlilik ayarları verirken, kolluk kuvvetlerinin bu güvenlik kamerası kayıt sistemlerine genel erişimi büyük ölçüde arttı.
Kullanıcı gizliliğine açıkça gösterilen özene rağmen Ring, kolluk kuvvetleriyle agresif bir şekilde yeni ilişkiler kurmaya devam ediyor; 2021 raporu, Ring’in Los Angeles polis memurlarına hizmetlerini meslektaşlarına sunmaları karşılığında ücretsiz ve indirimli ürünler sağladığını ve 2019’dan beri suçların arttığı bölgelerde polis departmanlarına ücretsiz numuneler ve hedefli satış kampanyaları ile yaklaştığı biliniyor.
Didi x Çin
Çin’in araç çağırma devi Didi, 1,2 milyar dolar para cezasına çarptırıldı. Yapılan açıklamada, Çin’in araç çağırma devi Didi’ye 8 milyar Yuan’dan (1.2M $) fazla para cezası verdiğini ve iddia edilen veri güvenliği ihlalleriyle ilgili bir yıl süren soruşturmayı sonlandırdığını duyurdu. Çin Siber Uzay İdaresi (CAC) yaptığı açıklamada, soruşturmada Didi’nin “korkunç nitelikte” ihlaller yaptığına dair “kesin kanıt” bulunduğunu söyledi.
Didi, 57 milyondan fazla sürücünün kimlik bilgilerini daha güvenli bir format yerine düz metin olarak yasadışı olarak saklamakla suçlandı. Ayrıca cep telefonlarındaki fotoğraflar ve yüz tanıma verileri de dahil olmak üzere bilgisi olmadan yolcu ayrıntılarının analiz edildiği söylendi. Didi’nin ihlalleri Haziran 2015’ten itibaren yedi yıl içinde gerçekleşti.
Şirket sosyal medyadan yaptığı açıklamada; “Bunu bir uyarı olarak alacağız, ağ güvenliği ve veri güvenliği yapısını daha da güçlendireceğiz.” dedi. E-ticaret devi Alibaba’ya Nisan 2021’de rekabete aykırı uygulamalar için yaklaşık 2,75 milyar dolar ödeme emri verilmesinden bu yana Çinli yetkililer tarafından uygulanan en büyük para cezası oldu. Çin şimdi, bir milyondan fazla kullanıcısı olan internet şirketlerinin denizaşırı ülkelerde listelenmeden önce bir veri güvenliği incelemesinden geçmesini şart koşuyor.
Metaverse x Veri Gizliliği
Artırılmış gerçeklik (AR) ve sanal gerçeklik (VR) aracılığıyla sağlanan bilgi zenginliği yıllardır bilinmektedir. (VR) ile kulaklıklar ve akıllı gözlükler kullanılarak üç boyutlu modelleme yoluyla duyu organlarını harekete geçiren ve gerçeklik algısı yaratan sanal bir ortam yaratılmaktadır. Uzmanlar ise, bu sanal gerçeklik dünyalarının vaat edilen Metaverse’inde veri gizliliği konusunun daha fazla düşünülmesi gerektiğini savunmaktadır.
Araştırmacılar, “Metaverse’in Eşsiz Gizlilik Risklerini Keşfetmek” başlıklı bir makalede, potansiyel bir saldırganın kişinin hareketlerinden ve duyu organlarından ne kadar veriye erişebileceğini anlamak adına bir “kaçış odası” sanal gerçeklik (VR) oyunu test etti.
Araştırmacılar; 30 kişilik sanal gerçeklik kullanımı çalışmasıyla potansiyel gizlilik tehditlerini değerlendirmek ve analiz etmek için bir çerçeve oluşturdu ve saldırganların kullanabileceği, bazıları geleneksel mobil veya web uygulamalarından elde edilmesi çok zor veya imkânsız olan, katılımcıların cinsiyeti, serveti, etnik kökeni, yaşı ve engelleri dahil olmak üzere 25’ten fazla özel veri öz niteliği olan veri belirledi. Bu araştırma, Metaverse dünyasında veri gizliliği sağlanması problemini bir kez daha gündeme getirdi.
Geliştiriciler ise, anonimlik için bazı eklentiler geliştirildiğini ve bunların ‘Sanal gerçeklik için gizli mod’ gibi olacağını söylemekte. Bu gizlilik ayarı; kullanıcı deneyimini önemli ölçüde etkilemeyecek şekilde gürültü ekleyerek, tarayıcılardaki gizli mod gibi çalışacak ve kullanıcılar, modu ortama ve güven düzeylerine bağlı olarak istedikleri gibi açıp kapatabilecek ve ayarları düzenleyebilecekler.
GDPR & DeFine
12 Mayıs’ta Avrupa Veri Koruma Kurulu, GDPR ihlalleri için para cezalarının hesaplanmasına yönelik bir metodoloji içeren yönergeler yayınladı. Bu yönergelerin Avrupa Birliği’ndeki veri koruma yetkililerinin gelecekteki kararları üzerinde etkisi olması muhtemel olduğundan, bu metodolojiye dayalı bir GDPR hassas hesaplayıcı aracı olan DeFine geliştirildi.
Şirketlerin hiçbir zaman ihtiyacı olmaması temennilerimiz ile birlikte, ihlal yaptırımlarında yeknesaklık sağlanması ve şeffaflık içerisinde yürütülmesi açısından olumlu bir gelişme olarak kayıtlarımıza geçiyor.
Twitter x Bug
Geçen ay Twitter’ın bir siber suç forumunda 5.4 milyon hesaptan derlenen bir veri tabanının satışını içeren güvenlik ihlali gündeme gelmişti, bugünlerde ise Twitter, bu veri ihlaline neden olan güvenlik hatasını resmen kabul etti ancak veri ihlalinden etkilenme sayısı hala tespit edilmiş veya edilebilme kabiliyetine sahip değil.
Twitter’ın açıklamalarına göre güvenlik açığının bir sonucu olarak sistemlerine bir e-posta adresi veya telefon numarası gönderilirse, sistemleri kişiye gönderilen e-posta adreslerinin veya varsa telefon numarasının hangi Twitter hesabıyla ilişkili olduğunu söylüyor. Bu açık, bir Hacker’ın 5.4 milyondan fazla Twitter kullanıcısından gelen bir Twitter hesap verisi veri tabanını derlemesine izin vermiş olup Twitter kullanıcısının hesap tanıtıcısını, telefonunu ve/veya e-postasını içeriyor.
Twitter riskleri azaltmak için kullanıcılara iki faktörlü kimlik doğrulama yöntemini etkinleştirmelerini öneriyor. Bu tavsiye ile sınırlı kalsa oldukça makul bir harekette bulunmuş olabilecek Twitter, maalesef, insanların Twitter hesaplarında herkes tarafından bilinen bir e-posta adresi veya telefon numarası kullanmamalarını da tavsiye ederek veri koruma dünyasının tüm paydaşlarına yepyeni ufuklar açıyor.
Mülteciler x Biyometrik Veri
İngiliz hükümeti, Buddi Limited’e, İçişleri Bakanlığı Uydu İzleme Hizmetinin bir parçası olarak “belirli grupları” izlemek için “takılı olmayan cihazlar” hazırlaması amacıyla bir sözleşme imzaladı. Birleşik Krallık genelinde 6 milyon sterlinlik bir başlangıç maliyetiyle tanıtılacak planın “göçmen kontrolüne tabi kişilerin günlük olarak izlenmesini” içereceğini ve her zaman yanlarında takılı bir ayak bileği etiketi veya bir akıllı saat takma zorunluluğu olduğunu söylüyor. Cihazları takmak zorunda olanlar, adları, doğum tarihleri, uyrukları ve altı yıla kadar saklanan fotoğrafları ile bir akıllı saatte fotoğraflarını çekerek gün boyunca periyodik izleme kontrollerini tamamlamaları gerekecek.
Veriler İçişleri Bakanlığı, Adalet Bakanlığı ve polisle paylaşılacak olup İçişleri Bakanlığı yetkilileri şunları ekledi: “Bu verilerin polis meslektaşlarıyla paylaşılması yeni değil.”
İçişleri Bakanlığı, akıllı saat planının bir suçtan hüküm giymiş yabancı uyruklu suçlular için olacağını söyledi. Hükümet, “elektronik izlemeyi, halkı koruma ve yeniden suç işlemeyi azaltma hedeflerine katkıda bulunan, gözetime düşük maliyetli bir alternatif olarak gördüğünü” söyledi. Karşıt görüştekiler, sığınmacıların 24 saat gözetim altında tutulmasının insan haklarını ihlal ettiğini ve göçmenlerin sağlığı ve refahı üzerinde zararlı bir etkisi olabileceğini söylüyorlar.
