Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2022 Ekim ayına aittir.

ABD x AB

Amerika Birleşik Devletleri (“ABD”) Başkanı Joe Biden, Avrupa Birliği’nin (“AB”) gizlilik ile ilgili endişelerini gidermek için tasarlanan “ABD-AB Veri Gizliliği Çerçeve Anlaşması” kapsamında yer alan taahhütlerinin uygulanması için ABD hükümetinin ilk kez Avrupa gözetim programlarıyla ilgili problemli konuları işaret etmesine de olanak sağlayan bir kararname çıkardı.

Başkan Joe Biden’ın geçtiğimiz günlerde imzaladığı bu kararnameyle, AB vatandaşlarının verilerinin ABD istihbarat teşkilatları tarafından nasıl toplandığı ve kullanıldığı hususunda dava açmasına olanak sağlayan Adalet Bakanlığı bünyesinde bir Veri Koruma İnceleme Mahkemesi (Data Protection Review Court) kuruldu.  Bununla birlikte istihbarat teşkilatlarının veri toplama faaliyetleri de yalnızca gerekli ve orantılı kullanımlara bağlı tutuldu.

Beyaz Saray Ulusal Güvenlik Konseyi’nde (White House National Security Council, “NSC”) Uluslararası Ekonomi ve Rekabetçilik Kıdemli Direktörü olarak görev alan Peter Harrell yaptığı açıklamada, Joe Biden’ın imzalamış olduğu kararnamenin asıl odak noktasının, şirketlerin 2020’de Avrupa Birliği Adalet Divanı tarafından belirlenen standartları karşılarken AB ile ABD arasında gerçekleşen veri aktarımının devamını sağlamak olsa da Joe Biden’ın gizlilik çerçevesinin bu gizlilik haklarını ABD vatandaşları için de genişleteceğini söyledi.

Peter Harrell, ABD Başsavcısı’nın AB’yi gizlilik çerçevesi kapsamında nitelikli bir eyalet veya bölge olarak belirlemesi gerekeceğini ve bu durumun AB’nin gözetim önlemlerini de değerlendirmesi için ABD hükümetine bir kapı açacağını da söyledi.

Bu hareket, Brüksel’in veri akışı görüşmelerinde uzun süredir tüm kartları elinde tuttuğunu ve ulusal güvenlik yasalarının AB’nin düzenlemelerinden bile daha yüksek bir standartta tutulduğunu kavrayan ABD hükümeti için ciddi bir kazanımdır. Yeni çerçeveye göre ABD, standartlarını karşılamayan ülkelerin veya bölgelerin uyuşmazlık çözüm mekanizması (redress mechanism) kullanımını durdurabilecek.

Peter Harrell, AB’nin atama uygulamasına ilişkin kararın Başsavcı tarafından AB ve/veya AB’ye üye devletlerin her birinin kendi yetki alanlarına giren konulardaki kanunlarının, ABD’li kişilerin ABD’den AB’ye aktarılan kişisel bilgileri için kendi sinyal istihbaratına ilişkin uygun güvencelere sahip olduklarını içereceğini söyledi.

Başsavcı, ülkeleri veya bölgeleri uyuşmazlık çözüm mekanizması için “nitelikli” olarak belirlerken, bunların ABD’nin ulusal çıkarlarıyla uyumlu olup olmadığı gibi diğer faktörleri de dikkate alacağını belirtti. Bir Avrupa Komisyonu yetkilisi, atama uygulamasının kendi başına bir değerlendirme olmayacaksa da kendi güvenlik önlemlerini sunmasının gerekliliğini kabul etti.

“Uyuşmazlık çözüm mekanizması, uygun güvenlik önlemleri sunan ve ABD ile veri aktarım düzenlemeleri olan ülkelere ve bölgesel kuruluşlara açıktır.” denmekle birlikte NSC ve diğer Joe Biden yönetimi yetkilileri, Avrupa Komisyonu’nun kararnameyi onaylayacağından ve gizlilik savunucularının yasal itirazlarına karşı koyacağından emin.

2015 ve 2020’de Gizlilik Kalkanı’nı ortadan kaldıran davalar açan gizlilik savunucusu Max Schrems, ulusal bir haber ajansına Joe Biden’ın kararnamesinin ayrıntılarını gözden geçirdiğini ve potansiyel bir zorluğa hazırlanmak istediğini söyledi. Max Schrems, “Toplu gözetimde bir değişiklik olmadığı için, bunun Avrupa Birliği Adalet Divanı’na geri döneceğini tahmin ediyorum” dedi.

Kararname muhtemelen Brüksel tarafından Mart 2023’e kadar onaylanmayacak, ancak imza, iki ülke arasında veri paylaşan işletmeler için önemli bir fayda sağlayacak. Şirketler, Avrupa Komisyonu tarafından onaylanmadan önce bile ABD ve AB arasında veri aktarımı için imzalanan kararnameyi yasal bir dayanak olarak kullanabilecek. Bu durum, uygun gizlilik korumaları olmadan AB verilerini ABD’ye göndermesinin engellenmesi beklenen Facebook gibi şirketlere de yarar sağlayacak.

Konuyla ilgili Bilgi Teknolojileri Endüstrisi Konseyi Politikadan Sorumlu Kıdemli Başkan Yardımcısı John Miller, “ABD hükümeti, ticari güvenilirliği iyileştirmede önemli olacak hızlı yasal değişiklikler yaptı” dedi.

GDPR x Birleşik Krallık

İngiliz Hükümeti’nin GDPR’ı değiştireceği ve Veri Reformu Yasası’nı durduracağına dair son duyuruları Birleşik Krallık’ın (“BK“) AB veri denkliği hakkında yeni sorular ortaya çıkardı.

Lisanslı Bilişim Hukuku Enstitüsü’nün (The Chartered Institute for IT Law, “BCS”) başkanı ve uluslararası bir hukuk firması olan CMS’nin ortağı Dr. Sam De Silva; BK’daki işletmeleri mevzuatı takiben kendilerini ‘iki düzenleyici rejime de uyma’ durumunda olma potansiyelleri hakkında uyardı.

Dr. De Silva “Birleşik Krallık şu anda kişisel verilerin AB’den Birleşik Krallık’a serbest akışına izin veren bir AB yeterlilik kararının avantajına sahip. Yine de Birleşik Krallık’ın ‘temel denkliği’ hala sağladığına dair değerlendirmeleri için AB Komisyonu’nun Birleşik Krallık hukukundaki gelişmeleri devamlı izlemesi gerekir.” dedi.

GDPR’dan kayda değer bir sapmanın BK’nın yeterliliğini kaybetme riskine yol açacağı anlamına geliyor. İlginç şekilde Dijital, Kültür, Medya ve Spor Bakanlığı’nın (Department for Digital, Culture, Media & Sport, “DCMS”) bakanı Michelle Donelan’ın son konuşmasında açıkça, niyetinin BK’nın yeterliliğini korumak olduğunu belirtti ancak Dr. De Silva hükümet eğer GDPR’dan tamamen uzaklaşmayı planlıyorsa bunun pratikte nasıl mümkün olacağının açık olmadığını belirtti.

Dr. De Silva; “Bunun pratikte ne anlama geldiği hakkında daha fazla detaya ihtiyacımız var. Yorumlardan biri şu şekilde; Birleşik Krallık hukukunda GDPR’ın hiçbir yönünü korumak, tutmak için bir plan yok ve bu yüzden artık Veri Reformu Yasası yürürlükten kaldırıldı ve bunun sebebi yasa tasarısının GDPR’ı sadece belli alanlarda değiştirdiği şeklinde gözüküyor olmasıydı.” diyor.

Bu durum gösteriyor ki hükümet düzenlemeye “hafif bir dokunuş” yaklaşımı istiyor ancak bunun pratikte ne anlama geldiği pek açık değil. Örneğin, Birleşik Krallık hukuku içerik ve yapı bakımından yani kontrolörler ve işleyiciler için farklı yükümlülükler, belli bireysel haklar ve hesap verebilirlik gereksinimi bakımından hala “görünür ve hissedilir” gibi mi? Ya da hükümet tamamen yeni bir şey mi önerecek? Çoğu BK işletmeleri 4 yıldan fazla süredir GDPR ile çalıştı ve yine çoğu uyum programını oluşturmak ve işletmek için önemli miktarda zaman ve para harcadı.

AB’de müşterileri olan Birleşik Krallık işletmeleri yürürlükteki yeni Birleşik Krallık yasalarına bakılmaksızın GDPR’a uymaya devam etmek zorunda kalacaklar ancak Birleşik Krallık işletmeleri için risk, iki düzenleyici rejime de uymak zorunda olmaları ihtimali. İşletmelerin çoğunun daha katı kurallara uymayı tercih etmesi umuluyor.

Dr. De Silva, kâr kayıplarının sıklıkla hükümet tarafından (Oxford Üniversitesi’nin bir raporuna göre) GDPR’ı kaldırmaya bir sebep olarak gösterildiğini ancak 3 sebepten ötürü bu çıkarım hakkında dikkatli olunması gerektiği çağrısını yaptı: Firma performansı üzerinde gözlemlediğimiz negatif etkiler geçici uyum maliyetlerini kısmen yansıtıyor olabilir. Eğer GDPR, daha çok ülke benzer düzenlemeleri benimsedikçe kademeli bir şekilde küresel bir standart haline gelirse AB şirketlerini hedefine alan şirketler zamanla daha az dezavantajlı olacaktır. Hesaplanmış herhangi bir değerlendirme, veri koruması endişesi olan vatandaşlara potansiyel faydaları hesaba katması muhtemel olan toplam refah etkileri konusunda sessiz görünmektedir.

Google x Incognito Modu

Google’ın, Chrome web tarayıcısında bulunan incognito (gizli sekme) modu ısrarlı bir şekilde kullanıcılarına övmesine rağmen bu özelliğin, Şirket’in mühendisleri arasında bir şakadan ibaret olduğu iddia ediliyor.

Bloomberg’in raporuna göre, Google mühendisleri 2018 yılına kadar gizli modla dalga geçiyorlardı ve görüşüne göre bunun nedeni ikografiden (kullanılan görsel imgeler ve semboller), daha açık bir ifadeyle, incognito modun sağladığı “gizlilik” seviyesini gerçekten geliştirmek için yetersiz ve zayıf bir iş çıkarmasından ibaretti.

Bloomberg tarafından paylaşılan bir yazışmada, bir Google mühendisinin, Şirket’in hem casus adam simgesini hem de incognito adını değiştirmesi gerektiğini çünkü kullanıcılara yanlış izlenim verdiklerini belirttiği bildirildi. Sorunun temelinde, teknolojiyi tam olarak kavrayamayan kullanıcıların, incognito ve simgeyi gördüklerinde tarayıcılarının gerçekte olduğundan çok daha fazla korunduğuna ve görünmediklerine inanıyor olmaları yatıyor.

Başka bir çalışan, Homer Simpson’a benzeyen Guy Incognito’nun bir görüntüsüyle yanıt verdi ve simgenin daha çok Simpsons karakterine benzemesi gerektiğini çünkü “…gizlilik düzeyini doğru bir şekilde aktardığını” belirtti.

Chrome’un gizli sekme modunu kullandığınızda, tarayıcının arama geçmişinizi ve diğer özel verilerinizi kaydetmesini engellediğiniz gibi Chrome’un arama oturumunuzu kaydetmesini de engellersiniz. Başka bir ifadeyle, incognito modunu açarak Chrome kullanıyor olmanız özel alanınızı daha çok koruyor. Örneğin, oda arkadaşınızla paylaştığınız bir bilgisayarda, onun sizin arama geçmişinizi gizlice karıştırmasını zorlaştırmak için kullanılabilir.

Her ne kadar incognito, gizlilik sunan bir mod olsa da IP adresinizi, konumuzu veya sizi tanımlayabilecek diğer potansiyel verilerinizi maskelemez. Bu bir VPN değildir ve aslında öncelikli amacı, etkinliğinizi küçük, tamamen yerel bir ölçekte gizlemektir. Öyle olsa bile, gizli sekme modu geçmişinizi takip etmeyecek olsa da hala yaptığınız yer imlerinin ve indirdiğiniz her şeyin kaydını tutmaya devam edecektir.

Bahsi geçen yazışmalar, Google’a karşı, Şirket’in incognito modu kullandıklarında bile kullanıcıların verilerini topladığı iddiaları üzerine toplu dava statüsünü hedefleyen bir davanın parçası olarak ortaya çıktı ve daha da önemlisi, Şirket’in, bu kullanıcıları bilgilerinin korunduğuna inandırdığı iddia edildi. Bununla ilgili olarak, Google’ın bir sözcüsü Bloomberg’e yaptığı açıklamada, incognito modla ilgili olarak Şirket’in “nasıl çalıştığı ve ne yaptığı konusunda net” olduğunu söyledi.

Meta x Quest Pro

Kasım 2021’de Facebook, 1 milyardan fazla kişinin görüntülerinden alınan yüz tanıma verilerini sileceğini, fotoğraf ve videolarda insanları otomatik olarak etiketleme özelliğini teklif etmeyi bırakacağını duyurdu.

Kanada’daki Western Üniversitesi’nde Yardımcı Doçent olan Luke Stark, o sırada WIRED dergisine politika değişikliğini bir PR taktiği olarak gördüğünü, çünkü Meta’nın sanal gerçeklik girişiminin büyük olasılıkla genişletilmiş fizyolojik veri toplanmasına yol açacağını ve yeni gizlilik endişelerini artıracağını söyledi.

Facebook’u kuran Şirket olarak adlandırılan Meta, en yeni sanal gerçeklik gözlüğü Quest Pro’yu tanıttı ve böylelikle Stark’ın tahmini doğru çıkmış oldu. Yeni model, içe dönük beş kamera seti ile göz hareketlerini ve yüz ifadelerini izleyerek bir avatarın eş zamanlı olarak gülümseme, göz kırpma veya kaş kaldırma ifadelerini yansıtmasına olanak tanıyor. Ayrıca yardımcı olacak beş dış kamera ile gelecekte bir kişinin gerçek dünyadaki tüm vücut hareketlerinin kopyalanması amacıyla avatarlara bacakların da eklenmesi hedefleniyor.

Meta’nın sunumundan sonra Stark, sonucun tahmin edilebilir olduğunu ve yüz izleme için varsayılan “kapalı” ayarın uzun sürmeyeceğinden şüphelendiğini söyleyerek “Animasyonlu avatarların mahremiyet kaybında önemli bir etkisinin olduğu birkaç yıldır açıktı. Bu veriler, fotoğraftaki bir yüzün görüntüsünden çok daha ayrıntılı ve çok daha kişiseldir.” açıklamasında bulundu.

Yeni sanal gerçeklik gözlüğünü duyuran etkinlikte Meta’nın CEO’su Mark Zuckerberg, yeni ve samimiyeti ön plana çıkaracak bir tür özel nitelikli veri toplamayı sanal gerçeklik vizyonunun gerekli bir parçası olarak nitelendirdi. “İletişim kurduğumuzda, tüm sözsüz ifadelerimiz ve jestlerimiz çoğu zaman söylediklerimizden daha önemlidir ve bağlantı kurma şeklimiz de sanal olarak bunu yansıtmalıdır” diyerek gerekçelendirmede bulundu.

Zuckerberg ayrıca Quest Pro’nun kontrol cihazlarındaki kameralarla birleştirilen dahili kameraların, daha çok gerçek bir insan gibi görünen ve bir çizgi filme daha az benzeyen fotogerçekçi avatarlara güç vereceğini söyledi. Bu özelliğin yayınlanması için herhangi bir zaman çizelgesi sunulmadı. Zuckerberg’in daha sonra “temel” olduğunu kabul ettiği karikatürize avatarının bir sanal gerçekçi özçekimi bu yaz mizah amaçlı kullanıldı. Böylelikle avatarlardaki değişiklikler duyurulmuş oldu.

Teknolojinin işe yarayabileceğine dair kanıt bulunmamasına rağmen, Amazon ve çeşitli araştırma projeleri de dahil olmak üzere şirketler, daha önce bir kişinin duygusal durumunu tahmin etmeye çalışmak için geleneksel yüz fotoğraflarını kullandı.

Meta’nın yeni sanal gerçeklik gözlüğünden gelen veriler, bir kişinin ilgi alanlarını veya içeriğe tepkilerini anlamanın yeni bir yolunu sağlayabilir. Meta sanal gerçeklikte alışveriş yapmayı deneme aşamasındayken Metaverse’de kişiselleştirilmiş reklamlar öngören patentler ve bir kişinin yüz ifadelerine yanıt olarak uyarlanan medya içeriği için başvuruda bulundu.

Meta ürün müdürü Nick Ontiveros, gazetecilere Meta’nın bu bilgileri duyguları tahmin etmek için kullanmadığını açıkladı. Meta, bu özelliklere güç sağlamak için kullanılan ham görüntüler ve resimlerin sanal gerçeklik gözlüğünde depolandığını, cihazda yerel olarak işlendiğini ve işlendikten sonra silindiğini söylüyor.Şirketin yayınladığı göz izleme ve yüz ifadesi gizliliği bildirimlerine göre, ham görüntüler silinse de bu görüntülerden elde edilen bilgiler Meta sunucularda işlenebilir ve saklanabilir.

Quest Pro kullanıcısının yüz ve göz hareketleriyle ilgili bu veriler Meta dışındaki şirketlere de yayınlanabilir. Yeni bir hareket yazılım geliştirme kiti (Software Development Kit, “SDK”) şirket dışındaki geliştiricilere avatarları ve karakterleri canlandırmak için soyutlanmış bakış ve yüz ifadesi verilerine erişim izni verecek. Meta’nın sanal gerçeklik gözlüğü için gizlilik politikası, dış hizmetlerle paylaşılan verilerin kendi şartlarına ve gizlilik politikalarına tabi olacağı belirtiliyor.

İfadeleri yakalayan teknoloji zaten fotoğraf uygulamalarında ve iPhone memoji’de çalışıyor, ancak Meta yaptığı açıklamada eş zamanlı beden dili yakalandığı takdirde insanların toplantılara katılmak veya işlerini yürütmek için sanal gerçeklik gözlüklerini kullanabileceğini belirtti.

Meta, yakında Teams ve Microsoft 365 dahil olmak üzere Microsoft üretkenlik yazılımını sanal gerçeklik platformuna entegre edeceğini duyurdu. Autodesk ve Adobe, tasarımcılar ve mühendisler için sanal gerçeklik uygulamaları üzerinde çalışıyor ve Zoom ile yapılacak olan bir entegrasyon ile insanlar Meta avatarları olarak görüntülü toplantılara katılabilecek.

Quest Pro’nun başarısı, insanların yeni veri toplama özelliklerine sahip bir donanımı, Cambridge Analytica gibi kullanıcı verilerini korumada veya platformuna erişimi olan üçüncü taraf geliştiricilerin etkinliklerini izlemede başarısız olan bir şirketten satın alıp almayacağına bağlı olabilir. Bu durum Mark Zuckerberg’in metaverse vizyonunu satmasında var olan zorlukları artırabilir.

Meta, sosyal sanal gerçeklik platformu Horizon Worlds için aylık 300.000’den fazla aktif kullanıcı olmadığını bildirdi. New York Times kısa süre önce projede çalışan Meta çalışanlarının bile Horizon World’ü çok az kullandığını bildirdi.

Microsoft’un HoloLens sanal gerçeklik gözlüğünün oluşturulmasına yardımcı olan sanal ve artırılmış gerçeklik danışmanı Avi Bar-Zeev, QuestPro’daki kameralardan görüntüleri sildiği için Meta’ya hakkının verilmesi gerektiğini açıkladı. Ayrıca 2020’de cihazın eski versiyonu olan Quest 2 hakkında ciddi gizlilik sorunları olduğunu ve Quest Pro için de aynı şekilde hissettiğini belirtti.

Bar-Zeev, insanların içeriğe veya deneyimlerenasıl tepkiverdiklerine dair verilerin yüz ve göz hareketlerinden elde edileceğini, böylelikle Meta’nın veya diğerşirketlerin bu verilerle sanal gerçeklikteki insanları duygusal olarak sömürmelerine yol açabileceğini belirterek, “Endişem, nefret ettiğimiz bir sürü reklamın bize sunulması değil, bizim hakkımızda o kadar çok şey öğrenecekler ki bize sevdiğimiz bir sürü reklam sunacaklar ve biz onların reklam olduklarını bile bilemeyeceğiz.” açıklamasında bulundu.

XR Safety Initiative’in kurucusu Kavya Pearlman, piyasaya sürülmeden önce Quest Pro’nun bir demosuna erişti ve kullanıcıları yüz ve göz izlemeyi etkinleştirmeye yönlendiren ekranların, insanları teknolojiyi benimsemeye teşvik etmek için tasarlanmış karanlık bir biçime sahip olduğunu belirtti. ABD Federal Ticaret Komisyonu (Federal Trade Commission, FTC) geçen ay şirketlere gizlilik seçeneklerini bozan tasarımları kullanmamalarını tavsiye eden bir rapor yayınlamıştı.

Pearlman, “Geçmiş tecrübelerime göre çok tehlikeli bir yoldayız ve dikkatli olmazsak özerkliğimiz, özgür irademiz ve failliğimiz riske girecektir. Sanal gerçeklik üzerinde çalışan şirketlerin hangi verileri toplayıp paylaştıklarını kamuoyu önünde tartışmaları ve insanlar hakkında yapacakları çıkarımlara kati sınırlar koymaları gereklidir.” açıklamasında bulundu.

Shein x Veri ihlali

Çin’de kurulan ve kısa süre önce temel varlıklarını Singapur’a taşıyan, ultra hızlı moda sektöründe e-ticaret platformu olan Shein dünya çapında Z kuşağı pazarlarını fethetmeye devam ederken, 2018’deki bir veri ihlali ile mercek altına alındı.

Eyalet Başsavcılığından (Attorney General, “AG”) yapılan bir bildiriye göre, Shein ve kardeş markası Romwe’nin sahibi olan firma Zoetop bir güvenlik ihlalini düzgün bir şekilde ele almadığı için New York tarafından 1,9 milyon dolar para cezasına çarptırıldı.

AG’nin açıklamasına göre, 2018’de ortaya çıkan bir siber güvenlik saldırısı, 375.000’den fazla New York sakini de dahil olmak üzere 39 milyon Shein hesabı kimlik bilgisinin çalınmasıyla sonuçlandı. AG ofisi tarafından yapılan bir araştırmada, Zoetop’un güvenliği ihlal edilmiş 39 milyon hesabın yalnızca “bir kısmı” ile iletişim kurduğu ve etkilenen kullanıcıların büyük çoğunluğu için firmanın giriş bilgilerinin çalındığı konusunda onları uyarmada başarısız olduğu tespit edildi.

AG ofisi ayrıca, Zoetop’un veri ihlaliyle ilgili kamuoyuna yaptığı açıklamaların yanıltıcı olduğu sonucuna vardı. Bir defasında firma, yalnızca 6,42 milyon tüketicinin etkilendiğini ve etkilenen tüm kullanıcıları bilgilendirme sürecinde olduğunu yanlış bir şekilde belirtti.

Veri ihlalinin gerçekleşmesiyle, şirket bir PR sorunu ile karşı karşıya kaldı ve Shein, o zamandan beri güvenlik önlemlerini önemli ölçüde artırdığını iddia ediyor. Shein “New York Başsavcısı ile tam bir iş birliği yaptık ve bu konuyu çözdüğümüz için mutluyuz. Müşterilerimizin verilerini korumak ve güvenlerini sürdürmek, özellikle dünyanın her yerindeki işletmelere yönelik devam eden siber tehditler söz konusu olduğunda birincil önceliktir. 2018’de meydana gelen veri ihlalinden bu yana siber güvenlik duruşumuzu daha da güçlendirmek için önemli adımlar attık ve temkinliyiz” açıklamasında bulundu.

2018’den bu yana çok şey değişti. Shein, o zamanlar yükselen bir online hızlı moda satıcısından Amazon’u tehdit eden ve her şeyi kapsayan bir e-ticaret platformuna yükseldi. 2022’nin ikinci çeyreğinde, uygulamanın ABD indirmeleri ilk kez Amazon’u geçti. Veri ihlali geçtiğimiz yıllara ait olabilir, ancak Shein’in 2008’den beri faaliyet gösterdiğini, bu nedenle firmanın varlık tarihinde dört yılın oldukça yeni sayılacağını belirtmekte fayda var.

Meta x Uygulama Sahteciliği

Meta, iki büyük uygulama mağazasının her ikisinde de Facebook giriş bilgilerini çalmak için tasarlanmış uygulamaların yaygın olduğunu tespit eden bir iç güvenlik raporunu kamuoyuna açıkladı.

Meta, Android ve iOS içerisinde bu nitelikte 400’den fazla kötü amaçlı uygulama bulunduğunu, bu uygulamaların kendilerine meşru bir görüntü sağlayabilmek adına basit ama profesyonel görünümlü sanat eserlerini kullandıklarını, bununla birlikte vaat edilen işlevlerin sunulmadığı kullanıcılar tarafından fark edildiğinde ortaya çıkacak olumsuz yorumların bastırılması adına sahte olumlu yorumlar yayınladıklarını bildirdi.

Facebook giriş bilgilerini çalmak için tasarlanmış uygulamalarda gerçeği ele veren, hepsinin başlangıç ekranlarına bir Facebook düğmesi yerleştirilmesi ve mağdurun uygulamayı kullanmak için kimlik bilgilerinin girilmesinin istenmesiydi.

Bu uygulamalar, kötü amaçlı yazılım veya tuş kaydedici yükleme yaklaşımını benimsememeleri, bunun yerine uygulamayı başlatmanın bir koşulu olarak basitçe Facebook giriş bilgilerini talep etmeleri sebebiyle Google ve Apple’ın güvenlik denetiminin radarına takılmadan geçiyor ve böylelikle tehdit aktörleri tarafından kullanıcılara ait bilgilerin çalınması söz konusu oluyor gibi görünüyor. Mobil uygulamaların bir tür gömülü Facebook işlevine sahip olması alışılmadık bir durum olmamakla birlikte uygulama başlatılmadan önce kullanıcının kimlik bilgilerini sağlamasının istenmesi alışılmadık bir durum denilebilir.

Meta, bulgularını doğrudan Apple ile Google’a bildirdiğini, potansiyel olarak etkilenen Facebook kullanıcılarına ulaştığını ve uygulamaların raporun yayınlanmasından önce kaldırıldığını söyledi.

Kaç kullanıcının giriş bilgilerinin bu kötü amaçlı uygulamalar tarafından ele geçirilmiş olabileceğine dair bir tahmin mevcut değil.

Uygulamalar, İki Faktörlü Kimlik Doğrulama (Two Factor Authentication, “2FA”) yöntemini aktifleştiren kullanıcıları değil, Facebook’a yalnızca basit bir kullanıcı adı ve şifre ile giriş yapan kullanıcıları hedef almış gibi görünüyor. Elbette kullanıcılar hesaplarını 2FA ile güvence altına almış olsalar bile, saldırganların kimlik bilgilerinin yeniden kullanılıp kullanılmadığını görmek için diğer çeşitli hizmetleri denemelerini engelleyen hiçbir unsur bulunmuyor.

Facebook giriş bilgileri hırsızlığı teşebbüslerinin, farklı uygulama kategorilerini kapsadığı ve iyi organize edildiği bariz olmakla birlikte bu teşebbüslerin en yaygın görüldüğü uygulamaların, genellikle kullanıcının fotoğraflarını karikatüre dönüştürme veya öz çekimlerin üzerine kıyafet ekleme gibi bazı dikkat çekici işlevler sunan temel fotoğraf editör uygulamaları olduğu, sahte fotoğraf editörlerinin tespit edilen tüm kötü amaçlı uygulamaların %42’sinden fazlasını oluşturmasından anlaşılabiliyor.

Diğer ana kategoriler arasında ise, internet üzerinden sesli görüşme yapmanıza olanak tanıyan IP tabanlı bir protokol olan VoIP (Voice Over Internet Protocol) araması gibi telefon araçları, video oyunları ve sahte VPN’ler ve ticari yazılımlar (genellikle diğer benzer ücretsiz uygulamaların sunmadığı işlevlere ve bilgi içyüzüne erişim vaat ediyorlar) bulunuyor.

Bunun yanında burçlar, kişisel gelişim desteği, medya oynatıcılar ve duvar kâğıdı koleksiyonlarına dair uygulamalar da nadir de olsa Meta’nın bulgularında yer alıyor.

Meta, başlangıçta Facebook giriş bilgilerini isteyen uygulamalara şüpheyle yaklaşılması gerektiğinin altını çizerek kullanıcıların ek bir koruma olarak hesaplarında 2FA’yı etkinleştirmelerini, söz konusu kötü amaçlı uygulamalar vaat edilen işlevselliğin çok azını sağladığı için aslında dahil edilmeyen veya gerçekten çalışmayan kötü niyetli etkinlik belirtilerini incelemelerini öneriyor.

Siber suçlular, tüm büyük sosyal medya platformlarına yeniden bir ilgi gösteriyor ve hesap ele geçirmeyi nispeten kolay ve düşük riskli bir siber suç biçimi olarak görüyorlar. Geleneksel düşünce, bu hesapların ünlü birine ait olmadıkça veya büyük bir platforma sahip olmadıkça çok az değerli olduğu yönünde olsa da bilgisayar korsanlarının büyük çaplı hesaplar için de yaratıcı uygulamalar bulduğu dile getiriliyor.

Sosyal medya giriş bilgilerini çalmak için birçok farklı uygulama olmakla birlikte son zamanlarda popülaritesi artan yöntemlerden bir tanesi, meşru reklam programlarını dolandırmak için uygulamaların ve uygulamadaki kişi listelerinin kullanılması olarak belirtiliyor.

Facebook’ta yakın zamanda gerçekleşen bir dolandırıcılık olayında, saldırganların bir hesabı ele geçirdiği ve ardından kullanıcının kişi listesinin tamamını suçluların gelir elde ettiği meşru reklamları görüntüleyen bir URL’ye yönlendirmeye çalıştığı gözlemlendi.

Benzer türde reklam sahtekarlığı ile kullanıcı cihazlarını ele geçiren kötü amaçlı uygulamaların sayısı 2020’den bu yana uygulama mağazalarında ciddi bir artış gösteriyor. Siber suçlular kötü amaçlı yazılımları, sosyal medya hesaplarını çaldıkları kullanıcıların yakın arkadaşlarına ve diğer takipçilerine iletmek veya kripto para dolandırıcılığı yapmak için kullanıyor.

Clearview AI x Veri İhlali

Fransız Veri Koruma Otoritesi (Commission Nationale Informatique & Libertés, “CNIL”), kamu kurumları başta olmak üzere çeşitli kurumlara yüz tanıma teknolojisi sağlayan, yüz tanıma merkezli yapay zekâ sistemi sayesinde de oldukça geniş bir veri tabanına sahip olan Amerika merkezli Clearview AI’a (“Clearview” veya “Şirket”) kişilerin verilerini yasa bir dayanak olmaksızın topladığı gerekçesiyle 20 milyon avro ceza kesti.

Clearview, sosyal medya mecraları da dahil olmak üzere birçok web sitesinden doğrudan erişilebilen (bir hesapta oturum açılmadan da görüntülenebilen) tüm fotoğrafları toplama yetisine sahip olmakla birlikte tüm platformlarda çevrimiçi olarak bulunan videolardan da görüntüleri çıkararak toplayabiliyor bu yöntemle dünya çapında 20 milyar görüntü topladığı dile getiriliyor.

Bu görüntü koleksiyonu sayesinde Şirket, bir kişinin fotoğrafı kullanılarak aranabileceği bir arama motorunun görüntü veri tabanına erişimini pazarlıyor ve bu hizmeti suç faillerini veya mağdurlarını tespit etmek için kolluk kuvvetlerine sunuyor. ABD kolluk kuvvetlerinin, 2019 yılından bu yana özellikle çocuk pornografisi gibi çocukların konu olduğu ve internet üzerinde görünürlük kazanan suçlar kapsamında bu teknolojiden yararlandığı biliniyor.

Şirket tarafından yüz tanıma teknolojisi, arama motorunu tarayarak fotoğrafına istinaden bir kişiyi bulmak için kullanılmakta. Bunu yapmak için Şirket bir “biyometrik şablon“, bir başka tanımla kişinin yüz özelliklerinin dijital bir temsilini oluşturuyor. Bu biyometrik veriler, özellikle fiziksel kimlikle bağlantılı oldukları ve kişileri benzersiz bir şekilde tanımlamayı sağladıkları için bilindiği üzere oldukça hassas bir veri niteliği taşıyor ve arama motorunda taranması için görüntüleri toplanan kişilerin büyük çoğunluğunun bu özellikten habersiz olduğunu söylemek de mümkün.

Ne Olmuştu?

Mayıs 2020 itibariyle CNIL, Şirket’in yüz tanıma yazılımı hakkında şikâyetler almasıyla birlikte Clearview hakkında bir soruşturma başlatmış, Mayıs 2021’de benzer şekilde, devlet ve işletmelerce yapılan gizlilik ihlallerini izlemekle yükümlü bir dernek olan Privacy International CNIL’i Clearview uygulamaları hakkında uyarmıştı.

Bu prosedür sırasında CNIL, Şirket’in Avrupa’da bir yapılanması olmadığı için ve her bir makam kendi topraklarında yetkili olduğundan soruşturmaların sonuçlarını paylaşmak için Avrupa ile iş birliği yaptı ve CNIL tarafından yürütülen soruşturmalar, Fransız Veri Koruma Yönetmeliği’ne (Règlement général sur la protection des données, “RGPD”) karşı Şirket’in çeşitli ihlallerini ortaya çıkardı:

  • Biyometrik verilerin toplanması ve kullanılması yasal bir dayanak olmaksızın gerçekleştirildiği için kişisel verilerin hukuka aykırı olarak işlenmesi (GDPR madde 6 ihlali),
  • Özellikle kişisel verilere erişim talepleri olmak üzere kişilerin haklarının etkili ve tatmin edici bir şekilde dikkate alınmaması (GDPR madde 12, 15 ve 17 ihlali).

26 Kasım 2021’de CNIL Başkanı tarafından Clearview’a yapılan resmi bildirimde, yasal bir dayanaktan yoksun şekilde Fransa topraklarında bulunan kişilerin kişisel verilerinin toplanması ve kullanılmasının durdurulmasına ve kişilerin haklarını etkin şekilde kullanmalarına olanak tanıyarak silme taleplerinin yerine getirilmesine yönelik talimat verildi.

Şirket’in resmi bildirimde belirtilen talimatları yerine getirmesi ve bunları CNIL’e bildirerek gerekçelendirmesi için iki ayı vardı ancak, bu resmi bildirime Şirket’ten herhangi bir yanıt gelmedi. CNIL Başkanı, konuyu yaptırımlardan sorumlu olan Kısıtlı Komite’ye (Restricted Commitee) havale etti ve Komite, GDPR madde 83’te yer alan azami 20 milyon avroluk para cezasının uygulanmasına karar verdi.

Şirket tarafından gerçekleştirilen veri işleme faaliyetlerinin veri sahiplerinin temel haklarına yönelik çok ciddi riskleri ortaya çıkarmasını göz önünde bulunduran Komite, Şirket’e Fransa’da ikamet eden bireylerin verilerini yasal bir dayanak olmaksızın toplama ve işleme faaliyetlerinin durdurulması ve bu kişilerin verilerinin iki aylık bir süre içinde silinmesi talimatını tekrarlayarak, bu iki ayı aşan her gün için cezaya 100.000 avro ekledi.

Kişisel verilerin hukuka uygun olarak işlendiğinin kabul edilebilmesi için, GDPR’ın 6. maddesinde belirtilen yasal nedenlerden birine dayanması gerekmekte. Şirket’in bu kurala tamamen aykırı olan yüz tanıma yazılımının bu nedenle hukuka aykırı olduğu bariz. Kaldı ki Şirket’in, yazılımını tedarik edebilmek için görüntülerini topladığı ilgili kişilerin onayı da söz konusu değil.

Şirket’in özellikle Fransa’daki milyonlarca internet kullanıcısının internetinde bulunan görüntülerin alınmasını mümkün kılan sürecin müdahaleci ve yoğun doğası göz önüne alındığında, bu verileri toplama ve kullanma konusunda meşru bir çıkarın bulunmadığı vurgulanıyor. Fotoğraflarına veya videolarına sosyal medya dahil olmak üzere çeşitli web sitelerinden erişilebilen bu kişilerin, görüntülerinin Şirket tarafından işlenerek devletler tarafından kolluk kuvvetleri için kullanılabilecek bir yüz tanıma sistemi haline gelmesini makul görmeleri elbette düşünülemez.

CNIL’e ulaşan şikâyetlerde ortaya çıkan bir başka husus da ilgili kişilerin haklarını kullanmaya çalışırken yaşadıkları zorluklar. Şirket, veri sahibinin erişim hakkını kullanmasını talepten önceki on iki ay boyunca toplanan verilerle ve yılda iki kez ile gerekçe göstermeksizin sınırlamasının yanında aynı kişiden gelen yüksek sayıdaki talebin ardından yalnızca belirli isteklere yanıt vermeye başladı. Bütün bu zorlukların yanında, silme taleplerine ilişkin başvuruları yanıtsız bıraktığı veya kısmi bir yanıt vermekle yetindiği de biliniyor.

Prosedür boyunca CNIL ile iş birliği yapmaya yanaşmayan Şirket’in bu sessizliğinin, iş birliği yapma yükümlülüğünü ve dolayısıyla GDPR madde 31’i de ihlal ettiği tespit edildi. Şirket’in yaptırım kararlarından sonra sessizliğini bozup bozmayacağı ise, şimdilik bir soru işareti.

9/2022 Yönergeleri

Bilindiği üzere, bir veri ihlali ortaya çıktığında veri sorumlularının ve veri işleyenlerin veri ihlal bildiriminde bulunma yükümlülükleri de gündeme gelmektedir.

Veri ihlali durumunda üst otoriteye yapılacak bildirimin ne şekilde olacağı, hangi durumlarda bildirim yapılacağı ve ihlalden etkilenen ilgili kişiler ile iletişime geçileceği konusu üye devletlerin iç uygulamalarında çeşitliliğe rastlanabilecek bir alan olmakla birlikte GDPR’da düzenlenen hükümlerle birlikte bu uygulamaların bir çatı altında toplanmaya başladığını söylemek yanlış olmayacaktır.

GDPR, bir ihlalin ne zaman, hangi otoriteye bildirilmesi gerektiğine ve bildirimin bir parçası olarak hangi bilgilere yer verilmesi gerektiğine ilişkin hükümler içermekte, bu kapsamda veri sorumlularına ihlalin gerçekleşmesi halinde hızlı hareket ederek gerekli önlemleri almak ve denetleyici otoritelere bildirimi ihlale müdahale etme planına dahil etmek konusunda bir sorumluluk yüklemektedir.

Benzer şekilde Working Party 29 (Çalışma Grubu 29, “WP29”), kişisel veri ihlallerinin bildirilmesine ilişkin 03/2014 sayılı Görüş’ünde bir ihlal bildirimi durumunda ilgili kişilere bildirim yapılıp yapılmayacağına ilişkin kararın verilebilmesi noktasında veri sorumlularına yol gösterici değerlendirmelerde bulunmaktadır.

Bütün bu açıklamalar çerçevesinde 10 Ekim 2022 itibarıyla kabul edilen GDPR Kapsamında Veri İhlal Bildiriminin Yapılmasına İlişkin 9/2022 Yönergeleri (Guidelines 9/2022 on Personal Data Breach Notification under GDPR) de bütün bu düzenlemeler kapsamında veri sorumlularının zorunlu olarak yapacakları veri ihlal bildirimleri ile ilgili kişi iletişimlerine açıklık getirmekle birlikte veri sorumlularına bu yöndeki gereklilikleri yerine getirebilmeleri açısından atabilecekleri adımları çeşitli örneklerle şekillendirerek uygulamaya ışık tutmayı amaçlamaktadır.