Dünyada Neler Oluyor VII

Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2022 Kasım ayına aittir.

ICO x Interserve Group

Bilgi Komisyonu Ofisi’nin (Information Commissioner’s Office, “ICO”), Berkshire merkezli bir inşaat şirketi olan Interserve Group Ltd’ye, çalışanlarının kişisel bilgilerini güvende tutmadığı gerekçesiyle 4.400.000 sterlin para cezası vermesinin ardından Birleşik Krallık Bilgi Komiseri John Edwards, şirketlerin yazılım güncelleme ve personel eğitimi gibi kritik tedbirleri göz ardı ederek kendilerini siber saldırılara açık hale getirdiği konusunda şirketleri uyardı.

ICO, Şirket’in bilgisayar korsanlarının bir kimlik avı e-postası vasıtasıyla 113.000’e kadar çalışanın kişisel verilerine erişimini sağlayan bir siber saldırıyı önlemek için gerekli güvenlik önlemlerini almadığını tespit etti.

İhlal sonucu ele geçirilen veriler arasında iletişim bilgileri, ulusal sigorta numaraları ve banka hesap bilgileri gibi kişisel bilgilerin yanı sıra; etnik köken, din, engellilik bilgileri, cinsel yönelim ve sağlık bilgileri gibi özel nitelikli veri kategorilerinin de bulunduğu açıklandı.

Edwards konuyla ilgili olarak yaptığı açıklamalarda, işletmelerin karşılaştığı en büyük siber riskin bilgisayar korsanlarından değil şirket içindeki kayıtsızlıktan kaynaklandığı belirtti.

Bununla birlikte işletmelerin sistemlerinde gerçekleşen şüpheli etkinlikleri takip etmediği, uyarılara göre hareket etmediği veya yazılımlarının güncel olmadığı ve çalışanlarına eğitim vermediği tespit edilirse Bilgi Komisyonu Ofisi’nden benzer bir ceza bekleyebilecekleri konusunda bir göndermede bulundu.

Kişilerin en hassas verilerini işlemekte olan işletmelerin kapılarını siber saldırganlara açık bırakmasının kabul edilemez olduğunu belirten Edwards, Interverse veri ihlalinin, çalışanları kimlik hırsızlığına ve dolandırıcılığa karşı savunmasız bırakması sebebiyle gerçek bir zarar potansiyeline sahip olduğunu açıkladı.

ICO’nun ve Ulusal Siber Güvenlik Merkezi’nin (National Cyber Security Centre, “NCSC”), işletmelere tavsiye ve destek sunmak amacıyla hali hazırda birlikte çalıştığı ve önümüzdeki günlerde bir şirketin bulunduğu her yerde kişisel verilerinin korunması için tutarlı bir uluslararası siber rehber için çalışmak üzere dünyanın dört bir yanından düzenleyicilerle bir araya gelineceği de bildirildi.

Edwards’ın, Ekim ayında Türkiye’de 120’den fazla veri koruma ve gizlilik otoritesinin bir araya geldiği 44. Küresel Gizlilik Meclisi’ne (44. Global Privacy Assembly, “GPA”) katıldığı da biliniyor.

Şirketin anti-virüs koruması, kötü amaçlı yazılımı tespit ederek bir uyarı gönderse de şüpheli aktivite kapsamlı bir şekilde araştırılmadığı için saldırganın şirket sistemlerine hali hazırda erişiminin devam ettiği tespit edilemedi ve saldırgan tarafından anti-virüs sistemi etkisiz hale getirilerek 283 sistem, 16 hesap ele geçirildi; 113.000 çalışanın kişisel verileri şifrelenerek kullanılmaz hale getirildi.

Veri ihlalinin gerçekleşme şekli, bugün şirketler tarafından alınması gerekli idari ve teknik tedbirlerin ve bu tedbirlerin uygulanmasında çalışanların rolünün önemini bir kez daha gözler önüne serdi.

ICO soruşturması, şüpheli aktiviteyle ilgili uyarının Interserve tarafından takip edilmediğini, eski yazılım sistemlerinin ve protokollerinin kullanıldığı, personel eğitiminin ve risk değerlendirmelerinin yeterli olmadığını ve bu hususların Interserve’ü siber saldırıya karşı savunmasız bıraktığını ortaya çıkardı.

Bütün gelişmeler ışığında Interserve’e potansiyel bir para cezasının habercisi olan “niyet bildirimini” (notice of intent) gönderen ve ceza bedelini 4.4 milyon sterlin olarak belirleyen ICO, Interserve’ün açıklamaları sonrasında da belirlediği miktarda herhangi bir indirim yapmadan cezayı uyguladı.

AB x Uçtan Uca Şifreleme

Avrupa Birliği’nin (“AB”) çocukların çevrimiçi cinsel istismarı ile mücadele etmeyi amaçlayan yeni düzenlemesi, eleştiri yağmuruna tutuluyor.

Bilindiği üzere güçlü uçtan uca şifreleme yöntemi güvenli ve güvenilir internetin olmazsa olmaz bir parçası ve bu yöntem kullanıcılara çevrimiçi işlemlerde koruma sağlamakta. Bu yöntemin aynı zamanda çocukları da güven içinde iletişim kurmaları noktasında koruduğu, çevrimiçi istismar ve tacizi gizli bir şekilde bildirmelerine olanak sağladığı bir gerçek.

Avrupa Birliği’nin yeni düzenlemesi ise, WhatsApp ve Signal gibi uçtan uca şifreleme yöntemini kullanan mesajlaşma uygulamaları da dahil olmak üzere internet platformların, platformlarındaki çocukların cinsel istismar görüntülerini “tespit etmelerini, bildirmelerini ve kaldırmalarını” ve bu sistemi sağlayabilmek adına da “istemli tarafı taraması” (client-side scanning) adı verilen bir süreci adapte etmelerini gerektiriyor.

Uygulamada bu sürecin büyük bir gizlilik ihlali oluşturması yanında uçtan uca şifreleme yönteminin sağladığı güvenliği baltalamadan bu sistemin işletilebileceğine dair bir kanıt da bulunmuyor. Önerilen bu düzenlemenin iyi niyeti göz önünde bulundurulurken bir yandan şifrelemenin zayıflamasına ve internetin daha az güvenli hale gelmesine neden olacağı da öngörülüyor.

Daha önceki Dünyada Neler Oluyor? bültenlerimizde de yer verdiğimiz New York Times haberinde Google’ın; San Francisco’daki bir babanın oğlunun kasıklarını fotoğrafladığı tıbbi görüntüleri cinsel istismar materyali olarak işaretlediği bildirilmişti.

Bu fotoğraflar, çocuğu için tıbbi tavsiye almak amacıyla doktoruna gönderilmiş olmasına rağmen babanın hesabının kapatılmasının ve bir polis soruşturmasına konu olmasının önüne geçememişti. (Haberin detaylarına LinkedIn sayfamızdan erişebileceğiniz Dünyada Neler Oluyor Bülteni’nin 3. sayısında ulaşabilirsiniz.)

Güvenli mesajlaşma uygulamalarının indirme listelerine hakim olması, Ukrayna’nın işgali ardından vatandaşların arkadaşları ve aileleriyle iletişim kurabilmek adına uçtan uca şifreli mesajlaşma servislerini kullanması ile gündeme gelmişti. Benzer şekilde, Avrupa Komisyonu kendi personeline iletişimlerini korumak adına Signal kullanma çağrısında bulunmuştu. Dünya’nın geçmekte olduğu dönem göz önüne alındığında, şifrelemenin zayıflatılması özellikle AB güvenliği açısından felaket yaratabilecek seviyede gözüküyor.

AB’nin önerileri, düzenlemelerin değiştirilmesi çağrısında bulunan ortak bir bildiri yayınlayan ve gizlilik gözlemcileri olarak anılan “Avrupa Veri Koruma Kurulu (European Data Protection Board, “EDPB”) ve Avrupa Veri Koruma Denetçisi (European Data Protection Supervisor)” tarafından da şimdiden eleştiriliyor. Bu kurumlar, önerileri “son derece müdahaleci ve orantısız” olarak nitelendirerek platformların şifrelemeyi zayıflatmasını gerektirecek düzenlemelerin kişisel verilerin korunması hakkının yanı sıra Avrupa Birliği Temel Haklar Bildirgesi’nin 7. ve 8. maddelerinde yer alan özel hayatın gizliliği ve aile hayatına saygı hakkını ihlal ettiğini savunuyor.

Platformların şifrelemeyi yalnızca AB içerisinde yer alan kullanıcılar için zayıflatması da imkânsız görülüyor. Güvenlikteki herhangi bir azalmanın bu platformun tüm dünyadaki kullanıcılarını etkileyeceği benzer örneklerden de yola çıkılarak kaçınılmaz olarak karşımıza çıkıyor.

Benzer bir yasa düzenlemesinin önerildiği Birleşik Krallık’ta WhatsApp, şifrelemeyi zayıflatmaları gerektiğinde bu pazardan çekilmeye hazır olduğunu belirtmişti. Aynı durumun Avrupa genelinde de yaşanabileceği tahmin ediliyor.

Birleşik Krallık Polisi x LFR

Yakın zamanda Cambridge Üniversitesi’ne bağlı Minderoo Teknoloji ve Demokrasi Merkezi’nin (Minderoo Centre for Technology and Democracy) hazırladığı rapor; Canlı Yüz Tanıma’nın (Live Facial Recognition, “LFR”) sokaklarda, havaalanlarında ve kamuya açık alanlarda polis departmanları tarafından kullanımının yasaklanması gerekliliğine işaret etti.

LFR, kameraların insanların fotoğraflarını içeren veri tabanlarına bağlanması ve bu kameralardan alınan görüntülerin eşleşmeler için kullanılması anlamına gelen bir teknoloji ve yapılan araştırmaya göre; polis departmanlarının kamusal alanlarda LFR kullanması, etik standartların yanında insan haklarını da ihlal ediyor ve ırk önyargısı ile hareket edildiği hakkında endişeler yaratıyor.

Birleşik Krallık polis departmanlarının bu teknolojiyi suç ve terörle mücadele noktasında yardımcı bir unsur olduğuna inanarak kullandığı ancak bazı davalarda mahkemeler tarafından; polisin LFR’ı kullanma şeklinin, bu teknolojinin kullanıldığı kamusal alanlarda günlük yaşamlarını sürdüren insanlar üzerinde ciddi bir mahremiyet hakkı ihlaline sebebiyet verdiğine ilişkin kararların verildiği de biliniyor. Bununla birlikte, Çin gibi denizaşırı ve daha otoriter rejimlerde bu teknolojilerin baskı araçlarının bir parçası olarak kullanıldığı da görülüyor.

Bahsi geçen araştırmada üç farklı kolluk kuvvetinin LFR teknolojileri incelendi. Raporun yazarı Evani Radiya-Dixit yaptığı açıklamada; bu üç uygulamanın da yüz tanımanın polis tarafından kullanımına ilişkin asgari etik ve yasal standartları karşılamadığını tespit ettiklerini söyledi.

Rapor; özellikle insan haklarını korumak ve teknolojinin kullanımında hesap verilebilirliği artırmak için bu teknolojinin üst düzey değer ve ilkelerden hareket ederek uygulanması gerektiğini vurgularken polis departmanlarının kullandığı yüz tanıma sisteminin, büyük ölçekli veri sistemlerinin güvenli ve etik kullanımına yönelik bilinen uygulamaların çoğunu içermediğini ve bu sorunun, yüz tanıma algoritmalarındaki önyargı endişesinin çok ötesinde olduğunu dile getiriyor.

Bir fotoğraf ya da videodan elde edilen yüzün geometrisini okuyan ve benzersiz bir koda/bir “yüz izine” (faceprint) dönüştüren bu sistemler, çok ciddi bir biyometrik veri işleme faaliyetini ve ölçülü uygulama noktasında denge faktörünü de beraberinde getiriyor.

Bu algoritma, Ulusal Fizik Laboratuvarı’nın yardımı ve Savunma Bilim ve Teknoloji Laboratuvarı’nın (Defence Science and Technology Laboratory) girdileriyle doğruluğunu büyük ölçüde arttırıyor ve yanlış uyarı oranı %0,08’den daha az olarak ortaya çıkıyor.

Met tarafından önceki LFR denemelerinin denetlenmesi için işe alınan ve eleştirel bir rapor hazırlayan Pete Fussey, canlı yüz tanımanın oldukça müdahaleci bir teknoloji olduğunu dile getirerek 2020 yılında temyiz mahkemesinin Güney Galler polisinin bu teknolojiyi kullanmasının hukuka aykırı olduğunu açıkça belirtmesi nedeniyle de bu teknolojiyi savunmanın zorlaştığını belirtiyor.

Buna rağmen Güney Galler polisi LFR aracılığıyla yaptığı 61 tutuklama sonrası “önyargı veya ayrımcılık yoluyla eşitlik gerekliliklerini ihlal etme riski olmadığından emin olmak için” sistemlerini geliştirdiklerini belirtiyor.

Emniyet müdür yardımcısı Mark Travis yüz tanıma teknolojisinin “halkı güvende tutmak ve toplumu önemli riskler oluşturan bireylerden korumak için ciddi suçluların tespit edilmesinde yardımcı olmak” amacını taşıdığını belirtirken: “Yaptığımız şeyin meşru ve orantılı olması koşuluyla, halkın kendilerini güvende tutmak için mevcut tüm yöntem ve teknolojileri kullanmamızı desteklemeye devam edeceğine inanıyorum.” açıklamalarında bulunarak polis kuvvetlerinin bu teknolojiyi kullanma noktasında ısrarcı olduğunu da vurguluyor.

Bütün bu tartışmalar sürerken Parlamento’da ise canlı yüz tanımanın potansiyel güvenlik faydalarını, polisin parmak izi ve DNA kullanımında olduğu gibi güvenlik önlemleriyle dengeleyen bir kılavuzun henüz yürürlüğe koyulmadığı, sessizliğin korunduğu görülüyor.

ICO x Bakanlar Kurulu

Birleşik Krallık Bilgi Komiseri (The UK Information Commissioner), 2021’de New Years Honours veri ihlali ile ilgili olarak Bakanlar Kurulu’na verilen 500.000 sterlinlik para cezası bildirimini (Monetary Penalty Notice, “MPN”) Bakanlar Kurulu’nun da ödemeyi kabul ettiği 50.000 sterline indirme kararı aldı. Bu kararın Bilgi Komisyonu Ofisi’nin (Information Comissioner’s Office, “ICO”) kamu yetkilileriyle daha etkin şekilde çalışmaya dair yeni yaklaşımını yansıttığı söyleniyor.

Ne olmuştu?

Bilgi Komiseri bu cezayı; Bakanlar Kurulu’nun 2019’da GOV.UK adresinde, içerisinde New Years Honours listesinde ilan edilen 1000’den fazla kişinin isimlerini ve sansürsüz adreslerini barındıran dosyayı yayınladığı veri ihlaline ilişkin soruşturmanın ardından vermişti. İhlale konu kişisel veriler 2 saat 21 dakika boyunca çevrimiçi erişime açı kalmış ve verilere 3872 kez de erişim sağlanmıştı.

2021 Aralık’ta Bakanlar Kurulu, Birinci Kademe Mahkeme’ye (First-Tier Tribunal) ceza tutarı seviyesinin “tamamen orantısız” olduğuna dair itirazda bulunmuştu. Burada dikkat çeken husus, başvurunun cezaya yol açan olgulara ilişkin değil yalnızca para cezasının tutarına ilişkin olarak yapılmasıydı.

Taraflar arasında mutabık kalınan ve mahkeme tarafından da onaylanan anlaşmaya göre, Birleşik Krallık Bilgi Komiseri cezanın 50.000 sterline indirilmesini kabul etti.

Birleşik Krallık Bilgi Komiseri John Edwards, “ICO, insanların hayatlarında fark yaratmaya odaklanan pragmatik, orantılı ve etkili bir düzenleyicidir. İlk verilen para cezasının, ihlalden etkilenen insanların üstünde potansiyel bir etkisi göz önüne alındığında orantılı olduğunu düşünmekle birlikte; hâlihazırda kamu kurumlarının yüzleşmekte olduğu ekonomik baskıların farkındayız. Geçen yıl cezanın verildiği zamandan beri, veri koruma standartlarını yükseltmek için kamu yetkilileriyle daha etkin bir çalışmaya yönelik yeni bir yaklaşım benimsedik. Açıkladığımız gibi, kamu sektöründe yüksek para cezaları bazı durumlarda tek başına caydırıcı bir faktör olmayabiliyor. Alınan derslerin kamuoyuna duyurulması ve iyi uygulamaların paylaşılması dahil olmak üzere daha iyi bir katılımla, uygun durumlarda kamu sektörüne verilen cezaların miktarını azaltmak için takdirimi kullanmaya hazırım.” şeklinde açıklamalarda bulundu.

TikTok x AB

TikTok, Avrupalı kullanıcılarına, Çin’in platformdaki kullanıcı bilgilerine erişimiyle ilgili politik ve ülke düzenlemelerinden kaynaklı kaygılar sürerken, kullanıcı verilerine Çin de dahil olmak üzere kıta dışındaki çalışanlar tarafından erişilebileceğini açıkladı.

Çin’e ait sosyal video uygulaması, ülkelerdeki personelin, platform deneyimlerinin “tutarlı, eğlenceli ve güvenli” olmasını sağlamak için kullanıcı verilerine erişim izni verildiğini doğrulamak için gizlilik politikasını güncellediğini bildirdi.

TikTok personeli tarafından Avrupa kullanıcı verilerine erişebilen diğer ülkeler arasında Brezilya, Kanada ve İsrail’in yanı sıra Avrupa kullanıcı verilerinin şu anda depolandığı ABD ve Singapur yer alıyor.

TikTok’un Avrupa’daki gizlilik departmanı yöneticisi Elaine Fox “Bir dizi sağlam güvenlik kontrolüne ve onay protokolüne tabi olarak GDPR kapsamında tanınan yöntemler yoluyla işin gerekliliklerini yerine getirebilmek amacıyla Brezilya, Kanada, Çin, İsrail, Japonya, Malezya, Filipinler, Singapur, Güney Kore ve Amerika Birleşik Devletleri’nde bulunan şirket grubumuzdaki belirli çalışanların TikTok Avrupa kullanıcı verilerine uzaktan erişmesine izin veriyoruz.” dedi.

Verilerin, kullanıcılara içerik öneren algoritmalarının performansı da dahil olmak üzere platformun bazı yönleri üzerinde kontroller yapmak ve zararlı otomatik hesapları tespit etmek için kullanılabileceği bildirildi. TikTok daha önce bazı kullanıcı verilerine, şirketin Çin’deki ana şirketi ByteDance’in çalışanları tarafından erişildiğini de kabul etmişti.

Birleşik Krallık, Avrupa Ekonomik Alanı ve İsviçre için geçerli olan ve 2 Aralık’ta yayınlanacak olan gizlilik politikası güncellemesi, dünya çapında bir milyardan fazla kullanıcısı olan uygulama tarafından oluşturulan verilerin kullanımına ilişkin siyasi ve düzenleyici baskıların zemininde gerçekleşecek.

ABD Başkanı Joe Biden, selefi Donald Trump’ın TikTok’un ABD işlerinin satışını emreden idari emirlerini iptal etmekle birlikte ABD Ticaret Bakanlığı’ndan, ABD’deki kişilerin verilerini yabancılardan korumak için öneriler üretmesini talep etti. ABD dışındaki şirketlerle yapılan ticari anlaşmaları inceleyen ABD’deki Yabancı Yatırım Komitesi’nin de TikTok üzerinde bir güvenlik incelemesi yürüttüğü bildirildi.

Avrupa Birliği genelinde TikTok üzerinde yargı yetkisine sahip olan İrlanda’nın veri denetçisi de “TikTok tarafından kişisel verilerin Çin’e aktarılması” konusunda bir soruşturma başlattı.

Avrupa Adalet Divanı’nın Schrems II olarak adlandırdığı kararı uyarınca, Avrupa Birliği dışındaki belirli veri aktarımlarında özellikle devlet yetkililerinin erişimine odaklanılarak, diğer uçta kullanıcının verilerine sağlanan “koruma düzeyinin” dikkate alınması gerektiği belirtiliyor. TikTok, geçen yıl yayınladığı bir blog yazısında, Schrems II kararıyla belirlenen düzenleyici yönergeler ile “uyumlu” bir uygulama olduğunu dile getirmişti.

Geçtiğimiz ekim ayında ise TikTok, iş dünyası yayını Forbes’ta bu uygulamaların ABD vatandaşlarını “hedeflemek” için kullanıldığına dair yayınlanan raporu yalanlamıştı. Forbes’ta yayınlanan raporda, video paylaşım uygulaması aracılığıyla TikTok’un en az iki kişinin konumunu takip etmeyi planladığı iddia edilmişti.

Gizlilik politikası güncellemesinde Fox, TikTok’un GPS teknolojisine dayalı olsun ya da olmasın Avrupa’daki kullanıcılardan “kesin konum bilgisi” toplamadığını belirtmişti. Mevcut versiyonda ise gizlilik politikası, “izne istinaden, kesin konum bilgilerini de (GPS vb.)” toplayabileceğini bildiriyor.

Incogni x Google Play

Bir veri imha şirketi olan Incogni, uygulamaların ne kadar veri paylaştığını ve geliştiricilerin kullanıcılarının kişisel bilgilerini korumak için ne tür güvenlik uygulamaları kullandığını ortaya çıkarmak için yeni Google Play Store veri güvenliği bölümünü derinlemesine araştırdı.

Araştırma sonuçlarına göre; uygulamaların yarısından fazlası kullanıcı verilerini açıkça paylaşıyor ve daha da fazla sayıda uygulama kullanıcı verilerini toplayarak aktarıyor.

Veri, dijital dünyanın adeta yeni petrolü olarak görülüyor, hatta veri ticaretiyle gelişen 250 milyar doların üzerinde bir sektör bulunduğu biliniyor. Bu nedenle ister tarayıcılar üzerinden ister ziyaret edilen web siteleri üzerinden veya indirilen uygulamalar olsun, internet üzerinden veri toplama ve paylaşmanın bu kadar yaygın olması günümüz dünyası için artık çok da şaşırtıcı değil.

En Çok Veri Paylaşan Google Play Uygulamaları

Araştırmada yer alan uygulamaların %55.2’sinin verileri paylaştığını açıkça kabul ettikleri ortaya çıktı. Bunlar arasında Incogni, hangi uygulamaların diğerlerinden daha fazla veri paylaştığına ilişkin belirli eğilimleri de tespit etti. Buna göre;

  • Alışveriş, iş ve yeme-içme kategorilerinin en çok kullanıcı verisi paylaşan uygulama kategorileri arasında yer aldığı tespit edildi.
  • Daha da ilginç olan, Incogni’nin analiz ettiği 500 ücretsiz ve 500 ücretli Google Play uygulaması arasında ücretsiz uygulamaların ücretli uygulamalardan 7 kat daha fazla veri paylaştığının tespit edilmesi oldu.
  • 500.000’den fazla indirmeye sahip olan popüler uygulamaların, daha az popüler uygulamalara kıyasla 6.15 kat daha fazla veri paylaştığı ortaya çıktı.

Ücretsiz uygulamaların ücretli uygulamalardan yaklaşık 400 kat daha fazla indirilmesinin araştırma bulgularında önemli bir rol oynadığı muhtemel olmakla birlikte genel olarak bu bulgular, kullanıcıların “ücretsiz” uygulamalar için kişisel verileriyle ödeme yaptığı fikrini destekliyor.

Uygulamaların Paylaştığı Veri Türleri

Incogni, en yaygın olarak paylaşılan veri tiplerinin ve bunları paylaşan analiz ettikleri uygulamaların yüzdesini derlediği listesinde, bazı uygulamaların son derece hassas verileri açıkça paylaştığını bildirdi:

  • Yaklaşık konum geçmişleri (%13,4)
  • E-posta adresleri (%6.77)
  • İsimler (%4.77)
  • Ev adresleri (%3.85)
  • Kesin konum bilgileri (%3.85)
  • Fotoğraflar (%3.23)
  • Uygulama içi iletiler (%1,85)
  • Videolar (%1.69)
  • Cinsel yönelim bilgileri (%0.62)
  • Dosyalar ve belgeler (%1,54)
  • SMS veya MMS bilgileri (%0,46)
  • Irk ve etnik köken bilgileri (%0,15)
  • Dini ve siyasi inançlar (%0,15)

Google’ın “veri paylaşımı” ile kastettiği çerçevede verilerin yasal sebeplerle hizmet sağlayıcılara aktarılması veya anonimleştirerek aktarım da yer almıyor. Bu anlamda listelenen hassas veri tiplerinin, kişisel verileri kâr amacıyla satan pazarlamacılar ve veri simsarları dahil olmak üzere üçüncü taraflarla paylaşıldığı gerçeğini gözler önüne seriyor. Anonimleştirme senaryosunda dahi araştırmacılar tarafından, 15 veri noktası kadar az bir veri ile anonimleştirilmiş verilerin %99.98 oranında doğru şekilde yeniden tanımlanabildiği belirtiliyor.

Sosyal medya uygulamaları ve iş uygulamalarının bu konudaki en kötü uygulamalara sahip olduğu ortaya çıktı. İlginç bir şekilde, en fazla veri toplayan uygulamalardan bazıları, en az paylaşımda bulunduğunu beyan eden uygulamalar arasında yer aldı ve bu durum şeffaflıkla ilgili soruları gündeme getirdi.

Özellikle Facebook, Messenger ve Instagram gibi Meta uygulamalarının en fazla kullanıcı verisi toplayan uygulamalar olduğu gözlemlendi. Tespitlere göre, bu uygulamalar anonimleştirilmiş verileri yeniden tanımlamak için gereken 15’in çok üzerinde, 37 olası veri noktasından 36’sını toplayarak kullanıcıları hakkında neredeyse her şeyi bilecek noktada olmalarına rağmen yalnızca 4 veri tipini paylaştıklarını iddia ediyorlar.

Verilerimiz Gerçekten Güvende mi?

Aralık 2021’de Cash App adlı popüler bir mobil ödeme hizmeti, 8,2 milyon kullanıcıya ait kişisel bilgilerin sızdırıldığı bir veri ihlali yaşamıştı. Saldırganların eline geçen bu veriler, tüketicileri dolandırıcılık, kimlik avı, kimlik hırsızlığı ve hatta şantaj veya haraç hedefi ile karşı karşıya bırakacak nitelikteydi.

Böylesine ciddi tehditler karşısında kullanıcılar, uygulamaların kişisel verilerini korumak için uygun güvenlik önlemlerini almasını bekliyor. Incogni, uygulamaların bu alanda da sınıfta kaldığını ortaya çıkardı.

Uygulamaların neredeyse hiçbiri (%0.8 haricinde) bağımsız güvenlik incelemesinden geçemedi. %4.9’u ise, kişisel verileri aktarım sırasında hiçbir şekilde şifrelemediklerini açıkça kabul etti. Daha da kötüsü, uygulamaların yarısından fazlasının aktarım sırasında verileri şifrelemek için herhangi bir iddiasında bile bulunmamış olması oldu.

Birleşik Krallık x AB

Önemli bir Avrupa Birliği (“AB”) parlamento üyesi, Birleşik Krallık hükümetiyle ülkenin veri koruma reform planları hakkında yaptığı toplantıları “korkunç” olarak nitelendirdi.

Fransız Avrupa Parlamento Üyesi Gwendoline Delbos-Corfield, Dijital Bakan Julia Lopez’in toplantının yarısında ayrıldıktan sonra “aptal yerine konduklarını” hissettiğini, Birleşik Krallık İçişleri Bakanlığı bakanlarının kendileriyle ve İngiltere’nin veri düzenleyicisiyle görüşmeye zahmet etmediğini söyledi. Bilgi Komisyonu Ofisi (Information Commissioner’s Office, “ICO”) görüşmeye Başkan John Edwards yerine yönetici müdür vekili Emily Keaney’i göndermişti. Delbos-Corfield, ICO yetkilisinin “veri koruma hakkında hiçbir şey bilmediğini” ve tek cümlelik cevapların ötesinde ayrıntı veremediğini söyledi.

Birleşik Krallık Dijital Sekreteri Michelle Donelan, Birleşik Krallık’ın AB’den miras aldığı ve GDPR’a dayanan “çılgın” veri düzenleme kurallar kitabını değiştirme sözü verdi. Buna rağmen Birleşik Krallık’ın, 27 üyeli blok ile veri akışlarını sürdürmek için AB’ye benzer gizlilik standartlarını koruması gerekiyor.

Fransız Avrupa Parlamento Üyesi, Birleşik Krallık hükümet yetkilileriyle reform planları hakkında yaptığı görüşme hakkında, “Korkunçtu, her şey büyüme ve yenilikle ilgiliydi ve insan haklarıyla ilgili hiçbir şey yoktu. Verileri korumak temel bir haktır dediklerini hiç duymadım. Macaristan’da bile bunu söylüyorlar.” dedi.

İtalyan Avrupa Parlamento Üyesi Fulvio Martusciello, ziyaretten edindiği izlenimin İngiltere’nin “ticari kazanç karşılığında mahremiyetten vazgeçtiği” yönünde olduğunu söylemekle birlikte “Avrupa’da bireyin korunması hakimdir; İngiltere’de ekonominin korunması hakimdir.” dedi.

Bir Birleşik Krallık hükümet yetkilisi, “Yüksek veri koruma standartlarına güçlü bir bağlılığımız olduğu konusunda nettik.” diyerek parlamento üyelerinin çıkarımlarını reddetti.

Delbos-Corfield, ziyaretle ilgili en endişe verici şeyin ICO’nun zayıflığı olduğunu belirtti.

Birleşik Krallık Dijital Bakanlığı’ndan bir sözcü, “Birleşik Krallık, insanların verilerini korumaya kararlıdır ve reformlarımız ülkenin güvenilir yüksek standartlarını güçlendirirken, işletmelerin ve araştırmacıların toplumu iyileştirmek ve ekonomiyi büyütmek için verilerin gücünü ortaya çıkarmasını kolaylaştıracak.” dedi. Hükümet bakanlarının, günlük baskıları olduğu durumlarda toplantılara mümkün olan en uzun süre boyunca katıldıkları anlaşılıyor.

Clearview x AB

Alman aktivist Matthias Marx, solgun ve geniş bir yüze, tepesinde dağınık sarı saçlara sahip ve yüzünün çalındığını iddia ediyor. Şimdiye kadar, bu özellikler onun izni olmadan üç şirket tarafından haritalandı ve bunlardan maddi gelir elde edildi. Milyarlarca kişinin başına geldiği gibi, yüzü rızası olmadan bir arama terimine dönüştürüldü.

Matthias Marx, devasa bir yüz veri tabanı oluşturmak için internetten milyarlarca fotoğrafı toplayan Clearview AI veri tabanında yüzünün herhangi bir fotoğrafı olup olmadığını öğrenmek istedi ve bu hususu Clearview’e sormak için bir e-posta gönderdi. Bir ay sonra, iki ekran görüntüsünün eklendiği bir yanıt aldı. Fotoğraflar yaklaşık on yıllıktı ama her ikisi de Matthias Marx’a aitti. Matthias Marx fotoğrafların var olduğunu biliyordu ancak Clearview’in aksine, bir fotoğrafçının onları izinsiz stok fotoğraf sitesi Alamy’de sattığını bilmiyordu.

Matthias Marx’a göre, Clearview’in bilgisi veya izni olmadan yüzünü veya biyometrik verilerini kullanarak GDPR’ı ihlal ettiği açıktı. Bu nedenle Şubat 2020’de yerel gizlilik düzenleyicisine şikâyette bulundu. Bu şikâyet, Avrupa’da Clearview aleyhine yapılan ilk şikayetti ancak davanın çözülüp çözülmediği hala belirsiz durumda. Düzenleyicinin sözcüsü davanın kapatıldığını söyledi ancak Matthias Marx ise sonuçtan haberdar edilmediğini belirtti.

Matthias Marx, “ClearView AI hakkında şikâyette bulunmamın üzerinden neredeyse iki buçuk yıl geçti ve dava hala açık. Bu davanın türünün ilk örneği olduğunu hesaba katsanız bile çok yavaş işliyor.” şeklinde bir açıklama gerçekleştirdi.

Avrupa çapında milyonlarca insanın yüzü Clearview gibi şirketler tarafından işletilen arama motorlarında görünüyor. Bölge, dünyanın en katı mahremiyet yasalarına sahip olmakla övünebilir, ancak Hamburg da dahil olmak üzere Avrupalı düzenleyiciler, bunları uygulamak için mücadele ediyor.

Ekim ayında, Fransız veri koruma otoritesi, Avrupa gizlilik kurallarını ihlal ettiği için Clearview’e 20 milyon euro ceza veren üçüncü AB düzenleyicisi oldu. Clearview yine de AB vatandaşlarına ait yüz verilerini platformundan kaldırmadı, İtalya ve Yunanistan’daki düzenleyiciler tarafından verilen benzer cezalar ödenmedi.

Diğer gizlilik aktivistleri gibi Matthias Marx da Clearview’in bir yüzü kalıcı olarak silmesinin teknik olarak mümkün olduğuna inanmıyor. Clearview’in sürekli olarak interneti yüzler için tarayan teknolojisinin onu tekrar tekrar bulup kataloglayacağına inanıyor. Clearview, kişileri veri tabanından kalıcı olarak silip silemeyeceğine ilişkin yorum talebine de yanıt vermedi.

Clearview, yatırımcılara, bu yıl veri tabanında 100 milyar fotoğrafa sahip olma yolunda olduğunu açıkladı; bu, gezegendeki 7 milyar insanın her biri için ortalama 14 fotoğrafa tekabül ediyor.

CEO Hoan Ton-That’e göre Clearview’in çalışma şekli (internette yüzleri aramak için botlar göndererek ve ardından onları bir veri tabanında saklayarak) AB vatandaşlarına ait yüzlerin platformda görünmesini engellemeyi imkânsız kılıyor. Ürününü piyasadaki diğer ürünlerle karşılaştırarak, bir kişinin AB’de ikamet edip etmediğini, yalnızca internetteki halka açık bir fotoğraftan belirlemenin bir yolunun bulunmadığını ve bu nedenle AB sakinlerinin verilerini silmenin imkânsız olduğunu Clearview AI’ın, tıpkı Google, Bing veya DuckDuckGo gibi diğer tüm arama motorlarında olduğu gibi yalnızca internetten herkese açık bilgileri topladığını söyledi.

Ancak mahremiyet aktivistleri, bir isimle arama yapmak ile bir yüzle arama yapmak arasındaki farkın çok önemli olduğunu savunuyor. “Bir ad benzersiz bir tanımlayıcı değildir. Bir ad, herkesin içinde saklayabileceğiniz bir şeydir ancak bir yüz, evinizden kafanızda bir çantayla çıkmadığınız sürece, toplum içinde saklayabileceğiniz bir şey değildir.” deniliyor.

AB düzenleyicilerinin yaptırımlarında daha agresif olmalarını isteyen Audibert, “Şirket işbirliği yapmaya istekli değilse, bir ABD şirketine Avrupa’dan bir düzenleyicinin kararı uygulatması çok zor. Bu, GDPR’ın ne tür kısıtlayıcı bir güce sahip olduğunu görmek için gerçekten bir test örneği.” dedi.

2020’den beri Matthias Marx, yüzünün fotoğraflarının yayıldığını keşfetti. Yüzü için Pimeyes adlı başka bir yüz tanıma platformunu aradığında, platform Clearview’den bile daha fazla fotoğraf ortaya çıkardı. Bulduğu fotoğraflardan biri ona ironik bir şekilde, mahremiyet hakkında bir konuşma yaptığı anı resmediyor.

Pimeyes teknik olarak Clearview’den farklı çünkü yüzleri bir veri tabanında saklamıyor, bunun yerine gizlilik uzmanlarına göre kullanıcı bir fotoğraf yüklediğinde o fotoğrafla ilgili internette bulunan diğer fotoğrafları arıyor. Herkes siteyi ücretsiz olarak kullanarak arama yapabiliyor ancak fotoğrafların bulunduğu bağlantıların erişimi için bir ücretin ödenmesi gerekiyor.

CEO Giorgi Gobronidze, Clearview’den farklı olarak Pimeyes’in Facebook, Twitter, VKontakte gibi sosyal medya platformlarını taramadığını da “Teorik olarak sosyal medyayı tarayabiliyor olmamız, bunu yapmamız gerektiği anlamına gelmiyor.” diyerek vurguluyor. Fotoğraflarının farklı çevrimiçi kaynaklar tarafından kullanıldığını bilmeyen binlerce insan olduğunu ve aslında onların da bu durumu bilmeye hakları olduğunu da belirtti.

Gobronidze konuyla ilgili olarak “İnsanlar, her ücretsiz arama sonucunda devre dışı bırakma istekleri gönderebilir veya belirli bir fotoğrafın kaldırılmasını ya da tek bir tıklamayla o fotoğrafın daha fazla işlenmesinin engellenmesini isteyebilir.” şeklinde açıklamada bulundu.

Matthias Marx ise şirketin onun resmini asla kullanmaması gerektiğini, şirketin ancak açık rıza kapsamında izin alarak biyometrik verilerini kullanabileceğini söyledi.

Bu yılın mart ayında Matthias Marx, Public Mirror‘ın dosyalarında onun yüzünün dört görüntüsünün bulunduğunu keşfetti. Diğer yüz arama motorları gibi, Matthias Marx hakkında bilgi veren sadece fotoğrafların kendisi değil, onlara eşlik eden çevrimiçi bağlantılardı. Public Mirror’ın bağlantıları, Matthias Marx hakkında yazılmış medya makalelerine veya konuştuğu konferanslara ilişkin bir dizin görevi görüyor.

Bu platformların her biri, derin kişisel bilgileri ortaya çıkarıyor. Mathias Marx, “Nerede çalıştığımı, hangi siyasi partiyi desteklediğimi anlayabilirsiniz.” dedi. Bu durum şirketlerin topladığı fotoğraflarla birlikte herhangi bir sosyal medya profilinden çok daha fazla bilgi veren bir sektöre işaret ediyor.

Matthias Marx 2020’de bu konuyu ele almaya başladığında, tek istediği bir şirketin yüzünün fotoğraflarını toplamayı bırakmasıydı. Sorun şimdi bundan çok daha büyük. Bugün düzenleyiciler, endüstrinin Avrupalıların fotoğraflarını toplamasını tamamen durdurmaya çağırıyor.

Medibank x Veri İhlali

Medibank, siber suçluların Avustralya sağlık sigortası devinden çalınan hassas tıbbi kayıtları sızdırmaya başlamasının ardından müşterilerini yüksek düzeyde tetikte olmaya çağırdı.

REvil çetesiyle bağlantılı bir fidye yazılımı grubu, müşterilerin adları, doğum tarihleri, pasaport numaraları ve tıbbi şikayetlerle ilgili bilgileri de dahil olmak üzere çalınan kayıtlarını 9 Kasım’ın erken saatlerde yayınlamaya başladı. Medibank’ın fidye talebini ödemeyeceğini açıklamasının ardından, “Fidye ödemesinin müşterilerimizin verilerinin iadesini sağlayacağına ve yayınlanmasını engelleyeceğine dair kısıtlı bir şansı olduğuna inanıyoruz.” şeklinde bir açıklama yapıldı.

Siber suçlular, Avustralyalı ihlal mağdurlarını “kötü” ve “iyi” şeklinde listelere ayırdı; ilki, mağdurları uyuşturucu ve alkol bağımlılığı ve HIV ile ilişkilendirdiği görünen sayısal tanı kodlarını içeriyordu. Örneğin, bir kayıtta, Dünya Sağlık Örgütü tarafından yayınlanan Uluslararası Hastalık Sınıflandırması kapsamında esrar bağımlılığına karşılık gelen “F122” yazan bir giriş bulunuyordu.

Ayrıca, sızdırılan verilerin, Başbakan Anthony Albanese ve Siber Güvenlik Bakanı Clare O’Neil gibi üst düzey Avustralya hükümeti milletvekillerini de içeren yüksek profilli Medibank müşterilerinin isimlerini içerdiğine inanılıyor.

Sızdırılan verilerin bir kısmı, siber suçlular ile Medibank CEO’su David Koczkar arasındaki müzakerelerin yazışmalarını da içeriyor gibi görünüyor.

WhatsApp mesajlarının ekran görüntülerinin de sızdırılması, Medibank’ın hiçbir bankacılık veya kredi kartı detayına erişilmediğini iddia etmesine rağmen fidye yazılımı grubunun “kredi kartlarının şifresini çözmek için anahtarları” sızdırmayı planladığını da gösteriyor. Medibank sözcüsü Liz Green konuyla ilgili olarak 9 Kasım günü e-postayla yaptığı açıklamada, “Bu siber suçla ilgili bugüne kadar yaptığımız soruşturmaya dayanarak, suçlunun kredi kartı ve banka bilgilerine erişmediğine inanıyoruz.” dedi.

Kimliği bilinmeyen ancak REvil’in dosya şifreleyen kötü amaçlı yazılımının bir çeşidine dayanan Medicare fidye yazılımı saldırısının arkasındaki siber suçlu çetesi, şimdiye kadar grubun çaldığını iddia ettiği verilerden yaklaşık 200 Medibank müşterisinin kişisel verilerini sızdırdı. Medibank ise siber suçluların yaklaşık 9,7 milyon müşterinin kişisel bilgilerine ve yaklaşık 500.000 müşterinin de sağlık şikâyeti verilerine eriştiğini doğruladı.

Mali dolandırıcılık için kötüye kullanılabilecek son derece gizli bilgileri ifşa eden veri sızıntısı ışığında, Medibank ve Avustralya Federal Polisi, çevrimiçi hesaplarda kimlik avı dolandırıcılığı ve beklenmedik etkinliklere karşı müşterileri yüksek düzeyde tetikte olmaya çağırıyor. Medibank ayrıca kullanıcılara, şifreleri yeniden kullanmamalarını ve seçeneğin mevcut olduğu tüm çevrimiçi hesaplarda çok faktörlü kimlik doğrulamanın etkinleştirilmesini tavsiye ediyor.

Son güncellemesinde Medibank, “suçlunun Dark Web’de dosya yayınlamaya devam etmesini beklediğini” söyleyerek durumun daha da kötüleşmesine kendini hazırlıyor. Siber suçlular, Dark Web sızıntı sitesinde birleşme, kaynak kodları, malzeme listesi ve farklı ana bilgisayarlardan Medibank dosya sisteminden elde edilen bazı dosyalar dahil olmak üzere verileri kısmen yayınlamaya devam etmeyi planladıklarını söylediler.

Medibank müşterilerinin ihlalin ardından tazminat alıp almayacağı veya Medibank’ın kullanıcıların gizli tıbbi verilerini korumadığı için dava açıp açmayacağıysa henüz bilinmiyor. İhlal, Avustralya’nın reformlarla ilgili uzun bir istişare sürecinin ardından ülkenin gizlilik yasalarında yapılacak bir yasal değişikliği onaylamasından sadece birkaç hafta sonra gerçekleşti. Gizlilik Mevzuatı Değişikliği Tasarısı 2022, ciddi veya tekrarlanan gizlilik ihlalleri için 1988 Gizlilik Yasası kapsamında uygulanabilecek azami cezaları artıracak ve Avustralya bilgi komisyoncusu için daha fazla yetki sağlayacaktır.

Twitter x Hollanda’lı Kullanıcılar

Hollanda Veri Koruma Kurumu, 11 milyon Hollanda sakini adına gizliliğe duyarlı verileri reklam şirketi MoPub aracılığıyla izinsiz olarak toplayan ve satan Twitter’a karşı toplu dava açmaya hazırlanıyor.

MoPub, 2013’ten 2021’e kadar Buienradar, Flitsmeister, Duolingo, Wordfued, Vinted ve Grindr dahil olmak üzere yaklaşık 30.000 popüler mobil uygulamada insanların verilerini topladı ve Twitter, bu yılın başında reklam şirketini sattı.

Hollanda Veri Koruma Kurumu başkanı Anouk Ruhaak, “Listemizdeki 30.000’den fazla uygulamanın neredeyse tamamında MoPub’dan küçük bir kod parçası vardı” dedi ve “Kod, uygulamayı ne zaman başlattığınızı, nerede olduğunuzu ve uygulamayı ne kadar süreyle kullandığınızı depolar. Tüm verileri birleştirirseniz, bir kişinin resmini elde edersiniz.” diye ekledi.

Ruhaak, MoPub’ın verileri sattığını ve şirketlerin bunu hedefli reklamlar için kullandığını söyledi.

“Bir reklam aldığınızı düşünüyorsunuz, belki umursamıyorsunuz ancak fark etmediğiniz şey, diğerlerinden farklı reklamlar aldığınız ve bunun davranışınızı etkileyebileceği. Örneğin, yeme bozukluğu olan 15 yaşındaki bir çocuk, bir karbonhidrat sayma uygulaması kullanıyor ve diyet programlarıyla ilgili reklamlar alıyor. Bu çok zararlı olabilir.” şeklinde açıkladı.

Ruhaak’ın verdiği bir diğer örnekte çocuk sahibi olmak isteyen ve adet döngüsünü takip eden bir mobil uygulama kullanan kadının çocuk sahibi olmak istediğini şirketler biliyor. Bu nedenle, bebek çoraplarıyla ilgili reklamlar alma şansı yükseliyor. Buraya kadar masum olsa da bazı şirketlerde boş pozisyonlar olduğu ama bu pozisyonların kendisine bu sebeple gösterilmediği iddia ediliyor. Yakında doğum iznine ayrılacak birini işe almak istemiyorlar.Hedefli reklamcılığı kullanarak ayrımcılık yapılıyor ve cinsiyet eşitsizliği artıyor.

Ruhaak, bahsi geçirilen 30.000 mobil uygulamanın arkasındaki şirketlerin MoPub’ın veri toplama faaliyetinden haberdar olup olmadığını bilmiyor. Ayrıca, reklam verenlerin yasadışı olarak elde edilmiş verileri kullandıklarının farkında olup olmadıkları da net değil.

Hollanda Veri Koruma Kurumu, etkilenen Hollanda sakinlerini onlar adına toplu dava açtığı konusunda bilgilendirmek için bir bilinçlendirme kampanyası başlattı. Amaç, zarar gören tüm taraflar için tazminat elde edebilmek. Talep için henüz bir miktar belirlenmese de geçmişte emsal davalar için kişi başı 250 – 2500 avro arasında ödeme yapıldığı belirtilmiş.

FIFA Dünya Kupası x Katar

20 Kasım – 18 Aralık tarihleri ​​arasında Katar’da düzenlenecek 2022 Dünya Kupası için yaklaşık 1,5 milyon ziyaretçinin seyahat etmesi bekleniyor. Ülkeyi ziyaret eden yabancıların resmi Dünya Kupası uygulaması Hayya ve Covid izleme uygulaması Ehteraz olmak üzere iki mobil uygulama indirmeleri gerekiyor.

Uzmanlar, mobil uygulamaları bir tür casus yazılım olarak nitelendiriyorlar çünkü Katar makamlarına geniş erişim yetkisi sağlıyor. Bu erişime kullanıcıların verilerinin içeriğini okuma, silme veya değiştirme ve hatta doğrudan arama yapmanın dahil olduğu söyleniyor.

Fransa’nın veri koruma otoritesi (Commission Nationale Informatique & Libertés, “CNIL”), futbol taraftarlarına kendilerini Katar Dünya Kupası mobil uygulamalarının gözetlemesinden nasıl korumaları gerektiğini anlatıyor. Bir CNIL sözcüsü “İdeal olarak, boş bir akıllı telefonla veya sıfırlanmış eski bir telefonla seyahat edin” diyor ve “Ülkenin mevzuatı açısından sizi zor durumda bırakabilecek fotoğraf, video veya dijital eserlere özellikle dikkat edilmelidir.” diye ekliyor.

Spor etkinliği, rüşvet ve yolsuzluk iddiaları, sömürücü çalışma koşulları, Katar’ın LGBTQ+ kişilere yaklaşımına dair endişeler ve medya özgürlüğü gibi tartışmalarla boğuşuyor.

Norveç veri koruma otoritesinin de seyahat eden futbol taraftarlarına mobil uygulamaları bir kullan-at telefona yüklemelerini tavsiye etmesi bekleniyor. Telefonu boş olmayan futbol taraftarları için CNIL’in casus yazılımın etkisini sınırlamak için başka ipuçları da var.

CNIL ziyaretçilerin mobil uygulamayı yalnızca ülkelerinden ayrılmadan hemen önce yüklemelerini ve Fransa’ya döner dönmez silmelerini tavsiye ediyor. Ayrıca, kimlik doğrulama gerektiren hizmetlerle çevrimiçi bağlantıyı minimum düzeyde sınırlamaları, akıllı telefonlarını her zaman yanlarında tutmaları ve güçlü bir parolaya sahip olmaları, sistem yetkilendirmelerini kesinlikle gerekli olanlarla sınırlamaları teşvik ediliyor.

CNIL’in dünya çapındaki gizlilik kuralları haritasına göre, Katar’ın konula ilgili çerçeve bir çalışması mevcut ancak Avrupa Birliği tarafından veri koruma kurallarını içeren kitaba kıyasla benzer bir koruma sağladığı kabul edilmiyor.

Diğer Avrupalı ​​otoriteler de Katar mobil uygulamaları hakkında benzer şüphe ve kaygıları taşıyor. Alman Dışişleri Bakanlığı, Federal Bilgi Güvenliği Ofisi ve veri koruma ve bilgi özgürlüğünden sorumlu komisyon üyesi her iki uygulamayı da araştırıyor.

Yazar Hakkında

kamilko

GRC Legal

PDF olarak indir
İŞVEREN, ÇALIŞANLARA TAHSİS EDİLEN İLETİŞİM ARAÇLARINI ANCAK BELİRLİ KOŞULLAR ALTINDA DENETLEYEBİLİR!
Dünyada Neler Oluyor VIII