Dünyada Neler Oluyor?
Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.
Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.
Dünya gündemini GRC Legal Hukuk Bürosu olarak yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.
Aşağıda yer alan haberler 2022 Kasım ayına aittir.
Twitter x Elon Musk
Federal Ticaret Komisyonu’nun (Federal Trade Commission, “FTC”) Elon Musk’ın Twitter’ına yaptığı “hiçbir CEO veya şirket kanunların üstünde değildir” uyarısına paralel olarak, platformun Avrupa Birliği (“AB“)’deki baş düzenleyicisi, güvenlik ve uyumluluktan sorumlu üst düzey personelin ayrılmasının ardından davasını sürdürüyor.
GDPR kapsamında Twitter’ın denetimini üstlenen İrlanda Veri Koruma Otoritesi (“Data Protection Comission, “DPC”) temsilcisi Graham Doyle, Twitter’ın veri koruma görevlisinin istifa etmesine ilişkin olarak basında çıkan haberlerin ardından Twitter ile iletişime geçtiğini ve DPC ile Twitter arasında bir toplantı düzenleneceğini belirtti.
Twitter’ın medya haberlerinden önce veri koruma görevlisinin ayrılışını bildirmediği doğrulandı, düzenlenen toplantının ana gündemi bu ayrılışın detaylarını netleştirmek olacak. DPC’nin başka kaygılarının da oluştuğu ve toplantının tek gündeminin bu olmayacağı konuşuluyor.
Doyle’un belirttiğine göre tartışılmak istenen konulardan biri ana kuruluşla ilgili sorun, Twitter bir veri koruma görevlisi bulundurmak ve DPC’ye detay vermekle yükümlü ve bu yükümlülüğe eşit olarak GDPR’ın tek durak mekanizması (One-Stop-Shop, “OSS”) kapsamında bir ana kuruluşun tek bir düzenleyiciyle ilişki kurmasının sağlanması gerekiyor. Bir diğer deyişle, AB verilerinin işlenmesi için karar alma süreçlerinin de o ülkede gerçekleşmesi gerekmekte. Bu husus, ana kuruluş prensiplerinden birini teşkil etmekle birlikte, Twitter için oluşturulmaya çalışılan, bu hususun Twitter için geçerli olmaya devam etmesi.
İrlanda’nın OSS kapsamında GDPR için Twitter’ın baş düzenleyicisi olması önemlidir, çünkü İrlanda’nın veri gözlemcisi konu soruşturma açıp açmamak veya Twitter’ın uyumluluğuyla ilgili endişelere göre hareket etmek olduğunda tek yetkilidir.
Twitter’ın bakış açısına göre düzenleme avantajlıdır, çünkü birden fazla veri koruma kurumundan (potansiyel olarak farklı dillerde) gelen veri ile ilgilenmek yerine herhangi bir sorun üzerinde yalnızca bir (lider) düzenleyici ile bağlantı kurması gerektiğinden uyumluluğu kolaylaştırır.
İrlanda, Twitter için baş denetçi rolüne sahip çünkü Twitter, Dublin ofisini GDPR’da yer alan “AB içindeki merkezi yönetimin yeri” veya “AB içindeki ana işleme faaliyetinin gerçekleştiği yer” nitelendirmelere paralel olarak AB’deki ana kuruluş olarak adlandırıyor.
Bununla birlikte, Twitter’ın artık İrlanda’da bu işleme üssüne sahip olmadığı kabul edilirse, acil bir yeniden yapılandırma olacak ve blok genelinde, AB’nin 27 üye devletinin herhangi birinden veri koruma yetkilileri soruşturma başlatabilir veya yerel şikayetler üzerine kendileri harekete geçebilir hale gelecekler. Bu husus ise Twitter’ın Avrupa faaliyetlerinde düzenleyici karmaşıklığının hızını ve riskini arttırma sonucunu beraberinde getiriyor.
Elon Musk, Kasım ayında küresel olarak Twitter’ın çalışan sayısının %50’sini azaltırken, Dublin’de GDPR için ana kuruluş statüsünün istikrarı konusunda sorular gündeme gelmişti. Irish Times raporuna göre bu azaltım İrlanda ofisinde bir katliam olarak adlandırılıyor ve yerel personelin %50’den fazlası bundan etkilenmiş.
Twitter’ın güvenlik ve gizlilik işlevinin üst düzey kademelerinde her şeyin yolunda olmadığına dair raporlar dün öğleden sonra Twitter’a yayıldı.
Gazeteci Casey Newton ve Zoë Schiffer, elde ettikleri Twitter’ın Baş Bilgi Güvenliği Sorumlusu (Chief Information Security Officer, “CISO”), Baş Gizlilik Sorumlusu (Chief Privacy Officer, “CPO”) ve Baş Uyum Sorumlusu’nun (Chief Compliance Officer, “CCO”) Twitter Slack’te paylaştıkları mesajları gerekçe göstererek istifa ettiğini bildirdi.
Twitter CISO’su Lea Kissner, Twitter’ın artık eski CPO’su Damien Kieran gibi ayrılışını bir tweet’le doğruladı. Twitter’ın bildirildiğine göre eski CCO’su Marianne Fogarty, dolaylı bir onay anlamına gelebilecek bir tweet attı ve şunları yazdı: “Terapi Perşembeleri yeni bir anlam kazandı. #LoveTwitter”
Musk’ın görevi devralmasından bu yana Twitter’ın basın dalına yapılan sorular yanıtsız kaldı, bu nedenle neler olup bittiğine dair resmi bir yanıt almak mümkün olmadı. Şirketin iletişim departmanı, Musk’ın devralma sırasında hızla uyguladığı personel sayısındaki %50’lik azalmanın basın çalışanlarının ya tamamen ya da neredeyse tamamen işten çıkarılmasıyla büyük bir zayiatı gibi görünüyor.
Doyle “Bizim için en önemli şey bilgilendirilmemiz, veri koruma görevlisinin kim olduğu ve iletişim bilgilerine sahip olmamız, iletişime geçmemiz gereken her an iletişime geçebiliyor olmamız. Mevzuata göre veri koruma görevlilerinin coğrafi olarak belirli bir yerde olmaları gerekmiyor” dedi.
“Kim olduklarını bilmemiz ve tüm ayrıntılara sahip olmamız gerekiyor ancak kilit nokta, ana kuruluştan yararlanmak için karar alma aşamasının esas olarak kurulu olduğu ülkede gerçekleşmesi gerektiğidir. Eğer bu değişirse, karar verme süreci İrlanda’da gerçekleşmiyorsa, tüm denetleyici otoriteler düzenleyici yetkiye sahip olacaktır” diye ekledi.
Twitter’ın çekirdek uyum personelinin çoğunun işi bıraktığı, Musk’ı çevreleyen ve şakalarına tezahürat yapmaktan öteye gidemeyen bir ekiple devam edilen iklimde Elon Musk’ın Twitter için doğan tehlikeleri anlama yeteneğine sahip olması oldukça şüpheli görünüyor.
Musk’ın düzenleyiciler ile dalga geçme geçmişi de var, bu nedenle DPC’nin endişelerini artıracak ve ana kuruluş statüsünün kaybını daha olası hale getirecek olan Twitter’ın yasal uyumluluğuna ilişkin sonuçları görmezden gelme konusunda son derece rahat olması mümkün.
GDPR kapsamında, belirli veri türlerini işleyen (ve/veya Twitter’ın yaptığı gibi kişisel verileri yeterli ölçekte işleyen) kuruluşların, bağımsız bir uzman olan veri koruma görevlisi ataması ve çalışabilmesi için yeterli kaynakları sağlaması zorunludur. Dolayısıyla Musk, Kieran’ın yerini doldurmak zorunda.
Küçük bir problem gibi görünse de, istifa sebebiyle görevinden ayrılan ve beraberinde kıdemli uyum alanında görevlendirilmiş iş arkadaşlarının da işten ayrılmasıyla sonuçlanan bu olay, buzdağının görünen yüzü haline gelip gizlilik alanında bir alarma işaret ediyor olabilir.
Veri koruma görevlisinin rolü veri koruma otoriteleri için bir irtibat kişisi olmanın yanı sıra, Veri Koruma Etki Değerlendirmeleri’ni derlemek için rehberlik sağlamak ve veri koruma yükümlülüklerine uyumun izlenmesinde tavsiyelerde bulunmaktır. Pozisyona uygun kişilerin uzmanlık ve bağımsızlığa sahip olması gerektiğinden Musk, kendisini almayı planladığı özgürce fikirler için destekleyecek alelade birini atayarak problemi bertaraf edemeyecek.
Musk yönetimi altında ürün geliştirme de bir uyumluluk kâbusu gibi görünüyor. Twitter’ın mavi tiki, kimlik hırsızlığı sorunlarına neden olabileceği gerekçesiyle kaygı uyandırdığından yeni uygulama başlatıldığı anda eleştiriler alevlendi. İlgili hususun bilgi güvenliği risklerine sebebiyet verebilecek olması ve hızla uygulamasına geçilmesi her şeyden öte GDPR ve ikincil düzenlemelerinin ruhuna aykırı görülüyor.
Mavi tik uygulamasının hızla hayata geçirilmesi, uygulamaya yönelik riskleri değerlendirmek için alınan önlemlerin yansıtılmasına olanak sağlamadığından, CIPO, CPO ve CCO istifalarını, belki işlerini layığıyla yapamadıklarını hissetmeleri gerekçesine dayandırabileceklerinden, makul bir zemine oturtuyor.
Bir veri koruma görevlisini düzgün şekilde atamamak veya istifasını bildirmemek, tipik olarak bu kategoriye girmeyecek olsa da, GDPR’a uymamanın cezaları en ciddi ihlaller için küresel yıllık cironun %4’üne kadar çıkabiliyor. Dolayısıyla Musk’ın göz boyayıcı olarak adlandırılabilecek çözümler yerine konuyu ciddiye alarak veri koruma otoriteleriyle masaya oturması, en hassas olduğu karlılık ile ilgili endişelerine de hizmet edeceğinden, ilerleyen dönemde şahit olunabilecek bir senaryo gibi görünüyor.
Google x Konum Takibi
Google, konum takibi uygulamalarıyla ilgili olarak 40 eyalet başsavcısı ile 391,5 milyon dolarlık bir anlaşma yapmayı kabul etti. Bu anlaşma, Google’ın kullanıcılarını, konum bilgilerini toplamaya devam ederken bile konum takibini kapattıklarını düşündürerek yanlış yönlendirdiğini ana hatlarıyla gösteriyor.
Şimdiye kadarki en geniş çaplı başsavcı liderliğinde gerçekleşen tüketici gizliliği anlaşmasına işaret eden soruşturma, Oregon ve Washington tarafından ortaklaşa bir şekilde yürütüldü.
Oregon Başsavcısı Ellen Rosenblum bir haber bülteninde, “Google, yıllardır kullanıcılarının gizliliği yerine kâra öncelik verdi. Bu konuda kurnaz ve aldatıcı oldu. Tüketiciler, Google’da konum takibi özelliklerini kapattıklarını düşündüler, ancak şirket, hareketlerini gizlice kaydetmeye ve bu bilgileri reklamcılar için kullanmaya devam etti.” dedi.
Google ise yaptığı açıklamada, anlaşmada ayrıntılı olarak açıklanan bazı konum takibi uygulamalarını zaten ele aldığını ve düzelttiğini söyledi. Google’ın bir sözcüsü “Son yıllarda yaptığımız iyileştirmelerle tutarlı olarak, yıllar önce değiştirdiğimiz eski ürün politikalarına dayanan bu soruşturmayı çözüme kavuşturduk.” dedi.
Anlaşmanın bir gerekliliği olarak Google, gelecek yıldan itibaren konum takibini açıklamayı ve kullanıcı denetimlerini iyileştirmeyi kabul etti. Anlaşma, konum ile ilgili bir hesap ayarını her etkinleştirdiklerinde ya da devre dışı bıraktıklarında Google’ın kullanıcılara ek bilgiler göstermesini gerektiriyor. Konum takibi ile ilgili önemli bilgiler de artık ileriye dönük olarak gizlenmemelidir.
Google bir blog gönderisinde, “Kullanıcıların konum geçmişi ile Web ve Mobil Uygulama Etkinliği ayarlarını kolayca kapatmalarına ve geçmiş verilerini tek bir basit akışta silmelerine olanak tanıyan yeni bir kontrol sağlayacağını” belirtti. Google’ın planlarında faaliyet kontrolleri ve veri&gizlilik sayfalarına ek açıklamalar eklemek de bulunuyor.
Bu değişikliklerin yanı sıra Google, konum ayarlarını vurgulayan kapsamlı bir bilgi merkezi oluşturacak olup yeni hesap oluşturan kullanıcılara Web ve Mobil Uygulama Etkinliği’nin ne olduğu ve hangi bilgileri içerdiği konusunda daha ayrıntılı bir açıklama sunmayı planlıyor. Google, yakın zamanda hesaplarına yeni konum geçmişi verisi eklememiş olan kullanıcılar için konum geçmişi verilerini silmeye devam edeceğini de söyledi.
Ellen Rosenblum, “Kapsamlı gizlilik yasalarına sahip olana kadar şirketler, pazarlama amaçları için büyük miktarda kişisel verimizi birkaç kontrolle derlemeye devam edecek.” diyor.
Başsavcı Google soruşturmasını, açıkça yapılmadığını söylemelerine rağmen kullanıcı hareketlerinin kaydedildiğinin 2018 Associated Press Raporu’nda tespit edilmesinin ardından başlatmıştı. Soruşturma, Google’ın en az 2014’ten beri konum takibi uygulamaları hakkında tüketicileri yanıltarak eyalet tüketici koruma yasalarını ihlal ettiğini ortaya koydu.
Geçtiğimiz ay Google, konum verilerini kullanıcıların rızası olmadan toplayarak kullanıcıları aldattığını iddia eden ayrı bir davayı çözmek için Arizona eyaletine 85 milyon dolar ödemeyi kabul etmişti. Google ayrıca Washington, DC, Teksas, Washington eyaleti ve Indiana’dan bir davayla da halihazırda karşı karşıya. Dava, Google’ın, bu tür bir izlemenin devre dışı bırakıldığına inandıklarında bile konum verilerini toplayarak kullanıcıları aldattığını iddia ediyor.
Rusya x Pushwoosh
Reuters’ın bulgularına göre Apple (AAPL.O) ve Google’ın (GOOGL.O) çevrimiçi mağazalarındaki binlerce mobil uygulama, Pushwoosh adlı bir teknoloji şirketi tarafından geliştirilen ve kendisini Amerika Birleşik Devletleri (“ABD”) merkezli olarak sunan ancak aslında Rus kaynaklı olan bilgisayar kodları içeriyor.
ABD’nin büyük sağlık tehditleriyle mücadeledeki ana kurumu olan Hastalık Kontrol ve Önleme Merkezleri (The Centers for Disease Control and Prevention, “CDC”), Pushwoosh’un ABD başkentinde bulunduğuna inanarak aldatıldığını söyledi. Reuters’dan Rus kökenlerini öğrendikten sonra, güvenlik endişelerini öne sürerek Pushwoosh yazılımını halka açık yedi uygulamadan kaldırdı.
ABD Ordusu, aynı endişeler nedeniyle geçtiğimiz mart ayında Pushwoosh kodu bulunduran bir uygulamayı kaldırdığını açıkladı. Bu uygulama, ülkenin ana muharebe eğitim üslerinden birinde askerler tarafından kullanılıyordu.
Rusya’da halka açık olarak sunulan ve Reuters tarafından incelenen şirket belgelerine göre, yaklaşık 40 kişinin istihdam edildiği Pushwoosh, merkezi Sibirya’nın Novosibirsk kasabasında veri işlemeyi de gerçekleştiren bir yazılım şirketi olarak kayıtlı bulunuyor. Bununla birlikte geçen yıl 143.270.000 ruble (2,4 milyon dolar) gelir elde ettiği bildirildi. Pushwoosh, Rusya’da vergi ödemek için Rus hükümetine kayıtlı bulunuyor.
Reuters’a göre, sosyal medyada ve ABD düzenleyici belgelerinde, Pushwoosh kendisini çeşitli zamanlarda Kaliforniya, Maryland ve Washington, D.C.’de yerleşik bir ABD şirketi olarak tanıtıyor.
Pushwoosh, yazılım geliştiriciler için kod ve veri işleme desteği sağlayarak mobil uygulama kullanıcılarının çevrimiçi etkinliklerini profillemelerine ve Pushwoosh sunucularından özel olarak hazırlanmış “anında bildirim (push notification)” göndermelerine olanak sağlıyor.
Pushwoosh, web sitesinde hassas bilgileri toplamadığını, Reuters da Pushwoosh’un kullanıcı verilerini yanlış kullandığına dair hiçbir kanıt bulamadığını söylüyor. Ancak Rus yetkililer, yerel şirketleri kullanıcı verilerini yerel güvenlik kurumlarına teslim etmeye mecbur bırakıyor.
Pushwoosh’un kurucusu Max Konev, Eylül ayında “Rus olmaktan gurur duyuyorum ve bunu asla saklamam.” diyerek şirketin Rus kaynaklarını maskelemeye çalışmadığını söyledi. Pushwoosh, Reuters makalesi yayınlandıktan sonra bir blog yazısı yayınladı ve şöyle bir açıklama gerçekleştirdi: “Pushwoosh Inc., ABD, Delaware eyalet yasalarına göre kurulmuş özel bir C-Corp şirketidir. Pushwoosh Inc., hiçbir zaman Rusya Federasyonu’nda kayıtlı herhangi bir şirkete ait olmadı.”
Şirket blog yazısında ayrıca Pushwoosh Inc.’in, makalede bahsedilen Novosibirsk’teki Rus şirketine, ürünün geliştirme parçalarını dış kaynaklardan temin ettiğini ancak Şubat 2022’de Pushwoosh Inc.’in sözleşmeyi feshettiğini de belirtti. Pushwoosh blog yazısını yayınladıktan sonra Reuters, Pushwoosh’tan iddiaları için kanıt sunmasını istedi, ancak haber ajansının talepleri cevapsız kaldı.
Max Konev, şirketin Rus hükümetiyle herhangi bir bağlantısı olmadığını ve verilerini ABD ve Almanya’da sakladığını söyledi. Siber güvenlik uzmanları, yurtdışında veri depolamanın, Rus istihbarat teşkilatlarının bir Rus firmasının bu verileri kendilerine ifşa etmeye yönelik olarak baskı uygulamasını engellemeyeceğini belirtti.
Batılı yetkililerin aktardığına göre, 2014’te Kırım Yarımadası’nı ele geçirmesinden ve bu yıl Ukrayna’yı işgal etmesinden bu yana Batı ile bağları kötüleşen Rusya, rekabet avantajı elde etmek için yabancı hükümetleri ve endüstrileri gözetleyen bilgisayar korsanlığında ve siber casuslukta dünya lideri konumunda yer alıyor.
Dev Veritabanı
Pushwoosh kodu, küresel tüketim ürünleri şirketi Unilever Plc (ULVR.L) ve Avrupa Futbol Federasyonları Birliği’nden (Union of European Football Associations, “UEFA”) siyasi açıdan güçlü ABD silah lobisi, Ulusal Tüfek Derneği (National Rifle Association, “NRA”) ve İngiltere’nin İşçi Partisi kadar çok çeşitli uluslararası şirketin, etkili kâr amacı gütmeyen kuruluşun ve devlet kurumlarının uygulamalarına yüklendi.
On hukuk uzmanı Reuters’e verdiği demeçte, Pushwoosh’un ABD devlet kurumları ve özel şirketlerle olan işinin sözleşme ve ABD Federal Ticaret Komisyonu (Federal Trade Commission, “FTC”) yasalarını ihlal edebileceğini veya yaptırımları tetikleyebileceğini söyledi. FTC’nin Tüketiciyi Koruma Bürosu eski müdürü Jessica Rich, “Bu tür davalar ABD’li tüketicileri etkileyen haksız veya aldatıcı uygulamalara karşı önlem alan FTC’nin yetkisi dahilindedir.” dedi.
Yaptırım uzmanları, Washington’un Pushwoosh’a yaptırım uygulamayı seçebileceğini ve bunu yapmak için geniş bir yetkiye sahip olduklarını söyledi.
Bir mobil uygulama tasarlama ve raporlama hizmeti sunan Appfigures’e göre, Pushwoosh kodu Google ve Apple uygulama mağazalarındaki yaklaşık 8.000 uygulamaya yerleştirildi. Pushwoosh’un web sitesi, veri tabanında listelenen 2,3 milyardan fazla cihazın bulunduğunu söylüyor.
Birleşik Krallık, Avrupa Ekonomik Alanı ve İsviçre için geçerli olan ve 2 Aralık’ta yayınlanacak olan gizlilik politikası güncellemesi, dünya çapında bir milyardan fazla kullanıcısı olan uygulama tarafından oluşturulan verilerin kullanımına ilişkin siyasi ve düzenleyici baskıların zemininde gerçekleşecek.
Çevrimiçi reklamcılık tedarik zincirlerinde toplanan verilerin kötüye kullanımını izleyen bir firma olan Confiant’ın kurucu ortağı Jerome Dangu, “Pushwoosh, hassas ve resmi uygulamalarda hassas coğrafi konum verileri de dahil olmak üzere kullanıcı verilerini toplar ve bu da geniş ölçekte saldırgan izlemeye olanak sağlayabilir.” dedi.
Güvenlik Sorunları
Sözcü Kristen Nordlund yaptığı açıklamada, “CDC, Pushwoosh’un Washington, D.C. bölgesinde yerleşik bir şirket olduğuna inanıyordu” dedi ve bu inancın şirket tarafından yapılan “temsillere” dayandığını söyledi.
Pushwoosh kodunu içeren CDC uygulamaları, ajansın ana uygulamasını ve çok çeşitli sağlık sorunları hakkında bilgi paylaşmak için kurulan diğerlerini içeriyordu. Bunlardan biri cinsel yolla bulaşan hastalıkları tedavi eden doktorlar içindi. CDC, şirketin COVID gibi sağlık sorunları için bildirimlerini de kullanırken, kullanıcı verilerinin Pushwoosh ile paylaşılmadığı söylendi.
Ordu, Reuters’e mart ayında Pushwoosh içeren bir uygulamayı “güvenlik sorunları” gerekçesiyle kaldırdığını söyledi. Buna karşın Kaliforniya’daki Ulusal Eğitim Merkezi’nde (National Training Center, “NTC”) kullanılmak üzere üretilen bir bilgi portalı olan uygulamanın askerler tarafından ne kadar yaygın olarak kullanıldığı belirtilmedi. ABD Ordusu sözcüsü Bryce Dubee konuyla ilgili olarak, ordunun hiçbir “operasyonel veri kaybı” yaşamadığını ve uygulamanın ordu ağına bağlanmadığını da söyledi.
UEFA ve Unilever gibi bazı büyük şirketler ve kuruluşlar, üçüncü tarafların uygulamaları kendileri için kurduğunu veya bir ABD şirketini işe aldıklarını düşündüklerini açıkladı. Unilever yaptığı açıklamada, “Pushwoosh ile doğrudan bir ilişkimiz yok,” dedi ve Pushwoosh’un bir süre önce uygulamalarından birinden kaldırıldığını da ekledi. UEFA, Pushwoosh ile yaptığı sözleşmenin ABD’li bir şirketle olduğunu söyledi. UEFA, Pushwoosh’un Rus bağlarını bilip bilmediğini söylemeyi reddetse de Reuters’in teması ardından şirketle olan ilişkisini gözden geçirdiğini söyledi.
Kâr amacı gütmeyen bir kuruluş olan Internet Safety Labs için çalışırken Pushwoosh kodunun yaygınlığını ilk kez fark eden bir güvenlik araştırmacısı olan Zach Edwards “Pushwoosh’un topladığı veriler Facebook, Google veya Amazon tarafından toplanabilecek verilere benzer niteliktedir ancak aradaki fark ABD’deki tüm Pushwoosh verilerinin Rusya’daki bir şirket (Pushwoosh) tarafından kontrol edilen sunuculara gönderilmesidir.”
Sahte Adres ve Profiller
Pushwoosh, Rus kökenlerinden asla bahsetmiyor. Şirket, Washington D.C.’yi Twitter’daki konumu olarak listeliyor ve Delaware’in dışişleri bakanına sunduğu en son ABD düzenleyici belgelerine göre ofis adresini Kensington, Maryland banliyösünde bir ev olarak iddia ediyor. Ayrıca Facebook ve LinkedIn profillerinde Maryland adresini listeliyor.
Kensington evi, Max Konev’in Pushwoosh ile hiçbir ilgisi olmadığını belirten bir Rus arkadaşının evi ve Max Konev’in adresini yalnızca posta almak için kullanmasına izin verdiğini söylüyor.
Max Konev ise Pushwoosh’un koronavirüs salgını sırasında “iş yazışmalarını almak” için Maryland adresini kullanmaya başladığını söyledi. Şu anda Tayland’dan Pushwoosh’u işlettiğini belirtti, ancak orada kayıtlı olduğuna dair hiçbir kanıt sunmadı. Reuters, Tayland şirket sicilinde bu isimde kayıtlı bir şirket bulamadı.
Pushwoosh, kayıtlı olduğu ABD’nin Delaware eyaletinde sekiz yıllık belgelendirme sürecinde Rusya merkezli olduğundan hiç bahsetmedi, bunun yerine 2014’ten 2016’ya kadar ana iş yeri olarak Union City, California’daki bir adresi listeledi. Union City yetkililerine göre böyle bir adres mevcut değil ve bu husus eyalet yasalarını ihlal edebilecek düzeyde bir ihmal.
Pushwoosh, satışları talep etmek için Mary Brown ve Noah O’Shea adlı iki Washington, D.C. merkezli yöneticiye ait olduğu iddia edilen LinkedIn hesaplarını kullandı. Ancak Reuters ne Brown ne de O’Shea’nın gerçek insanlar olmadığını tespit etti.
Brown’un fotoğrafında yer alan kişi aslında Moskova’da bir fotoğrafçı tarafından çekilen ve siteye nasıl geldiği hakkında hiçbir fikri olmadığını söyleyen Avusturyalı bir dans öğretmeniydi.
Konev, hesapların gerçek olmadığını kabul etti. Pushwoosh’un, şirketin Rus kaynaklarını maskelemek için değil, Pushwoosh’u satmak için sosyal medyayı kullanma girişiminde bulunmak amacıyla 2018’de bir pazarlama ajansıyla anlaştığını söyledi. LinkedIn, Reuters tarafından uyarıldıktan sonra hesapları kaldırdığını açıkladı.
CNIL x Discord
Fransa’nın veri koruma otoritesi CNIL (“Commission Nationale Informatique & Libertés”), özellikle veri saklama sürelerine riayet edilmemesi ve kişisel verilerin güvenliğine ilişkin GDPR kapsamındaki çeşitli yükümlülüklerin yerine getirilmemesinden bahisle Discord Inc.’e (“Discord” veya “Şirket”) 800.000 avro para cezası verdi.
Günümüzde oldukça popüler bir uygulama olan ve herkesin ismini duyduğu Discord, kullanıcıların sunucu, metin, ses ve video odaları oluşturabildiği, internet üzerinden mikrofon ya da web kamera aracılığı ile sohbet edebildiği bir IP teknolojisi sağlayan ABD merkezli bir şirkettir.
Soruşturmanın ardından yapılan açıklamalarda, ceza miktarının belirlenmesinde tespit edilmiş olan ihlaller ile etkilenen ilgili kişi sayısı yanında Şirket’in prosedür boyunca tam uyumluluk için gösterdiği çabaların ve iş modelinin kişisel verilerin kötüye kullanılmasına dayanmadığı gerçeğinin de göz önünde bulundurulduğu bildirildi.
Şirket’e 800.000 avro değerinde cezanın kesilmesine neden olan GDPR maddeleri ve soruşturma kapsamında Discord’un aldığı zorunlu aksiyonlar ise şu şekilde:
- Kişisel verinin işlenme amacına uygun saklama süresinin belirlenmemesi ve saklama sürelerine riayet edilmemesi (GDPR madde 5/1-e)
Soruşturma sırasında Şirket’in yazılı bir veri saklama politikasına sahip olmadığı, bununla birlikte veri tabanında üç yıldan uzun süredir aktif olmayan 2.474.000, beş yıldan uzun süredir aktif olmayan ise 580.000 Fransız kullanıcı hesabının bulunduğu tespit edildi.
Bu tespitin yanında Kısıtlı Komite (Restricted Committee), Şirket’in şu anda iki yıllık kullanıcı hareketsizliği akabinde hesabın silinmesi bildirimini içeren bir yazılı veri saklama politikasını yürürlüğe aldığını ve bu çerçevede soruşturma sırasında GDPR kapsamındaki bu yükümlülüğe uyulduğunu belirtti.
- Aydınlatma yükümlülüğüne uyulmaması (GDPR madde 13)
Microsoft Windows’tan farklı olarak bir ses odası açmış olan kullanıcı Discord’daki çarpı işaretine tıklayarak uygulamayı “kapattığında” uygulamadan çıkış yapmış sayılmıyordu ve uygulama arka planda çalışmaya devam ediyordu.
Bu nedenle kullanıcılar ses odasından ayrıldıklarını düşündükleri senaryoda bile arka planda diğer kullanıcılar tarafından duyulabilir durumdaydı ve bu uygulama davranışı sık görülen bir sistem de değildi. Kısıtlı Komite soruşturmasında, bu hususla ilgili kullanıcılara özellikle bilgilendirme yapılması gerektiğini vurguladı.
Bu çerçevede yürütülen prosedürlerin bir parçası olarak Discord, bir ses odası ilk kez kapatıldığında kullanıcıya uygulamanın çalışmaya devam etmekte olduğunu ve bu ayarın kullanıcı tarafından istendiği zaman değiştirilebileceğini belirten bir açılır pencere (pop-up) kurdu.
- Kişisel verilerin işleme amacına yönelik olağan düzeydeki güvenlik önlemlerinin ve uygun teknik/idari tedbirlerin alınmaması (GDPR madde 25/2, GDPR madde 32)
Kısıtlı Komite, Discord’un şifre yönetimi politikasının kullanıcıların hesap güvenliğini sağlamaya yeterli olmadığını belirtmiştir. Soruşturma esnasında Discord’da bir hesap oluşturulabilmesi için harf ve rakamlardan oluşan altı karakterli bir şifre belirlemek yeterli oluyordu.
Soruşturma çıktıları kapsamında şifre yönetimi politikasını değiştiren Discord, kullanıcıların dört karakter türünden (küçük harf, büyük harf, sayılar ve özel karakterler) en az üçünü içeren ve yine en az sekiz karakterlik bir şifre belirlemesini ve on başarısız giriş denemesinden sonra bir captcha (soru ve cevap, örneğin bir onay kutusu veya bir resim seçimi yoluyla) çözülmesini şart koşan bir sistem getirdi.
- Veri Koruma Etki Değerlendirme Analizi’nin yapılmaması (GDPR madde 35)
Discord savunmasında veri koruma etki değerlendirme analizini gerekli görmediğini açıklarken Kısıtlı Komite, Şirket tarafından işlenen verinin hacmi ve hizmetin reşit olmayanlar tarafından da kullanılması gibi faktörlere dikkat çekerek analizin yapılmasının önemine parmak bastı.
Bu değerlendirmenin de sonucu olarak Discord, hizmeti ve temel hizmetleriyle ilgili işleme faaliyeti kapsamında iki etki değerlendirmesi gerçekleştirerek, işleme faaliyetinin bireylerin hak ve özgürlükleri üzerinde yüksek bir riske yol açmasının muhtemel olmadığı sonucuna ulaştı.
Hollanda Hükümeti x Meta
Bakanlar Kurulu’nun dijitalleşme alanındaki çalışmalarını yürüten Devlet Bakanı Alexandra van Huffelen, hassas nitelikli kişisel verileri işleme noktasında iyileştirmeye gitmemesi halinde Hollanda hükümetinin Facebook kullanımını bırakacağını duyurdu.
Facebook’un gizlilik politikasını incelemek üzere anlaşılan şirketin hazırladığı raporda, Facebook’un tüm gereklilikleri yerine getirmesinin olası olmadığının belirtilmesi üzerine hükümetin önümüzdeki günlerde sosyal medya platformundan çekilmesi muhtemel bir seçenek olarak ortaya çıktı.
Devlet Bakanı yaptığı açıklamalarda Facebook’un kullanıcı verilerini yeterli düzeyde korumadığını, verilerin nasıl işlendiği ve hangi kanallara aktarıldığı hususlarının belirsiz kaldığını, hassas nitelikteki kişisel verilerin, platformun ana şirketi olan Meta’nın bulunduğu ABD’deki güvenlik servislerinin eline geçme ihtimalinin bulunduğunu dile getirdi.
Bakanlar Kurulu, Hollanda vatandaşlarının hükümete ait çok sayıda Facebook sayfasını ziyaret ederken karşılaştıkları risklerden sorumlu olmak istemediklerini belirtti. Van Huffelen, sosyal medya şirketini uzun bir önlemler listesini uygulamaya koymaya davet etti. Bu önlemlerden en önemlileri, Hollanda’daki kullanıcıların devlete ait Facebook sayfalarını görüntülediklerinde elde ettikleri verilerin ABD’de depolanmasına son verilmesi ve verilerin toplanmalarından itibaren en geç bir hafta içerisinde imha edilmeleri üzerine oldu.
Konunun görüşülmesinin ardından Meta tarafından verilen cevapta, hazırlanan raporun Meta’nın politika ve araçlarının nasıl çalıştığına ilişkin doğru bir yönlendirme sunmadığı belirtilerek Facebook’un verileri işleme noktasında oldukça şeffaf hareket ettiği vurgulandı.
Van Huffelen, Facebook kullanımından çekilmenin sakıncalarının da olduğunu dile getirdi. Platformun çok yaygın kullanılmasının vatandaşlarla iletişim anlamında büyük bir öneme sahip olduğu da göz önünde bulundurularak Facebook kullanımının bırakılması halinde ortaya çıkabilecek sonuçların boyutunun araştırılacağı bildirildi.
Ne Olmuştu?
Hollanda hükümeti, Facebook kullanımından çekilme ihtimalini dile getiren ilk ülke değil. Almanya Veri Koruma Otoritesi de 2022 yılı başında benzer bir karar duyurmuştu.
Fransa x Microsoft & Google
Fransa Milli Eğitim ve Gençlik Bakanı, Microsoft Office 365 ve Google Workspace‘in ücretsiz sürümlerinin okullarda kullanılmamasına ilişkin açıklamalarda bulundu ve bu tutum, Avrupa’nın bulut veri güvenliği, rekabet ve gizlilik kurallarıyla ilgili süregelen endişelerinin bir parçası olarak gündeme geldi.
Ağustos ayında Fransız Ulusal Meclisi üyesi Philippe Latombe, Microsoft Office 365’in ücretsiz sürümünün cazip olmakla birlikte bir tür yasadışı depolama anlamına geldiğini belirterek Millî Eğitim Bakanı Pap Ndiaye’ye, kişisel verilerin bir Amerikan bulut hizmetinde depolanmasıyla ilgili veri güvenliğine ilişkin sorunları hatırlattı.
Geçtiğimiz günlerde yazılı bir açıklama ile cevap veren Millî Eğitim Bakanlığı ise, ücretsiz hizmet tekliflerinin prensip olarak kamu alımları kapsamı dışında kaldığını, bahsi geçen bulut hizmetlerinin ücretli versiyonlarının da veri güvenliği ile ilgili endişeler nedeniyle hali hazırda sunulduğunu belirtti.
Her ne kadar tartışmalar sürse de Fransız otoriteleri, ABD’de veri depolayan Microsoft ve Google bulut hizmetlerinin GDPR gibi Avrupa veri düzenlemeleri ve Avrupa Birliği Adalet Divanı’nın sınır ötesi veri paylaşımını düzenleyen 2020 tarihli “Schrems II” kararı ile uyumlu olmadığını, ABD yasalarının Avrupa’daki gizlilik standartlarının gerisinde kaldığını dile getirdi.
Ne Olmuştu?
Fransa’nın bakanlıklar arası dijital departmanı DINUM‘un (“La Direction Interministérielle du Numérique”) direktörü Nadi Bou Hanna, 15 Eylül 2021 tarihinde gönderdiği bildirimde, Exchange gibi devlet sunucularında bulunan ofis ve mesajlaşma ürünlerinin yerine bulut hizmetlerini kullanmayı düşünen Fransız devlet kurumlarını, Fransa’nın “Merkezde Bulut” girişimiyle uyumlu olmadığı için Office 365’i kullanmamaları yönünde bilgilendirdi.
Ekim’de ise Millî Eğitim Bakanlığı, DINUM’un pozisyonuna, Başbakan’ın “Merkezde Bulut” politikasına ve CNIL’in (National Commission For Informatics And Liberties) yüksek öğrenim kurumlarına GDPR’a uyumlu bulut iş birliği hizmetlerini kullanmalarını tavsiye eden Mayıs 2021 tarihli notuna atıfta bulunarak, akademilere Office 365 veya Google Workspace’in herhangi bir dağıtımından kaçınmalarını tavsiye etti.
2019 yılında Hessen eyaletindeki sınıflarda Microsoft Office 365 kullanımını kaldıran Almanya veri korum otoriteleri de benzer sonuçlara ulaşmıştı.
Google’dan konuyla ilgili açıklama gelmezken, Temmuz ayında Microsoft, kamu sektörü müşterilerinin Microsoft bulut hizmetlerini politikalarıyla tutarlı bir şekilde kullanmasına olanak tanıyacak bir hizmet olan Microsoft Cloud for Sovereignty‘yi duyurdu.
Bunun yanında Microsoft, Avrupa Birliği (“AB”) müşteri verilerinin veri düzenlemelerine uygun olarak işlenebileceği AB Veri Sınırı’nı da 2022 sonuna kadar devreye sokmayı planladığını bildirdi.
Google geçen yıl AB’nin veri koruma taleplerini karşılamak üzere benzer bir girişimde bulunmuştu.
Ekim ayında ise Başkan Biden, ABD kurumlarını Trans-Atlantik Veri Gizliliği Çerçevesi’ni (Trans-Atlantic Data Privacy Framework) uygulamaya yönlendiren bir kararname imzaladı.
İlerleyen dönemde AB’nin bu kuralları benimsemesi için bir adım atması bekleniyor. Bu kapsamda ABD ve AB arasındaki veri transferlerinin daha yönetilebilir hale geleceği, Microsoft ve Google gibi platformların da Avrupa içerisindeki devlet bulut sözleşmelerini kazanmasının kolaylaşacağı öngörülüyor.
İngiltere x Meta
İngiltere ve Galler Yüksek Mahkemesi’nde açılan bir davada, Meta’nın Facebook sosyal medya platformunun reklam ve pazarlama amacıyla kişisel verileri toplamayı durdurması talep edildi.
Teknoloji ve insan hakları aktivisti Tanya O’Carroll tarafından açılan davada, O’Carroll’ın kişisel verilerinin Meta tarafından pazarlama amacıyla işlendiği, Meta’nın kişilerin izlenmeye ve profillemeye itiraz etme hakkına saygı duymadığı belirtildi.
Şikâyetin temelinde Meta’nın GDPR’ı ihlal ettiği iddiası yer alırken Meta’nın topladığı kişisel veri türleri ile Facebook kullanıcılarına doğrudan pazarlama materyalleri seçmek ve sunmak amacıyla bu kişisel veriler üzerinde gerçekleştirdiği işleme faaliyetleri arasında ciddi bir orantısızlık olduğu dile getirildi.
Bu haber, bir Washington yargıcının Meta’ya eyaletin kampanya finansmanı şeffaflık yasalarını 822 kez kasıtlı olarak ihlal ettiği için 24,6 milyon dolar para cezası vermesinden yalnızca haftalar sonra geldi.
Meta bir haber sitesine verdiği demeçte, “İnsanların verilerinin gizliliğini ve güvenliğini korumak, işimizin işleyişinin temelini oluşturuyor. Bu nedenle, insanların gizlilik tercihlerini anlamaları ve yönetmeleri için daha fazla şeffaflık ve kontrol sağlayan Gizlilik Kontrolü ve Reklam Tercihleri gibi özelliklere büyük yatırım yaptık.” açıklamaları ile kendini savundu.
Kasım ayı başında, Ekim sonunda dramatik kâr ve hisse fiyatı düşüşleri ardından 11.000‘den fazla çalışanını işten çıkaracağı haberini veren Meta’nın bir sonraki adımının ne olacağı ve otoritelerden konuyla ilgili ne cevap geleceği ise şu anda meçhul.
Bilgi Köşesi
İngiltere’de GDPR, hali hazırda uygulanmaya devam etmekte ve ülkede Birleşik Krallık GDPR (“UK GDPR”) adıyla anılmakta. Bu metnin Avrupa Birliği kapsamında uygulanan GDPR ile kelimesi kelimesine aynı olduğu dile getiriliyor ve bunun sebebi de GDPR’dan şu aşamada ciddi bir sapma gerçekleştirilmesinin Brexit sonrası veri paylaşımı yeterlilik kararlarını etkilemesi endişesi olarak belirtiliyor.
Hükümetin UK GDPR’ı yerine önerisi Veri Koruma ve Dijital Bilgi Yasası (Data Protection and Digital Information Bill, “DPDIB”), Michelle Donelan’ın “AB bürokrasisinden arınmış yeni bağımsız ulus” için veri koruma bürokrasisini azaltma sözü vermesinin ardından Parlamento’da tartışılmaya devam ediyor.
Google Fonts x GDPR
Arama motoru devinin genel merkezine de ulaşan Google Yazı Tipleri (“Google Fonts”) ile ilgili uyarılar bir süredir Avrupa’da ses getiriyordu ve Google konu hakkında sessizliğini bozdu. Geçen yazdan bu yana şüpheci avukatlar ve onların müvekkilleri GDPR ihlalleriyle bağlantılı şikayetleriyle yığınla uyarı verilmesine neden oldu.
Google Fonts’u yerel olarak entegre etmeyen herkes bu tür bir GDPR ihlalinden suçludur deniliyor. Çünkü bu yazı tipleri yerel olarak depolanmıyorsa, tarayıcı bunları harici bir sunucudan indirir, bu da yerelin dışına çıkmak anlamına geliyor.
Bu yılın başında verilmiş olan bir Münih mahkemesi kararına göre, kişisel veriler Google’a ilişkili sunucuya, bir diğer deyişle ABD’ye gönderiliyor. Hukuki karar ve teknik bakış açısına yönelik pek çok eleştiri olsa da bu gelişme şüpheci avukatlara bir uyarı düzenleme olasılığı sağlıyor.
Google Fonts, açık kaynaklı yazı tipi ailelerinden oluşan bir kitaplık ve bu yazı tipi ailelerinin internet sitelerine gömülmesine izin veren bir internet Uygulama Programlama Yüzü’dür (Application Programming Interface, “API”).
Google gizliliğe saygı duyduğunu “Google Fonts Web API, verilerin toplanmasını, depolanmasını ve kullanılmasını, yazı tiplerinin verimli bir şekilde teslim edilmesi ve toplu kullanım istatistikleri için gerekli olanlarla sınırlamak üzere tasarlanmıştır. Bu veriler güvenli ve diğer verilerden ayrı tutulur.” cümleleriyle vurgulamaktadır.
Google, verilerin yalnızca Google Fonts için kullanılacağını “Google, Google Fonts tarafından toplanan bilgileri başka herhangi bir amaçla ve özellikle son kullanıcıların profilini çıkarmak veya reklamcılık için kullanmaz. Ek olarak, Google sunucularının yazı tiplerini iletmek için mutlaka IP adresleri alması Google’a özgü değildir ve yalnızca internetin çalışma şeklini yansıtmaktadır.” diyerek garanti ediyor.
Facebook x Vergi Beyanı Hizmetleri
H&R Block, TaxAct ve TaxSlayer gibi vergi beyanı hizmetleri sağlayan devlerin, Amerikan vatandaşlarının vergilerini internet üzerinden beyan ettiklerinde hassas finansal bilgileri sessizce Facebook’a ilettiği iddia edildi.
Yaygın olarak kullanılan Meta Pixel adlı kod aracılığıyla gönderilen veriler, yalnızca adlar ve e-posta adresleri gibi bilgileri değil, aynı zamanda kullanıcıların geliri, dosyalama durumu, geri ödeme tutarları ve bakmakla yükümlü olunanların üniversite burs miktarları gibi daha ayrıntılı bilgileri de içeriyor.
Facebook’a gönderilen bilgiler vergi beyanı hizmetini kullanan kişinin Facebook’ta veya sahibi Meta tarafından işletilen diğer platformlarda bir hesabı olup olmadığına bakılmaksızın toplanıyor ve şirketin reklam algoritmalarını güçlendirmek için kullanılabilir.
Her yıl, Gelir İdaresi Başkanlığı (Internal Revenue Service, “IRS”) elektronik olarak dosyalanan yaklaşık 150 milyon bireysel beyanı işler ve en yaygın kullanılan e-dosyalama hizmetlerinden bazıları Pixel kullanır.
Örneğin, kullanıcılar popüler TaxAct’e vergilerini beyan etmek için kaydolduklarında, getirilerini hesaplamak için ne kadar para kazandıkları ve yatırımları dahil olmak üzere kişisel bilgileri vermeleri isteniyor. TaxAct’ın web sitesindeki bir Pixel daha sonra, kullanıcıların beyan durumları, düzeltilmiş brüt gelirleri ve geri ödeme miktarları dahil olmak üzere bu verilerin bir kısmını Facebook’a gönderiyor.
Yaklaşık 3 milyon tüketici ve profesyonel kullanıcıya sahip olduğunu söyleyen TaxAct, internet sitesinde Google’ın analiz aracını (“Google Analytics“) da kullanmakta ve haber kaynağı The Markup Google’a gönderilen benzer finansal verileri buldu.
TaxAct, Meta Pixel kullanan tek vergi beyanı hizmeti değil, yılda milyonlarca müşteriyi çeken bir elektronik başvuru seçeneği de sunan vergi beyanı hazırlama devi H&R Block, sitesine, başvurucuların sağlık tasarruf hesabı kullanımı ve bakmakla yükümlü oldukları kişilerin üniversite öğrenim bursları ve harcamaları hakkında bilgi toplayan bir Pixel yerleştirdi.
Yaygın olarak kullanılan başka bir vergi beyanı hizmeti olan TaxSlayer, Facebook’un ziyaretçileri hakkında bilgi toplayarak onları Facebook hesaplarına bağlama girişiminde bulunan “gelişmiş eşleştirme” sisteminin bir parçası olarak kişisel bilgileri Facebook’a gönderdi. TaxSlayer’ın sitesindeki Pixel aracılığıyla toplanan bilgiler arasında telefon numaraları, formu dolduran kullanıcının adı ve iadeye eklenen bakmakla yükümlü olunan kişilerin adları yer alıyordu. TaxSlayer, geçen yıl 10 milyon federal ve eyalet vergi beyannamesini tamamladığını söyledi.
TaxSlayer’ın hizmetinin bir sürümünü kullanan Ramsey Solutions adlı bir finansal danışmanlık ve yazılım şirketi tarafından işletilen bir vergi beyanı hazırlama sitesindeki Pixel kodu, bir özet sayfasından, gelir ve geri ödeme tutarları hakkında bilgiler de dahil olmak üzere daha da fazla kişisel veri topladı.
Amerika’nın sektörde dominant konumda olan çevrimiçi beyanname yazılımını işleten şirket Intuit bile Pixel kullandı. Intuit’in TurboTax’ı Meta’ya mali bilgileri değil, kullanıcı adlarını ve bir cihazın en son ne zaman oturum açtığını gönderdi. Bazı durumlarda Pixel, oturum açtıktan sonra sipariş kimlik numarası ve kullanıcının e-posta adresi gibi bilgileri de topladı.
TaxAct sözcüsü Nicole Coburn “Müşterilerimizin verilerinin gizliliğini çok ciddiye alıyoruz, TaxAct her zaman tüm IRS düzenlemelerine uymaya çalışır” dedi. H&R Block sözcüsü Angela Davied, şirketin gizlilik taahhüdünün bir parçası olarak uygulamaları düzenli olarak değerlendirdiğini ve bilgileri gözden geçireceğini söyledi.
Ramsey Solutions sözcüsü Megan McConnell, daha kişiselleştirilmiş bir müşteri deneyimi sunmak için Meta Pixel’in kullanıldığını, kişisel verilerin aktarıldığını bilmediklerini, öğrenir öğrenmez TaxSlayer’ı konuyla ilgili bilgilendirdiklerini ve devre dışı bırakılmasına ilişkin talepte bulunduklarını söyledi.
TaxSlayer sözcüsü Molly Richardson, şirketin kullanım amacını değerlendirmek için Pixel’i kaldırdığını söyledi. “Müşterilerimizin gizliliği son derece önemlidir ve müşterilerimizin bilgileriyle ilgili endişeleri çok ciddiye alıyoruz” dedi ve Ramsey Solutions’ın da “Pixel’i kaldırmaya karar verdiğini” sözlerine ekledi.
The Markup, TaxAct ile yorum için iletişime geçtikten sonra, şirketin sitesi artık gelir ve geri ödeme tutarı gibi finansal ayrıntıları Meta’ya göndermese de bakmakla yükümlü olunan kişilerin adlarını göndermeye devam etti. Site mali bilgileri Google Analytics’e göndermeye hala devam ediyor. TaxSlayer ve Ramsey Solutions Pixel’i vergi beyan sitelerinden kaldırmış ve TurboTax oturum açma sırasında Pixel aracılığıyla kullanıcı adları göndermeyi bırakmıştı. H&R Block’un sitesi ise, sağlık tasarruf hesapları ve üniversite harç bursları hakkında bilgi göndermeye devam ediyor.
Meta, Pixel kodunu isteyen herkese ücretsiz olarak sunar ve işletmelerin kodu sitelerine istedikleri gibi yerleştirmelerine olanak tanır. Kodu kullanmak hem Facebook’a hem de işletmelere yardımcı olur.
The Markup tarafından analiz edilen hassas veri toplamanın bir kısmı Meta Pixel’in varsayılan davranışlarıyla bağlantılı görünürken, bir kısmı vergi beyanı servisleri, onların adına hareket edenler veya sitede yüklü diğer yazılımlar tarafından yapılan özelleştirmelerden kaynaklanıyor.
TaxSlayer ve TaxAct tarafından katıştırılan Pixel’de, “otomatik gelişmiş eşleştirme” adlı bir özellik bulunuyor. Bu özellik telefon numarası, ad, soyadı veya e-posta adresi gibi kişisel olarak tanımlanabilir bilgiler içerdiğini düşündüğü alanları arayan formları tarayarak tespit edilen bilgileri Meta’ya gönderiyor.
Eşleştirme özelliği tarafından toplanan veriler, “kullanıcı gizliliğinin korunmasına yardımcı olmak” için hash olarak bilinen karmaşık bir biçimde gönderilmekte ancak Meta genellikle verilerin önceden karartılmış halini tespit edebiliyor.
Meta o kadar çok veri topluyor ki bazen kendisi bile bunun nereye vardığının farkında olmayabilir.
Bu yılın başlarında Vice, Facebook gizlilik mühendisleri tarafından yazılan ve şirketin “sistemlerimizin verileri nasıl kullandığı konusunda yeterli düzeyde kontrole ve açıklanabilirliğe sahip olmadığını” söyleyen sızdırılmış bir Facebook belgesini bildirdi ve bu da belirli verileri belirli amaçlar için kullanmayacağına söz vermeyi zorlaştırdı.
Meta sözcüsü Dale Hogan, şirketin hassas finansal bilgilerle ilgili kurallarına işaret etti, “Reklam verenler, iş araçlarımız aracılığıyla insanlar hakkında hassas bilgiler göndermemelidir. Bu politikalarımıza aykırı ve bunun olmasını önlemek için reklam verenleri iş araçlarını doğru şekilde kurma konusunda eğitiyoruz. Sistemimiz, tespit edebildiği potansiyel olarak hassas verileri filtrelemek için tasarlanmıştır.” dedi.
Google sözcüsü Jackie Berté şirketin hassas bilgilere dayalı olarak kişilere yönelik reklamlara karşı katı politikaları olduğunu ve Google Analytics verilerinin gizli olduğunu, bir bireye bağlı olmadığını ve politikaların müşterilerin bir kullanıcıyı tanımlamak için kullanılabilecek veriler içeren e-posta göndermesini yasakladığını söyledi.
Verileri izinsiz ifşa etmenin cezaları potansiyel olarak çok ağır, para cezaları ve hatta hapis cezası bile mümkün, ancak kâr amacı gütmeyen Vergi Mükellefi Hakları Merkezi’nin yönetici direktörü Nina Olson, takip edilen herhangi bir ceza davasından haberdar olmadığını söyledi.
