Gizlilik politikaları ve veri ihlalleri konusu hız kesmeden gündem olmaya devam ediyor. Gerek verilen cezalar gerekse verileri işlenen ilgili kişilere yapılan ya da yapılması beklenen bilgilendirmeler için EDPO Newsletter’da yer alan haberleri sizin için derledik ve çevirdik. Haberlerin detaylarına ilgili linkler aracılığıyla ulaşabilirsiniz.
Neden yeni gizlilik açıklamasından sonra Google Chrome kullanmamalıyız?
Google, Chrome tarafından toplanan verilerin şaşırtıcı bir şekilde açığa vurulmasından sonra bu hafta ateş altındaydı. Google ve Facebook gibi kullanıcılarınızın bilgilerinden para kazanıyorsanız mümkün olduğunca çok veri toplamak istersiniz. Chrome, rakipleri Safari ve Firefox’tan farklı olarak kullanıcı bilgilerini tarayıcı ve cihaz olarak değil, kullanıcı adıyla kişiye özel saklamakta. Bir süre önce zorunlu olan gizlilik etiketlerini geç de olsa açıklayan Chrome, topladığı bilgilerin %63.5’ini kişiyle bağlantılı olarak tutmakta. Bu oran Safari’de %19 iken, Firefox’ta sadece %3.5. Chrome, kullanıcı ile bağlantılı olmayan hiçbir veriyi ise depolamamaktadır. Diğer tarayıcılarda bu oran kullanıcıdan bağımsızdır. Google’a göre sadece istenilen hizmetleri sağlamak için gerekli olan bilgiler toplanmaktadır. Apple, Microsoft ve Google’ın gizlilik etiketlerini karşılaştırdığınızda Google’ın diğer rakiplerinden çok daha fazla bilgiye eriştiği gözler önündedir. Google’ın, kullandığımız çerezleri FLoC (Federated Learning of Cohorts) ile değiştirme planı, bireysel kullanıcıları, ortak özelliklere göre ayırarak anonimleştirmenin akıllıca bir yoludur. Hali hazırda açıklanan gizlilik katmanlarını önemsiyorsanız çok da geç kalmış sayılmazsınız ama yine de bu okuduklarınızdan sonra Chrome kullanmaya devam ederseniz Google’a veri toplamasının uygun olduğuna dair yeşil ışık yakmış olduğunuz unutmayınız. DuckDuckGo gibi gizlilik ve basitleştirilmiş temeller üzerine kurulmuş yeni tarayıcılar bu gizlilik ihlallerinin ardından daha da yaygınlaşacak gibi gözükmekte.
Habere ulaşmak için tıklayınız.
Kalabalıkta kaybolmak: Konum verilerinde mahremiyetin sınırları
Avrupa Birliği Genel Veri Koruma Tüzüğü ve diğer bazı modern yönetmeliklerden önce konum geçmişi verilerinin basit yeniden tanımlama saldırılarına karşı savunmasız olduğu tartışılıyordu. Eğer veri kümeleri yeterince büyükse endüstrinin son zamanlarda kullandığı anonimleştirme terimi yani kalabalıkta kaybolmak (“Getting Lost in the Crowd”) terimi konuşulmaya başlandı. Peki gerçekten de fazla sayıda veri varsa günlük hayatımızda kullandığımız kredi kartıyla ödeme yapmak ya da toplu taşımada akıllı kart kullanmak gibi dijital servisler anonimleşebilir mi? Bu sorunun cevabı hayır olarak verilmekte. Eğer dört rastgele nokta bilinirse, sabah kahvenizi ne zaman ve nerede aldığınız gibi, bir buçuk milyon insan arasından ayırt edilmeniz imkansız değil. Daha önceki çalışmalarda veri kümesi boyutunun saldırılara karşı bir önlem olmadığı ve insanların yeniden tanımlama saldırılarına maruz kalabileceği fark edilmiştir. Diğer taraftan topluluklar gizliliği arttırıcı teknolojiler üzerine çalışıyorlar ve umut vadeden kazanımlar elde ediyorlar. Bu çalışmalara GDPR gibi düzenleyiciler rehber görevi üstlenmekte ve bu sayede çok boyutlu kişisel verilerin korunmasına imkân sağlanmaktadır.
Habere ulaşmak için tıklayınız.
Gizlilik Politikalarında Soğuk Savaş Dönemi başladı. Peki siz hangi tarafı seçiyorsunuz?
Apple ve Facebook’un da içerisinde bulunduğu Gizlilik Politikalarını açıklayan şirketlerin sayısı artmakta ve kullanıcıları gözeten gizlilik politikaları dikkat çekmektedir. Apple’ın “yakında” kullanıcılarına opt-in seçeneği aracılığıyla kişisel verilerinin işlenmesi konusunda rıza alacağı duyurulmuştu. Facebook ise bu duyuru akabinde kişisel verilerin işlenmesi ile elde etmiş olduğu gelirlerine ilişkin reklamlarını kaldırmaya başladı.
Whatsapp’ın hazırlamış olduğu yeni gizlilik koşullarının etkileri hala sürerken kullanıcıların Whatsapp üzerinde yer alan verilerinin silinmesi ya da yeni koşulları kabul etme şartı gizlilik politikalarına bakış açısını değiştiren ilk büyük kitlesel tepki dalgası olarak ortaya çıkmıştı. Tüm bu gelişmelerin akabinde tarafını seçen dev teknoloji firmaları ya kullanıcılarına bilgi vermeden kişisel verileri saklayan ve aktaranlardan oldu ya da kullanıcılarının haklarını gözeten ve saygı duyan veri sorumlularına dönüştü.
Kullanıcılarına Gizlilik Politikası sunan ya da sunmaya başlayan tüm teknoloji firmaları, yalnızca bu politikayı yazmakla kalmamalı kullanıcılarının anlayabileceği açıklamalar yapmaktan sorumludurlar. Özellikle kişisel verileri saklayıp işleyen ve belli bir amaçla bu kişisel verileri aktaran firmaların kullanıcılarının anlayabileceği bir dille bu gizlilik metinlerini oluşturmaları gerektiği su götürmez bir gerçektir. Özellikle avukatların anlayabileceği jargon dili kullanılan metinler, Gizlilik Politikalarının okunmasını zorlaştırmakta ve anlaşılabilirlikten uzaklaşmaktadır. Yapılan araştırmalara göre geçen yıl şeffaf olan gizlilik uygulamalarına sahip şirketlerin %91’i artan bir kullanıcı güveni ve bağlılığı kazandı.
Habere ulaşmak için tıklayınız.
Norveç Veri Koruma Otoritesi’nden Gindr’a Tüketicilerin Gizliliği konusunda 10 Milyon Euroluk Para Cezası!
İlgili para cezasına konu olayda, “Gindr LLC” Şirketi’nin flört uygulaması kullanıcılarının rızası olmadan kişisel verilerini paylaşması ve saklaması nedeniyle Avrupa Birliği Veri Koruma Tüzüğü’ne (“GDPR”) aykırılık oluşturduğu gerekçesiyle para cezasına hükmolunduğu belirtildi.
2020 yılında Norveç Veri Koruma Otoritesi’ne başvuruda bulunan Noyb.eu (“Avrupa Dijital Haklar Merkezi”) ve Norveç Tüketici Konseyi’nin yaptığı çalışmalar neticesinde kaç uygulamanın kullanıcılarının hassas içerikli kişisel verilerine eriştiği ve hukuka aykırı olarak işlendiğinin tespiti neticesinde Veri Koruma Otoritesine şikâyette bulunulduğu belirtildi. Bahse konu başvuruda ise Gindr ve beş ticari ortağı aleyhinde hassas içerikli kişisel verilerin korunması konularında şikâyette bulundukları belirtilmişti.
Norveç Tüketici Konseyi’nin şikayeti ile ilgili açıklamalar için : https://www.forbrukerradet.no/side/complaints-against-grindr-and-five-third-party-companies/#
Norveç Tüketici Konseyi’nin bu şikâyeti akabinde Norveç Veri Koruma Otoritesi’nin en yüksek meblağlı para cezası olarak tarihe geçen kararda Grindr’ın henüz idari ve teknik tedbirler konusunda yol almadığı belirlendi. Bu kapsamda Grindr’ın:
- Kişisel verileri hangi şirketlere aktaracağı ve 3. şirketlere aktarım yapıp yapmadığı hakkında bilgi vermesi gerektiği,
- Kanunlara aykırı olarak işlenen kişisel verilerin silinmesi ve kişisel verilerin aktarıldığı şirketlerden silinmesinin sağlanması hakkında aksiyon alınması gerektiği,
- Şirketin gelecekte kullanıcılarına ait kişisel verileri başka şirketlere aktarmayacağı konusunda bilgi sağlaması gerektiği hususlarında tedbirlerin alınması gerektiği belirtilmiştir.
Ayrıca açık rıza alınmadan işlenen kişisel verilerin Grindr uygulaması kapsamında özel nitelikli kişisel veri olarak kabul edilen cinsel hayata ilişkin veriler olması dolayısıyla kanunlara aykırı olarak işlenmesinin önüne geçilmesi gerektiği belirtilmiştir.
Norveç Tüketici Konseyi’nin tedbirler konusunda yapmış olduğu başvuru hakkında haber için: https://www.forbrukerradet.no/news-in-english/requests-stronger-measures-against-the-dating-app-grindr/
Avrupa Bankacılık Otoritesi’nin E-Posta Sunucularının Microsoft Exchange siber saldırısından etkilendiği açıklandı!
Avrupa Bankacılık Otoritesi’nin yaptığı açıklamada e-postalarda yer alan kişisel verilerin etkilenmiş olabileceği ve tüm e-posta sisteminin siber saldırıdan ne derece etkilendiğinin tespit etmek için devre dışı bırakıldığı belirtildi.
Microsoft’tan yapılan açıklamada, siber saldırının Microsoft Exchange E-Posta sistemindeki bir siber güvenlik açığından kaynaklanmış olabileceği yahut bazı durumlarda çalınan şifreler ile sisteme erişim sağlanarak veri ihlali yaşanmış olabileceği belirtilmiştir. Bu şekilde e-posta sunucularına uzaktan erişim sağlanmak suretiyle network üzerinden veri çalınmış olması ihtimali üzerinde durulmaktadır.
Microsoft yetkililerinin Çin Devleti destekli Hafnium Hack Grubu’ndan şüphelendiği belirtilmiş ancak Çin Devleti konu hakkında iddiaları reddetmiştir.
Siber saldırıdan 30.000’den fazla Amerikan menşeili organizasyonun etkilenmiş olabileceği açıklanmışken en az 60.000 kişinin şikâyetinin Amerikan yetkililere ulaştığı açıklanmıştır. Yapılan araştırmalarda devlet kurum ve kuruluşlarının, sağlık kuruluşlarının, bankaların ve enerji şirketlerinin de etkilenmiş olabileceği belirtilmiştir.
