ABD Federal İletişim Komisyonu (FCC), konum verisi paylaşımı nedeniyle en büyük mobil operatörlere para cezası verdi

• FCC, AT&T, Sprint, T-Mobile ve Verizon'a, müşteri onayı olmadan konum bilgilerini üçüncü taraflarla yasa dışı biçimde paylaştıkları gerekçesiyle toplamda yaklaşık 200 milyon dolarlık ceza verdi
  • Sprint ve T-Mobile, soruşturma başladıktan sonra birleşti ve sırasıyla 12 milyon dolar ile 80 milyon dolarlık cezayla karşı karşıya kaldı
  • AT&T'ye 57 milyon doların üzerinde, Verizon'a ise yaklaşık 47 milyon dolar ceza kesildi

Müşteri verilerini koruma yükümlülüğünün ihlali

• FCC İcra Bürosu'nun soruşturmasına göre her bir operatör, müşterilerin konum bilgilerine erişimi "toplayıcılara" sattı; bu şirketler de erişimi üçüncü taraf konum tabanlı hizmet sağlayıcılarına yeniden sattı
• Her bir operatör, müşteri onayı alma yükümlülüğünü konum bilgisinin sonraki alıcılarına devretmeye çalıştı; bu da çoğu durumda geçerli müşteri onayının alınmadığı anlamına geliyor
• Bu ilk başarısızlık, güvenlik önlemlerinin etkisiz olduğunu fark ettikten sonra bile operatörlerin yetkisiz erişime karşı korumak için makul adımlar atmadan konum bilgilerine erişim satmayı sürdürmesiyle daha da ağırlaştı

İletişim Yasası'nın 222. maddesi kapsamındaki müşteri bilgilerini koruma yükümlülüğü

• İletişim Yasası'nın 222. maddesi de dahil olmak üzere yasalara göre operatörler, konum bilgileri dahil belirli müşteri bilgilerini korumak için makul önlemler almak zorunda
• Ayrıca operatörler, müşteri bilgilerinin gizliliğini korumalı ve bu bilgileri kullanmadan, açıklamadan veya erişime izin vermeden önce aktif ve açık müşteri onayı almalı
• Bu yükümlülükler, operatörlerin müşteri bilgilerini üçüncü taraflarla paylaşması durumunda da aynı şekilde geçerli

FCC İcra Bürosu Direktörü Loyaan A. Egal'in açıklaması

• "Konum bilgisi gibi hassas kişisel verilerin korunması ve kullanımı dokunulmazdır"
• "Yanlış kişilerin eline geçtiğinde veya kötü niyetli amaçlarla kullanıldığında hepimizi riske atar"
• "Yabancı düşman unsurlar ve siber suçlular, bu bilgileri ele geçirmeyi öncelik haline getirdiğinden, hizmet sağlayıcıların müşteri konum verilerini korumak ve kullanımı için geçerli onay almak adına makul güvenlik önlemlerine sahip olmasını sağlamak İcra Bürosu'nun en önemli önceliğidir"

Şubat 2020'de yayımlanan Notices of Apparent Liability (NAL) kararlarının nihai hale gelmesi

• Bugün açıklanan Forfeiture Orders, Şubat 2020'de bu operatörlere gönderilen Notices of Apparent Liability kararlarını nihai hale getiriyor
• AT&T ve Sprint'in ceza tutarları, NAL aşamasından sonra değişmedi
• T-Mobile ve Verizon'un cezaları, tarafların NAL'e ilişkin sunduğu belgelerin ek incelemesinin ardından düşürüldü
• Yasa, NAL yayımlandıktan sonra belirli ihlaller için ceza tutarının artırılmasına izin vermiyor

GN⁺'un görüşü

• Operatörlerin müşterilerin hassas konum bilgilerini izinsiz şekilde sızdırması ve bunu önlemek için gerekli güvenlik önlemlerini düzgün biçimde kurmamış olması son derece ciddi bir sorun. Özellikle yabancı düşman unsurların ve siber suçluların bu tür bilgileri hedef aldığı düşünüldüğünde durum daha da ciddi
• Ancak bu adımın fazlasıyla geç kalmış olduğu da söylenebilir. Ceza verilmesinin daha 2020'de duyurulduğu düşünüldüğünde, nihai kararın ancak 4 yıl sonra çıkmış olması sorunlu görünüyor. Müşteri verilerinin sızdırılmasına karşı hızlı ve ağır yaptırımlar gerekli görünüyor
• Öte yandan ceza tutarları, bu ölçekteki operatörler için büyük bir darbe yaratmayabilir. Müşteri verisi ihlallerinin tekrarlanmasını önlemek için daha güçlü yaptırım araçlarına ihtiyaç olabilir
• Yerel operatörlerin de bu örnekten ders çıkararak müşteri verilerini korumaya yönelik güvenlik önlemlerini daha da güçlendirmesi ve ilgili mevzuata sıkı şekilde uymaya çalışması gerekiyor. Özellikle konum bilgisi gibi hassas veriler konusunda çok daha dikkatli olunmalı