1 puan yazan GN⁺ 2024-08-27 | 1 yorum | WhatsApp'ta paylaş
  • Hollanda Veri Koruma Kurumu (DPA), Uber'in Avrupalı taksi sürücülerinin kişisel verilerini ABD'ye aktarırken gerekli koruma önlemlerini sağlamadığını ve bunun ciddi bir GDPR ihlali olduğunu değerlendirdi
  • Aktarılan bilgiler arasında hesap bilgileri ve taksi ruhsatı, konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri ve hatta bazı sürücülerin sabıka ve sağlık verileri de yer alıyordu
  • Uber, verileri 2 yıldan uzun süre ABD merkezine gönderdi ve Ağustos 2021'den itibaren Standard Contractual Clauses kullanmadığı için AB sürücü verilerinin yeterince korunmadığı sonucuna varıldı
  • Bu soruşturma, 170'den fazla Fransız sürücünün yaptığı şikayetlerle başladı; Uber'in Avrupa merkezinin Hollanda'da bulunması nedeniyle Hollanda DPA, Fransa DPA'sı ve diğer Avrupa DPA'larıyla koordinasyon sağladı
  • Uber, ihlali sona erdirdiğini ve geçen yılın sonundan bu yana Privacy Shield'ın halefi olan çerçeveyi kullandığını belirtti, ancak 290 milyon euro cezaya itiraz edeceğini açıkladı

Uber hakkında verilen GDPR ihlali kararı

  • Hollanda DPA, Uber'in Avrupalı taksi sürücülerinin kişisel verilerini ABD'ye aktarırken GDPR'ın gerektirdiği koruma düzeyini sağlayamadığı görüşünde
  • Sorunlu veriler ABD'deki sunucularda saklandı ve kapsam yalnızca genel hesap bilgileriyle sınırlı değildi
    • Hesap bilgileri ve taksi ruhsatı
    • Konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri
    • Bazı sürücülerin sabıka verileri ve sağlık verileri
  • Hollanda DPA Başkanı Aleid Wolfsen, Avrupa dışında kişisel verilerin korunmasının kendiliğinden garanti edilmediğini ve Avrupalıların kişisel verilerini AB dışında depolayan şirketlerin genellikle ek önlemler almak zorunda olduğunu söyledi
  • Uber, ABD'ye aktarımla ilgili ihlali şu anda sona erdirmiş durumda

Uluslararası veri aktarım kuralları ve soruşturmanın geçmişi

  • Uber, sürücü verilerini 2 yıldan uzun süre ABD merkezine aktarırken transfer tools kullanmadı; bu nedenle kişisel verilerin yeterince korunmadığı sonucuna varıldı
  • AB Adalet Divanı, 2020 yılında EU-US Privacy Shield düzenlemesini geçersiz kıldı
    • Standard Contractual Clauses, AB dışındaki ülkelere veri aktarımı için dayanak olabilir
    • Ancak bunun fiilen eşdeğer bir koruma düzeyi sağlayabilmesi gerekir
  • Uber, Ağustos 2021'den itibaren Standard Contractual Clauses kullanmayı bıraktı ve geçen yılın sonundan bu yana Privacy Shield'ın halefi olan çerçeveyi kullanıyor
  • Soruşturma, 170'den fazla Fransız sürücünün Fransız insan hakları örgütü Ligue des droits de l’Homme(LDH) ne şikayette bulunmasının ardından, LDH'nin Fransa DPA'sına başvuru yapmasıyla başladı
  • GDPR'ın one-stop-shop ilkesi uyarınca, birden fazla AB üye ülkesinde veri işleyen şirketler, ana iş yerlerinin bulunduğu ülkedeki DPA ile muhatap olur
    • Uber'in Avrupa merkezi Hollanda'da bulunuyor
    • Hollanda DPA, Fransa DPA'sıyla yakın iş birliği yaptı ve kararı diğer Avrupa DPA'larıyla koordine etti

Ceza tutarı ve Uber'in önceki yaptırımları

  • Avrupa'daki DPA'ların şirketlere verdiği para cezaları aynı yöntemle hesaplanır ve üst sınır şirketin küresel yıllık gelirinin %4'üdür
    • Uber'in 2023 küresel geliri yaklaşık 34,5 milyar euro
    • Uber, bu 290 milyon euro cezaya itiraz etme niyetini açıkladı
  • Bu olay, Hollanda DPA'nın Uber'e verdiği üçüncü ceza oldu
    • 2018 veri ihlaliyle bağlantılı olarak 600 bin euro ceza verilmişti
    • 2023'te kişisel veri kurallarının ihlali nedeniyle 10 milyon euro ceza verildi ve Uber bu cezaya da itiraz etti

1 yorum

 
GN⁺ 2024-08-27
Hacker News yorumları
  • İlginç olan şu ki, en azından bankacılık tarafında ABD verileri neredeyse her zaman ABD dışındaki kişiler tarafından yönetiliyor.
    Sunucular ABD'de olabilir, ancak erişen kişinin Avrupa'da ya da Hindistan'da olma ihtimali yüksek.
    Erişim sırasında veri geçici olarak o tarafta var olduğu için, ABD'nin de bu konuda daha güçlü yasalara ihtiyacı var.

    • Verinin saklandığı fiziksel konumun neden bu kadar önemli olduğunu pek anlamıyorum.
      Eski internetin, sınırların pek de önemli olmadığı küresel bir bilgisayar ağı gibi hissedildiği dönemi sevdiğim için, internette de sonuçta sınırların önemli olduğu varsayımını doğal kabul etmek bana biraz yabancı geliyor.
      0x62'nin açıklaması yardımcı oldu: https://news.ycombinator.com/item?id=41357888
      Tedarikçilerin özyinelemeli biçimde iç içe geçtiği yapıyı düşünememiştim.
    • Apple veya Google gibi sunucularda sakladığınız verilere, gerekirse ABD makamları rızanız olmadan erişebilir.
      Tamamen masum olsanız da durum aynı.
    • ABD vatandaşlarına ait ABD verilerine Avrupalıların erişmesi veya bunları işlemesi sorun olmayabilir.
      Bildiğim kadarıyla GDPR bu verileri kapsamıyor; dolayısıyla sınır aşması sorun değil.
      Sorun, AB vatandaşlarına ait GDPR korumalı verilerde; kolluk kuvvetleri gibi belirli istisnalar dışında bu verilerin AB dışı sınırları aşmasına izin verilmiyor.
    • Hukukçu değilim ama GDPR'de uzaktan erişim istisnası olduğunu biliyorum.
      Hindistan'daki bir çalışanın ABD'de tutulan verilere bakması durumunda, veri ekranda göründüğü anda Hindistan'a ulaşmış olduğu açık olsa da, biçimsel olarak ABD'den Hindistan'a aktarılmış sayılmayabilir.
    • GDPR'de sözü edilen veri aktarımı coğrafi konumla doğrudan ilgili değil.
      Önemli olan denetleyicinin veya işleyenin hangi hukuki yargı alanı altında olduğu; veriyi başka bir yargı alanındaki işleyene taşırsanız bu aktarım olur.
  • Başka bir haberde (https://nos.nl/l/2534629, Felemenkçe) Uber, Autoriteit Persoonsgegevens ile “belirsiz yasa” konusunda görüşmeler yaptığını iddia ediyor.
    iOS çevirisine göre Uber sözcüsü, gizlilik kurallarındaki belirsizlik nedeniyle AP ile doğrudan temasa geçtiklerini ve o dönemde denetim kurumunun Uber'in kuralları ihlal ettiğini söylemediğini açıklıyor.
    Ancak iyi kurulmuş bir hukuk ekibine sahip zengin bir şirket bir şeyin izinli olup olmadığından emin değilse, bu onu yapma hakkına dönüşmez.
    Cezaların da bu kadar büyük olması gerekir. Ceza sadece bir iş yapma maliyeti haline gelmemeli; sınırları korumak, hissedarlardan aşağıya kadar herkesin meselesi olmalı.

  • “Uber geçen yılın sonundan beri Privacy Shield'ın ardılı düzenlemeyi kullanıyor” kısmına bakınca, bu tür düzenlemelerin sürekli çöktüğü düşünülürse ileride yine suçlu bulunacak gibi görünüyor.
    AB Komisyonu bu konuda işini düzgün yapmıyor.

    • EC, yeni EU–US Data Privacy Framework için “yeterlilik kararı” aldı: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae6...
      Ayrıca bu çerçeveye uyum “sertifikasyonu”nu da başlattı: https://www.dataprivacyframework.gov/list
      Bu nedenle her bir veri koruma kurumu, bu yeni çerçeve için GDPR kapsamındaki yeterlilik konusunda EC'nin yorumunu izleyebilir.
      Ancak Schrems bu çerçeveye zaten itiraz edeceğini açıkladığı için belirsizlik büyük.
      Belirsizlik olmadan “güvenli” görünen tek seçenek, tüm sistemleri verinin ABD'den geçmeyeceği ve ABD merkezli ana şirket altındaki iştiraklerin depolamasına da girmeyeceği şekilde tasarlamak.
  • Uber'in Hollanda'da ceza alması biraz komik. Çünkü yerelde normal taksiler korunduğu için Uber neredeyse görünmüyor.
    Kesin verim yok ama kişi başına en az 15 euro civarıysa çok büyük bir ceza; sürücü başına hesaplanırsa belki 25.000 euro civarında olur.
    Hollandalı düzenleyici “Keşke çıkıp gitseniz?” diyormuş gibi hissettiriyor; Uber de muhtemelen benzer hissediyordur.

    • Uber Europe'un genel merkezi Hollanda'da olduğu için ceza orada verildi.
      Fransız gizlilik denetim kurumuna yapılan şikâyet Hollanda tarafına aktarılmış.
    • Hollandalı mısınız bilmiyorum ama burada daha ayrıntılı anlatılmış: https://tweakers.net/nieuws/225768/uber-krijgt-van-ap-avg-bo...
      Ceza Hollanda düzenleyicisinden geldi, ancak soruşturma Fransa'da başladı; Haziran 2020'de 21 Fransız Uber sürücüsü insan hakları örgütü Ligue Des Droits De L'homme Et Du Citoyen'e başvurdu.
      Daha sonra 151 Uber sürücüsü daha şikâyete katıldı; LDH bunu Fransız gizlilik düzenleyicisi CNIL'e götürdü, CNIL de Uber'in Avrupa genel merkezinin Hollanda'da olması nedeniyle dosyayı Ocak 2021'de Hollanda Veri Koruma Otoritesi'ne devretti.
    • Uber'in genel merkezi Hollanda'da.
      Çünkü buradaki vergi sistemini seviyor.
    • Ceza, temyiz sonuçlanana kadar askıya alındı.
      DPA'ya göre temyiz sürecinin yaklaşık 4 yıl sürmesi bekleniyor; yani pratikte 4 yıllık bir temyiz olacak.
    • Bu ceza tazminat değil, yaptırım.
      Avrupa'daki tüm veri koruma kurumları şirket cezalarını aynı şekilde hesaplar ve şirketin dünya çapındaki yıllık cirosunun en fazla %4'üne kadar ceza kesebilir.
  • Hollanda DPA’sının Uber hakkında soruşturma başlatmasının nedeni, 170’ten fazla Fransız sürücünün Fransız insan hakları örgütü LDH’ye şikâyette bulunması ve LDH’nin bunu Fransız DPA’sına iletmesiydi.
    Sürücülerin en başta hangi gerekçeyle şüphelendiğini merak ediyorum.

    • Sağduyuyla tahmin etmiş olabilirler ya da uygulama doğrudan ABD sunucularına bağlanmış olabilir.
    • Uber tarafında basit bir dikkatsizlik de olmuş olabilir.
      Kişisel olarak, uzun zaman önce ABD’li bir kuruluşla ilişkim olmuştu ve sonrasında bunu tamamen unutmuştum.
      Neredeyse 15 yıl sonra Washington’daki merkez adresinden e-posta spam’i gelmeye başladı; durdurmalarını istedim ama kesilmedi.
      GDPR kapsamında yasal işlem ve silme talebinde bulununca buna uyduklarını söylediler, ancak 1 yıl sonra aynı adresten yeniden spam geldi.
      Böylece bilgilerimi silmediklerini ve ABD’de sakladıklarını anlamış oldum.
  • Bu meselenin EU–US Data Privacy Framework ile nasıl bağlantılı olduğunu merak ediyorum.
    Bu çerçevenin EU–US Privacy Shield’ın yerine geçerek bu tür aktarımlara izin vermeyi amaçladığını anlamıştım; Privacy Shield döneminde, yani 2020 öncesinde, bunun sorun olmayacağını sanıyorum.
    Acaba yanlış mı anlamışım?

    • Hollanda DPA’sının bu yazısında[1] ayrıntılar var.
      Privacy Shield 2020’de geçersiz kılındı ve geçerli aktarım aracı olarak yalnızca standart sözleşme maddeleri kaldı.
      Uber, 2023’te yeni gizlilik çerçevesini devreye almadan önce, Ağustos 2021’de standart sözleşme maddelerini kullanmayı bıraktı ve 2 yıl boyunca son derece hassas bilgileri geçerli bir yöntem olmadan aktardı.
      [1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
    • Bu anlayış yanlış.
      Temelde Framework de eski Shield gibi Komisyon’un “bakın, düzelttik” deme girişimi.
      Ne yazık ki önceki iki seferde de ECJ, ABD’nin veri gizliliği mevzuatındaki eksiklerin sonradan herhangi bir çerçeveyle giderilemeyeceği kanaatine vardı; Shield’ın da selefi gibi iddia edilen yetkileri gerçekte sağlamadığına hükmetti.
      Bu Framework henüz ECJ tarafından sınanmadı, ancak ABD hukukunda da büyük bir değişiklik olmadığı için sonuç belli gibi görünüyor.
  • İnternetin gerçekten küresel bir ağ olduğu o kısa dönemi yaşamış olmamız şanstı
    Hollanda’daki ya da Nijerya’daki[1] biri dünyanın en iyi teknoloji hizmetlerini kullanabiliyordu; insanlar sınırlar ötesinde görece özgürce etkileşime girebiliyordu
    Ama artık bunun sonuna geliyoruz. Her derebeylik kendi payını ve söz hakkını istedikçe internetin küresel bir ağ olarak kalması zorlaşıyor
    Sürdüğü sürece güzeldi
    [1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...

    • Bu tür yasalar iyi nedenlerle çıkarıldı ve ABD’li teknoloji şirketleri uzun zamandır insanların kişisel veri haklarını istedikleri gibi çiğniyor
      Bir şirket onurlu davranıyorsa korkacak bir şeyi yoktur ve dünyanın her yerinde kolayca iş yapabilir
      Sorun, baştan beri yasa dışı olması gereken şüpheli işler yaptığında ortaya çıkar
      Esas mesele, ABD yasalarının en gevşek olanlar olması; vatandaşların mahremiyetinin ihlaline büyük ölçüde izin vermesi ve bu yüzden şirketlerin artık gereksiz yere kısıtlandıklarını hissetmesi
      ABD yasaları daha sıkı olsaydı bu bir sorun olmazdı ve kimse bunu konuşmazdı
      Yalnızca şirketin istediğini yapma özgürlüğüne odaklanmak çok dar görüşlü ve ABD merkezci. Kullanıcının gözetlenmeden yaşama özgürlüğü ne olacak?
      Ağ etkileri o kadar büyük ki “beğenmiyorsan başka yere git” şeklindeki serbest piyasa mantığı pek işlemiyor; ayrıca dışarıdan verilerin nasıl işlendiğini bilmek zor olduğundan büyük bir şeffaflık sorunu da var
      Özellikle de her şirket verileri kendi mülkü ve nakit ineği gibi görüyor
    • Fiziksel ürünler başka bir ülkeye ihraç edildiğinde yerel yasalara uymak zorunda; çevrimiçi hizmetlerin neden istisna olması gerektiğini anlamıyorum
      Buna da “derebeylikler kendi payını ve söz hakkını istiyor” mu diyorsunuz? Hukuk kavramının kendisine mi karşısınız?
    • “Dünyanın gerçekten küresel bir ticaret ağı olduğu kısa dönemi yaşama şansına sahiptik. İngilizler dünyanın en iyi çayına erişebiliyordu ve insanlar sınırlar ötesinde görece özgürce alışveriş yapabiliyordu. Ama artık bunun sonuna geliyoruz. Her derebeylik kendi payını ve söz hakkını istedikçe dünyanın küresel bir ağ olarak kalması zorlaşıyor. Sürdüğü sürece güzeldi.”
      Muhtemelen Britanya İmparatorluğu’nun son dönemlerinde cahil birileri de buna benzer şeyler söylemiştir
    • O “küresel ağ”ın merkezinin onu bir nüfuz ve gözetim aracına çevirmiş olması mümkün değil mi?[1]
      Ya da o ağa katılan şirketlerin ağı duvarların içine hapsetmekte çıkar görmüş olması mümkün değil mi?[2][3]
      Yoksa o küresel ağ, birkaç baskın aktör tarafından dış düzenlemeyi gerektirecek kadar büyük ölçüde yeniden şekillendirilmiş olabilir mi?[4][5]
      Elbette değildir. Bu, sektörün büyük ölçekli suistimallerine verilen bir tepki değil; sadece yerel derebeylerin biraz güç toplamaya çalışmasıdır
      [1]: https://en.wikipedia.org/wiki/PRISM
      [2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
      [3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
      [4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
      [5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
    • Uber’in istediğini yapma hakkı, benim hakkımdaki bilgileri kontrol etme hakkımın başladığı yerde biter
      Özgürlük nedir? GPL mi, BSD mi, yumruk sallamak mı, burnuna darbe almamak mı?
  • Temyiz süreci yaklaşık 4 yıl sürüyor ve tüm hukuki başvuru yolları tükenene kadar ceza askıya alınıyorsa, bu konuyu 4 yıl sonra tekrar duyacağız gibi görünüyor

  • Uber bunu “Avrupa’da iş yapmanın maliyeti” olarak yazacak ve fiyatlara ek kâr payı olarak yansıtacak

  • Son yıllarda AB’nin ABD’li teknoloji şirketlerine kestiği cezaların toplamı 14,8 milyar dolar oldu: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
    Bu Substack oldukça iyi ve ABD’li teknoloji şirketlerinin yakında Avrupa’yı terk etmeyeceğini, ancak ilişkide çok daha büyük bir güce sahip olduklarını açıkça gösteriyor
    Düzenleyiciler ellerini fazla zorluyor

    • Ellerini tam olarak nasıl fazla zorladıklarını anlamıyorum
      ABD’li Big Tech Avrupa’dan çekilse bile, kısa vade dışında yerel pazar için iyi bir şey olabilir
      Onlarla rekabet etmek çok zor; ABD iç pazarında da durum aynı
      AB kadar büyük bir pazardan kaybolurlarsa rekabeti tetikleme olasılığı yüksek
    • O zaman ne olur? Bir boşluk doğar ve kimse dolduramaz mı?
      AB’de hiç yetkinlik olmadığını varsaysak bile, şu anda en iyi görüntü üretim modelinin ve gayet iyi açık kaynak LLM’lerin AB’den çıktığı düşünülürse bu varsayım son derece gerçek dışı
      Üstelik Avrupa’nın birçok ülkesinde, özellikle Doğu Avrupa’da müthiş teknoloji yetenekleri var; Çinli şirketler de hemen devreye girer
    • O yazıya karşı argüman basit: ABD’li Big Tech AB yasalarına uyarsa cezalardan tamamen kaçınabilir
    • Aksine, Avrupalı müşterilerden muazzam para kazandıkları için bu tür cezaları kaldırabildikleri anlamına geliyor gibi görünüyor
      Bu yüzden Avrupa açısından hâlâ berbat bir anlaşma