Hollanda Veri Koruma Kurumu, sürücü verilerinin ABD'ye aktarılması nedeniyle Uber'e 290 milyon euro ceza verdi
(autoriteitpersoonsgegevens.nl)- Hollanda Veri Koruma Kurumu (DPA), Uber'in Avrupalı taksi sürücülerinin kişisel verilerini ABD'ye aktarırken gerekli koruma önlemlerini sağlamadığını ve bunun ciddi bir GDPR ihlali olduğunu değerlendirdi
- Aktarılan bilgiler arasında hesap bilgileri ve taksi ruhsatı, konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri ve hatta bazı sürücülerin sabıka ve sağlık verileri de yer alıyordu
- Uber, verileri 2 yıldan uzun süre ABD merkezine gönderdi ve Ağustos 2021'den itibaren Standard Contractual Clauses kullanmadığı için AB sürücü verilerinin yeterince korunmadığı sonucuna varıldı
- Bu soruşturma, 170'den fazla Fransız sürücünün yaptığı şikayetlerle başladı; Uber'in Avrupa merkezinin Hollanda'da bulunması nedeniyle Hollanda DPA, Fransa DPA'sı ve diğer Avrupa DPA'larıyla koordinasyon sağladı
- Uber, ihlali sona erdirdiğini ve geçen yılın sonundan bu yana Privacy Shield'ın halefi olan çerçeveyi kullandığını belirtti, ancak 290 milyon euro cezaya itiraz edeceğini açıkladı
Uber hakkında verilen GDPR ihlali kararı
- Hollanda DPA, Uber'in Avrupalı taksi sürücülerinin kişisel verilerini ABD'ye aktarırken GDPR'ın gerektirdiği koruma düzeyini sağlayamadığı görüşünde
- Sorunlu veriler ABD'deki sunucularda saklandı ve kapsam yalnızca genel hesap bilgileriyle sınırlı değildi
- Hesap bilgileri ve taksi ruhsatı
- Konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri
- Bazı sürücülerin sabıka verileri ve sağlık verileri
- Hollanda DPA Başkanı Aleid Wolfsen, Avrupa dışında kişisel verilerin korunmasının kendiliğinden garanti edilmediğini ve Avrupalıların kişisel verilerini AB dışında depolayan şirketlerin genellikle ek önlemler almak zorunda olduğunu söyledi
- Uber, ABD'ye aktarımla ilgili ihlali şu anda sona erdirmiş durumda
Uluslararası veri aktarım kuralları ve soruşturmanın geçmişi
- Uber, sürücü verilerini 2 yıldan uzun süre ABD merkezine aktarırken transfer tools kullanmadı; bu nedenle kişisel verilerin yeterince korunmadığı sonucuna varıldı
- AB Adalet Divanı, 2020 yılında EU-US Privacy Shield düzenlemesini geçersiz kıldı
- Standard Contractual Clauses, AB dışındaki ülkelere veri aktarımı için dayanak olabilir
- Ancak bunun fiilen eşdeğer bir koruma düzeyi sağlayabilmesi gerekir
- Uber, Ağustos 2021'den itibaren Standard Contractual Clauses kullanmayı bıraktı ve geçen yılın sonundan bu yana Privacy Shield'ın halefi olan çerçeveyi kullanıyor
- Soruşturma, 170'den fazla Fransız sürücünün Fransız insan hakları örgütü Ligue des droits de l’Homme(LDH) ne şikayette bulunmasının ardından, LDH'nin Fransa DPA'sına başvuru yapmasıyla başladı
- GDPR'ın one-stop-shop ilkesi uyarınca, birden fazla AB üye ülkesinde veri işleyen şirketler, ana iş yerlerinin bulunduğu ülkedeki DPA ile muhatap olur
- Uber'in Avrupa merkezi Hollanda'da bulunuyor
- Hollanda DPA, Fransa DPA'sıyla yakın iş birliği yaptı ve kararı diğer Avrupa DPA'larıyla koordine etti
Ceza tutarı ve Uber'in önceki yaptırımları
- Avrupa'daki DPA'ların şirketlere verdiği para cezaları aynı yöntemle hesaplanır ve üst sınır şirketin küresel yıllık gelirinin %4'üdür
- Uber'in 2023 küresel geliri yaklaşık 34,5 milyar euro
- Uber, bu 290 milyon euro cezaya itiraz etme niyetini açıkladı
- Bu olay, Hollanda DPA'nın Uber'e verdiği üçüncü ceza oldu
- 2018 veri ihlaliyle bağlantılı olarak 600 bin euro ceza verilmişti
- 2023'te kişisel veri kurallarının ihlali nedeniyle 10 milyon euro ceza verildi ve Uber bu cezaya da itiraz etti
1 yorum
Hacker News yorumları
İlginç olan şu ki, en azından bankacılık tarafında ABD verileri neredeyse her zaman ABD dışındaki kişiler tarafından yönetiliyor.
Sunucular ABD'de olabilir, ancak erişen kişinin Avrupa'da ya da Hindistan'da olma ihtimali yüksek.
Erişim sırasında veri geçici olarak o tarafta var olduğu için, ABD'nin de bu konuda daha güçlü yasalara ihtiyacı var.
Eski internetin, sınırların pek de önemli olmadığı küresel bir bilgisayar ağı gibi hissedildiği dönemi sevdiğim için, internette de sonuçta sınırların önemli olduğu varsayımını doğal kabul etmek bana biraz yabancı geliyor.
0x62'nin açıklaması yardımcı oldu: https://news.ycombinator.com/item?id=41357888
Tedarikçilerin özyinelemeli biçimde iç içe geçtiği yapıyı düşünememiştim.
Tamamen masum olsanız da durum aynı.
Bildiğim kadarıyla GDPR bu verileri kapsamıyor; dolayısıyla sınır aşması sorun değil.
Sorun, AB vatandaşlarına ait GDPR korumalı verilerde; kolluk kuvvetleri gibi belirli istisnalar dışında bu verilerin AB dışı sınırları aşmasına izin verilmiyor.
Hindistan'daki bir çalışanın ABD'de tutulan verilere bakması durumunda, veri ekranda göründüğü anda Hindistan'a ulaşmış olduğu açık olsa da, biçimsel olarak ABD'den Hindistan'a aktarılmış sayılmayabilir.
Önemli olan denetleyicinin veya işleyenin hangi hukuki yargı alanı altında olduğu; veriyi başka bir yargı alanındaki işleyene taşırsanız bu aktarım olur.
Başka bir haberde (https://nos.nl/l/2534629, Felemenkçe) Uber, Autoriteit Persoonsgegevens ile “belirsiz yasa” konusunda görüşmeler yaptığını iddia ediyor.
iOS çevirisine göre Uber sözcüsü, gizlilik kurallarındaki belirsizlik nedeniyle AP ile doğrudan temasa geçtiklerini ve o dönemde denetim kurumunun Uber'in kuralları ihlal ettiğini söylemediğini açıklıyor.
Ancak iyi kurulmuş bir hukuk ekibine sahip zengin bir şirket bir şeyin izinli olup olmadığından emin değilse, bu onu yapma hakkına dönüşmez.
Cezaların da bu kadar büyük olması gerekir. Ceza sadece bir iş yapma maliyeti haline gelmemeli; sınırları korumak, hissedarlardan aşağıya kadar herkesin meselesi olmalı.
“Uber geçen yılın sonundan beri Privacy Shield'ın ardılı düzenlemeyi kullanıyor” kısmına bakınca, bu tür düzenlemelerin sürekli çöktüğü düşünülürse ileride yine suçlu bulunacak gibi görünüyor.
AB Komisyonu bu konuda işini düzgün yapmıyor.
Ayrıca bu çerçeveye uyum “sertifikasyonu”nu da başlattı: https://www.dataprivacyframework.gov/list
Bu nedenle her bir veri koruma kurumu, bu yeni çerçeve için GDPR kapsamındaki yeterlilik konusunda EC'nin yorumunu izleyebilir.
Ancak Schrems bu çerçeveye zaten itiraz edeceğini açıkladığı için belirsizlik büyük.
Belirsizlik olmadan “güvenli” görünen tek seçenek, tüm sistemleri verinin ABD'den geçmeyeceği ve ABD merkezli ana şirket altındaki iştiraklerin depolamasına da girmeyeceği şekilde tasarlamak.
Uber'in Hollanda'da ceza alması biraz komik. Çünkü yerelde normal taksiler korunduğu için Uber neredeyse görünmüyor.
Kesin verim yok ama kişi başına en az 15 euro civarıysa çok büyük bir ceza; sürücü başına hesaplanırsa belki 25.000 euro civarında olur.
Hollandalı düzenleyici “Keşke çıkıp gitseniz?” diyormuş gibi hissettiriyor; Uber de muhtemelen benzer hissediyordur.
Fransız gizlilik denetim kurumuna yapılan şikâyet Hollanda tarafına aktarılmış.
Ceza Hollanda düzenleyicisinden geldi, ancak soruşturma Fransa'da başladı; Haziran 2020'de 21 Fransız Uber sürücüsü insan hakları örgütü Ligue Des Droits De L'homme Et Du Citoyen'e başvurdu.
Daha sonra 151 Uber sürücüsü daha şikâyete katıldı; LDH bunu Fransız gizlilik düzenleyicisi CNIL'e götürdü, CNIL de Uber'in Avrupa genel merkezinin Hollanda'da olması nedeniyle dosyayı Ocak 2021'de Hollanda Veri Koruma Otoritesi'ne devretti.
Çünkü buradaki vergi sistemini seviyor.
DPA'ya göre temyiz sürecinin yaklaşık 4 yıl sürmesi bekleniyor; yani pratikte 4 yıllık bir temyiz olacak.
Avrupa'daki tüm veri koruma kurumları şirket cezalarını aynı şekilde hesaplar ve şirketin dünya çapındaki yıllık cirosunun en fazla %4'üne kadar ceza kesebilir.
Hollanda DPA’sının Uber hakkında soruşturma başlatmasının nedeni, 170’ten fazla Fransız sürücünün Fransız insan hakları örgütü LDH’ye şikâyette bulunması ve LDH’nin bunu Fransız DPA’sına iletmesiydi.
Sürücülerin en başta hangi gerekçeyle şüphelendiğini merak ediyorum.
Kişisel olarak, uzun zaman önce ABD’li bir kuruluşla ilişkim olmuştu ve sonrasında bunu tamamen unutmuştum.
Neredeyse 15 yıl sonra Washington’daki merkez adresinden e-posta spam’i gelmeye başladı; durdurmalarını istedim ama kesilmedi.
GDPR kapsamında yasal işlem ve silme talebinde bulununca buna uyduklarını söylediler, ancak 1 yıl sonra aynı adresten yeniden spam geldi.
Böylece bilgilerimi silmediklerini ve ABD’de sakladıklarını anlamış oldum.
Bu meselenin EU–US Data Privacy Framework ile nasıl bağlantılı olduğunu merak ediyorum.
Bu çerçevenin EU–US Privacy Shield’ın yerine geçerek bu tür aktarımlara izin vermeyi amaçladığını anlamıştım; Privacy Shield döneminde, yani 2020 öncesinde, bunun sorun olmayacağını sanıyorum.
Acaba yanlış mı anlamışım?
Privacy Shield 2020’de geçersiz kılındı ve geçerli aktarım aracı olarak yalnızca standart sözleşme maddeleri kaldı.
Uber, 2023’te yeni gizlilik çerçevesini devreye almadan önce, Ağustos 2021’de standart sözleşme maddelerini kullanmayı bıraktı ve 2 yıl boyunca son derece hassas bilgileri geçerli bir yöntem olmadan aktardı.
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
Temelde Framework de eski Shield gibi Komisyon’un “bakın, düzelttik” deme girişimi.
Ne yazık ki önceki iki seferde de ECJ, ABD’nin veri gizliliği mevzuatındaki eksiklerin sonradan herhangi bir çerçeveyle giderilemeyeceği kanaatine vardı; Shield’ın da selefi gibi iddia edilen yetkileri gerçekte sağlamadığına hükmetti.
Bu Framework henüz ECJ tarafından sınanmadı, ancak ABD hukukunda da büyük bir değişiklik olmadığı için sonuç belli gibi görünüyor.
İnternetin gerçekten küresel bir ağ olduğu o kısa dönemi yaşamış olmamız şanstı
Hollanda’daki ya da Nijerya’daki[1] biri dünyanın en iyi teknoloji hizmetlerini kullanabiliyordu; insanlar sınırlar ötesinde görece özgürce etkileşime girebiliyordu
Ama artık bunun sonuna geliyoruz. Her derebeylik kendi payını ve söz hakkını istedikçe internetin küresel bir ağ olarak kalması zorlaşıyor
Sürdüğü sürece güzeldi
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Bir şirket onurlu davranıyorsa korkacak bir şeyi yoktur ve dünyanın her yerinde kolayca iş yapabilir
Sorun, baştan beri yasa dışı olması gereken şüpheli işler yaptığında ortaya çıkar
Esas mesele, ABD yasalarının en gevşek olanlar olması; vatandaşların mahremiyetinin ihlaline büyük ölçüde izin vermesi ve bu yüzden şirketlerin artık gereksiz yere kısıtlandıklarını hissetmesi
ABD yasaları daha sıkı olsaydı bu bir sorun olmazdı ve kimse bunu konuşmazdı
Yalnızca şirketin istediğini yapma özgürlüğüne odaklanmak çok dar görüşlü ve ABD merkezci. Kullanıcının gözetlenmeden yaşama özgürlüğü ne olacak?
Ağ etkileri o kadar büyük ki “beğenmiyorsan başka yere git” şeklindeki serbest piyasa mantığı pek işlemiyor; ayrıca dışarıdan verilerin nasıl işlendiğini bilmek zor olduğundan büyük bir şeffaflık sorunu da var
Özellikle de her şirket verileri kendi mülkü ve nakit ineği gibi görüyor
Buna da “derebeylikler kendi payını ve söz hakkını istiyor” mu diyorsunuz? Hukuk kavramının kendisine mi karşısınız?
Muhtemelen Britanya İmparatorluğu’nun son dönemlerinde cahil birileri de buna benzer şeyler söylemiştir
Ya da o ağa katılan şirketlerin ağı duvarların içine hapsetmekte çıkar görmüş olması mümkün değil mi?[2][3]
Yoksa o küresel ağ, birkaç baskın aktör tarafından dış düzenlemeyi gerektirecek kadar büyük ölçüde yeniden şekillendirilmiş olabilir mi?[4][5]
Elbette değildir. Bu, sektörün büyük ölçekli suistimallerine verilen bir tepki değil; sadece yerel derebeylerin biraz güç toplamaya çalışmasıdır
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
Özgürlük nedir? GPL mi, BSD mi, yumruk sallamak mı, burnuna darbe almamak mı?
Temyiz süreci yaklaşık 4 yıl sürüyor ve tüm hukuki başvuru yolları tükenene kadar ceza askıya alınıyorsa, bu konuyu 4 yıl sonra tekrar duyacağız gibi görünüyor
Uber bunu “Avrupa’da iş yapmanın maliyeti” olarak yazacak ve fiyatlara ek kâr payı olarak yansıtacak
Son yıllarda AB’nin ABD’li teknoloji şirketlerine kestiği cezaların toplamı 14,8 milyar dolar oldu: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Bu Substack oldukça iyi ve ABD’li teknoloji şirketlerinin yakında Avrupa’yı terk etmeyeceğini, ancak ilişkide çok daha büyük bir güce sahip olduklarını açıkça gösteriyor
Düzenleyiciler ellerini fazla zorluyor
ABD’li Big Tech Avrupa’dan çekilse bile, kısa vade dışında yerel pazar için iyi bir şey olabilir
Onlarla rekabet etmek çok zor; ABD iç pazarında da durum aynı
AB kadar büyük bir pazardan kaybolurlarsa rekabeti tetikleme olasılığı yüksek
AB’de hiç yetkinlik olmadığını varsaysak bile, şu anda en iyi görüntü üretim modelinin ve gayet iyi açık kaynak LLM’lerin AB’den çıktığı düşünülürse bu varsayım son derece gerçek dışı
Üstelik Avrupa’nın birçok ülkesinde, özellikle Doğu Avrupa’da müthiş teknoloji yetenekleri var; Çinli şirketler de hemen devreye girer
Bu yüzden Avrupa açısından hâlâ berbat bir anlaşma