Mahkeme, Meta'nın Flo uygulamasındaki kadın sağlığı verilerine rıza olmadan eriştiğine hükmetti

 (malwarebytes.com)
1 puan yazan GN⁺ 2025-08-15 | 1 yorum | WhatsApp'ta paylaş
  • Meta'nın kadınlara yönelik adet ve sağlık takibi uygulaması Flo Health üzerinden kullanıcıların rızası olmadan hassas veriler topladığına mahkeme tarafından hükmedildi
  • Flo Health, kullanıcıların adet döngüsü, ruh hali, cinsel yaşam bilgileri gibi son derece kişisel verilerini topladı ve bunları 2016'dan 2019'a kadar Facebook, Google gibi çeşitli üçüncü taraflarla paylaştı
  • Flo Health, kullanıcılara gizlilik ve veri paylaşmama sözü vermiş olsa da gerçekte üçüncü tarafların bu verileri başka amaçlarla serbestçe kullanabilmesine izin verdi
  • Bunun üzerine ABD Federal Ticaret Komisyonu (FTC), Flo Health'e yönelik inceleme ve politika iyileştirmesi emri verdi; Flo Health ve Google daha önce uzlaşırken Meta sonuna kadar uzlaşmaya gitmedi
  • ABD'de son dönemdeki kürtaj hakkı tartışmalarıyla birlikte kadın sağlığı verilerinin taşıdığı mahremiyet riski daha da görünür hale geliyor

Meta'nın Flo Health uygulaması kullanıcı verilerini izinsiz topladığı olayın özeti

  • ABD'deki bir jüri, Meta'nın kadın sağlığı takip uygulaması Flo Health aracılığıyla kullanıcıların hassas üreme sağlığı bilgilerini rıza olmadan topladığını kabul eden bir karara vardı
  • Flo Health, 2015'te Belarus'ta başlayan; kadınların adet ve sağlık durumları gibi çok ayrıntılı ve kişisel verileri takip edebilmesi için tasarlanmış bir uygulama ve dünya genelinde 150 milyondan fazla kullanıcı tarafından kullanılıyor

Flo Health'in veri toplama ve paylaşma biçimi

  • Flo Health kullanıcıları; adet tarihleri, ruh hali değişimleri, doğum kontrol yöntemleri, cinsel yaşam memnuniyeti, hamilelik planları gibi son derece özel sorulara düzenli olarak yanıt veriyor
  • Uygulama, kullanıcı tarafından girilen verileri dışarıyla paylaşmayacağını ve yalnızca hizmet sunumu için gerekli olduğunda bazı verileri ilgili şirketlere vereceğini açıkça taahhüt etti
  • Ancak 2016-2019 arasında Flo Health bu kişisel bilgileri Facebook (şimdiki Meta), Google, AppsFlyer ve Flurry gibi şirketlere geniş çapta sağladı
    • Uygulama her açıldığında erişim kaydı tutuldu ve uygulama içindeki tüm kullanıcı faaliyetleri kaydedilip dışarıya gönderildi
    • Üçüncü taraflar bu bilgileri hizmet sunumu dışındaki amaçlarla da kullanabildi

Flo Health'in politikaları ve güven sorunu

  • Flo Health kullanıcılara güven ve mahremiyet koruması vadetti, ancak gerçekte üçüncü tarafların veri kullanımına ilişkin hiçbir sınırlama veya kılavuz bulunmuyordu
  • Uygulamanın kullanım koşulları, dış ortakların Flo Health kullanıcı verilerinin bir kısmını serbestçe kullanmasına izin veriyordu
  • 2020 itibarıyla Flo Health, 150 milyon kullanıcısına “kişisel verilerin korunmasını en yüksek öncelik olarak görüyoruz” mesajını vererek güven oluşturmaya çalıştı
Reklam

Hukuki sorumluluk ve FTC'nin adımı

  • Gerçek kullanıcı Erica Frasco, 2021'de Flo Health ve bağlantılı şirketlere, özellikle de Meta'ya karşı toplu dava açtı
    • Ana başlıklar arasında mahremiyet ihlali, sözleşme ihlali, haksız zenginleşme ve sağlık bilgisi yasalarının ihlali yer alıyor
    • Zararların tazmini ve haksız kazancın geri alınması talep ediliyor
  • Flo Health ve Google davacılarla çoktan uzlaştı, ancak Meta son ana kadar uzlaşmayıp davayı sürdürdü
  • Jüri, Meta'nın elektronik bir cihaz aracılığıyla iletişimleri dinlediği veya kaydettiği ve kullanıcı rızası olmadan hareket ettiği sonucuna vardı

Olayın toplumsal arka planı ve çıkardığı dersler

  • ABD Federal Ticaret Komisyonu (FTC), Flo Health hakkında politika dış denetimi ve kişisel verilerin kötüye kullanımının yasaklanması gibi düzeltici emirler verdi
  • ABD Yüksek Mahkemesi'nin 2022'de kürtaj hakkını ortadan kaldıran kararının ardından, kadın sağlığı verilerinin mahremiyeti daha da önemli bir konu haline geldi
  • Meta'nın 2022'de bir polis soruşturmasına yardımcı olarak bir kadın ile iki kızı arasındaki kürtajla ilgili mesajları teslim etmesi de ayrı bir tartışma yarattı
  • Propublica'nın haberine göre, çevrimiçi eczaneler de Google gibi şirketlerle hassas bilgileri paylaşıyor ve bu durum verilerin hukuki delil olarak kullanılma riskini doğuruyor

Sonuç ve güvenlik farkındalığı

  • Pek çok kullanıcı Flo Health'e güvendi, ancak gerçek veri işleme biçimi ortaya çıktıktan sonra güven kaybı derinleşti
  • Bu olay, sadece uygulama kullanımını sınırlama meselesi değil; kişisel sağlık verilerinin mahremiyeti ve teknolojiye duyulan güvenin bütünü açısından da önemli bir uyarı niteliğinde
  • Teknoloji kolaylık sağlasa da verilerin kötüye kullanılması halinde kullanıcılar için somut riskler yaratabiliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-08-15
Hacker News görüşleri

  • Facebook adlı şirketin kendisini pek sevmem ama bu kararın yanlış sonuca vardığını düşünüyorum. Dava dilekçesine bakınca, “elektronik cihazlar kullanılarak dinleme veya kayıt yapıldı” denilen şeyin aslında “Flo, Facebook SDK kullanarak özel etkinlikler gönderdi” anlamına geldiği görülüyor. Flo’nun bu bilgileri Facebook’a göndermesi eleştirilmeyi hak ediyor ama Facebook’un “kasten dinleme yaptığına” hükmetmek hiç mantıklı değil. Bana göre Flo, adet verilerini Facebook’a istek olmadan gönüllü olarak gönderdi ve Facebook’un da SDK üzerinden hassas bilgi gönderimini yasaklayan bir politikası vardı. Facebook’a dava açmak, bir doktorun hasta verilerini Google Drive’a kaydetmesi yüzünden Google’a dava açmaya benziyor

    • İlgili dava belgesi

    • Facebook SDK politika belgesi sayfa 6, satır 1

    • [1] temel alınırsa, başlangıçta davalı yalnızca Flo olduğu için Facebook’a ilişkin iddiaların yer almaması doğaldı. Ancak değiştirilmiş dava dilekçesinde (3) Facebook’a karşı yeni davalı iddiaları da yer alıyor. Değiştirilmiş dilekçeye göre sorun, bunun 2019’da ortaya çıkmasının ardından Facebook’un bu davranışı 2021’e kadar sürdürmesi ve Flo, FTC tarafından buna son vermeye zorlandıktan, hatta Kongre soruşturması başladıktan sonra bile Facebook’un daha önce usulsüz biçimde toplanmış verileri incelememesi veya imha etmemesiydi. Ayrıca delil toplama sürecinde Facebook’un hangi verilerin ne kadar farkında olduğuna dair daha somut kanıtlar ortaya çıkmış olması da beklenir

    • Bu, hikâyenin sadece bir kısmı. Facebook, Flo’nun gönderdiği verileri yalnızca saklasaydı ya da sadece Flo adına kullansaydı durum farklı olurdu. Sorun, Facebook’un bu sağlık verilerini reklam amaçlı kullanmış olması ve bunları yasal olarak kullanıp kullanamayacağını kendisinin doğrulamamış olması. Bunu doğrulama yükümlülüğü vardı ve bu süreci işletmediği için aleyhine hüküm verildi

    • Flo’nun bu verileri Facebook’a göndermesi açıkça yanlıştı. Bu yüzden Flo davada uzlaşmaya gitti. Ama Facebook bu bilgileri aldıktan sonra sadece bir kenara yığmadı ya da görmezden gelmedi; kendi diğer sinyalleriyle birleştirerek kullandı. Facebook’a karşı açılan davanın merkezinde de bu vardı

    • Verilerin yasal olup olmadığını kontrol etme sorumluluğu olduğunu düşünüyorum. Çalıntı mal satın almamak gibi, Meta da suç işleyenlerle ortaklık kurmamak için dikkatli olmalı. En büyük kusur Flo’da ama Meta’nın da yeterli özeni gösterdiğini ortaya koyması gerekir. Sadece kullanım şartlarına dayanarak sorumluluktan kaçamazsınız; asıl önemli olan, kullanıcının bunu gerçekten anlayacağından emin olmaktır

    • Böyle davalarda jüri yargılaması yerine hâkim kararı çok daha iyi. Çünkü sıradan bir jürinin SDK, veri paylaşımı, API gibi teknik ayrıntıları düzgün anlaması zor. Buna karşılık yüksek profilli teknik davalarda hâkimler çoğu zaman mühendislik bilgisini aktif biçimde öğrenip meseleyi derinlemesine tartışıyor

  • Mahkemede Facebook’la karşı karşıya gelenleri düşündüğümde aklıma hep küçücük bir farenin kutup ayısına saldırması geliyor. Ya da goblin’e karşı ejderha, sineğe karşı fil gibi. Bu dev şirketler neredeyse hukukun denetimine girmeyen canavarlar gibi. Gerçek anlamda strese girdikleri nadir durumlar, pazar payı kaybetme riski ya da belirli bir bölgede engellenme tehlikesi olduğunda yaşanıyor

    • Bu tür laflar yanlış anlaşılabilir ama aslında bu dev şirketler hukukun dışında değil, tam içinde. Çünkü para güçleri ve etkileri sayesinde hukukun sınırlarını kendi çıkarlarına göre ayarlayabiliyorlar. Hukukun nasıl uygulanması gerektiğine dair ne kadar yüksek ses çıkarsa çıksın, maliyetini karşılayabildikleri sürece “yasal” alanın içinde kalabiliyorlar

    • Beni en çok karamsarlaştıran şey, tanıdığım neredeyse herkesin bu mahremiyet sorunlarından endişe duymasına rağmen hâlâ Meta hesaplarını koruyor olması. Kendi ölçütlerine göre sorun yoksa kullanmaları anlaşılır; herkes zaman zaman tutarsız olabilir. Ama kendi inançlarında katı olup başkalarını yargılarken tuhaf derecede esnek davranmaları gerçekten garip. İnsanları seviyorum ama bazen anlaşılmaları çok zor

    • Sonuçta mağdur başına üç haneli bir para cezası bile Facebook üzerinde muazzam baskı yaratır

    • Herkes yalnızca Facebook’u suçluyor ama yasa koyuculara ya da mahkemelere aynı tepki gösterilmiyor gibi. Oysa bu tür bir meselede milyar dolarlık cezalar çıkıp da devlet Facebook ofislerindeki sunucuları, sandalyeleri, projektörleri bile açık artırmaya çıkaracak kadar her şeyi nakde çevirmek zorunda bıraksa, diğer şirketler de yasadışı davranışlarını çok hızlı biçimde keser ve tavırlarını değiştirirdi

  • Görünüşe göre haberi düzgün okuyan pek olmamış. Asıl hatalı olan Flo uygulaması. Sorun, uygulama geliştiricilerinin kullanıcı bilgilerini hiçbir kısıtlama olmadan Meta’ya göndermiş olması. Karar ne derse desin, asıl yanlış Flo’da

    • Flo, hassas bilgileri çevrimiçi bir veritabanına yüklediği için hatalıydı. Meta da böyle bir kişisel veri veritabanı altyapısı sunduğu için hatalıydı. İkisi de ahlaken kınanmayı hak eden şeyler yaptı

    • Meta bilgileri sınırsız biçimde aldığı için elbette erişim de sağlamış oldu. Eğer bu verileri kullanma yetkisi yoksa, normal olan Meta’nın önce açık izin alınmasını şart koşmasıdır. Sorun, Meta’nın önceden onay almadan erişebilmesidir

  • Beş yıl önce iOS uygulama ekosistemini incelerken ücretsiz uygulamaların potansiyel gelir modeline baktım. Bir geliştirici çocuk sağlığı verilerini takip eden ücretsiz bir uygulama çıkarmıştı ve uygulamanın değerinin bizzat o verinin kendisi olduğunu düşünüyordu. Hatta uygulamanın gelecekteki kârlılığının da sonuçta veri satışına dayanacağından emindi. O zamandan sonra, kişisel verilerimi, özellikle de sağlık verilerimi saklayan uygulamaları asla kullanmamaya ve mümkün olan tüm uygulama izinlerini kapatmaya karar verdim

    • İnsanların neden kişisel verilerini ya da sağlık verilerini böyle sosyopat şirketlere verdiğini gerçekten anlamıyorum. Sağlık verisi kaydeden uygulamaların veya giyilebilir cihazların neden kullanıldığını, arkasındaki motivasyonu tedirgin edici buluyorum. Bu şirketlerin geçmişte yaptıklarını düşününce, tüm ayrıntıları kaydedip sonsuza kadar satacaklarını ve saklayacaklarını varsaymak gerekir

  • Sonuç şu: uygulama kullanmamak en iyi çözüm. Vakaların %95’inde bunların talep ettiği mahremiyet ihlaline değecek bir karşılık yok

    • Mozilla’nın adet takip uygulamalarını karşılaştırdığı bir çalışma var. Aralarında kullanıcı mahremiyetini korumaya çalışan bazı uygulamalar da bulunuyor

    • Eğer bir yazılımın gerçekten internet bağlantısına ihtiyacı varsa, geliştiricinin önce bunun nedenini ve gerekçesini ortaya koyması gerektiğini düşünüyorum

    • Konuya çok hâkim değilim ama sadece konum gibi izinleri kapatmak bu sorunu çözmeye yetmez mi diye merak ediyorum

    • Ne yazık ki gerçek bu

    • Doğru. Kullanıcılar her zaman “yeni ücretsiz özellik!” pazarlamasına aynı şekilde kapılıyor. Sonuçta istilacı iş modelleri tekrar tekrar işe yarıyor

  • Kadınlara önerilebilecek bir uygulama olarak Drip var.

    • Drip resmî sitesi

    • Güvenlik açısından en iyilerden biri gibi görünüyor

    • Aslında bunun gibi şeyleri kendi başıma barındırıp doğrudan yönetmenin en iyisi olduğunu düşünüyorum. Bunlar kimseye emanet etmek istemeyeceğim veriler. Bu arada erkeklerle cinsel ilişki yaşamıyorum ama yine de umursuyorum

  • Eşim Flo kullanıyor. Uygulamayı açıp bilgi girdiği her seferinde, teknik açıdan bunun son derece riskli olduğunu hissediyorum. Bu tür uygulamalar gerçekten çok hassas bilgilerle çalıştığı için, teknik olmayan sıradan insanlara bilgi güvenliğinin önemini çok daha fazla anlatmak gerektiğini düşünüyorum

  • Bu yüzden telefona neredeyse hiç uygulama kurmama ya da en azından çok az uygulama kullanma politikasına yöneldim. Elbette web siteleri veya web uygulamaları da benzer şekilde bilgi paylaşabilir ama en azından sistem erişim izinlerini azaltmanın verdiği psikolojik bir rahatlık var. Kişisel olarak LinkedIn’in bugüne kadarki çeşitli davranışlarını görünce hâlâ uygulama mağazalarında bulunabilmesine şaşırıyorum

  • Mahremiyetle ilgili haberlerde Meta’nın işin içinde olmadığı bir örnek bulmak zor

    • Bence Google, Microsoft ve Amazon da bu durumdan gayet memnun

  • Sonunda değişim ancak başkan yardımcısı (VP) düzeyindeki yöneticiler hapse girmeye başladığında gelir. Tabii bunun gerçekte olma ihtimali neredeyse yok