Flock Safety’ye kişisel veri toplamanın durdurulması talebi ve şirketin yanıtı

 (honeypot.net)
2 puan yazan GN⁺ 15 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Kaliforniya’da yaşayan bir kişi, Flock Safety’ye kendisi, ailesi ve aracıyla ilgili kişisel verilerin silinmesi ve toplanmasının durdurulması talebini iletti
  • Şirket, kendisinin yalnızca bir veri işleyen (Processor) olduğunu ve veriler üzerindeki kontrolün müşteri kuruma ait olduğunu belirterek talebi reddetti
  • Yanıtında veri satışının yasak olduğu, 30 günlük otomatik silme politikası ve toplama kapsamının kamusal alandaki araç görüntüleriyle sınırlı olduğu gibi noktaları açıkladı
  • Talepte bulunan kişi, Flock Safety’nin gerçekte kişisel olarak tanımlanabilir bilgileri doğrudan işlediğini ve bu nedenle silme yükümlülüğü bulunduğunu savunuyor
  • Hukuki adım atılıp atılmayacağı henüz net değil; avukat tutma ihtimali açık tutuluyor

Flock Safety’ye kişisel veri silme talebi ve yanıtı

  • Kaliforniya’da yaşayan bir kişi, Flock Safety’ye CCPA (Kaliforniya Tüketici Gizliliği Yasası) kapsamında kişisel verilerin silinmesi ve toplanmasının durdurulması talebini e-postayla gönderdi
    • Talepte, kendisi, aracı ve aile üyeleriyle ilgili bilgilerin tüm veritabanlarından silinmesi ve gelecekte toplanıp saklanmasının engellenmesi istendi
  • Flock Safety yanıtında talebi işleyemeyeceğini bildirdi
    • Yanıt e-postasında alıcının adı iki kez yanlış yazıldı
    • Şirket, “Flock Safety müşterileri adına verileri işleyen bir hizmet sağlayıcı ve işlemcidir; verilerin sahibi ve denetleyicisi müşteridir” ifadesini kullandı
    • Bu nedenle silme talebinin Flock Safety’ye değil, hizmeti kullanan kuruma (müşteriye) doğrudan iletilmesi gerektiğini belirtti
  • Şirket ayrıca veri toplama ve saklama politikasını açıkladı
    • Müşteri sözleşmesine göre veri işleme kapsamı ve sınırlamaları belirleniyor ve verilerin sahibi müşteri sayılıyor
    • Veri satışı yok: Flock Safety verileri müşterinin talimatları doğrultusunda işliyor; ticari amaçla satmıyor veya paylaşmıyor
    • Toplanan bilgiler: plaka tanıma sistemi (LPR), ad veya adres gibi hassas bilgiler yerine yalnızca kamusal alanda çekilmiş araç görüntülerini ve dış görünüş bilgilerini topluyor
    • Kullanım amacı: müşteriler verileri kamu güvenliği yönetimi, olaylara müdahale ve suçların çözülmesi gibi güvenlik amaçları için kullanıyor
    • Saklama süresi: veriler varsayılan olarak 30 gün sonra otomatik siliniyor; müşteri süreyi yasa veya politika doğrultusunda ayarlayabiliyor
  • Flock Safety, daha fazla ayrıntı için Privacy Policy ve LPR Policy belgelerine bakılmasını önerdi

Hukuki yorum ve kişinin tutumu

  • Talepte bulunan kişi, Flock Safety’nin yanıtının hukuken hatalı olduğunu düşündüğünü belirtiyor
    • Gerekçesi, Flock Safety’nin fiilen kişisel olarak tanımlanabilir bilgileri (PII) toplayıp işleyen taraf olması
    • CCPA’ya göre bu tür bilgileri işleyen tarafların silme taleplerine yanıt verme yükümlülüğü bulunduğunu savunuyor
  • Şu anda hukuki girişim konusunda kesin bir karar verilmiş değil; avukat tutma ihtimali masada

İlgili okumalar

1 yorum

 
GN⁺ 15 일 전
Hacker News görüşleri

  • Bu yazıyı ben yazdım. Flock'un talebimi kabul etmesini beklemiyordum ama deneme amaçlı olarak denedim. Ancak verdikleri yanıt rahatsız ediciydi. “Veri müşterinindir ve kullanım ile paylaşımı müşteri belirler” dediler; bu da CCPA'nın amacıyla doğrudan çelişiyor. Veri benimse neden kontrol onların müşterisinde, bunu anlamıyorum. Çok bir beklentim yoktu ama bu şekilde reddedilmek hayal kırıklığı yarattı

    • Söyledikleri şey aslında “bize ulaşmayın, kamera sahibine ulaşın” demekti. Ama veriler Flock sunucularında tutuluyor. Sadece depolama alanı sağlıyor olmak, veri üzerinde hiçbir sahiplik olmadığı anlamına gelmez; asıl mesele bu. Dahası, sistemin tasarımının bizzat mahremiyet ihlali yaratacak şekilde kurulmuş olması sorunlu. Flock'a yönelik temel eleştiri de tam olarak bu; mahkemeye taşınırsa ilginç olabilir
    • Onlara tekrar ulaşıp “o zaman müşteri listenizi verin ve her yeni müşteri geldiğinde de beni bilgilendirin” demeyi düşündüm
    • Bir hakimin, Flock'un sistemi ne kadar fiilen kontrol ettiğini incelemesi ilginç olurdu. Kişisel veri toplamayı bu kadar kolaylaştıran bir sistem kurdularsa, silme taleplerini işleme sürecini de aynı ölçüde kolay hale getirmeliler. Sonuçta şirketlerin mahremiyeti hafife aldığı bir dünyada yaşamamızın sebebi, tüketicilerin buna göz yumması. Bu tür sorunlarla ilgilenen bireylerin olması sevindirici. Hukuki mücadele masraflarına destek olmanın bir yolu var mı diye merak ediyorum
    • LegalEagle gibi bir YouTuber dahil olursa dikkat çekebilir. Benn Jordan'ın da uzman tanık olarak çıkması ilginç olabilir
    • Ama bu gerçekten “benim verim” mi? Araba kullanırken başkasının evindeki bir Ring kamerasına yakalansam, o görüntü üzerinde mülkiyet hakkım olduğunu iddia edebilir miyim?

  • Böyle bir talebin hukuken ne kadar anlamlı olduğundan emin değilim. Örneğin bir şehir, suç delili toplamak için ALPR sistemi kuruyorsa, bir kişi Flock'a “benim verimi toplamayın” diyemez. Böyle bir talep mevcut hukuk açısından fazla iddialı görünüyor

  • Son zamanlardaki gönderilerde şirket adı yalnızca “Flock” diye geçiyor, “Flock Safety (YC S17)” kısmı yok; önceki gönderide de böyleydi. YC gösterim biçimi mi değişti diye merak ediyorum

    • Belki YC, mahremiyet tartışmasından uzak durmaya çalışıyordur ama açıkçası o kadar öngörülü olduklarından emin değilim
    • Son dönemde genel olarak bu tür etiketler azalmış gibi. Zaten başlığı gönderen kişi yazıyor, otomatik bir şey değil

  • Flock, Minnesota eyaletinde de “biz veri denetleyicisi değiliz” diyerek benzer şekilde yanıt vermişti. Oysa MCDPA kapsamında silme talebi hakkı var

    • Bu aslında yasaya uymak demek. Eyalet ya da şehir yönetimi müşterileri böyle taleplerin kabul edilmesini istemez

  • “Flock istediğini yapabilir” ile “Flock talep gelince veriyi silmek zorunda” arasındaki fark sonuçta hukuk. Vatandaşlar yasa koyucuları seçtiğine göre, bu konuların öncelik haline gelmesi için oy yoluyla baskı kurmak gerekiyor

  • Bu zor bir mücadele olacak gibi görünüyor. Flock, verinin devlete ait olduğunu ve kendilerinin sadece bir barındırma hizmeti sağlayıcısı olduğunu savunuyor. AWS ya da Google Cloud'a silme talebi gönderirseniz de muhtemelen “biz sadece barındırıyoruz” yanıtını alırsınız. Sonuçta mahkeme kararı olmadan silmeyi zorlamak güç. Yine de Flock'un veriyi başka amaçlarla kullanmadığını söylemesi, bulut depolama benzetmesini güçlendiriyor

    • Ama gerçekte bulut sağlayıcısının verilere bakıp bakmadığını içeriden biri konuşmadıkça doğrulamanın bir yolu var mı?

  • Flock'un LPR politika belgesine göre, verileri yasal gereklilikler veya güvenlik ve mahremiyet sorunlarını çözmek için kullanabilecekleri açıkça yazıyor. O halde bu olay da bir mahremiyet sorunu sayılmaz mı? Ayrıca “Trust Us” bölümünde makine öğrenimi kullanımı konusunda yeterli şeffaflık yok

    • Transparency Portal”larına bakınca, yerel kurumların yüzde 30'dan fazlasının adının bile açıklanmadığı görülüyor

  • ABD'deki bu tür veri toplama yasalarına göre, silme taleplerinin yerel yönetimlere yapılması gerekiyor. İlgili bilgiler deflock.org'da bulunabilir. Siteyi Colorado, Boulder bölgesinden bir sakin işletiyor

    • Tüm yerel yönetimlere otomatik talep gönderen bir sistem kurmak eğlenceli olabilir

  • Eğer Flock kişisel tanımlayıcı bilgi (PII) verilerini işliyorsa, tüm müşterileri alt işleyici (subprocessor) olur. Dolayısıyla Flock'un bunlarla veri işleme sözleşmesi (DPA) yapması gerekir. Silme talebi gelirse bunun AWS, GCP, Cloudflare gibi tüm alt işleyicilere de iletilmesi gerekir

    • Ama pratikte durum tersidir. Alt işleyici olan Flock'tur; verinin toplanmasını isteyen şehir veya yerel yönetim ise denetleyicidir. Bu yüzden talebin onlara yapılması gerekir

  • Eğer öne sürdükleri mazeret geçerliyse, CCPA işe yaramaz demektir

    • Ama baştan beri talep geçerli olmayabilir. Örneğin polis adına hız kamerası işleten bir şirkete “fotoğrafımı silin” diyemezsiniz. Çünkü veri devlete aittir
    • Ayrıca düzenlemeler daha çıkar çıkmaz etrafından dolaşma yolları bulunuyor. Hatta yasa çıkmadan önce bile kaçış boşlukları tasarlanmış oluyor