Hollanda gazetesi NRC Handelsblad, 2016’da otel rezervasyonu sitesi Booking.com’da yaşanan veri ihlalinin arkasında ABD’li bir hackerın olduğunu iddia etti.
Habere göre şirketin Orta Doğu verileri hedef alındı. Yankı uyandıran iddiaya göre ABD-Hollanda ortaklığında faaliyet gösteren Booking.com’a 2016’da bir Amerikalı hacker tarafından yasadışı olarak erişildi, şirket ise olan bitenin farkına vardığında olayı kimseye söyleyemedi.
Üç Hollandalı gazetecinin kaleme aldığı yeni bir kitaba göre, “Andrew” olarak adlandırılan saldırganın “Orta Doğu ülkelerindeki binlerce otel rezervasyonuna ait verileri” çaldığı söyleniyor.
Gazetecilerin görev yaptığı NRC Handelsblad gazetesi, bu hafta söz konusu iddiaları yayınladı. İddialar arasında Booking.com’un Londra merkezli hukuk firması Hogan Lovells’in “saldırıyı kimseye bildirmek zorunda olmadıklarına” dair tavsiyesine uyduğu bilgisi de yer aldı.
İhlalin, “Andrew” ve onunla birlikte hareket edenlerin, kişiye özel müşteri hesabı tanımlayıcı kodları olan kişisel kimlik numaralarına (PIN’ler) erişmelerini sağlayan zayıf güvenliğe sahip bir sunucuya rastladıktan sonra gerçekleştiği belirtildi.
Saldırganlar, bu şekilde Orta Doğu’da yaşayan ve orada kalan insanlar tarafından yapılan rezervasyon detaylarının kopyalarını çalabildiler. NRC Handelsblad bunu ABD’nin yabancı diplomatlara ve bölgedeki diğer çıkar sahiplerine karşı yürüttüğü casuslukla ilişkilendiriyor. Gazete ayrıca şunu ileri sürdü: “Her ne kadar rezervasyon sitesi, Hollanda’lı AIVD ajanından, iç soruşturmanın “Andrew” un ABD casuslarıyla bağlantısı olduğunu tespit etmesinin ardından ihlal konusunda yardım istediği bildirilse de, etkilenen müşterilerini veya Hollanda’daki veri koruma yetkililerini o sırada bilgilendirmedi.”
İHLAL VERİ KORUMA YÖNETMELİĞİNDREN ÖNCE GERÇEKLEŞTİ
Booking.com sözcüsü The Register’a yaptığı açıklamada şunları söyledi: “Uzmanların desteğiyle ve Hollanda Veri Koruma Yasası (GDPR’den önceki geçerli düzenleme) tarafından belirlenen çerçeveyi izleyerek, hiçbir hassas veya finansal bilgiye erişilemediğini doğruladık. O zamanki yönetim, şirketlerin yalnızca bireylerin özel yaşamları üzerinde gerçekten olumsuz etkiler olması durumunda bildirim konusunda daha fazla adım atmalarına rehberlik eden DDPA’nın ilkelerine uymaya gayret etti ve bu noktada hiçbir kanıt tespit edilmedi.”
İhlal, AB’nin Genel Veri Koruma Yönetmeliği’nden (GDPR) önce gerçekleşti. Bugün herkesin aşina olduğu ve veri sızıntılarını devlet makamlarına açıklamamayı yasadışı kılan veri koruma düzenlemeleri o sırada mevcut değildi.
Booking.com 4.100 kişinin kişisel verilerine yasadışı yollardan suçlular tarafından erişildikten sonra Hollanda veri koruma yetkilileri tarafından bu yılın başlarında 475.000 Euro para cezasına çarptırıldı.
İrlanda Veri Koruma Komisyonu (DPC), WhatsApp’a kişisel verilerdeki şeffaflık sorunu nedeniyle 225 milyon avro ceza verdi.
DPC’den yapılan yazılı açıklamada, kurumun Facebook bünyesinde bulunan WhatsApp’ın kişisel verileri kullanımına yönelik şeffaflık incelemesinin başlatıldığı belirtildi.
Açıklamada incelemenin Avrupa Birliği (AB) Genel Veri Koruma Tüzüğüne (GDPR) dayandığı vurgulandıç
AB’de Facebook için veri gizliliğinde baş denetim otoritesi olarak hareket eden DPC’nin açıklamasında, WhatsApp’a ilişkin sorunların, mesajlaşma uygulamasının 2018’de şeffaflık konusundaki AB veri kurallarına uyup uymadığına ilişkin olduğu belirtildi.
DPC’nin WhatsApp soruşturmasında öncü kararını, onayı gereken diğer Avrupa veri düzenleyicilerine Aralık 2020’de sunduğu belirtilen açıklamada, ancak sekiz düzenleyicinin karara itiraz ettiği ifade edildi.
AVRUPA VERİ KORUMA KURULU’NUN BAĞLAYICI KARARDA ETKİLİ OLDU
Avrupa Veri Koruma Kurulunun temmuzda veri ihlal cezalarının artırılması konusunda bağlayıcı bir karar aldığı hatırlatılan açıklamada, “Bu kararla DPC’den bir dizi faktör temelinde WhatsApp için önerilen cezayı yeniden değerlendirmesi ve artırması istendi.” denildi.
Açıklamada, “Bu yeniden değerlendirmenin ardından DPC, WhatsApp’a 225 milyon avro para cezası verdi.” ifadesine yer verildi.
DPC, WhatsApp’tan bir dizi belirli düzenleyici eylemde bulunarak faaliyetlerini AB veri kurallarıyla uygun hale getirmesini de istedi.
Facebook’un Avrupa Bölgesi merkezi İrlanda’da bulunurken, DPC, 2020 sonu itibarıyla Facebook ve bünyesinde bulunan WhatsApp ve Instagram hakkında 14 soruşturma başlattı.
WhatsApp’ın gizlilik politikasındaki değişiklik kararı Facebook’un başını ağrıtmaya devam ediyor. Almanya’da Veri Koruma Otoritesi, Facebook’un WhatsApp kullanıcı verilerini işlemesine yasak getirdi.
Hamburg eyaleti Kişisel Verilerin Korunması Sorumlusu Johannes Caspar, yaptığı açıklamada açıklamada, belirterek, “Bu yasaklama emri, Almanya genelinde kullanım şartlarına rıza gösteren milyonlarca kullanıcının haklarını ve özgürlüklerini güvence altına almayı amaçlamaktadır.” ifadesini kullandı.
Caspar, Facebook’un kullanıcı verilerini işlemesinde yeterli hukuki dayanak bulunmadığını vurguladı.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR) yer alan olağanüstü yetkileri dahilinde Facebook’u, WhatsApp kullanıcı verilerini üç ay askıya alması için zorlayacağını belirten Caspar, bu aralıkta AB’nin kullanıcı verileri konusunda genel bir karar almasını talep edeceklerini de sözlerine ekledi.
Caspar, karardaki amacının kullanıcı verilerinin işlemesinde kullanılan metotların neden olduğu dezavantajları ve zararları önlemek olduğunu söyledi.
MEVCUT GİZLİLİK SÖZLEŞMESİ 15 MAYIS’TE SONA ERİYOR
WhatsApp’ın değiştirdiği gizlilik sözleşmesini 15 Mayıs’tan sonra devreye girmesi bekleniyor. Ocak ayında WhatsApp yeni gizlilik politikasını yayınlayarak, bu gizlilik politikasına onay vermeyenlerin 15 Şubat itibarıyla uygulamayı kullanamayacaklarını duyurmuştu. Tüm dünyada gelen tepkiler ve diğer anlık mesajlaşma programlarına yönelik göç sonrasında da WhatsApp değişikliği 15 Mayıs’a ertelemişti.
WhatsApp gizlilik politikasına onay vermeyen kullanıcılarının hesaplarını 15 Mayıs tarihi itibarıyla askıya alacağını, ağustos itibarıyla da bu hesapların silineceğini bildirmişti.
KOVID-19 ile mücadelede kritik bir evre olan aşılama süreci pek çok ülkede başladı. Aşılamaya olan güven sayesinde ülkeler de ekonomilerini canlandırmak adına sınırlarını açma yoluna gidiyor. Aşıların etkinliği tartışmaları da bu yolla yerini yakın zamanda uygulamaya geçmesi planlanan Aşı Pasaportu tartışmalarına bıraktı.
Aşı Pasaportu, KOVID-19 aşılarını yaptırmış kişilere verilmesinin yanında kişilere tanınan birçok hakkı da beraberinde getiriyor. Tüm bunların yanı sıra, kişilerin aşı bilgilerinin bir dijital veri tabanında toplanacağına yönelik haberler kişisel verileri koruma kapsamında birçok riske de kapı aralıyor.
Çoğu ülkede ise aşı bilgilerinin toplanması yeni tartışmalara yol açıyor. KOVID-19 aşısının hukuki olarak gönüllülük esasıyla ilerlemesine rağmen örneğin pandemiden en kötü etkilenen ülkelerden biri olan İspanya’da Sağlık Bakanlığı, aşı olmayanların bilgilerinin kamu kuruluşları ve Avrupa Birliği (AB) ülkeleriyle paylaşılacağını duyurdu. İsrail Sağlık Bakanlığı benzer bir duyuru yaparak aşı bilgilerini üretici Pfizer firması ve Dünya Sağlık Örgütü ile paylaşacağını açıklamış oldu. Herhangi bir tanımlanabilir sağlık bilgisinin paylaşılmayacağı açıklansa da bilgilerin kullanımı ve güvenliği ile ilgili sorular cevapsız bırakıldı. Brezilya’da ise Brezilya Yüksek Mahkemesi aşı olmayanların çeşitli yaptırımlarla karşılaşacağını bildiren karara imza attı.
Özellikle Singapur ve Hong Kong gibi ülkelerde daha farklı işleyen bu süreçte aşı olmayan kişilere yönelik dolaylı olarak ayrımcılığa kadar uzanan uygulamalar gündeme geldi. Söz konusu ülkelerde aşı olmayan çalışanlara ‘işe çağrılmama veya evden çalışmanın sürekli talebi’ uygulamaları ile özellikle iş hukukundaki eşit işlem ilkesine aykırılık vb. gibi pek çok konu tartışmaya açıldı. ABD’de ise işverenlerin çalışanları aşı yaptırmaya zorlamasına izin veriliyor. Bu anlamda sağlık bilgilerinin toplanması, ifşa ve ayrımcılık konularını da beraberinde getiriyor.
Aşı Pasaportu ile gündeme gelen sağlık verilerinin toplanacağı, dijital bir veri tabanının risklerini, olası sonuçlarını, aşı bilgilerinin paylaşılmasının ne gibi ayrımcılıklara yol açabileceğini, İspanya, İsrail, Brezilya, ABD, Singapur ve Hong Kong gibi ülkelerin aldıkları kararları Kavlak Avukatlık Bürosu’ndan Avukat Deniz Mina Küpana ile konuştuk.
FİZİKİ PASAPORTTAN ZİYADE İZLEME UYGULAMALARININ GENEL BİR VERSİYONU OLACAK
Aşı Pasaportu hakkında bilgi vererek sözlerine başlayan Avukat Küpana, “Aşı uygulamalarına geçişle birlikte ülkelerin normalleşme yolunda atacağı adımlardan biri olan Aşı Pasaportunun, fiziki bir pasaporttan ziyade KOVID-19 sürecinde ortaya çıkan birçok izleme uygulamasının genel ve daha kapsamlı bir versiyonu olacağı düşünülüyor. Ülkemizde uygulanan HES kodu uygulamasına benzer fakat bu sefer birçok ülke vatandaşlarının verilerini barındıracak daha büyük bir sistem olarak düşünebiliriz. Aşı yaptıran kişiler bu pasaportu alabilecek ve böylelikle ülkeler arasında serbestçe dolaşım ve diğer birçok faaliyet güvenli bir şekilde gerçekleştirilecek.” dedi.
“AŞI PASAPORTU GÜZEL BİR FİKİR OLMASINA RAĞMEN BİRÇOK SORUNA DA GÖZ KIRPIYOR”
Aşı Pasaportu ile gündeme gelen dijital veri tabanı oluşturulmasının risklerinden de bahseden Av. Küpana, “Durum böyle olunca bütün ülkelerden milyonlarca insanın özel sağlık bilgilerinin toplanacağı dijital bir veri tabanı oluşturulması da konuşuluyor. Aşı Pasaportu mantıksız bir fikir olmamasına karşın bu kapsamda oluşturulacak dijital veri tabanı akla birçok soru işareti de getiriyor. Örneğin bu veri tabanının güvenliği nasıl sağlanacak? Söz konusu dijital veri tabanına erişim yetkileri nasıl olacak? Dijital veri tabanına hangi ülkeler erişim sağlayacak? Bu verilerin ülkeler arası dolaşımı nasıl olacak? KOVID-19 önlemleri kapsamında alınan bu bilgiler farklı amaçlarla kullanılacak mı? Bu amaçlar neye göre belirlenecek? Bu tarz soruların cevaplanması gerekiyor. Uygulamaya konması beklenen Aşı Pasaportu fikri güzel olmasına karşın gizlilik ve güvenlik önlemlerini nasıl sağlayabiliriz konusu da bir o kadar önem arz ediyor.” ifadelerini kullandı.
AŞI YAPTIRMAYANLAR FİŞLENİYOR
İspanya ve İsrail gibi örneklerde aşı bilgilerinin paylaşılması hakkında Av. Küpana, “Hemen hemen birçok ülkede aşı yaptırmanın kişinin kendi inisiyatifine bırakıldığını düşünürsek İspanya’nın aşı olmayı reddedenleri AB üye ülkelerine bildireceğini açıklamasının, fişlemeye varabilecek tehlikeli bir uygulama olduğu açıktır. Kaldı ki ağırlıklı olarak gönüllülük esası ile ilerleyen aşılama sürecinde bu tip uygulamalar kişiler üzerinden baskı ile irade oluşturulmasına da neden olabilir.” ifadelerini kullandı.
“SİNGAPUR VE HONG KONG’DA DURUM ÇOK FARKLI”
Pandemi sürecinde izleme uygulamalarıyla vatandaşların birçok kişisel verisini işleyen ülkeler arasında bulunan Singapur ve Hong Kong’da durumun çok farklı işlediğini belirten Küpana, “Singapur ve Hong Kong’da da aşı ile ilgili herhangi bir zorunluluk bulunmuyor. Ancak aşı olmayan çalışanların işyerinden fiziki olarak hariç tutulmaları yönünde birtakım uygulamalar mevcut. Bu durum ise ciddi tartışmalara yol açacak cinsten, zira İş kanununa göre işverenin bütün çalışanlara eşit mesafede durması gerekirken aşı yaptırmayanlara yönelik böyle ayrık bir uygulamanın geliştirilmesi hukuka aykırılık yaratacak bir başlık. Örneğin İspanya’da da bazı şirketlerin, KOVID-19 aşısı olmayı reddeden çalışanlarının sözleşmelerinin feshedilmesi yönünde çalışmalar yaptığı da ileri sürülüyor. Böylelikle eşit davranma ilkesi ihlal edilmiş oluyor. Bu şekilde dolaylı yoldan ‘aşı ol’ mesajı veriliyor. Ayrımcılığa yol açan bu uygulamaların ileride daha fazla uyuşmazlığa neden olacağı ise açık bir şekilde görünüyor. Her ne şekilde olursa olsun bu tarz uygulamalar gönüllülük ilkesini hiçe sayıyor.” değerlendirmesinde bulundu.
“HER ŞEYİN BAŞINDAYIZ”
Konuşulan tüm bu konuların henüz yeni gündeme geldiğini belirten Av. Küpana, “Aşı Pasaportu tartışmaları yeni yeni konuşuluyor. Her şeyin başında olduğumuz için ileride ne olacağını kestirmek güç. Ülkeler arasında aşı konusuna farklı yaklaşımlar varken pasaport konusunun tek bir potada nasıl toplanacağı, aşı olmayı reddeden kişilere yönelik İspanya veya Brezilya’da alınan kararlara benzer kararlar alınmaya devam edecek mi sorularının cevapları da merak ediliyor.” diye konuştu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Almanya’nın Aşağı Saksonya eyaletinde bir şirkete çalışanlarını görüntülü olarak izlediği gerekçesiyle Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında 10,4 milyon Euro ceza verildi.
Eyaletin veri koruma dairesi LfD’nin çevrimiçi dizüstü bilgisayar ve elektronik eşya perakendecisi NBB’ye (Notebooksbilliger.de) verdiği ceza söz konusu dairenin şimdiye kadar verdiği en yüksek ceza oldu. Yapılan açıklamada “Şirket, herhangi bir yasal dayanak olmaksızın çalışanlarını en az iki yıl boyunca görüntülü olarak izledi. Yasa dışı yerleştirilen kameralar, iş yerlerini, satış odalarını, depoları ve ortak alanları kaydetti.” ifadesi kullanıldı. Aşağı Saksonya Eyaleti Veri Koruma Komiseri NBB’nin sürekli gözetiminin Genel Veri Koruma Yönetmeliği (GDPR) uyarınca kabul edilemez olduğunu söyledi.
ŞİRKET: İZLEME HIRSIZLIĞI ÖNLEME AMAÇLI
Kararın “kabul edilemez” olduğunu belirten NBB ise video kameraların ceza gerektiren suçları önlemek ve soruşturmak ve depolarda mal akışını izlemek için kurulduğunu iddia etti. NBB’den yapılan açıklamada “Para cezası tamamen orantısız. Ne şirketin büyüklüğü ve mali gücü ne de iddia edilen ihlalin ciddiyeti ile uyumlu. Kararın hukuka aykırı olduğunu düşünüyor ve yürürlükten kaldırılmasını talep ediyoruz.” ifadeleri kullanıldı.
Veri düzenleyici, hırsızlığı önlemek adına şirketin öncelikle rastgele çanta kontrolleri gibi daha basit önlemler alması gerektiğini belirtti. Cezai suçları ortaya çıkarmak için yapılacak video gözetimi yalnızca belirli çalışanlara karşı “haklı bir şüphe” olması halinde yasal. Şirketlerin şüphelileri sınırlı bir süre izlemek için kamerayı kullanabildikleri NBB’nin durumunun ise farklı olduğu çünkü video gözetiminin uzun süredir devam ettiği belirtiliyor. NBB’de kayıtlar 60 günden fazla bir süredir tutulmuş.
Aşağı Saksonya LfD başkanı Barbara Thiel, “Şirkette ciddi bir görüntülü izleme vakasıyla karşı karşıyayız. Şirketler, bu kadar yoğun bir video gözetimi ile çalışanlarının haklarını büyük ölçüde ihlal ettiklerini anlamalılar.” LfD, sürekli ve yoğun video gözetiminin çalışanın haklarını ihlal ettiğini ve onları baskı altına aldığını ileri sürüyor. Öte yandan Notebooksbilliger.de’nin müşterileri de, bazı kameraların satış yapılan alanda da yer almasından dolayı video gözetlemesinden etkilendi.
Alman veri koruma dairesi, Almanya’daki müşteri hizmetleri temsilcilerini gözetlediği gerekçesiyle hazır giyim devi H&M’yi de 35,3 milyon Euro para cezasına çarptırdı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
