Avusturyalı, kâr amacı gütmeyen gizlilik kuruluşu Noyb, TikTok, AliExpress, SHEIN, Temu, WeChat ve Xiaomi gibi şirketleri, kullanıcıların verilerini yasa dışı bir şekilde Çin’e aktararak Avrupa Birliği’ndeki veri koruma düzenlemelerini ihlal etmekle suçlayan şikayetlerde bulunmadı.
Savunuculuk grubu, söz konusu şirketlerin kullanıcı verilerine Çin hükümetinin potansiyel erişimine karşı koruma sağlayamayacağını belirterek bu tür aktarımların derhal askıya alınmasını istiyor. Şikayetler Avusturya, Belçika, Yunanistan, İtalya ve Hollanda’da yapıldı.
Noyb veri koruma avukatı Kleanthi Sardeli, “Çin’in otoriter bir gözetleme devleti olduğu göz önüne alındığında, Çin’in AB ile aynı düzeyde veri koruma sağlamadığı çok açık” dedi. “Avrupalıların kişisel verilerinin aktarılması açıkça yasa dışıdır ve derhal sonlandırılmalıdır.”
Noyb, şirketlerin Çinli yetkililerin verilere erişim taleplerine uymaktan başka seçeneği olmadığını ve Pekin’in hükümet gözetimiyle ilgili sorunları gündeme getirecek bağımsız bir veri koruma yetkilisinden yoksun olduğunu belirtti.
Ayrıca, veri aktarımlarının niteliği ve bunların Çin’e veya AB dışındaki herhangi bir ülkeye iletilip iletilmediği konusunda netlik sağlamak amacıyla hiçbir şirketin Genel Veri Koruma Yönetmeliği (GDPR) kapsamındaki erişim taleplerine yanıt vermediğini de belirtti.
Noyb, “Aliexpress, SHEIN, TikTok ve Xiaomi, gizlilik politikalarına göre verileri Çin’e aktarıyor” dedi. “Temu ve WeChat üçüncü ülkelere transferlerden bahsediyor. Temu ve WeChat’in kurumsal yapısına göre buna büyük ihtimalle Çin de dahil.”
Bu gelişme, ByteDance’in sahibi olduğu TikTok’un, sosyal medya platformunda federal yasağın yürürlüğe girmesi planlanan 19 Ocak 2025’ten itibaren ABD’deki uygulamasını kapatmaya hazırlandığı dönemde geldi.
Son aylarda noyb, kullanıcıları sırasıyla Özel Korumalı Alan, Xandr ve Firefox aracılığıyla izinsiz takip ettikleri için Google, Microsoft ve Mozilla’ya karşı GDPR ile ilgili şikayetlerde bulundu.
FTC, General Motors ve GoDaddy’ye Karşı Eylemde Bulundu
Şikayetler aynı zamanda ABD Federal Ticaret Komisyonu’nun (FTC), otomobil üreticisi General Motors’un, coğrafi konumlar ve sürücü davranışı bilgileri de dahil olmak üzere sürücülerden topladığı verileri, bu tür verileri olumlu onayları olmadan paylaşmaları nedeniyle tüketici raporlama kuruluşlarına beş yıl boyunca açıklamasını yasaklamasıyla da örtüşüyor.
New York Times’ın Mart 2024’teki araştırmasına göre bilgiler, risk profilleri oluşturmak ve bazı sürücüler için otomobil sigortası oranlarını artırmak için sigorta sektörüyle birlikte çalışan iki veri komisyoncusu LexisNexis Risk Solutions ve Verisk ile paylaşıldı.
General Motors yaptığı açıklamada, “müşteri geri bildirimleri nedeniyle” “Akıllı Sürücü” veri toplama programını Nisan 2024’te durdurduğunu söyledi. Şirket, müşterilerin kişisel bilgilerine web sitesinde yer alan ABD Tüketici Gizliliği Talep Formu aracılığıyla erişebileceklerini ve silebileceklerini söyledi.
FTC ayrıca web sitesi barındırma sağlayıcısı GoDaddy’ye, 2019 ile 2022 yılları arasında birden fazla müşteri verisi ihlaline yol açan “makul olmayan güvenlik uygulamalarını” elden geçirmek için kapsamlı bir bilgi güvenliği programı uygulaması talimatını verdi. GoDaddy herhangi bir yanlış yaptığını kabul etmedi ve para cezasına da çarptırılmadı.
FTC, “GoDaddy, web sitesi barındırma ortamlarını güvenlik tehditlerine karşı korumak ve izlemek için makul ve uygun güvenlik önlemlerini uygulama konusunda başarısız oldu ve web sitesi barındırma hizmetlerinde veri güvenliği korumalarının kapsamı konusunda müşterileri yanılttı” dedi.
Ajans, GoDaddy’nin varlıklarını ve envanterini düzgün şekilde yönetemediğini belirtti; yazılımına yama yapın; barındırma hizmetlerine yönelik riskleri değerlendirmek; çok faktörlü kimlik doğrulamayı kullanın; güvenlikle ilgili olayları günlüğe kaydetme; güvenlik tehditlerini izleyin; ağını bölümlere ayırın; ve tüketici verilerine erişim sağlayan hizmetlere güvenli bağlantılar.
Tüketiciyi koruma kurumu, o zamandan beri, Çocukların Çevrimiçi Gizliliğini Koruma Kuralı (COPPA) kapsamında çocuklara yönelik çevrimiçi gizlilik önlemlerinde, çocukların verilerinin reklam amacıyla işlenmesinden veya üçüncü taraflarla paylaşılmasından önce doğrulanabilir ebeveyn izni alınmasını gerektiren değişiklikler de duyurdu.
Ayrıca kural, şirketlerin çocuklara ait bilgileri yalnızca “toplandığı belirli bir amacı yerine getirmek için makul ölçüde gerekli olduğu sürece” saklamasını zorunlu kılan yeni veri saklama politikaları dayatıyor.
FTC Başkanı Lina M. Khan, “Ebeveynlerin hedefli reklamcılık uygulamalarını tercih etmelerini zorunlu kılan bu son kural, platformların ve hizmet sağlayıcıların çocuklara ait verileri aktif izin olmadan paylaşmasını ve bu verilerden para kazanmasını yasaklıyor.” dedi.