İşletmeler, kullanıcı verilerini çevrimiçi olarak nasıl topladıkları ve paylaştıklarıyla ilgili giderek daha fazla davaya sürükleniyor. Bir zamanlar büyük teknoloji firmalarının etki alanı olan şey, artık her büyüklükteki şirket için yaygın bir yasal risk haline geldi. Siber sigorta şirketi Coalition’ın son analizi, eski gizlilik yasalarının web gizliliği iddialarında artışa yol açtığını, küçük ve orta ölçekli işletmelerin artık ortak hedefler olduğunu gösteriyor.
Web gizliliği iddialarında adı geçen üçüncü taraflar (Kaynak: Koalisyon)
Rutin web araçlarından kaynaklanan büyüyen bir tehdit
Koalisyon, veri gizliliğiyle ilgili yaklaşık 200 sigorta talebini analiz etti ve risk durumunu değerlendirmek için 5.000 ticari web sitesini taradı. Araştırma, hatalı tahsilat iddialarının yüzde 77’sinin genellikle günlük takip teknolojileriyle bağlantılı web aktivitelerinden geldiğini ortaya çıkardı. Pikseller, analiz platformları ve sohbet robotları gibi araçlar artık yasa dışı veri toplama veya ifşa etme iddiasıyla açılan birçok davanın merkezinde yer alıyor.
Web siteleri, içeriği kişiselleştirmek ve etkileşimi ölçmek için sıklıkla izleme teknolojilerinden yararlanır, ancak aynı araçlar, kullanıcıların uygun bir bildirim veya izin olmadan izlendiği iddialarına da kapı açabilir. Örneğin Meta Pixel, tüm web gizliliği iddialarının yüzde 43’ünde belirtildi.
Analitiklerin kötüye kullanılması, analiz edilen vakaların neredeyse dörtte üçünde ortaya çıkan en önemli iddiaydı. Çoğu durumda bu iddialar, işletmelerin genellikle potansiyel yasal sonuçların farkında olmadan otomatik olarak yükledikleri teknolojilerden kaynaklanmaktadır.
Eski yasalar, yeni yorumlar
Araştırma, web gizliliği iddialarının neredeyse dörtte üçünün 1967 tarihli Kaliforniya Gizliliğin İhlal Yasası’na (CIPA) atıfta bulunduğunu ortaya çıkardı. Çok daha azı, GDPR veya Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi modern yasalara atıfta bulundu. 1988 Video Gizliliğini Koruma Yasası da dahil olmak üzere onlarca yıllık diğer yasalar da yeni yollarla yeniden canlandırıldı.
Bu, işletmelerin yeni düzenlemelere uygun olarak yoğun yatırım yapmış olsalar bile hazırlıksız yakalanabilecekleri anlamına geliyor. Bir web sitesi günümüzün gizlilik çerçeveleriyle tamamen uyumlu olabilir ancak yine de dijital izlemenin ortaya çıkmasından çok önce yazılmış yasaları ihlal etmekle suçlanabilir.
Kaliforniya’da, Senato Tasarısı 690 gibi teklif edilen yasalar, bu dava dalgasını durdurmayı amaçlıyor, ancak yeni kurallar yürürlüğe girene kadar avukatlar eski kuralları kapsamlı bir şekilde kullanıyor. Araştırmacılara göre, tüm web gizliliği iddialarının yüzde 72’si dört hukuk firmasından kaynaklanıyor. Yaklaşımları genellikle devletin telefon dinleme veya gizlilik kanunları kapsamındaki ihlalleri iddia eden neredeyse aynı talep mektupları göndermeyi ve uzun mahkeme süreçlerinden kaçınmak için hızlı çözüm aramayı içeriyor.
Küçük işletmeler, büyük görünürlük
Araştırmacılar, web gizliliği iddialarının yüzde 59’unun, geliri 100 milyon dolardan az olan şirketler tarafından bildirildiğini buldu. Bu küçük kuruluşlar genellikle pazarlama ve analiz için üçüncü taraf web araçlarına güveniyor ve bu da onları yanlış toplama iddiaları için kolay hedef haline getiriyor.
Perakendeciler ve konaklama firmaları bu faaliyetin çoğunu oluşturuyordu ancak sağlık kuruluşları da ön plana çıktı. Sağlık verilerinin hassasiyeti göz önüne alındığında, çevrimiçi izleme teknolojilerini kullanan hastaneler ve klinikler, hasta bilgilerinin nasıl ele alındığı konusunda risk incelemesi yapıyor.
İmalat ve kar amacı gütmeyen kuruluşlar gibi geleneksel olarak tüketiciye dönük olarak görülmeyen endüstriler bile ölçülebilir bir görünürlük gösterdi. Eyalet gizlilik yasaları, işletmenin nerede faaliyet gösterdiğine bakılmaksızın bölge sakinlerinin verileri için geçerli olduğundan, Kaliforniya dışında bulunan şirketlere karşı birçok dava açıldı.
Chatbotlar risk listesine katılıyor
Chatbot’lar iddiaların yüzde 5’inde yer aldı; işletmelerin onları ne kadar yakın zamanda benimsemeye başladığı göz önüne alındığında küçük ama dikkate değer bir pay. İddialar, müşteri konuşmalarının genellikle 1960’larda yazılan eyalet telefon dinleme yasaları uyarınca izinsiz olarak dinlendiğini iddia ediyordu. Her vakada benzer bir yol izlendi: Chatbot, konuşmaların kaydedildiğini açıklamayı başaramadı ve bu da olası bir ihlali tetikledi.
Gizlilik kontrolleri geride kalıyor
Koalisyonun web sitesi taramaları, işletmelerin yalnızca yüzde 19’unun ziyaretçileri veri toplama konusunda bilgilendirmek için bir izin banner’ı sergilediğini ortaya çıkardı. Benimseme, yoğun trafik alan siteler arasında çok daha yüksekti (yüzde 61). Daha küçük veya daha az ziyaret edilen birçok site hâlâ temel gizlilik açıklamalarından yoksundu.
İncelenen tüm gizlilik politikalarının yaklaşık yarısı, kullanıcıların takip edildiğini belirten genel bir ifade içerirken, üçte birinden azı kullanılan belirli teknolojilerin ayrıntılarını içeriyor. Geçtiğimiz yıl içinde trafiği az olan web sitelerinin yalnızca yüzde 37’si gizlilik politikalarını güncellerken, çok ziyaret edilen web sitelerinde bu oran yüzde 71 oldu.
Bu boşluk, küçük işletmelerin gizlilik uyumluluğunu sürekli bir sorumluluk yerine tek seferlik bir uygulama olarak ele aldığını gösteriyor.
Dava düzenlemeleri geride bırakıyor
Araştırma, davaların düzenleyicilerin ayak uydurabileceğinden daha hızlı ilerlediğini gösteriyor. Hukuk firmaları büyüdükçe ve eski yasalar çevrimiçi ortamda yeni bir hayat kazandıkça, daha fazla işletme devreye giriyor.
Koalisyonun analizi, birçok işletmenin web etki alanlarında hangi izleme teknolojilerinin kullanıldığı konusunda görünürlüğe sahip olmadığını ortaya çıkardı. Geleneksel uyumluluk kontrol listelerinin bu ortam için yetersiz olduğu kanıtlanıyor. Araştırmacılar, dava eğiliminin tutarsızlıklardan kaynaklandığını buldu: ayrıntıdan yoksun gizlilik politikaları, güncelliğini yitirmiş izin mekanizmaları veya kullanıcıların asla kabul etmediği görünmez veri paylaşım uygulamaları.