Automotive Dive’a konuşan uzmanlar, General Motors Co.’ya karşı açılan veri toplama davasının, bağlantılı araçların düzenleyiciler tarafından daha sıkı yasal incelemeye tabi tutulmasıyla birlikte gelecekte yaşanacakların habercisi olabileceğini söyledi.
General Motors, Teksas’ta 1,5 milyon kişinin özel sürüş verilerini yasadışı bir şekilde toplayıp üçüncü taraflara sattığı iddiasıyla açılan davayla karşı karşıya. İddiaya göre bu bilgiler sürücü davranışlarını puanlamak için kullanılıyor ve tüketicilerin sigorta oranlarını manipüle etmek için sigorta şirketlerine satılıyor.
Davaya göre, otomobil üreticisinin müşterilerine verilerini satacağını bildirmediği veya üçüncü taraf şirketlerin sürüş puanlarını sigortacılara yeniden satmasına izin veren sözleşmeleri olduğunu açıklamadığı iddia ediliyor. GM, bir açıklamada tüketicilerin gizliliğini koruma arzusunu paylaştığını ve şikayeti incelediğini söyledi, Legal Dive bildirdi.
Teksas Başsavcısı Ken Paxton, eyaletin GM’i “aşırı ticari uygulamaları” nedeniyle sorumlu tutacağını söyledi. Haber, Paxton’ın ofisinin The New York Times’ın Mart ayındaki bir raporundan kaynaklanan iddialar nedeniyle birden fazla otomobil üreticisini soruşturduğunu duyurmasından yaklaşık iki ay sonra geldi.
Paxton 13 Ağustos tarihli bir basın bülteninde, “Şirketler vatandaşlarımızın haklarını düşünülemez şekillerde ihlal etmek için istilacı teknoloji kullanıyor,” dedi. “Milyonlarca Amerikalı sürücü bir araba satın almak istiyordu, yaptıkları her sürüş hakkında yasadışı olarak bilgi kaydeden ve verilerini bunun için ödeme yapmaya istekli herhangi bir şirkete satan kapsamlı bir gözetim sistemi değil.”
GM’e karşı açılan dava, Federal Ticaret Komisyonu soruşturması ve bağlantılı araçlara ilişkin küresel gizlilik düzenlemelerinin de hız kazanmasıyla birlikte geldi ve otomobil üreticilerinin yeni nesil ürünlerini geliştirirken dikkate almaları gereken karmaşık kurallar ağını gözler önüne serdi.
FTC’nin baskısı belirsizliği artırıyor
Mayıs ayında Federal Ticaret Komisyonu, biyometrik, telematik ve coğrafi konum bilgileri gibi bağlantılı araç verilerini yasadışı bir şekilde toplayan ve kullanan şirketlere karşı işlem yapacağını söyledi. Ajans, 2019 yılında, milyonlarca tüketicinin kişisel bilgilerini ifşa eden zayıf veri güvenliği uygulamaları iddiasıyla, araç satıcılarına yazılım ve veri hizmetleri sağlayan DealerBuilt’e karşı bir davayı çözdü.
FTC’nin sözcüsü, e-postada yaptığı açıklamada, FTC’nin ayrıca 2021 ve 2023’te, otomobil satıcıları gibi bankacılık dışı finans kuruluşları için tüketici verilerinin korunmasını güçlendirmek ve bu tür kuruluşlar için ek veri ihlali bildirimini zorunlu kılmak amacıyla güvenlik önlemleri kuralını değiştirdiğini söyledi.
Ancak, ABD Yüksek Mahkemesi’nin Haziran ayında, yasanın belirsiz olduğu durumlarda federal bir kurumun mevzuatı yorumlamasına izin veren uzun süredir devam eden bir yasal doktrin olan “Chevron saygısı”nı sona erdirmesinin ardından, federal yetkililerin bağlantılı araç verilerinin gizliliğini düzenleme konusunda önemli ölçüde daha az yetkisi olabilir.
Clark Hill hukuk firmasında siber güvenlik, veri koruma ve gizlilik uygulamalarını yöneten avukat Melissa Ventrone, hukuk uzmanlarının, özellikle belirli düzenlemeler söz konusu olduğunda, kapsamlı kararın politika yapımını nasıl etkileyeceğinden hâlâ emin olmadıklarını söyledi.
Ventrone, “Hiçbirimizin geleceğin neye benzediğini gerçekten görebileceğini sanmıyorum” dedi.
Ancak mahkeme kararının FTC’nin otomotiv sektörüne karşı işlem yapma yetkisini etkilemeyeceğini belirten bir FTC yetkilisi, kurumun davalarının çoğunun yasal yetkiyle ilgili olmadığını belirtti.
Hukuki riskin azaltılması
Federal eyleme ek olarak, OEM’ler ve tedarikçiler, 20 ABD eyaletinde, Avrupa Birliği’nde ve diğer pazarlarda bulunan benzersiz tüketici veri gizliliği yasalarıyla da mücadele etmek zorunda kalıyor ve bu da uyumluluğu zorlaştırıyor.
Otomotiv Araştırmaları Merkezi’ndeki stratejik iş biriminin genel müdürü Ravi Puvvala, AB’deki düzenlemelerin ABD’dekinden “çok daha katı” olduğunu ve Avrupa’da geliştirilen birçok politikanın sonunda “bize sızdığını” ancak yine de geride kaldığını söyledi.
Ulusal Siber Güvenlik İttifakı’na göre veri gizliliği, kimin verilere ne kadar erişebileceğine dair kurallar, yönergeler ve kişisel tercihlerle ilgilidir. Uzmanlar, daha fazla açıklama yapmanın otomobil üreticilerinin yasal risklerini azaltmalarına yardımcı olabileceğini söylüyor.
Foley & Lardner hukuk firmasında veri gizliliği ve siber güvenlik avukatı olan Samuel Goldstick, bir e-postada, “Gizlilik açısından bakıldığında, OEM’lerin ve otomotiv endüstrisindeki diğer paydaşların kullanıcıları veri toplama uygulamaları, potansiyel riskler ve araç verilerinin nasıl korunacağı konusunda bilgilendirmeleri gerekecektir” dedi. “Kullanıcılara, veri toplama ayarlarının nasıl ayarlanacağı veya tamamen nasıl devre dışı bırakılacağı (uygun olan yerlerde) konusunda açık, anlaşılması kolay gizlilik politikaları ve talimatlar verilmelidir – aksi takdirde toplu dava iddialarına ve/veya düzenleyici incelemeye maruz kalma riskiyle karşı karşıya kalabilirler.”
Danışmanlık şirketi Alvarez & Marsal’ın küresel siber risk ve olay müdahale hizmetleri uygulamalarının yönetici müdürü ve başkanı Rocco Grillo, bunun sonucunda otomotiv yöneticilerinin ürün geliştirme sırasında şirket içi ve şirket dışı danışmanlarıyla “gerçekten uyumlu olmaları gerektiğini” söyledi.