Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Yargıç Kochava’nın Ajansın Gizlilik İhlallerine İlişkin İddiasının Reddedilmesi Talebini Reddetti
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Şubat 2024
Federal bir yargıç, Kochava’nın, veri komisyoncusunu tüketicilerin mahremiyetini ihlal etmekle ve coğrafi konum bilgilerini ve diğer hassas verileri toplayıp üçüncü taraflara satarak onları riske maruz bırakmakla suçlayan Federal Ticaret Komisyonu davasından vazgeçmeye yönelik son girişimini reddetti.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
ABD Idaho Bölgesi Bölge Mahkemesinden Bölge Yargıcı B. Lynn Winmill, Cuma günü verdiği 14 sayfalık kararla, Kochava’nın geçen Haziran ayında FTC tarafından Boise, Idaho şirketinin yasa dışı bir şekilde satın alındığı ve satıldığı iddiasıyla sunulan değiştirilmiş şikayetin reddedilmesi yönündeki talebini reddetti. Dünya çapında milyonlarca mobil cihazdan gelen hassas tanımlayıcı bilgiler.
Geçen Mayıs ayında Winmill, FTC’nin 2022 yılında Kochava’ya karşı yaptığı anlaşmazlık konusundaki ilk şikayetini, ajansın Kochava’nın ticari uygulamalarının tüketicilere ciddi zarar teşkil ettiğini tespit edemediğini söyleyerek reddetti (bkz: Mahkeme Veri Komisyoncusu Kochava’ya Karşı FTC Şikayetini Reddetti).
Ancak daha önceki görevden alma işleminde yargıç, FTC’ye, ajansın Haziran 2023’te sunduğu değiştirilmiş şikayette Kochava aleyhindeki iddialarını güçlendirme fırsatı verdi (bkz.: FTC, Veri Komisyoncusunun Büyük Miktarda Hassas Veri Sattığını İddia Ediyor).
Cuma günü verdiği kararda Winmill, FTC’nin değiştirilen şikayetinin “orijinal şikayetindeki gerçek iddiaları önemli ölçüde genişlettiğini” söyledi.
FTC’nin değiştirilen davasında yer alan yeni ayrıntı, Kochava’nın mobil cihaz kullanıcıları hakkında büyük miktarlarda veri satma iddiasının, tüketicileri mahrum bırakarak FTC Yasası’nın adil olmayan ticari uygulamaları içeren 5. Bölümünü ihlal edebileceği yönündeki “liberal inandırıcılık standardını kolayca karşılıyor”. Winmill, gizliliklerinin tehlikeye atılması ve onları önemli ikincil zarar risklerine maruz bırakması” diye yazdı.
Bazı hukuk uzmanları kararın çeşitli nedenlerden dolayı önemli olduğunu söyledi. Düzenleme avukatı Rachel Rose, “Bu, mahkemelerin mahremiyet ve veri güvenliği kavramını ciddiye aldığını gösteriyor” dedi.
Karar aynı zamanda “şirketlerin uygun rızayı alamamasının ve izleme verileri, ırk sınıflandırması vb. dahil olmak üzere bilgilerin kaçak avlanması ve satışı konusunda yeterli bildirimde bulunmamasının önemli olduğunu” gösterdi.
Hassas Veriler Satıldı mı?
FTC’nin değiştirilen davası, Kochava’nın coğrafi konumu ve diğer verilerinin tüketicilerin kişisel mahremiyetini ihlal ettiğini ve üçüncü tarafların, kürtaj klinikleri, bağımlılık tedavi tesisleri, ibadethaneler ve ev içi barınaklar dahil olmak üzere belirli hassas yerlere yaptıkları ziyaretler temelinde tüketicileri hedef alma riski yarattığını iddia ediyor hayatta kalanları istismar etmek.
FTC’nin değiştirilen şikayeti, Kochava’nın dört veri ürününe odaklanıyor: coğrafi konum verileri, veritabanı grafiği, uygulama grafiği ve hedef kitle segmentleri.
FTC, Kochava’nın müşterilerinin “bu verilerin herhangi birini veya tamamını satın alabileceğini” iddia ediyor. FTC, “Sonuç olarak, veriler ayrı koleksiyonlarda bulunsa da, anonimleştirilmiyor ve bireysel tüketicilerle bağlantılı veya kolayca ilişkilendirilebilir.” iddiasında bulunuyor.
“Örneğin, Kochava’nın çeşitli koleksiyonlarında yer alan verilerden yararlanarak bir müşteri, ‘belirli bir binayı ziyaret eden bir kadını, kadının adını, e-posta adresini ve ev adresini, kadının Afrikalı-Amerikalı mı, ebeveyn mi olduğunu’ belirleyebilir ve FTC, eğer öyleyse, kaç çocuğun olduğunu veya telefonunda kanser belirtilerini tanımlayan bir uygulamanın bulunduğunu” iddia ediyor. Ayrıca Kochava müşterilerinin bunu “diğer veri kaynaklarını incelemeden” yapabilecekleri de belirtiliyor.
FTC, Kochava’nın bu verileri satmasının tüketicilere iki farklı şekilde zarar verdiğini iddia ediyor.
Winmill kararında, “Birincisi, onları damgalanma, ayrımcılık, fiziksel şiddet ve duygusal sıkıntı gibi ikincil zararlara maruz kalma riskine sokarak ve ikinci olarak da mahremiyetlerini ihlal ederek” dedi. “FTC, her iki teoriye göre ilerlemek için yeterli gerçekleri iddia etti” dedi ve FTC’nin yasal davasının ilerlemesine izin verdi.
Karmaşık Sorunlar
BakerHostetler hukuk firmasından düzenleme avukatı Daniel Kaufman, Kochava destanındaki bu son kararın “FTC için çok önemli bir kazanç” olduğunu söyledi.
“FTC, özellikle coğrafi konum veya sağlık verilerinin kullanımıyla ilgili sorunlar olmak üzere karmaşık gizlilik sorunlarını ele almaya devam ederken, FTC, FTC Yasası kapsamında adil olmayan uygulamalara karşı mücadele etme becerisine giderek daha fazla güveniyor” dedi.
“Bir şeyin adil olup olmadığını belirlemek için kullanılan köklü bir test olmasına rağmen, pratikte neyin adil olmadığına ilişkin çok az içtihat var” dedi.
“Yasal bir teori olarak adaletsizliğe dayanan çok sayıda FTC gizlilik anlaşması görüyoruz, ancak bir mahkemenin iddiaları yakından incelemesi ve FTC’nin potansiyel adaletsizlik sorumluluğu teorisinin sürdürüldüğünü tespit etmesi çok daha anlamlıdır.”
FTC, hassas bilgilerin yasa dışı olarak toplandığı ve üçüncü taraflara satıldığı iddialarını içeren birkaç benzer veri gizliliği davasını aktif olarak takip ediyor. Geçtiğimiz ay FTC, eski adıyla X-Mode Social olan veri komisyoncusu Outlogic’in ve veri toplayıcı InMarket Media’nın hassas konum verilerini üçüncü taraflarla paylaşmasını veya satmasını yasaklayan emirler yayınladı (bkz: Gruplar FTC’yi Google Konum Verisi Uygulamalarını İncelemeye Çağırdı).
Kochava kararına gelince, Kaufman, “Mahkeme bu erken aşamada bir şikayeti incelerken çıta oldukça düşük olmasına rağmen, karar hala ajans ve sektör için önemlidir” dedi.
“FTC, kendi hatası olmaksızın, çetrefilli, karmaşık gizlilik sorunlarını onlarca yıllık bir yasayı kullanarak çözmeye devam etse de, ajansın sahip olduğu araçları agresif bir şekilde kullanmaya devam edeceği açıktır.”
Rose, Kochava davası da dahil olmak üzere veri komisyoncularına karşı açılan son icra davalarının diğer şirketleri veri toplama ve paylaşma uygulamalarını gözden geçirmeye yönelteceğini öngörüyor.
“Veri komisyoncuları için ilk adım, kendileri için hangi yasaların geçerli olduğunu dikkate almaktır. Buradan sonra, bir uyumluluk programı oluşturmak için bilinçli seçimler yapılmalı ve hukukun bu alanında gezinmek ve bunu tüketicinin korunmasıyla dengelemek için yetkili hukuk danışmanlarıyla birlikte çalışılmalıdır.” dedi.
“Bir öğe, tüketicinin rızasını göze çarpacak ve gömülmeyecek şekilde almaktır, dolayısıyla bir bağlılık sözleşmesi oluşturur.”
Bir şirketin verileri topladığını ve kâr amacıyla üçüncü taraflara sattığını önceden açıklamasının kritik olduğunu söyledi. Bunun nedeni, FTC Yasası’nın yanı sıra, HIPAA da dahil olmak üzere diğer yasaların “tüketicinin aynı zamanda hasta olması ve verilerin kapsam dahilindeki bir kuruluştan veya iş ortağının alıntısından veya uygulamasından kaynaklanması durumunda bu duruma dahil olabileceğidir.”
Koçava Açıklaması
Kochava, savunmasının esasını eninde sonunda kazanacağından emin olduğunu söyledi. Şirket, Information Security Media Group’a şunları söyledi: “Bu dava aslında FTC’nin veri gizliliği yasası oluşturmak için Kongre’nin etrafından dolaşmaya çalışmasıyla ilgili. FTC’nin değiştirilmiş şikayetindeki müstehcen varsayımlar yalnızca korkutma taktikleridir.”
Şirket, “Kochava, gizliliğe özel olanlar da dahil olmak üzere tüm kural ve yasalara uygun olarak her zaman tutarlı ve proaktif bir şekilde faaliyet göstermiştir” dedi.
FTC’nin davasından önce Kochava, hassas bir konum engelleme çözümü olan Gizlilik Bloğu’nu duyurdu.
“Kochava, Gizlilik Bloğu aracılığıyla 2,1 milyondan fazla konumu veri ürünlerine erişimini sürekli olarak engelliyor. Küçük, yasalara saygılı bir şirket olarak kendimizi halka açık bir şirket adına ringde bulacağımızı bir milyon yıl geçse bile hayal etmemiştik. bütün bir endüstri. Biz buradayız, gerçek yanımızda ve onu kazanmak için bu işin içindeyiz. Davamızı kanıtlamak için sabırsızlanıyoruz.”
FTC’nin Görüşü
FTC, ISMG’ye yaptığı açıklamada, mahkemenin “tüketicilerin hassas konum verilerinin ve diğer açıklayıcı bilgilerin yasa dışı paylaşımıyla mücadele etme çabalarımıza daha fazla ivme kazandıracak” kararından memnun olduğunu söyledi.
“Kochava’ya karşı açtığımız dava ve X-Mode Social/Outlogic ve InMarket Media ile yaptığımız son anlaşmalar sayesinde şirketler, kontrolsüz para kazanma ve tüketicilerin en hassas verilerinin gözetlenmesi döneminin sona erdiğinin farkına vardı.”
Kochava, 2022 yılında FTC’nin, Kochava’nın veri toplama uygulamalarıyla ilgili “yanlış” iddialar içeren şirkete karşı önerilen yaptırım eylemini gerçekleştirmesini engellemek için önleyici bir dava açtı. Winmill, Haziran 2023’te FTC’nin bu davayı reddetme talebini kabul etti (bkz.: FTC’ye Karşı Açılan Dava, Konum Verisi Gizliliği Savaşını Yoğunlaştırıyor).