Taksi hizmeti vermek isteyen araç sahipleri ile taşıt arayan kullanıcıları bir araya getiren dijital servis Uber, son zamanlarda ABD Federal Ticaret Komisyonu ile yapacağı anlaşma ile gündemde. Uber‘in kullanıcıların kişisel bilgilerini korumak için gereken güvenlik tedbirleri alma noktasındaki yetersiz kalışını çözümlendirmek için bir anlaşmaya yapılacak.
15 Ağustos’ta ABD Federal Ticaret Komisyonu tarafından yayınlanan anlaşma, önümüzde 20 yıl için her iki yılda bir veri güvenliklerini kontrol etmek üzere bağımsız denetlemeler yapılması halinde Uber’in küresel yolculuğunun devam etmesine olanak tanıyor.
Avrupa’da benzer şikayetler var ve gelecek olan yeni bir yönetmelikle bu şikayetlerin çözüme kavuşması bekleniyor. Önümüzdeki Mayıs ayında yürürlüğe girecek AB’nin Genel Veri Koruma Yönetmelik (GSYİH), her bir ihlal için küresel cironun % 4’üne kadar ceza kesecek.
Uber, 2016 yılında elde ettiği global gelirin 6,5 milyar dolar olduğunu bildirdi. Bu da 260 milyon ABD Doları ihlal cezası önermek anlamına geliyor.
Şirket, ‘çalışanların müşterilerin kişisel bilgilere erişim sağlayabilmesi ve hassas tüketici verilerini makul derecede güvence altına almayarak tüketiciyi aldatması‘ gibi suçlamaları ortadan kaldırmak için ‘kapsamlı bir gizlilik programı’ ve ‘düzenli, bağımsız denetim’ hizmeti sunmaya karar verdi.
San Francisco merkezli firma, çalışanların tüketici ve sürücü verilerine erişimlerini oldukça yakından izlediğini ve üçüncü parti sunucularda saklanan kişisel bilgilerin güvenliğini sağlamak için hali hazırda ‘makul tedbirler’ uyguladığını iddia ediyor.
Ancak ABD Federal Ticaret Komisyonu’nun bulduğu verilere göre Uber, çalışanlarının müşterilerin kişisel bilgilere erişiminin hangi ölçüde olduğunu yanlış göstererek ve bu verileri güvence altına almak için makul adımlar attığı konusunda doğru olmayan söylemlerde bulunarak müşterileri iki şekilde mağdur etti.
ABD Federal Ticaret Komisyonu ise Uber çalışanlarının tüketici verilerine eriştiklerini bildiren rapordan sonra devreye girdi.
Uber Kasım 2014’te çalışanların verilere erişmesini “yasaklayan” sıkı bir politikaya sahip olduğunu ve çalışanların yakından takip edileceğini iddia eden bir bildiri yayınlamıştı.
Aslında olan ise, Uber‘in çalışanların verilere erişmesini izlemek için otomatik bir sistem kullanmayı bırakarak ‘ kullanıcılar hakkındaki kişisel bilgilere içsel erişimi nadiren izlediğiydi’.
Şirket ayrıca, verilerin ‘güvenli bir şekilde saklandığını’ iddia etti. Ancak ABD Federal Ticaret Komisyonu, Uber’ın Amazon Web Services tarafından işletilen veritabanlarındaki tüketicilerin kişisel bilgilerine yetkisiz erişimi engellemediğini tespit etti.
Örneğin, tek bir anahtar kelime tüm verilere ‘tam idari erişimi sağlandı’. Ancak Uber verilere erişmek için ‘çok faktörlü kimlik doğrulaması’ gibi bir önlem almadı.
Buna ek olarak, Uber hassas tüketici bilgilerini ‘Plaintext’ adı verilen içerisinde yalnızca yalın metinleri içeren metin dosyası veya dokümanlarda sakladı.
Uber’in Federal Ticaret Komisyonu ile yaptığı anlaşma gereğince, şirketin kişisel bilgilere erişimi nasıl izlediğini veya bu veriyi nasıl koruduğu ve güvence altına aldığı gibi müşteriler için hayli kritik olan bilgilerin yanlış gösterilmesi kesin olarak yasaklanıyor. Ancak bu durum Uber‘in, suçlamaları ne itiraf etmesinin ne de reddetmesinin önünü açtı.
Federal Ticaret Komisyonu kararı ise komisyonun sonuçlandırıp sonuçlandırmayacağına dair vereceği karar 15 Eylül tarihine kadar halkın istişaresine sunulacak. Federal Ticaret Komisyon kararının ihlal etmenin cezasının, ihlal başına, $40,654’e kadar bir para cezası olduğunu hatırlatalım!