ABD merkezli genetik test şirketi 23andMe, 2023 yılında yaşanan büyük veri ihlali nedeniyle mağdurlara toplam 46,75 milyon dolar tazminat ödenmesini öngören bir anlaşmayı kabul etti. ABD'deki bir federal mahkeme, söz konusu uzlaşmayı onaylayarak, şirketin 2023 yılında yaklaşık 6,9 milyon kullanıcısının kişisel verilerinin sızdırılmasıyla sonuçlanan olayda sorumluluğunu kabul etmesini sağladı. Anlaşma kapsamında, mağdurlara kişi başına ortalama 6,78 dolar ödenmesi beklenirken, avukatlık ücretleri ve masraflar da bu tutarın dışında karşılanacak. 23andMe, veri ihlalinin ardından açılan toplu davada (class action) uzlaşmaya varmanın şirketin itibarını koruma ve operasyonel sürekliliğini sağlama açısından kritik olduğunu savundu.
Veri Sızıntısının Arka Planı ve Mahkeme Süreci
2023 yılı Ekim ayında ortaya çıkan veri ihlali, 23andMe'nin DNA Relatives (DNA Akrabaları) özelliğini kullanan kullanıcıları hedef almıştı. Saldırganlar, kullanıcıların yeniden kullanılan şifrelerini ele geçirerek (credential stuffing) hesaplara erişti ve bu hesaplardaki soybilim verilerini, genetik raporları ve kullanıcı profillerini çaldı. Sızıntıda, özellikle Aşkenazi Yahudisi kökenli kullanıcıların verileri büyük ölçüde etkilendi ve bu durum, siber güvenlik uzmanları tarafından ayrımcılık potansiyeli açısından eleştirildi. 23andMe, olayın ardından tüm kullanıcılarını şifrelerini değiştirmeye zorunlu tuttu ve çok faktörlü kimlik doğrulamayı zorunlu hale getirdi. Şirket, veri ihlalinin kendi sistemlerindeki bir güvenlik açığından değil, üçüncü taraflar eliyle gerçekleştirilen hesaplı saldırılardan kaynaklandığını öne sürdü. Ancak kullanıcı avukatları, şirketin veri güvenliği önlemlerinin yetersiz olduğunu ve tüketiciyi koruma yasalarını ihlal ettiğini savundu. Mahkeme sürecinde, 23andMe'nin tahmini 1 milyar doların üzerinde piyasa değeri kaybettiği ve olayın şirketin hisselerini ciddi şekilde etkilediği ortaya çıktı.
Küresel Boyut: Genetik Veri Güvenliği ve Yasal Çerçeve
23andMe davası, genetik verilerin korunmasına yönelik küresel farkındalığı artırdı. Birleşik Krallık, Avrupa Birliği ve Kanada gibi ülkelerde genetik verilerin mahremiyeti konusunda daha sıkı düzenlemeler tartışılmaya başlandı. ABD'de ise bu tür veri ihlalleri, Health Insurance Portability and Accountability Act (HIPAA) gibi federal yasaların kapsamı dışında kaldığı için, tüketicilerin korunması eyalet bazlı yasalara ve genel sözleşme hukukuna kalıyor. Avrupa'daki Genel Veri Koruma Yönetmeliği (KVKK/GDPR) daha katı kurallar getirirken, Asya-Pasifik bölgesinde de benzer yasalar hızla yürürlüğe giriyor. Uzmanlar, genetik test şirketlerinin kullanıcı verilerini anonimleştirme konusunda yeterli özeni göstermediğini ve bu verilerin sigorta şirketleri, işverenler veya üçüncü taraf araştırmacılar tarafından kötüye kullanılma riskinin yüksek olduğunu vurguluyor. 23andMe'nin uzlaşma miktarı, benzer davalarda emsal teşkil edebilir; ancak eleştirmenler, kişi başına düşen tazminat miktarının sembolik olduğunu ve caydırıcılıktan uzak olduğunu belirtiyor.
Türkiye Açısından Değerlendirme
Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında genetik veriler hassas veri sınıfında yer alır ve veri sorumlularının bu tür bilgileri işlerken açık rıza ve ek güvenlik tedbirleri alması zorunludur. Ancak 23andMe benzeri uluslararası genetik test hizmetleri Türkiye'de de popülerlik kazanmış durumda. Bu dava, Türk kullanıcıların yurt dışına veri aktarımı sırasında karşılaşabilecekleri riskleri hatırlatıyor. Türkiye'nin veri koruma kurumu KVKK Kurumu'nun, uluslararası veri ihlallerine karşı daha etkin bir denetim ve yaptırım mekanizması geliştirmesi gerektiği anlaşılıyor. Ayrıca, Türk şirketlerinin genetik veri toplama ve işleme faaliyetlerinde bu tür davalardan ders çıkararak, güvenlik önlemlerini en üst düzeye çıkarması bekleniyor.