General Motors (GM), Kaliforniya'da yaklaşık 1,8 milyon sürücünün kişisel verilerini izinsiz topladığı ve sigorta şirketlerine sattığı iddiaları üzerine 12,5 milyon dolar (yaklaşık 380 milyon TL) ödemeyi kabul etti. Kaliforniya Başsavcısı Rob Bonta tarafından yapılan açıklamaya göre, GM, sürücülerin araç kullanma alışkanlıklarını, hızlarını, fren yapma sıklıklarını ve hatta coğrafi konumlarını içeren verileri, onların açık rızası olmadan üçüncü taraflarla paylaştı. Bu anlaşma, Kaliforniya Tüketici Gizliliği Yasası (CCPA) kapsamında eyalet tarihinde uygulanan en büyük para cezası olma özelliğini taşıyor.
Gelişmenin Arka Planı: Veri Gizliliği İhlali Nasıl Ortaya Çıktı?
Sorun, GM'nin 2015 sonrası araç modellerinde bulunan ve sürücü davranışlarını izleyen "Smart Driver" adlı teknolojiyle başladı. Başlangıçta sürücülere daha güvenli sürüş alışkanlıkları kazandırmak amacıyla tanıtılan bu sistem, aynı zamanda topladığı verileri LexisNexis ve Verisk gibi veri komisyoncularına satıyordu. Bu şirketler de verileri sigorta firmalarına aktararak, sürücülerin primlerinin artmasına veya poliçelerinin iptal edilmesine neden oluyordu. Soruşturma, 2023 yılında bir sürücünün aracının topladığı veriler nedeniyle sigorta priminin yükseldiğini fark etmesiyle başladı. Kaliforniya Adalet Bakanlığı, GM'nin bu verileri toplarken sürücülere yeterli bilgi vermediğini ve onay almadığını tespit etti. GM, anlaşma kapsamında suçu kabul etmemekle birlikte, veri toplama ve paylaşma uygulamalarını değiştireceğini taahhüt etti. Şirket, ayrıca CCPA kapsamındaki tüm taleplere üç iş günü içinde yanıt vermeyi ve gelecekte veri paylaşımı için açık rıza almayı kabul etti.
Bölgesel ve Küresel Boyut: Veri Gizliliği Mücadelesinde Yeni Bir Dönüm Noktası
Bu dava, sadece Kaliforniya için değil, tüm ABD ve küresel çapta veri gizliliği düzenlemeleri açısından önemli bir emsal teşkil ediyor. CCPA, 2020'de yürürlüğe giren ve tüketicilere kişisel verileri üzerinde önemli kontroller sağlayan bir yasa. GM davası, bu yasanın ne kadar ciddiye alındığını ve ihlallerin ağır yaptırımlarla karşılaştığını gösteriyor. Avrupa Birliği'ndeki Genel Veri Koruma Yönetmeliği (GDPR) gibi benzer yasalar da bulunuyor, ancak ABD'de federal düzeyde kapsamlı bir veri gizliliği yasası henüz yok. Bu durum, eyaletlerin kendi yasalarını çıkarmasına yol açıyor ve şirketler için karmaşık bir uyum ortamı yaratıyor. GM davası ayrıca, akıllı araç teknolojilerinin yaygınlaşmasıyla birlikte araç üreticilerinin ne kadar büyük miktarda kişisel veri topladığını ve bu verilerin kötüye kullanılma potansiyelini de gözler önüne seriyor. Uzmanlar, bu tür davaların diğer otomobil üreticilerini de benzer uygulamaları gözden geçirmeye iteceğini belirtiyor. Özellikle Tesla, Ford ve Toyota gibi büyük üreticilerin de sürücü verilerini topladığı biliniyor, ancak bu verilerin nasıl kullanıldığı konusunda şeffaflık eksikliği endişe yaratıyor.
Türkiye Açısından Değerlendirme
Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) 2016 yılında yürürlüğe girmiş olsa da, akıllı araçlar ve IoT cihazları yoluyla toplanan verilerin korunması konusunda henüz yeterli düzenleme bulunmuyor. GM davası, Türkiye'de faaliyet gösteren otomotiv şirketleri ve teknoloji firmaları için önemli bir uyarı niteliği taşıyor. Türkiye'nin Avrupa Birliği ile veri güvenliği standartlarını uyumlaştırma çabaları bağlamında, bu tür davalar yerel düzenlemelerin güçlendirilmesi için bir referans olabilir. Ayrıca, Türk tüketicilerin de kişisel verilerinin korunması konusunda bilinçlenmesi ve şirketlerin şeffaflık ilkelerine uyması gerekiyor. Küresel ölçekte artan bu tür davalar, Türkiye'de de veri gizliliği alanında daha sıkı denetimlerin yapılmasına ve yaptırımların artırılmasına yol açabilir.
