Tüm yasa ve diğer düzenlemelerle birlikte kişisel veriler ve bunun şirketler için maddi değeri anlaşılmaya başlanmıştır. Böylece hiQ Labs gibi diğer şirketler kamuya açık kişisel verileri kullanmaya başlamıştır. Oldukça teknik olan dava özelinde, bu yazımızda veri kazıma gibi kavramları açıklamaya çalıştık.
Dava Özeti*
LinkedIn Corp. 2002 yılında kurulmuştur ve şu anda her gün terfiler, blog gönderileri, faydalı bilgiler ve en önemlisi isim, iletişim bilgileri, sektör ve şirketteki pozisyon gibi kişisel veriler hakkında paylaşım yapan 500 milyondan fazla kullanıcıya sahiptir.
HiQ Labs, Inc. 2012 yılında müşterilerinin çalışan profili, müşteri şirketten ayrılıp ayrılmaması, çalışanın işe uygun veya geliştirilebilir becerileri gibi konularda hizmet veren bir şirket olarak kurulmuştur. HiQ Labs, halka açık olan verileri LinkedIn'den almış ve müşterilerin çalışanları hakkında içgörüler oluşturmuştur.
Davada sunulan belgelere göre, LinkedIn çalışanları hiQ Labs tarafından düzenlenen çeşitli etkinliklere konuk konuşmacı olarak katılmıştır. Ayrıca 2016 yılında hiQ Labs tarafından düzenlenen "Elevate" konferansında bir LinkedIn çalışanına "Etki Ödülü" verilmiştir. Bu nedenle Mahkeme, LinkedIn çalışanlarının hiQ ürünleri hakkında bilgi edinme fırsatı bulduğu sonucuna varmıştır.
Bununla birlikte, kişisel veri gücünün anlaşılmasıyla LinkedIn, kullanıcılarının verilerini Talent Insights gibi diğer özelliklerle kullanmak istemiştir. Bu nedenle, Mayıs 2017'de LinkedIn, hiQ Labs'e, hiQ Labs'ınn LinkedIn'in kullanıcı sözleşmesini ihlal ettiğini savunan ve hiQ Labs'in LinkedIn sunucusundan verilere erişmeyi ve verileri kopyalamayı durdurmasını talep eden bir ihtar göndermiştir. Yine de, hiQ Labs, Kaliforniya yasalarına ve bir tespit kararına dayanarak ihtiyati tedbir talebinde bulunarak bir dava açmıştır. Bölge Mahkemesi hiQ Labs'ın talebini kabul etmiş, LinkedIn'e ihtar mektubunu geri çekmesini ve hiQ Labs'in verilere erişmesini engelleyen tüm teknik engelleri kaldırmasını emretmiştir.
HiQ Labs'in içerdiği bahsi geçen ihtar mektubunun kapsamı, LinkedIn Kullanıcı Sözleşmesini ve Computer Fraud and Abuse Act'i ("CFAA") ve Digital Millenium Copyright Act'i ("DMCA") ve dolandırıcılıkla ilgili diğer hükümleri ihlal ettiği iddia edilmekteydi. Bu davada, CFAA, LinkedIn'in argümanı adına en önemli değeri taşımaktaydı, ancak Mahkeme, CFAA'nın herhangi bir veri toplamadan önce yetkilendirilmesi gereken korumalı bilgisayarlar ve sunucularla ilgili olduğunu açıklamıştır.
Dava, CFAA'daki hükümlerin uygulanmasını daraltan Van Buren / Amerika Birleşik Devletleri (2021) kararı nedeniyle ABD Yüksek Mahkemesi kapsamında bozulmuştur. Bu, LinkedIn ve diğer yerleşik şirketler hariç, ABD Yüksek Mahkemesinin bu yıl karar verdiği en şok edici karar özelliğini taşımamaktadır.
Bölge Mahkemesi, hiQ Labs ve LinkedIn'in pozisyonlarını ve iddialarını analiz eden ihtiyati tedbir kararı vermiştir ve Temyiz Mahkemesi kararı onaylamıştır.
Veri kazıma nedir?
Kullanıcılar günlük olarak sosyal medyaya, kişisel veya ticari web sitelerine ve diğerlerine paylaşımda bulunmaktadır. Daha önce de belirttiğimiz gibi, platformlarda yayınlanan kişisel verileri kullanmanın birçok yolu bulunmaktadır ve yollardan birine veri kazıma adı verilmektedir.
Mahkeme, görüşte belirtildiği gibi “internetteki serbest bilgi akışının en üst düzeye çıkarılması” ile sonuçlanacak bir ihtiyati tedbir kararı verilmesinde kamu yararının bulunup bulunmadığını incelerken, tarafların beyanları yardımıyla veri kazımasını kısaca tanımlamıştır. Veri kazıma, herkese açık olan verileri toplamak ve biriken tüm bilgilerle veri kümeleri oluşturmak şeklinde belirtilmiştir.
HiQ Labs, davada veri kazımanın arama motorları, akademik araştırmacılar ve diğerleri tarafından kullanılan yaygın bir bilgi toplama yöntemi olduğunu belirtmiştir. HiQ Labs'e göre, büyük şirketlerin hangi şirketlerin verileri kazımasına izin verileceği konusunda karar vermesine izin vermek, endüstri üzerinde orantısız bir güçle sonuçlanacaktır.
Kararın Önemi
HiQ Labs, veri kazımayı ticari amaçla kullanan ve verileri analiz eden tek şirket değildir.
Cambridge Analytica Skandalı, GDPR çerçevesinin kişisel verilerin konu hakkında bilgi verilmeden kullanılmasını yasakladığını ve kişisel verilerin kötüye kullanımına karşı bir savunma mekanizması olması gerektiğini göstermiştir. Sonuç olarak, Skandal, kişisel verilerin rıza olmadan kullanılması konusunda daha fazlasını içermektedir.
AB yaklaşımı, veri kazıma konusunda ABD'den büyük ölçüde farklılık göstermektedir. Polonya Veri Koruma Kurumu ("DPA) tarafından verilen Bisnode kararında, GDPR konusunda güçlü bir duruş sergilemiştir. Bisnode, kamuya açık kayıtlardan verileri kazıdı, ancak, kişisel verilerini kazıdığı kişilere bildirilmediğini fark edememiştir. Bu nedenle, GDPR'a uyulmaması para cezalarıyla sonuçlanmıştır.
Ayrıca Clearview AI kararında şirket, Information Commissioner's Office ("ICO") tarafından 7,5 milyon £ para cezasına çarptırılmıştır. Clearview AI, yüz tanıma konusunda uzmanlaşmış, AI odaklı bir şirkettir. Kullanıcılara kişisel verileri kazıdıklarını bildirmeme konusunda GDPR'a uymadıkları için ICO, Yunan Veri Koruma Otoritesi ve Italy SA tarafından 48 milyon Euro'dan fazla para cezası verilmiştir.
Artık daha fazla veri kazımaya ilişkin dava var ve daha fazlası olacak gibi görünüyor.
Comments