ABD Federal Ticaret Komisyonu (FTC), veri brokerı Kochava ile bağlı kuruluşu Collective Data Solutions’ın (CDS) “hassas konum verilerini” tüketicinin açık rızası olmadan satmasını, paylaşmasını veya ifşa etmesini yasaklayan uzlaşma şartlarını açıkladı. FTC, söz konusu verilerin milyonlarca mobil cihazın hareketlerinin izlenmesine imkân verebileceğini belirtti.
Komisyonun açıklamasında, şirketlerin tüketicilerden “affirmative express consent” olarak tanımlanan açık ve doğrulanabilir onay almadan hassas konum verisini ürün veya hizmetlerinde kullanamayacağı vurgulandı. Bu çerçeve, konum verisinin yalnızca tüketicinin doğrudan talep ettiği bir hizmeti sağlamak için kullanıldığı durumlarda farklılaşabilen istisna tartışmalarını da gündeme taşıyor.
FTC’nin adımı, konum verisinin reklam hedefleme, veri zenginleştirme ve üçüncü taraf analiz paketleri üzerinden dolaşıma girmesiyle büyüyen “gölge veri ekonomisi” tartışmasının merkezine oturuyor. Düzenleyici kurumlar, konum verisinin yalnızca bir koordinat seti olmadığını; ev, iş, okul, ibadethane veya sağlık kuruluşu gibi hassas mekân kalıpları üzerinden kişilerin kimliğine ve yaşam alışkanlıklarına dair çıkarımlar üretilebildiğini savunuyor.
Son yıllarda ABD’de konum verisinin kötüye kullanımı, takip (stalking), ayrımcılık, siyasi hedefleme ve veri sızıntılarıyla birlikte anıldı. Bu nedenle FTC’nin yaklaşımı, veri brokerlarının “kimin neyi ne kadar süreyle tuttuğu ve kime sattığı” sorusunu daha görünür kılıyor. Özellikle mobil uygulama ekosisteminde, kullanıcıların kabul ettiği izinlerin kapsamı ile verinin son kullanıcıdan sonraki dolaşımı arasındaki mesafe, düzenleyicilerin en çok odaklandığı alanlardan biri.
Uzlaşma koşulları, yalnızca Kochava özelinde bir yaptırım olarak değil, veri brokerlarının iş modeli için de bir sinyal olarak okunuyor. Sektörde birçok şirket, veriyi doğrudan uygulamalardan veya SDK sağlayıcılarından alıp farklı kategorilerde “anonimleştirilmiş” paketler halinde pazarladığını savunuyor. FTC ise anonimleştirme iddialarının her durumda kimlik çözümleme riskini ortadan kaldırmadığına dikkat çekiyor.
Tüketici cephesinde ise tartışma, “rıza”nın gerçekten bilgilendirilmiş olup olmadığı noktasına yoğunlaşıyor. Uygulama izinleri, uzun gizlilik metinleri ve üçüncü taraf veri paylaşım zincirleri, pratikte kullanıcıların verinin kimlerle paylaşıldığını anlamasını zorlaştırabiliyor. Bu nedenle FTC’nin açık rıza standardını öne çıkarması, teknoloji şirketlerinin izin akışlarını ve veri saklama politikalarını yeniden ele almasına yol açabilir.
Kararın piyasaya etkisi, yalnızca veri brokerlarıyla sınırlı olmayabilir. Reklam teknolojisi şirketleri, uygulama geliştiricileri ve veri analitiği tedarikçileri, tedarik zincirindeki konum verisi kullanımını daha sıkı denetlemek zorunda kalabilir. Bu da konum temelli hedefleme ürünlerinde daralma veya “hassas veri” tanımına giren alanların yeniden sınıflandırılması gibi sonuçlar doğurabilir.
FTC’nin duyurduğu uzlaşma, ABD’de veri gizliliği ve hassas verilerin korunması konusunda federal düzeyde daha sert bir yaklaşımın işareti olarak görülüyor. Önümüzdeki dönemde benzer kararların, mobil ekosistemde veri toplama pratiklerini ve tüketicilere sunulan onay mekanizmalarını doğrudan etkilemesi bekleniyor.
