Bisiklet uygulamaları genellikle adet dönemi, fiziksel ve zihinsel şikayetler, planlı doğum kontrolü veya hamile kalma isteği gibi hassas kişisel verileri toplar. Federal Tüketici Danışma Merkezleri Birliği ve Stiftung Warentest bu nedenle bu tür mobil uygulamaların seçilen on iki sağlayıcısının Genel Veri Koruma Yönetmeliği’nde (GDPR) yer alan bilgi edinme hakkını nasıl ele aldığını ortaklaşa inceledi. Sınav görevlileri, temasa geçilen kişilerin tepkilerinde çeşitli eksiklikler tespit etti.
Reklamcılık
Nisan ve Temmuz 2023 arasında bir ürün test enstitüsü, seçilen bisiklet uygulamalarının on iki operatöründen üç uygulama kullanıcısı adına günlük konuşma dilinde bilgi taleplerinde bulundu. Haberler’de çevrimiçi olarak bulunan e-postalar şuna benzer şeyler söylüyordu: “Benim hakkımda hangi verileri sakladığınızı sizden öğrenmek istiyorum? Verilerin korunması hakkında genel olarak kime sorabilirim?” Yalnızca takip e-postalarında GDPR’nin 15. Maddesi kapsamındaki bilgi edinme hakkına atıf yapıldı ve bir şirket veri koruma görevlisi atanması talebi vardı. Maddeye göre sağlayıcılar, kullanıcıları işlenme amaçları, veri kategorileri ve saklama süresi konusunda bireysel olarak bilgilendirmekle yükümlüdür. Bu, kişisel bilgilerin silinmesi veya düzeltilmesi gibi veri sahibi haklarının daha sonra kullanılması için bir ilk adım olabilir.
Sağlayıcılar nasıl yanıt verdi?
Temasa geçilen sağlayıcılardan altısı için denetçiler, hiçbir kişisel veriyi işlemedikleri cevabından memnun kaldılar. Görünüşe göre bu sadece kullanıcı değerlerinin sunucularda saklanmadığı veya üçüncü taraflara aktarılmadığı anlamına geliyordu. Veri işleme olmadan uygulamalar hiçbir şekilde çalışmaz. Soruşturmaya göre geri kalan altı operatör, GDPR’nin 15. Maddesi uyarınca kendilerine gönderilen taleplerin çoğuna (toplamda 17 kişiden 15’i) tam olarak yanıt vermedi. Örneğin gönderilen üç talepte de etkilenenlerin haklarını kimse tam olarak açıklamadı.
ABD’li sağlayıcılar Flo, Premom ve Femometer, bilgi sağlama konusunda özellikle kötü performans gösterdi; çünkü neredeyse tüm sorulara tatmin edici yanıtlar vermediler veya hiçbir bilgi vermediler. Alman sağlayıcılar myNFP, Ovolution ve Ovy gerekli bilgilerin önemli ölçüde daha fazlasını sağladı. Burada da test uzmanları, örneğin depolama süresi veya bazen işleme amaçları açısından tavizler verdi.
myNFP’den Christian Maas, çevrimiçi olarak Haberler’ye, taleplerin “beceriksizce” yapılma eğiliminde olduğunu söyledi. En son atıf yapılan 15. Madde bile “varsayılan olarak her şeyi aynı anda göndermeniz gerekir” demiyor. Saklama süresi aynı zamanda veri koruma beyanında da görülebilir. Kullanıcılar tam olarak neleri bilmeleri gerektiği yönündeki sorulara yanıt vermedi. Toplamda, tek kişilik şirketi yılda yalnızca on civarında talep alıyor; bunların çoğu görünüşe göre test ve araştırma amaçlı.
Sağlayıcı reaksiyonları
Ovolution’un kurucusu Timo Schmuck da benzer bir açıklama yaptı: Şirketi, yanıt e-postalarında, veri koruma beyanının uygulamada ve web sitesinde nerede bulunabileceğini ve “burada veri koruma görevlisinin adının verildiğini” açıkça belirtti. Elbette bu aynı zamanda “kullanıcı haklarına ilişkin soruyu da yanıtlıyor”. Ayrıca uygulama verilerinin nasıl saklandığı ve işlendiğine dair temel bir not da vardı. Yine de bu, sınav görevlileri için “görünüşe göre yeterli değildi”.
Ovolution, bazı noktalar “ilk bakışta anlaşılmaz” olsa bile, dile getirilen eleştirileri dikkate alacaktır. vzbv konuşmacısı Sandra Krüger, özellikle konu bu samimi konular olduğunda, tüketicilerin “bilgi edinme haklarının ciddiye alınacağına ve şeffaf bir şekilde yanıtlanacağına” güvenebilmeleri gerektiğini vurguluyor. “Sağlayıcılar, resmi olmayan bilgi taleplerini bile tanıma konusunda duyarlı olmalıdır.” MyFNP, Lady Cycle ve Ovolution, yalnızca veri koruma hususlarıyla ilgili olmayan tüm testte “tatmin edici” notuyla kazananlar olarak ortaya çıktı.
(mki)
Haberin Sonu
Reklamcılık
Nisan ve Temmuz 2023 arasında bir ürün test enstitüsü, seçilen bisiklet uygulamalarının on iki operatöründen üç uygulama kullanıcısı adına günlük konuşma dilinde bilgi taleplerinde bulundu. Haberler’de çevrimiçi olarak bulunan e-postalar şuna benzer şeyler söylüyordu: “Benim hakkımda hangi verileri sakladığınızı sizden öğrenmek istiyorum? Verilerin korunması hakkında genel olarak kime sorabilirim?” Yalnızca takip e-postalarında GDPR’nin 15. Maddesi kapsamındaki bilgi edinme hakkına atıf yapıldı ve bir şirket veri koruma görevlisi atanması talebi vardı. Maddeye göre sağlayıcılar, kullanıcıları işlenme amaçları, veri kategorileri ve saklama süresi konusunda bireysel olarak bilgilendirmekle yükümlüdür. Bu, kişisel bilgilerin silinmesi veya düzeltilmesi gibi veri sahibi haklarının daha sonra kullanılması için bir ilk adım olabilir.
Sağlayıcılar nasıl yanıt verdi?
Temasa geçilen sağlayıcılardan altısı için denetçiler, hiçbir kişisel veriyi işlemedikleri cevabından memnun kaldılar. Görünüşe göre bu sadece kullanıcı değerlerinin sunucularda saklanmadığı veya üçüncü taraflara aktarılmadığı anlamına geliyordu. Veri işleme olmadan uygulamalar hiçbir şekilde çalışmaz. Soruşturmaya göre geri kalan altı operatör, GDPR’nin 15. Maddesi uyarınca kendilerine gönderilen taleplerin çoğuna (toplamda 17 kişiden 15’i) tam olarak yanıt vermedi. Örneğin gönderilen üç talepte de etkilenenlerin haklarını kimse tam olarak açıklamadı.
ABD’li sağlayıcılar Flo, Premom ve Femometer, bilgi sağlama konusunda özellikle kötü performans gösterdi; çünkü neredeyse tüm sorulara tatmin edici yanıtlar vermediler veya hiçbir bilgi vermediler. Alman sağlayıcılar myNFP, Ovolution ve Ovy gerekli bilgilerin önemli ölçüde daha fazlasını sağladı. Burada da test uzmanları, örneğin depolama süresi veya bazen işleme amaçları açısından tavizler verdi.
myNFP’den Christian Maas, çevrimiçi olarak Haberler’ye, taleplerin “beceriksizce” yapılma eğiliminde olduğunu söyledi. En son atıf yapılan 15. Madde bile “varsayılan olarak her şeyi aynı anda göndermeniz gerekir” demiyor. Saklama süresi aynı zamanda veri koruma beyanında da görülebilir. Kullanıcılar tam olarak neleri bilmeleri gerektiği yönündeki sorulara yanıt vermedi. Toplamda, tek kişilik şirketi yılda yalnızca on civarında talep alıyor; bunların çoğu görünüşe göre test ve araştırma amaçlı.
Sağlayıcı reaksiyonları
Ovolution’un kurucusu Timo Schmuck da benzer bir açıklama yaptı: Şirketi, yanıt e-postalarında, veri koruma beyanının uygulamada ve web sitesinde nerede bulunabileceğini ve “burada veri koruma görevlisinin adının verildiğini” açıkça belirtti. Elbette bu aynı zamanda “kullanıcı haklarına ilişkin soruyu da yanıtlıyor”. Ayrıca uygulama verilerinin nasıl saklandığı ve işlendiğine dair temel bir not da vardı. Yine de bu, sınav görevlileri için “görünüşe göre yeterli değildi”.
Ovolution, bazı noktalar “ilk bakışta anlaşılmaz” olsa bile, dile getirilen eleştirileri dikkate alacaktır. vzbv konuşmacısı Sandra Krüger, özellikle konu bu samimi konular olduğunda, tüketicilerin “bilgi edinme haklarının ciddiye alınacağına ve şeffaf bir şekilde yanıtlanacağına” güvenebilmeleri gerektiğini vurguluyor. “Sağlayıcılar, resmi olmayan bilgi taleplerini bile tanıma konusunda duyarlı olmalıdır.” MyFNP, Lady Cycle ve Ovolution, yalnızca veri koruma hususlarıyla ilgili olmayan tüm testte “tatmin edici” notuyla kazananlar olarak ortaya çıktı.
(mki)
Haberin Sonu