Yeni otomobiller sürücülerden hassas bilgiler topluyor ve onların mahremiyetini tehlikeye atıyor.

Modern bir araba kullandığınızda, bağlantılı bir cihazın içindesinizdir, ancak çoğu insan ne kadar bağlantılı olduğunu bilmez. Hermes Vakfı tarafından hazırlanan bir rapora göre, bu araçlar coğrafi konumdan biyometrik verilere (yüz hatları gibi) ve sürüş tarzına kadar her türlü hassas bilgiyi topluyor ve tüm bunları araç kullanımını iyileştirmek amacıyla yapıyor, ancak çoğu zaman açık bir izin olmadan. Kuruluş, bunun sürücülerin ve hatta yayaların mahremiyeti için bir risk oluşturduğu konusunda uyarıyor ve tüketici haklarını korumak için Avrupa mevzuatının iyileştirilmesi çağrısında bulunuyor. Bu arada, işverenler derneği Anfac, markaların "her zaman müşteriye ait olan verileri sorumlu, şeffaf ve güvenli bir şekilde kullandığını" savunuyor.

Dijital vatandaşların haklarını savunma konusunda uzmanlaşmış kuruluşta uzman ve belgenin koordinatörü olan Alicia Asín, "2030 yılına kadar araçların %95'i bir şekilde bağlantılı olacak, ancak en yeni araçlar halihazırda hem sürücülerden hem de sokakta serbestçe yürüyen ve herhangi bir gizlilik politikasını tıklamamış veya kabul etmemiş insanlardan bilgi toplayan birçok sensör içeriyor," diyor. Bu yeniliklerden bazıları sürüş güvenliğini artırmaya hizmet ederken, diğerleri mahremiyet ihlali teşkil ediyor.

Asín, "Cep telefonumuzu aracın sistemine bağladığımızda, yapılandırmaya bağlı olarak yaptığımız arama kayıtlarına, dinlediğimiz şarkılara, tarayıcı, GPS veya telefonda bulunan uygulamalarla yaptığımız aramalara erişebiliyor," diye devam ediyor. Bununla birlikte, coğrafi konum bilgilerini, müzik tercihlerini ve hatta davranış kalıplarını derleyebiliyorlar. "Hatta bazı markalar, tam erişime izin vermezseniz aracın güvenlik güncellemeleri yapamayacağını bile söylüyor."

Mevcut mevzuat bu eyleme izin verse de, vakıf gelecekte bu verilerin belirsiz amaçlar için kullanılabileceği konusunda uyarıyor. "Tüketicileri profillemek isteyen markalara satılabilir, hatta belirli bir şekilde araç kullananların sigorta primlerini artırmak için bile kullanılabilir," diye belirtiyor.

Sensörlerden oluşan bir evren

"Bağlantılı bir araba, sensörlerden oluşan bir evrendir. Her şey yerel kalsaydı, veriler aracın dışına aktarılmasaydı hiçbir şey olmazdı. Ama durum böyle değil," diyor raporda yer almayan veri koruma görevlisi Jorge García Herrero. Veriler işlenmek üzere bir şirketin sunucularına ulaştığı andan itibaren daha katı düzenlemelere uymak zorundadır.

İspanyol Veri Koruma Ajansı (AEPD), Avrupa Veri Koruma Kurulu tarafından geliştirilen bir dizi öneriyi benimsedi. Öneriler, esasen araç tabanlı uygulamaların toplanan bilgileri en aza indirme (ne kadar az, o kadar iyi) ve işlenmesini kesinlikle gerekli olanla sınırlama ilkelerine uyması gerektiğini belirtiyor. AEPD kaynakları, "Konum verileri özellikle müdahalecidir ve kişilerin birçok yaşam tarzı alışkanlığını ortaya çıkarabilir, bu nedenle gerçekten gerekli olup olmadığının değerlendirilmesi gerekir," diyor.

Toplanan verilerin anonimleştirilmesi ve takma adla kullanılması (yani, aracın plakasından veya sahibinin adından ayrı tutulması) da önemlidir. Bağlantılı bir araç sahibi değiştiğinde ne olur? Toplanan verilerin (örneğin, yapılan yolculuklar veya sürüş tarzı) hassasiyeti göz önüne alındığında, İspanyol Veri Koruma Ajansı (AEPD), araç tarafından toplanan verilerin silinmesini önermektedir.

Bazı araçlara uyku hali belirtilerini tespit etmek için yerleştirilen yüz tanıma sistemleri gibi biyometrik veriler ayrı bir bölüm hak ediyor. Avrupa mevzuatı bunları özel bir kategori olarak kabul ettiğinden, bunların kullanımı özellikle dikkatli olmalıdır. Bu, üçüncü taraflara aktarılmaları veya belirlenen amaç dışında kullanılmaları durumunda önemli para cezaları uygulanabileceği anlamına gelir.

Hermes Vakfı, çalışmalarını Mozilla Vakfı'nın 2023 yılında 25 üreticiyle gerçekleştirdiği önceki bir çalışmayla tamamlıyor. Bu çalışmaya göre, otomobil markalarının %88'i, kişisel inançlar veya cinsel aktivite gibi hassas konular da dahil olmak üzere, topladıkları bilgilerden ek veriler elde ediyor. Hatta Asín, 2019 ile 2022 yılları arasında birkaç Tesla çalışanının, araçlarında cinsel ilişkiye giren kullanıcıların görüntülerini, kaydedildiklerini bilmeden paylaşmalarının ardından ortaya çıkan skandalı da hatırlıyor.

Açık rıza olmaksızın

Hermes Vakfı'nın çalışmaları devam ediyor: "Anonimleştirilmiş veriler açık rıza gerektirmese de, kişisel veriler kullanıcıdan açık bir yetki gerektirir. Ancak pratikte bu onay genellikle belirsiz, koşullu veya anlaşılması zor olduğundan, tüketicinin gerçek karar verme kapasitesini zayıflatır," diye belirtiyor belgede.

Bu alandaki yasal referans, Genel Veri Koruma Yönetmeliği'dir (GDPR). Dijital hukuk alanında uzmanlaşmış bir danışman ve avukat olan Borja Adsuara, "Bu kişisel bilgilerin toplanması için rıza veya başka bir yasal dayanak bulunmalıdır. Ve her şeyden önce, üreticiler kullanıcıları hangi bilgilerin, hangi amaçla toplandığı ve işlemeyi reddetme veya silme haklarını nasıl kullanabilecekleri konusunda bilgilendirmelidir," diye açıklıyor.

Otomobil üreticileri birliği Anfac'tan kaynaklar, "hiçbir koşulda verilerin açık rıza olmadan kullanılmayacağını" ve bu verilerin kullanımının belirtilen amaçlardan sapmayacağını garanti ediyor. Ticaret birliği, "Örneğin, coğrafi konum otomatik acil durum çağrıları için kullanılıyor ve teknik verilerin toplanması arıza önleme, bakım planlama, enerji tüketimi optimizasyonu ve yol güvenliğinin iyileştirilmesine katkıda bulunma gibi amaçlara hizmet ediyor," diye ekliyor.

Diğer risklere gelince, Hermes Vakfı, dijitalleşmenin kullanıcıların fiziksel güvenliğini etkileyen saldırılara kapı açtığına inanıyor ve çoğu zaman "tüketicilerin bu devasa veri toplama üzerinde çok az veya hiç kontrole sahip olmadığını" vurguluyor. Dahası, net gizlilik standartlarının eksikliğinin "sektörde suistimal ve hukuki belirsizliğe kapı açtığına" inanıyorlar.

Bu nedenle, araçların veri paylaşımı gerektirmeden tam kapasiteyle çalışabilmesini ve bilgi vermeden önce basit ve anlaşılır bir onay alınmasını yasal olarak sağlamayı öneriyorlar. Bu değişiklikler yapılana kadar Asín şunları tavsiye ediyor: "Tüketiciler çok daha aktif bir rol üstlenmeli ve araç satın alırken hangi verileri verdikleri konusunda bilgi talep etmeli, hangi aktarımların zorunlu olduğu ve diğerlerinin nasıl devre dışı bırakılacağı konusunda kendilerine açıklama yapılmalı."