Mayıs 2019’dan Ağustos 2020’ye kadar, çok uluslu restoran zinciri Tim Hortons tarafından yayınlanan mobil uygulama, bir Kanada hükümetinin araştırmasına göre, konum verilerini geçerli bir izin olmadan toplayarak müşterileri sürekli olarak izledi.
İçinde rapor Kanada Gizlilik Komiseri Ofisi (OPC) ve üç eyaletten – Alberta, Britanya Kolumbiyası ve Quebec – gizlilik komisyoncuları, Haziran 2020 Ulusal Posta makalesinin yayınlanmasından kısa bir süre sonra başlayan bir soruşturmanın sonuçlarını sundular.
O makale Tim Hortons uygulamasının takip edilen konum verilerini arka plana düştüğünde bile birkaç dakikada bir ortaya çıkardı ve Kanadalı gizlilik yetkilileri tarafından derlenen rapor da bunu doğruladı.
OPC, “Mayıs 2019’da Tim Hortons’un, ABD’li bir üçüncü taraf hizmet sağlayıcısının (‘Radar’) yardımıyla, kullanıcıların cihazlarının konumunu izleyebilmesi ve toplayabilmesi için uygulamasının güncellenmiş sürümlerini yayınladığını gördük.” rapor okur.
“İzinlerini” veren kullanıcıların cihazları için Radar, Tim Hortons adına, kullanıcıların cihaz konumunu birkaç dakikada bir toplayacak ve işleyecektir: (i) bir kullanıcının evinin konumunu çıkarmak ve iş yeri ve ne zaman seyahat ettiklerini ve (ii) kullanıcının bir Tim Hortons yarışmacısını ne zaman ziyaret ettiğini belirleyin.”
Tim Hortons, 15 ülkede yaklaşık 5.000 lokasyona sahiptir. Hamilton, Ontario’da bir burger restoranı olarak başladı ve 1990’lara kadar bir donut mağazaları zinciri olarak genişledi. Wendy’s ile 1995 yılında bir birleşme, bağımsızlığa dönüş, ardından 2014’te Burger King ile bir birleşme oldu. Daha sonra o yıl iki zincir, ana şirket Restaurant Brands International’ın yan kuruluşları haline geldi.
sonrasında Ulusal Posta Makalede, Tim Hortons’a gizlilik yasası ihlali iddiasıyla dört dava açıldı.
“Şikayetlerin tümü, davalıların davacının gizlilik haklarını, Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasasını, tüketiciyi koruma ve rekabet yasalarını veya kullanıcılara yönelik uygulama tabanlı taahhütlerini, her durumda coğrafi konum verilerinin toplanmasıyla bağlantılı olarak ihlal ettiğini iddia ediyor. Tim Hortons mobil uygulaması ve bazı durumlarda Burger King ve Popeyes mobil uygulamaları” açıklar son 10-Q mali raporunda.
Bu vakalardan herhangi birinin nihai sonucunu tahmin edemiyoruz veya varsa olası kayıp aralığını tahmin edemiyoruz.
“Her davacı kendisi ve sınıfın diğer üyeleri için ihtiyati tedbir ve maddi tazminat talep ediyor. Bu davalar ön aşamadadır ve bu davalara karşı güçlü bir şekilde savunma yapmak niyetindeyiz, ancak bu davaların hiçbirinin nihai sonucunu tahmin edemiyoruz. veya varsa, olası kayıp aralığını tahmin edin.”
OPC soruşturması, şirket ürünlerini tanıtan hedefli reklamlar sunmak amacıyla ayrıntılı konum verilerinin toplandığı, ancak hiçbir zaman bu özel amaç için kullanılmadığı sonucuna vardı. Bunun yerine, Toronto merkezli restoran zinciri, hedeflenen reklam planından vazgeçtikten sonra kullanım eğilimi analizi için toplu ve kimliksizleştirilmiş bilgileri kullandı.
Ancak durum böyle olunca, Kanadalı gizlilik yetkilileri veri toplamanın gerekli olmadığını söyledi. Restoran zinciri, belirtilen amacı için kullanılmayan çok miktarda hassas bilgi topladı ve potansiyel pazarlama faydalarının ötesinde bir gizlilik maliyeti getirdi.
Rapor ayrıca, uygulamanın konum verilerini kullanmak için geçerli bir onay almadığını ve kullanıcılara yalnızca uygulama açıkken veri toplayacağına dair yanıltıcı açıklamalar yaptığını da tespit etti. Aslında, uygulama, ister ön planda ister arka planda olsun, Radar SDK’sı aracılığıyla konum verilerini topladı – ancak kapatıldığında/çıkıldığında değil.
Uygulama 2017’de piyasaya sürüldü ve Temmuz 2020’ye kadar yaklaşık 10 milyon kez indirildi, ancak o ay yalnızca yaklaşık 1,600.000 kişi tarafından aktif olarak kullanıldı. Radar SDK’nın Mayıs 2019’da uygulamaya eklenmesinin ardından uygulama, kesin GPS konum koordinatlarını ve zaman damgaları gibi ilgili verileri (uygulama sürümüne bağlı olarak) kullanıcı sabit kalana kadar her 2,5 veya 6 dakikada bir topladı.
SDK, aşağıdaki gibi sabitlerle kodda referans verilen konum varış ve ayrılış olaylarını (ör. ev, ofis, rakip restoranlar) izledi:
- USER_ENTERED_HOME; USER_EXITED_HOME;
- USER_ENTERED_OFFICE; USER_EXITED_OFFICE;
- USER_STARTED_TRAVELING; USER_STOPPED_TRAVELING; ve
- USER_ENTERED_GEOFENCE; USER_EXITED_GEOFENCE.
Kanada Gizlilik Komiseri Daniel Therrien yaptığı açıklamada, “Tim Hortons, müşterileri hakkında çok büyük miktarda son derece hassas bilgi toplayarak çizgiyi açıkça aştı” dedi. “Her gün birkaç dakikada bir insanların hareketlerini takip etmek açıkça uygunsuz bir gözetleme şekliydi. Bu vaka, Kanadalıların haklarını korumak için güçlü mahremiyet yasalarına duyulan ihtiyacın yanı sıra kötü tasarlanmış teknolojilerin yol açabileceği zararları bir kez daha vurgulamaktadır.”
e-postayla gönderilen bir açıklamada KayıtBir Tim Hortons sözcüsü, şirketin gizlilik komisyonlarının soruşturmalarıyla tam işbirliği yaptığını ve tavsiyelerini uygulamak için çalıştığını söyledi.
Gıda sektörü, raporun toplanan coğrafi konum verilerinin hiçbir zaman hedefli reklamlar için kullanılmadığına ve uygulamasında yeni bir değişiklik yapılmasına gerek olmadığına dikkat çekti. Tim Hortons, Radar SDK’yı Ağustos 2020’de devre dışı bırakarak ve bir ay sonra kütüphane kodunu kaldırarak zaten gerekli değişiklikleri yaptı.
Bir şirket sözcüsü, “Haziran 2020’de, bizimle paylaştıkları veriler hakkında misafirlerle iletişim kurma şeklimizi iyileştirmek için acil adımlar attık ve harici uzmanlarla gizlilik uygulamalarımızı gözden geçirmeye başladık” dedi. “Kısa bir süre sonra, raporda belirtilen coğrafi konum belirleme teknolojisini proaktif olarak Tims uygulamasından kaldırdık.
“Bu coğrafi konum teknolojisinden elde edilen veriler hiçbir zaman bireysel misafirler için kişiselleştirilmiş pazarlama için kullanılmadı. Bu verilerin çok sınırlı kullanımı, işletmemizdeki eğilimleri incelemek için toplu, kimliksizleştirilmiş bir temeldeydi ve sonuçlar hiçbir misafirin kişisel bilgilerini içermiyordu. .
“Gizlilik söz konusu olduğunda en iyi uygulamaları geliştirmeye kendini adamış şirket içi ekibimizi güçlendirdik ve misafirlerimizin uygulamamızı kullanırken verileri hakkında bilinçli kararlar verebilmelerini sağlamaya odaklanmaya devam ediyoruz.”
Bir Radar sözcüsü söyledi Kayıt söz konusu konum verilerinin devam eden davanın bir sonucu olarak tutulduğunu ve şirkete izin verildiğinde silineceğini belirten bir e-posta.
Radar SDK’sını geçerli izin almadan uygulayan başka uygulamalar olup olmadığı sorulduğunda şirket, “Radar müşterilerinin uygun onayı alma sorumluluğu vardır. Müşterilerimizin toplama için uygun onayı almadığı başka bir durumla ilgili bilgimiz yoktur ve herhangi bir durumdan haberdar değiliz. konum verilerinin kullanımı.” ®
Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/06/03/tim_hortons_app_collected_location/