Yüz tanıma takibinden parmak izi veri ihlallerine kadar, yetkisiz biyometrik veri toplamaya karşı nasıl mücadele edeceğinizi öğrenin. Illinois BIPA korumaları, Meta $1.4B Teksas uzlaşması, Clearview AI kararları ve GDPR Madde 9 özel kategori veri hakları.
Yüzünüz, parmak izleriniz, iris desenleriniz, ses iziniz ve hatta DNA'nız benzersiz biyolojik tanımlayıcılardır; şifrelerden veya kredi kartı numaralarından çok daha hassastırlar, çünkü çalınmaları veya kötüye kullanılmaları durumunda değiştirilemezler. Ancak şirketler, bu biyometrik verileri giderek artan bir şekilde minimum denetimle toplamakta, sosyal medya uygulamalarına yüz tanıma özelliğini yerleştirmekte, işyeri zaman saatleri için parmak izi taramaları kullanmakta, bina erişimi için iris tarayıcıları konuşlandırmakta ve internetten milyarlarca fotoğrafı kazıyarak gözetim veritabanları oluşturmaktadırlar—çoğunlukla açık rıza, yeterli güvenlik veya verilerin nasıl kullanılacağı veya paylaşılacağına dair açıklama olmaksızın.
Yetkisiz biyometrik veri toplamanın sonuçları ağırdır. Yüz geometriniz veya parmak izi şablonunuz bir veri ihlalinde çalındığında, suçlular bunu kimlik hırsızlığı için sonsuza dek kullanabilirler; yeni bir yüze veya yeni parmak izlerine sahip olamazsınız. Biyometrik gözetim sistemleri, kamu alanlarında, mağazalarda ve işyerlerinde hareketlerinizin bilginiz dışında yaygın bir şekilde takip edilmesini sağlar. Yüz tanıma sistemlerine gömülü ayrımcı algoritmalar, azınlıkları endişe verici oranlarda yanlış tanımlayarak haksız tutuklamalara yol açmaktadır (2024 itibarıyla ABD'de en az altı belgelenmiş vaka). Şirketler, biyometrik verilerinizi reklamcılara, veri aracılarına ve hatta otoriter hükümetlere satarak kar elde etmektedir.
Illinois, 2008 yılında ülkenin en güçlü biyometrik gizlilik yasası olan Biyometrik Bilgi Gizliliği Yasası'nı (BIPA) çıkararak öncülük etti; bu yasa, yazılı rıza ve açıklama olmaksızın biyometrik veri toplayan şirketlere karşı bireylere özel dava hakkı tanımaktadır. BIPA, ihmali ihlal başına $1,000 ve pervasız/kasıtlı ihlal başına $5,000 yasal tazminat öngörmektedir—yani fiili zarar kanıtı gerekmez. Teksas, Biyometrik Tanımlayıcının Yakalanması veya Kullanılması (CUBI) Yasası (2023 değişiklikleri uygulamayı güçlendirdi) ile onu takip etti. Kaliforniya'nın CCPA'sı, biyometrik verileri artırılmış koruma gerektiren hassas kişisel bilgi olarak sınıflandırmaktadır. Avrupa Birliği'nin GDPR Madde 9'u ise biyometrik verileri açık rıza ve sıkı güvenlik gerektiren "özel kategori" veri olarak ele almaktadır.
Büyük uzlaşmalar bu korumaları doğrulamıştır: Meta, rıza olmaksızın yüz tanıma verilerini topladığı için Teksas'a $1.4 milyar ödedi (2024), bu tek bir eyalet tarafından yapılan en büyük gizlilik uzlaşmasıdır. Meta daha önce Facebook fotoğraf etiketleme üzerine açılan bir Illinois BIPA toplu davasını çözmek için $650 milyon ödemişti. Clearview AI, milyarlarca fotoğrafı kazıdığı için Illinois iddialarını çözmek üzere $50 milyon ödedi. Google, Google Fotoğraflar yüz tanıma için $100 milyon ödedi (Illinois). Amazon Ring, Six Flags, Snapchat, TikTok ve düzinelerce işveren, $500,000 ila $100 milyon arasında değişen BIPA uzlaşmaları ödemiştir. Bireysel BIPA talepleri düzenli olarak kişi başına $5,000-$15,000 getirmektedir. Bu rehber, biyometrik gizlilik ihlallerini nasıl tespit edeceğinizi, haklarınızı nasıl anlayacağınızı ve tazminat için her yolu nasıl takip edeceğinizi göstermektedir.
Illinois BIPA (740 ILCS 14/), ABD'deki en güçlü biyometrik gizlilik yasasıdır. Illinois sakinlerinin biyometrik tanımlayıcılarını (yüz geometrisi, parmak izleri, ses izleri, iris taramaları, retina taramaları, el taramaları, yürüyüş tanıma) toplayan, yakalayan, depolayan veya kullanan herhangi bir özel kuruluşa uygulanır—şirket başka bir yerde kurulu olsa bile. Şirketler şunları yapmalıdır: (1) yazılı bir saklama ve imha politikası geliştirmeli ve yayınlamalı; (2) biyometrik verilerin toplandığına dair yazılı bildirimde bulunmalı; (3) yazılı rıza almalı; (4) biyometrik verileri asla satmamalı, kiralamamalı veya bunlardan kar elde etmemeli; (5) biyometrik verileri korumak için makul özen göstermeli (finansal verilerle aynı standart).
BIPA'nın temel gücü: özel dava hakkı. İdari bir şikayette bulunmaksızın doğrudan Illinois eyalet mahkemesinde dava açabilirsiniz. Tazminatlar: ihmali ihlal başına $1,000, kasıtlı/pervasız ihlal başına $5,000, ayrıca avukatlık ücretleri. Fiili zarar kanıtı gerekmez—ihlalin kendisi bir talep oluşturur. Mahkemeler, her taramanın ayrı bir ihlal olabileceğine karar vermiştir (örn. işveren parmak izinizi 2 yıl boyunca zaman saati için 500 kez taradıysa, potansiyel tazminatlar: $500,000-$2.5M, ancak mahkemeler genellikle daha azına hükmeder). Zamanaşımı süresi: 5 yıl (bazen yazılı izin ihlalleri için 1 yıl—karmaşık).
Common BIPA Violations:
Yaygın BIPA ihlalleri: İşveren yazılı rıza olmaksızın parmak izi taraması talep ediyor. Facebook, rıza olmaksızın yüz tanıma kullanarak sizi fotoğraflarda etiketliyor. Güvenlik sistemi, açıklama olmaksızın bina girişi için yüzünüzü tarıyor. Perakendeci, bildirim olmaksızın müşteri takibi için yüz tanıma kullanıyor. Uygulama, rıza olmaksızın ses izinizi analiz ediyor.
Teksas İş ve Ticaret Kanunu Bölüm 503 (2023'te güçlendirildi), biyometrik tanımlayıcıları (yüz geometrisi, ses izi, retina/iris taraması, parmak izi, el taraması, tuş vuruşu dinamikleri) korur. Şirketler şunları yapmalıdır: (1) bireyleri biyometrik verilerin toplandığı konusunda bilgilendirmeli; (2) rıza almalı (hizmet şartlarında olabilir, ancak açık olmalı); (3) amaç yerine getirildikten sonra verileri makul bir süre içinde imha etmeli; (4) verileri makul özenle korumalıdır. Yasak: biyometrik verileri rıza olmaksızın satamaz, kiralayamaz veya ifşa edemez.
Uygulama: Teksas Başsavcısı, ihtiyati tedbir ve ihlal başına $25,000 için dava açabilir. Özel dava hakkı: bireyler, zarar görmeleri halinde fiili tazminat ve avukatlık ücretleri için dava açabilirler. Illinois BIPA'dan farklı olarak, Teksas CUBI, özel davalar için fiili zarar kanıtı gerektirir (daha zor bir yük), ancak eyalet uygulaması agresif olmuştur—$1.4B Meta uzlaşması Teksas Başsavcısı tarafından CUBI + Teksas DTPA kapsamında açılmıştır. Toplu davalar mümkündür.
Note:
Teksas Başsavcılığı uygulama öncelikleri (2024): Sosyal medya yüz tanıma, rıza olmaksızın çalışan biyometrik takibi, biyometrik verileri ifşa eden veri ihlalleri, biyometrik verilerin üçüncü taraflara satışı.
CCPA (Cal. Civ. Code § 1798.100 et seq.), "biyometrik bilgileri" (kimlik tespiti için kullanılabilecek fizyolojik, biyolojik veya davranışsal özellikler, yüz görüntüleri, iris taramaları, parmak izleri, ses izleri, tuş vuruşu desenleri, yürüyüş dahil) "hassas kişisel bilgi" olarak sınıflandırır. İşletmeler şunları yapmalıdır: (1) biyometrik veri toplamasını gizlilik politikasında açıklamalı; (2) vazgeçme hakkı sunmalı (tüketiciler kullanımı gerekli amaçlarla sınırlayabilir); (3) açık opt-in rızası olmaksızın biyometrik verileri satmamalıdır. İhlaller: Kaliforniya Başsavcısı veya Gizlilik Koruma Ajansı, ihlal başına $2,500 ($7,500 kasıtlı ihlal için) para cezası uygulayabilir. Veri ihlali: Makul güvenlik eksikliği nedeniyle biyometrik veriler ihlal edilirse, tüketiciler olay başına $100-$750 veya fiili tazminat (hangisi daha yüksekse), ayrıca avukatlık ücretleri için dava açabilirler. Illinois BIPA'dan farklı olarak, CCPA, veri ihlali olmaksızın rıza dışı toplama için yasal tazminat sağlamaz.
RCW 19.375, tüketicileri biyometrik tanımlayıcı sistemlere kaydeden işletmelerin şunları yapmasını gerektirir: (1) kaydın amacı ve süresi hakkında bildirimde bulunmalı; (2) rıza almalı; (3) amaç yerine getirildiğinde veya 3 yıl içinde verileri imha etmelidir. İhlaller, Washington Başsavcısı tarafından Tüketici Koruma Yasası kapsamında uygulanır: ihlal başına $7,500'e kadar. Özel dava hakkı: tüketiciler, zarar görmeleri halinde fiili tazminat, ihtiyati tedbir ve avukatlık ücretleri için dava açabilirler. CCPA'dan daha güçlü, ancak Illinois BIPA'dan daha zayıftır (bireysel tazminatlar için zarar kanıtı gerektirir).
GDPR Madde 9, benzersiz kimlik tespiti için kullanılan biyometrik verileri (yüz tanıma, parmak izi eşleştirme, iris taramaları, DNA) "özel kategori" kişisel veri olarak sınıflandırır ve açık rıza (sadece opt-in değil, olumlu, bilgilendirilmiş, özgürce verilmiş rıza) veya başka bir Madde 9 istisnası (örn. yasal dayanağı olan önemli kamu yararı) gerektirir. Veri sorumluları, biyometrik işleme için Veri Koruma Etki Değerlendirmeleri (DPIA'lar) yapmalıdır. Güvenlik gereksinimleri artırılmıştır.
İhlaller: €20 milyona kadar veya küresel yıllık cironun %4'ü (hangisi daha yüksekse). Bireyler, Madde 82 uyarınca maddi ve manevi tazminat için dava açabilirler (AB mahkemeleri, duygusal sıkıntıya neden olan biyometrik GDPR ihlalleri için €2,000-€10,000, veri ihlali veya ayrımcılık varsa daha yüksek tazminatlara hükmetmiştir). Silme hakkı (Madde 17): rıza geçersizse veya veriler artık gerekli değilse biyometrik verilerinizin silinmesini talep edebilirsiniz. Ulusal DPA'lar (Veri Koruma Kurumları) uygular—AB ülkenizdeki DPA'ya şikayette bulunun.
Major GDPR Fines:
Başlıca GDPR biyometrik para cezaları: Clearview AI (yasadışı yüz tanıma veritabanı için birden fazla AB ülkesinde €20M+ para cezası), H&M (çalışan gözetimi için €35M), British Airways (biyometrik pasaport veri ihlali için £20M).
Henüz kapsamlı bir federal biyometrik gizlilik yasası yok, ancak: (1) FTC Yasası Bölüm 5: FTC, şirketleri gizlilik politikası vaatlerine aykırı olarak veya açıklama yapmadan biyometrik veri toplamaları halinde haksız/aldatıcı uygulamalar nedeniyle dava edebilir. Snapchat, TikTok, Facebook FTC şikayetlerini çözüme kavuşturdu. (2) Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA): 13 yaşın altındaki çocuklardan doğrulanabilir ebeveyn rızası olmaksızın biyometrik veri toplanmasını yasaklar. (3) Önerilen federal yasalar: Ulusal Biyometrik Bilgi Gizliliği Yasası (beklemede, Illinois BIPA'dan esinlenilmiştir), Dördüncü Değişiklik Satılık Değildir Yasası (hükümetin biyometrik veri satın almasını kısıtlar). (4) Federal kurumlar: HHS HIPAA, sağlık kuruluşları tarafından toplanan biyometrik verileri kapsar. Havaalanlarındaki TSA yüz tanıma, Gizlilik Yasası'na tabidir—sınırlı çözüm yolları.
Teksas Başsavcısı, Meta'yı (Facebook) Teksas CUBI ve Aldatıcı Ticari Uygulamalar Yasası kapsamında, milyonlarca Teksaslı'nın yüz tanıma verilerini fotoğraf etiketleme yoluyla rıza olmaksızın topladığı için dava etti. Facebook'un yüz tanıma özelliği, yüklenen fotoğraflardaki yüzleri otomatik olarak tarayarak etiket önerileri sunuyor ve yüz geometrisini topluyordu. Uzlaşma: $1.4 milyar (tek bir eyalet tarafından yapılan en büyük gizlilik uzlaşması), 5 yıl içinde ödenecek. Meta, Teksas'ta açık rıza olmaksızın yüz tanıma kullanmayı durdurmayı, daha önce toplanan verileri silmeyi ve izlemeye tabi olmayı kabul etti. Önemi: Eyalet başsavcılarının, federal yasa olmasa bile eyalet biyometrik yasaları kapsamında büyük tazminatlar sağlayabileceğini kanıtladı.
Patel v. Facebook toplu davası, Facebook'un fotoğraf etiketleme yüz tanımasının, 1.6 milyon Illinois kullanıcısından yazılı rıza olmaksızın yüz geometrisini toplayıp depolayarak Illinois BIPA'yı ihlal ettiğini iddia etti. Federal mahkeme, $650M'lık uzlaşmayı onayladı (kişi başına ortalama $397, bazıları kullanım yıllarına bağlı olarak $300-$500 aldı). Gereklilikler: Haziran 2011-Ağustos 2021 tarihleri arasında Facebook hesabı olan ve sizin veya arkadaşlarınızın fotoğraflarda göründüğü bir Illinois sakini olmak. Önemi: Dönemin en büyük BIPA uzlaşması ve en büyük gizlilik toplu davası. Fotoğrafların, arkadaşlarınız tarafından yüklenmiş olsa bile (sizin tarafınızdan değil), otomatik yüz tanımasının BIPA rıza gerekliliklerini tetiklediğini ortaya koydu.
Clearview AI, sosyal medyadan, web sitelerinden ve genel internetten 30 milyar fotoğrafı kazıyarak kolluk kuvvetlerine ve özel şirketlere satılan bir yüz tanıma veritabanı oluşturdu. Illinois sakinleri BIPA kapsamında dava açtı. Uzlaşma (2024): $50M (toplu dava üyelerine Clearview hissesi olarak ödendi—tartışmalı bir yapı), ayrıca ülke çapında ihtiyati tedbir: Clearview'ın ABD'deki özel şirketlere veritabanına erişim satması yasaklandı, biyometrik verileri veritabanında olan kişileri bilgilendirmeli ve vazgeçme hakkı tanımalıdır. Ayrı uzlaşmalar: ACLU uzlaşması Clearview'ın kullanımını kısıtladı. Birden fazla AB ülkesi, GDPR kapsamında Clearview'a €20M+ para cezası verdi. Kaliforniya, Vermont'ta devam eden davalar. Önemi: Kamuya açık fotoğrafların, kamuya açık olarak yayınlanmış olsalar bile, yüz tanıma veritabanı oluşturmak için kazınmasının BIPA'yı ihlal ettiğini ortaya koydu.
Toplu dava, Google Fotoğraflar'ın yüz tanıma gruplama özelliğinin (fotoğrafları kişiye göre düzenlemek için "yüz kümeleme") yazılı onay olmaksızın yüz geometrisini toplayarak ve depolayarak BIPA'yı ihlal ettiğini iddia etti. Uzlaşma: Mayıs 2015-Nisan 2023 tarihleri arasında Google Fotoğraflar'ı kullanan ve fotoğraflarda yer alan Illinois sakinleri için 100 milyon dolar. Ortalama ödeme: kişi başına 150-400 dolar. Google, Illinois'de yüz tanıma öncesinde daha net BIPA açıklamaları sağlamayı ve onay almayı kabul etti. Önemi: Google'a karşı ilk büyük BIPA uzlaşması, bulut fotoğraf hizmetlerinin BIPA'ya tabi olduğunu gösteriyor.
FTC, Amazon'a Ring kapı zili kameraları nedeniyle dava açtı: (1) çalışanlara, özel anlar da dahil olmak üzere müşteri video kayıtlarına sınırsız erişim sağlamak; (2) müşteri videolarında yüz tanımayı rıza olmaksızın yapay zeka eğitimi için kullanmak; (3) bilgisayar korsanlarının kameralara erişmesine yol açan güvenlik açıkları. Uzlaşma: Tüketici tazminatı için 5.8 milyon dolar. Amazon, uygunsuz şekilde toplanan verileri silmeyi, gizlilik önlemleri uygulamayı ve açık rıza olmaksızın müşteri videolarını yapay zeka eğitimi için kullanmayı durdurmayı kabul etti. Önemi: Belirli bir federal biyometrik yasa olmasa bile FTC'nin Biyometrik Gizliliği Bölüm 5 kapsamında uygulayacağını ortaya koydu.
Rosenbach v. Six Flags (Illinois Yüksek Mahkemesi 2019), önemli bir BIPA emsalini belirledi: Six Flags, bir gencin parmak izini sezonluk geçiş kartı için yazılı onay veya açıklama olmaksızın taradı. Illinois Yüksek Mahkemesi karar verdi: BIPA ihlali, rıza olmaksızın toplama anında meydana gelir; fiili zarar kanıtı gerekmez (alt mahkeme kararını bozdu). Sonraki toplu dava 36 milyon dolar karşılığında çözüldü (2013-2018 yılları arasında parmak izleri taranan Illinois sezonluk geçiş kartı sahipleri). Ortalama ödeme: kişi başına 200-400 dolar. Önemi: Somut bir zarar olmasa bile BIPA'nın gücünü ortaya koyan dönüm noktası niteliğinde bir dava.
Toplu dava, Snapchat'in artırılmış gerçeklik lenslerinin/filtrelerinin (köpek kulakları, yüz değiştirme vb.) BIPA onayı olmaksızın yüz geometrisini haritalamak için yüz tanıma kullandığını iddia etti. Uzlaşma: Ocak 2015-Kasım 2022 tarihleri arasında lensleri kullanan Illinois Snapchat kullanıcıları için 35 milyon dolar. Ortalama: kişi başına 58 dolar. Snapchat, Illinois'de BIPA açıklamaları sağlamayı kabul etti. Önemi: Yüz geometrisini toplayan "eğlenceli" AR filtrelerinin BIPA'ya tabi olduğunu ve "ticari eğlence" olarak muaf olmadığını ortaya koydu.
Toplu dava, TikTok'un: (1) rıza olmaksızın yüz tanıma ve sesli parmak izi verilerini topladığını (Illinois BIPA iddiaları); (2) verileri Çin ile paylaştığını; (3) çocukların gizliliğini ihlal ettiğini iddia eden 21 davayı birleştirdi. Uzlaşma: Ekim 2021 itibarıyla ABD'deki TikTok kullanıcıları için 92 milyon dolar (2021). Illinois BIPA davacıları, etkinlik düzeyine bağlı olarak artırılmış ödemeler aldı (167-500 dolar). TikTok, belirli veri toplama uygulamalarını durdurmayı ve daha net gizlilik açıklamaları sağlamayı kabul etti. Önemi: Büyük bir Çinli platforma karşı ilk büyük BIPA uzlaşmalarından biri.
Yüzlerce Illinois işvereni, zaman saatleri için yazılı onay olmaksızın parmak izi taraması talep ettiği için BIPA kapsamında dava edildi: McDonald's franchise'ları (50 milyon dolar uzlaşma), Mondelez/Nabisco (5 milyon dolar), nakliye şirketleri, depolar, sağlık tesisleri. Çoğu, etkilenen çalışan başına 500-5.000 dolar karşılığında uzlaşıyor. Önemi: İşyeri biyometrik sistemlerinin BIPA'ya uyması gerektiğini ortaya koydu; işveren-çalışan ilişkisi muafiyet yaratmaz. Pratik etkisi: Çoğu büyük Illinois işvereni artık biyometrik zaman saatleri yerine kart kullanıyor.
Biyometrik gizlilik davaları şunları kanıtlamayı gerektirir: (1) şirketin biyometrik verilerinizi topladığı/depoladığı, (2) uygun onay/açıklama olmaksızın, (3) yürürlükteki yasayı ihlal ederek. İşte kanıtları nasıl toplayacağınız:
Hangi biyometrik verilerin toplandığını belgeleyin: Yüz tanıma (güvenlik kameraları, uygulama filtreleri, fotoğraf etiketleme), parmak izi taraması (zaman saatleri, bina erişimi, telefon kilidi açma), iris/retina taraması (havaalanı güvenliği, yüksek güvenlikli erişim), sesli parmak izi (sesli asistanlar, çağrı merkezleri), yürüyüş tanıma (gözetim sistemleri). Kanıt: Cihazların/işaretlerin fotoğraflarını çekin, biyometrik erişimi gösteren uygulama izinlerinin ekran görüntülerini alın, yüz tanıma veya biyometrik verilerden bahseden gizlilik politikalarını inceleyin.
Illinois BIPA iddiaları için, şirketin şunları SAĞLAMADIĞINI göstermelisiniz: (1) biyometrik verilerin toplandığına dair yazılı açıklama, (2) depolamanın amacı ve süresine dair yazılı açıklama, (3) yazılı onay (biyometrik toplamayı kabul eden imza veya onay kutusu). Kanıt: Hiçbir zaman biyometrik onay formu imzalamadığınızı gösterin. Onay, genel hizmet şartları veya gizlilik politikasında belirli bir biyometrik bölüm olmaksızın "gömülü" ise, bu genellikle BIPA'nın "yazılı açıklama ve onay" gerekliliğini KARŞILAMAZ (mahkemeler, BIPA'nın genel gizlilik politikası dili değil, ayrı, belirli bir açıklama gerektirdiğine karar vermiştir). İşveren, parmak izi zaman saatini eğitim veya onay formları olmaksızın uyguladıysa, bu güçlü bir kanıttır. İşe alım evraklarını kontrol edin—biyometrik onay yoksa, bir iddianız var demektir.
Illinois BIPA: Illinois sakini veya Illinois tesisinde çalışan olmalısınız. Teksas CUBI: Teksas sakini. CCPA: Kaliforniya sakini. GDPR: AB sakini veya verileriniz AB'deki bir veri sorumlusu tarafından işlendi. Kanıt: İkametgahınızı kanıtlayın (fatura, ehliyet, Illinois'deki işyerini gösteren istihdam kayıtları). Illinois BIPA, şirket başka bir yerde olsa bile geçerlidir—Illinois'de yaşıyor/çalışıyorsanız ve biyometrik verilerinizi topladılarsa, BIPA geçerlidir.
Şirketin biyometrik verileri gerçekten topladığını/depoladığını gösterin: Adınızla birlikte Facebook fotoğraf etiketleme önerilerinin ekran görüntüsü. Parmak izi zaman saati giriş kayıtları (işverenden veri erişim hakları kapsamında talep edin). Yüz tanıma izni isteyen uygulama. Gözetim kamerası görüntüleri (GDPR Madde 15 / CCPA erişim hakkı kapsamında talep edin). Biyometrik veri ihlali bildirimi (şirket size ihlali bildirdiyse). Uzman tanıklığı (uygulamanın açıklanmasa bile yüz tanıma kullandığını gösteren adli analiz).
Illinois BIPA: Zarar kanıtı GEREKMEZ—ihlalin kendisi bir iddia oluşturur. Teksas CUBI özel davası: Fiili zararı kanıtlamalıdır (duygusal sıkıntı, ihlali gidermek için harcanan zaman/gider, kimlik hırsızlığı riski). CCPA: Veri ihlalini veya fiili zararı kanıtlamalıdır. GDPR: Finansal zarar olmaksızın "maddi olmayan zarar" (duygusal sıkıntı, kaygı) için tazminat alabilir. Zararı belgeleyin: İhlalle ilgili kaygı/terapi için tıbbi kayıtlar. Sorunu gidermek için harcanan zaman (saat × makul saatlik ücret). Biyometrik veri ihlal edilirse kimlik hırsızlığı girişimlerinin kanıtı. Taciz riski oluşursa taciz edici iletişimin ekran görüntüleri.
Daha yüksek BIPA tazminatları için (kasıtlı 5.000 dolar, ihmalkar 1.000 dolar): Şirketin BIPA'yı bildiğini gösterin. Kanıt: Şirketin Illinois'de çalışanları/müşterileri var (BIPA'yı bilmeli). Şirkete veya sektöre karşı önceki BIPA davaları. Şirket sözleşmelerindeki BIPA uyum maddeleri. BIPA'yı tartışan dahili e-postalar (dava sırasında ortaya çıkarılabilir). Şirket bilgilendirildikten sonra BIPA'yı görmezden geldiyse, bu pervasız/kasıtlıdır.
Kontrol edin: (1) Şirket yüz tanıma, parmak izi, iris taraması, sesli parmak izi veya diğer biyometrik verilerinizi topladı mı? (2) Korunan bir yargı alanında mısınız (Illinois, Teksas, Kaliforniya, AB vb.)? (3) Uygun yazılı onay verdiniz mi (BIPA için bu, genel şartlar değil, ayrı açıklama ve onay anlamına gelir)? (4) Şirket gerekli prosedürleri (saklama politikası, imha zaman çizelgesi, güvenlik önlemleri) takip etti mi? Şirket Illinois'de yazılı BIPA onayı olmaksızın biyometrik veri topladıysa, neredeyse kesinlikle bir iddianız var demektir—derhal bir avukata danışın (5 yıllık zaman aşımı süresi var, ancak gecikmeyin).
Kanıt toplamak için verilerinizi talep edin: Illinois: BIPA Bölüm 15(c)'ye atıfta bulunarak yazılı bir talep göndererek şunları isteyin: (1) toplanan tüm biyometrik veriler, (2) yazılı saklama ve imha politikası, (3) biyometrik verilerin paylaşıldığı üçüncü tarafların listesi, (4) toplama ve depolama tarihleri. Kaliforniya CCPA: Biyometrik veriler, kaynaklar, üçüncü taraf alıcılar dahil olmak üzere "belirli kişisel bilgi parçalarını" talep edin. AB GDPR Madde 15: Tüm biyometrik verileri, işleme amaçlarını, alıcıları, saklama süresini, otomatik karar verme varlığını talep edin. Şirketler 30-45 gün içinde yanıt vermelidir. Veri sağlamayı reddetmek, ihlalin ek bir kanıtıdır.
Bireysel dava açmadan önce, durumunuz için toplu dava olup olmadığını kontrol edin: "[Şirket Adı] BIPA toplu dava" veya "[Şirket Adı] biyometrik dava" araması yapın. classaction.org, topclassactions.com, ilbipalitigation.com adreslerini kontrol edin. Illinois BIPA davaları: İşverenlere (üretim, sağlık, perakende), teknoloji şirketlerine (yüz tanıma özellikli uygulamalar), ev sahiplerine (bina erişim sistemleri) karşı birçok dava devam ediyor. Toplu dava varsa ve nitelikliyseniz, katılmak basittir (uzlaşma onaylandığında talep formu doldurun). Toplu dava yoksa ancak birçok kişi etkilenmişse, avukat toplu dava açabilir (uzlaşma için daha fazla kaldıraç).
Şu alanlarda uzmanlaşmış bir avukat bulun: BIPA davaları (Illinois), gizlilik hukuku, tüketiciyi koruma, iş hukuku (işyeri biyometrik iddiaları için). Çoğu BIPA avukatı başarı ücretiyle çalışır (tahsilatın %33-40'ı, peşin ücret yok) çünkü: BIPA, davayı kazanan davacıların avukatlık ücretlerini davalıdan tahsil etmesine izin verir. Yasal tazminatlar (ihlâl başına 1.000-5.000 dolar), zarar kanıtı olmaksızın bile davaları ekonomik olarak uygulanabilir kılar. İlk danışmanlık genellikle ücretsizdir. Avukat şunları değerlendirecektir: iddianın gücü, davalının varlıkları (hükümden kaçınan küçük bir işletmeye dava açmanın anlamı yok), bireysel mi yoksa toplu dava mı açılacağı, potansiyel uzlaşma değeri.
Illinois BIPA: Doğrudan Illinois eyalet mahkemesinde dava açın (idari başvuru gerekmez). Yargı yeri: İhlalin meydana geldiği veya davalının iş yaptığı ilçe. Teksas CUBI: Teksas eyalet mahkemesinde dava açın; tazminat için fiili zararı göstermeniz gerekebilir. Kaliforniya/diğer eyaletler: İlgili gizlilik yasası, ortak hukuk (gizliliğin ihlali, ihmal) kapsamında dava açın veya Başsavcı uygulamasını bekleyin. Birçok dava duruşmadan önce çözülür: İşverenler, dava masraflarından ve emsalden kaçınmak için BIPA iddialarını genellikle çalışan başına 2.000-10.000 dolar karşılığında çözerler. Teknoloji şirketleri, toplu dava sertifikasyonu muhtemel ise erken uzlaşabilir. Talep mektupları (avukattan), ihlal açıksa bazen hızlı bir uzlaşmayla sonuçlanır.
Keşif: Avukatınız şirket kayıtlarını talep edecektir: biyometrik veri saklama politikaları, BT sistemleri belgeleri, onay formları (veya eksikliği), biyometrik verilerinize kimlerin eriştiğine dair kayıtlar, satıcılarla iletişimler, önceki davalar. Uzman tanıklar: Biyometrik sistemlerin adli analizi, güvenlik analizi (veri ihlali varsa), zarar hesaplaması. Toplu dava sertifikasyonu (toplu dava varsa): Avukat, ortaklığı (tüm sınıf üyelerinin aynı iddiaya sahip olması), yeterliliği (temsilci davacıların tipik olması), sayısal yeterliliği (yeterli sayıda sınıf üyesi) kanıtlamalıdır. Duruşma veya tahkim: Dava çözülmezse, duruşma (jüri veya hakim). BIPA davaları, şirket kanıtların güçlü olduğunu anladığında genellikle keşif sırasında çözülür. Temyizler: BIPA yasası hala gelişmektedir—bazı davalar hukuki yorum için Illinois Yüksek Mahkemesi'ne gider.
Şirkete baskı yapmak ve başkalarını korumak için düzenleyici şikayetlerde de bulunabilirsiniz: Illinois Başsavcısı: BIPA ihlali iddiasıyla şikayette bulunun (Başsavcı soruşturabilir veya davaya katılabilir). Kaliforniya Gizlilik Koruma Ajansı: CCPA ihlali iddiasıyla şikayette bulunun (para cezalarıyla sonuçlanabilir). FTC: Şirket aldatıcı gizlilik vaatleri verdiyse veya COPPA'yı (çocuklar) ihlal ettiyse reportfraud.ftc.gov adresinden şikayette bulunun. AB: GDPR Madde 9 ihlali iddiasıyla ulusal Veri Koruma Kurumu'na (örn. BK'da ICO, Fransa'da CNIL) şikayette bulunun. Düzenleyici eylemler, özel davalarla paralel olarak yürütülebilir ve uzlaşma baskısını artırabilir.
Biyometrik verilerinizi korumak ve ihlaller için tazminat talep etmek için bu adımları izleyin