GDPR'nin tanıtılmasından bu yana ne oldu?

Yayınlanan: 2019-03-21

Mayıs 2018 25 th günü, neredeyse on ay önce, Avrupa Genel Veri Koruma Yönetmeliği yürürlüğe girmiştir. Girişin neden olduğu muazzam yutturmacadan sonra, yeni düzenlemenin herhangi bir etkisi olup olmadığını merak edebilirsiniz. Aslında çok şey oldu, cezalar, uyarılar verildi, çok davalar açıldı.

Size veri koruma sorunlarının nerede ihlal edildiğine dair bir genel bakış sunmak için, GDPR'ye dayalı olarak para cezaları, ihtarlar ve bekleyen davalar topladık.

GDPR temelinde uygulanan para cezaları

Durum 1: Kullanıcı verilerinin çalınması – Almanya

Sohbet platformu “Knuddels” saldırıya uğradı ve bu bilgiler şifrelenmeden saklandığı için şifreler, takma adlar ve e-posta adresleri çalındı. Verilerin şifrelenmemiş olarak saklanması, kişisel verilerin yetersiz korunmasıdır. Bu, GDPR'nin gerektirdiği varsayılan gizlilik ilkesini ve tasarım gereği gizlilik ilkesini ihlal eder.

Bu durumda uygulanan para cezası 20.000 Euro'dur.
Kaynak: Kullanıcı verilerinin çalınması – Almanya (Almanca)

Durum 2: Sağlık verilerinin yayınlanması – Almanya

Muhtemelen kasıtsız bir hata nedeniyle kişisel sağlık verileri çevrimiçi olarak erişilebilir hale geldi. (Bu davayla ilgili daha fazla ayrıntı açıklanmadı.) Bu davada da, yetersiz koruyucu önlemler alındığı için varsayılan olarak gizlilik ve tasarım yoluyla gizlilik ilkesi ihlal edildi.

Buradaki para cezası 80.000 avroya ulaştı.
Kaynak: Sağlık verilerinin yayınlanması – Almanca ( Almanca )

Durum 3: Google'ın eksik/hatalı kullanıcı onayı – Fransa

Bugüne kadarki en yüksek ceza Google'a verildi. Bu dava, GDPR'nin yürürlüğe girdiği gün açılmıştır. Bu davada para cezası, bilgilendirme ve şeffaflık sağlama yükümlülüğünün ihlaline ve kişiselleştirilmiş reklam kullanmanın yasal dayanağının olmamasına dayanıyordu.

Bu durumda, uygulanan para cezası 50.000.000 Euro'dur.
Quelle: Google'ın kullanıcı onayı eksikliği
CNIL'in Resmi Tebliği (Fransız Veri Koruma Kurumu)

GDPR'nin yürürlüğe girmesinden bu yana Almanya'da toplamda 15.000 ila 100.000 Euro arasında değişen 41 para cezası uygulandı . Para cezaları bir dizi faktör tarafından haklı çıkarıldı:

  • Bir otel tarafından, bir korsan saldırısı durumunda rezervasyon sisteminden kredi kartı veya diğer müşteri verilerinin ifşa edilmiş olma olasılığını dışlayamayan yetersiz teknik ve organizasyonel önlemler alındı,
  • Sağlık verilerinin yetersiz iç kontrol mekanizmaları nedeniyle internette yayınlanması ,
  • insan hatası: bir hastane tarafından sağlık verilerinin yanlış hastaya açıklanması,
  • Bremen Eyaleti itfaiyesine yapılan tüm giden ve gelen çağrıların kaydı ,
  • internet bankacılığı kullanan yetkisiz kişilere hesap özetlerinin açıklanması ,
  • kabul edilemez reklam e-postaları ,
  • bir web mağazasına yapılan bir bilgisayar korsanı saldırısı sırasında müşteri verilerinin yetkisiz kopyalanması ,
  • yetkisiz Dashcam kullanımı ,
  • açık bir e-posta dağıtım listesi ,
  • müşterilerin ve çalışanların yetkisiz video gözetimi .

Avrupa'da GDPR'nin yürürlüğe girmesinden bu yana toplam 91 para cezası uygulandı .

GDPR'nin yürürlüğe girmesinden bu yana uyarılar ve kararlar

Durum 1: Şifresiz web sitesi

Würzburg bölge mahkemesi, 250.000 Euro para cezası tehdidi altında bir avukatın web sitesini şifreleme olmadan ve yeterli veri koruma beyanı olmadan kullanmasını yasakladı.
Kaynak: Şifresiz web sitesi (Almanca)

2. Durum: Facebook Özel Hedef Kitlesini Kullanma

Bavyera Eyaleti Veri Koruma Ofisi, bir çevrimiçi mağazanın "Facebook Özel Hedef Kitlesini" kullanmasını yasakladı. Karar “Verwaltungsgericht” ve “Verwaltungsgerichtshof” tarafından onaylandı. Burada belirtilen sebep, kişisel verilerin ziyaretçilerin izni olmadan kullanılmasıdır.

Kaynak: Facebook Özel Hedef Kitlesinin Kullanımı (Almanca)

GDPR nedeniyle devam eden davalar

  • Instagram (Belçika): Sebep: Yetersiz bilgi ve zorunlu, eksik veya yetersiz rıza.
  • WhatsApp (Hamburg): Sebep: Yetersiz bilgi ve zorunlu, eksik veya yetersiz rıza.
  • Facebook (Avusturya): Sebep: Yetersiz bilgi ve zorunlu, eksik veya yetersiz rıza.
  • Avusturya: Avusturya Bankası, bir müşterinin o müşteri için saklanan kişisel verilerini almak için 30 EUR ücret alır. Mahkeme davacı lehinde karar vermiş, bunun üzerine banka kararı daha yüksek bir mahkeme olan Federal İdare Mahkemesi'ne temyiz etmiştir. Mahkemenin buradaki kararının nedeni, saklanan kişisel verilerin ücretsiz olarak ifşa edilmesi hakkının verilmemesiydi.
  • Avrupa Adalet Divanı: ABD yasalarına göre ABD'ye yapılan aktarımlar NSA tarafından engellenebileceğinden ABD-AB Gizlilik Kalkanı'nın (örnek Facebook) kullanımına karşı dava.
  • İngiltere ve İrlanda: Google ve IAB , reklamlarda Gerçek Zamanlı Teklif Verme (RTB) nedeniyle dava edildi. Davacıya göre, RTB sistemleri her gün yüz milyarlarca kişisel veri noktasını kullanıcının rızası olmadan diğer sistemlerle paylaşıyor. “İstismar, ensest veya HIV durumu” gibi hassas veriler bile paylaşılıyor. Davacıya göre, IAB, sisteminin GDPR uyumlu olmadığını önceden biliyordu. Google ise kullanıcı rızasını almak için reklamları görüntüleyen web sitelerine yükümlülüğünü devretmeye çalışmaktadır.

Kaynaklar:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

GDPR yürürlüğe girdiğinden beri , Avrupa veri koruma yetkililerine 59.000'den fazla veri sızıntısı bildirildi . En fazla veri sızıntısı rapor edilen ülkeler 15.400 veri sızıntısı ile Hollanda, 12.600 ile Almanya ve 10.600 ile Büyük Britanya. 35 raporla Kıbrıs, 25 raporla İzlanda ve 15 raporla Lihtenştayn en az veri sızıntısı olan ülkeler.

Bavyera Eyaleti Veri Koruma Denetleme Ofisi (BayLDA), 40 yüksek erişimli şirket web sitelerinin kullanıcı izni ve dokümantasyon açısından GDPR ile uyumlu olup olmadığını kontrol etti . 40 şirket web sitesinin hiçbiri, kullanıcı onayı ve doğru kullanıcı bilgisi alma sürecini doğru bir şekilde uygulamadı. Burada da dava ve ihtar tehdidi var.

Gördüğünüz gibi, son on ayda veri koruma alanında çok şey oldu. Yeni veri koruma yönetmeliği, kullanıcıların kişisel verilerini korumaları için önemli bir yasal dayanak sağlıyor. Bu nedenle şirketlerden yeni veri koruma gerekliliklerine uymaları istenmekte ve tavsiye edilmektedir.

GDPR ve yeni gereksinimlerin AB vatandaşlarına hizmet ve ürün sağlayan İsviçre şirketleri için de geçerli olduğunu lütfen unutmayın.