Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) yani GDPR Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmeliktir. GDPR öncelikle bireylere kendi kişisel bilgilerini kontrol altına almalarını ve AB içerisindeki şirketlerin bu yönetmeliklerle uyumlu hale getirilmesini amaçlamaktadır.

Kişisel verileri işleten tarafların veri koruma ilkelerini uygulamak için gerekli teknik ve kurumsal önlemleri alması gerekmektedir. Kişisel verilerin ele alındığı iş süreçleri, veri koruma ilkeleri göz önünde bulundurularak tasarlanıp yapılmalı ve verileri korumak için önlemler alınmalıdır. Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahiptir.

Kişisel veri işletmecileri, her türlü veri toplama işlemlerinde verinin işlenme amacını, yasal dayanaklarını, verilerin ne kadar süreyle sakladığını ve herhangi bir üçüncü tarafla veya Avrupa Ekonomik Alanı dışında bir yerde paylaşılıp paylaşılmadığını açıkça belirtmesi gerekmektedir. Kişisel veri sahipleri, istediği zaman kendisine ait depolanan verilerin bir kopyasını talep etme ve bu verileri belirli koşullar altında silme hakkına sahiptir. İşletmeler, kullanıcı gizliliğine olumsuz etkide bulunan herhangi bir veri ihlalinde (örneğin bilgilerin çalınması gibi) kullanıcıları 72 saat içerisinde bilgilendirmelidir.

Genel Veri Koruma Tüzüğü GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar beklemektedir.

2021 yılı sonuna gelirken 2021 yılı GDPR cezalarına baktığımızda;

Amazon Europe
En büyük idari para cezasının 746 Euro ile Amazon Europe’a verildiği görülmektedir.

Genel veri işleme ilkelerine uyulmaması nedeniyle verilen bu ceza Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD) tarafından verilmiştir.

Lüksemburg Ulusal Veri Koruma Komisyonu (CNPD), Amazon Avrupa’ya müşteri verilerini hedefli reklamcılık amacıyla kullanma şekliyle ilgili olarak rekor kıran 746 milyon Euro para cezası verdi.

2018’de Fransız gizlilik hakları grubu La Quadrature du Net bir şikayette bulundu.
Apple, Facebook Google ve LinkedIn’i de hedef alan ve 10.000’den fazla müşteri adına yapılan şikayet. Amazon’un, hangi reklamları ve bilgileri alacaklarını seçerek müşterileri ticari yollarla manipüle ettiğini iddia etti.

CNPD, Amazon’un iş uygulamalarını değiştirmeyi taahhüt etmesi gerektiğine karar verdi.

WhatsApp
İrlanda’nın veri otoritesi, gizlilik standartlarını ihlal ettiği için WhatsApp’a 193 milyon sterlin para cezası verdi. Bu, İrlanda Veri Koruma Komisyonu’nun (DPC) şimdiye kadar uyguladığı en yüksek ve AB GDPR standartları kapsamında ikinci en yüksek cezadır.

2018 yılında yapılan bir araştırma, WhatsApp’ın verilerini nasıl topladığı, yönettiği ve işlediği konusunda müşterilerine karşı yeterince şeffaf olmadığını ortaya koydu. “Uzun ve kapsamlı bir soruşturmanın” ardından İrlanda DPC, kararını GDPR yasası uyarınca diğer düzenleyicilere ilettiğini ve Almanya, Fransa ve İtalya dahil sekiz ülkeden şikayet aldığını söyledi.

Notebooksbilliger.de
Aşağı Saksonya veri koruma otoritesi (LfD Niedersachsen), çalışanlarını herhangi bir yasal dayanak olmaksızın iki yılı aşkın bir süredir herhangi bir yasal dayanak olmaksızın görüntülü izlemesi nedeniyle Notebooksbilliger.de’ye 10,4 milyon € para cezası verdi.

LfD Niedersachsen, kameraların satış odalarını, depoları ve ortak alanları kaydettiğini belirtti. Notebooksbilliger.de, video kamera kurulumunun cezai suçları önlemeyi, soruşturmayı ve depolardaki mal akışını izlemeyi amaçladığını iddia etti.

Belirli kişilere karşı haklı bir şüphe varsa, ceza gerektiren suçları ortaya çıkarmak için video gözetiminin yasal olduğunu söyleyen LfD Niedersachsen, sınırlı bir süre için kameralarla izlenmesine izin verilebilir dedi ancak, notebooksbilliger.de’de video gözetiminin ne belirli bir süre ne de belirli çalışanlarla sınırlı olmadığını keşfetti.

Çoğu durumda şirket, kayıtları gerekenden çok daha uzun olan 60 gün boyunca sakladı. Buna ek olarak, LfD Niedersachsen, notebooksbilliger.de müşterilerinin de video gözetiminden etkilendiğini, çünkü bazı kameraların satış alanında bulunduğunu ve notebooksbilliger.de tarafından video gözetiminin bu durumlarda gerekli olmasa da yapıldığını belirtti.

Verilen bu ceza GDPR’ın 5.ve 6. Maddelerini ihlal etmesi nedeniyle verilmiştir.

Vodafone España
2021 yılının mart ayında İspanyol Veri Koruma Otoritesi, AEPD, cep telefonu şebeke operatörü Vodafone España’ya 8,15 milyon € para cezası uyguladı.

AEPD’ye göre, Vodafone España çeşitli pazarlama kampanyaları yürütürken ve uyumlu olmayan veri aktarımları yaparken birden çok veri koruma kuralına aykırı davrandı.

AEPD araştırmaları sonucunda Vodafone España’nın distribütörleri, işbirlikçileri ve acenteleri ile birlikte pazarlama kampanyalarından çıkmayı tercih eden müşterilerle e-posta, telefon ve metin yoluyla iletişim kurması nedeniyle GDPR’ye uymadığını tespit etti.

Vodafone España savunmasında, verilerinin yasallığını doğrulamak ve pazarlama iletişimlerini devre dışı bırakan kullanıcıları filtrelemek için yeni bir yönlendirme sisteminin uygulanmasını denediklerini iddia etti.

Ancak, AEPD, sistemin, özellikle bunları almayı seçenlere pazarlama mesajları göndermeye devam ettiği sonucuna varmış ve tüm tarafların kullanması için bir filtreleme sistemi olması gerektiğini kaydetmiştir.

AEPD, işlemciler tarafından etkin teknik ve organizasyonel önlemleri uyguladıklarından emin olmak için hiçbir garanti verilmediğini ve Vodafone’un böyle bir gereklilik getirmediğini tespit etti.

Vodafone ayrıca kişisel müşteri verilerini Avrupa Ekonomik Alanı dışında bulunan Peru’daki bir telekom tedarikçisine aktarmıştı.

Caixabank SA
Ocak 2021’in ortalarında AEPD, GDPR’nin 6., 13. ve 14. maddelerini ihlal ettiği için Caixabank SA’ya 6 milyon € para cezası verdi.

İspanyol veri koruma makamı, soruşturmalarında Caixabank’ın müşterilerine ait kişisel verileri işlemek için yasal dayanağı yeterince haklı göstermediğini ve bankanın müşterilerinin verilerini işlemeden önce müşterilerinden geçerli, açık ve bilgilendirilmiş onay almaya uymadığını tespit etti.

AEPD ayrıca, Caixabank tarafından çeşitli belge ve kanallarda sağlanan bilgilerin tek tip olmadığını ve gizlilik politikasında kullanılan terminolojinin kesin olmadığını tespit etmişti.

Ayrıca banka tarafından oluşturulan müşteri kullanıcı profilleri, bunların nasıl kullanıldığı, müşterilerin bu profiller üzerinde ne gibi hakları olduğu ve bunlara ilişkin veri saklama sürelerinin ne olduğu konusunda da yetersiz bilgi bulunuyordu.

Fastweb SpA 
Nisan 2021’de İtalyan veri koruma kurumu Garante, İtalya’da sabit hat, geniş bant internet ve IPTV (internet protokolü televizyonu) hizmetleri sağlayan bir telekomünikasyon şirketi olan Fastweb SpA’ya 4,5 milyon € para cezası vermişti.
Tüketiciler tarafından yapılan yüzlerce şikayet ve ihbarın ardından Garante, Fastweb’in milyonlarca kullanıcısının kişisel verilerini onların onayını almadan telepazarlama amacıyla işlediğini tespit eden karmaşık bir soruşturma yürütmüştü.
Garante ayrıca Fastweb’in telefon ve internet hizmetlerini tanıtmak için kullanıcılarıyla iletişim kurarak İletişim Operatörleri Kaydı’na (‘RCO’) kayıtlı olmayan hayali telefon numaralarını kullandığını tespit etmişti.
Fastweb’in müşteri veri yönetim sistemlerinin güvenlik önlemlerini de yetersiz bulmuştu.

Iren Mercato
İtalyan veri koruma yetkilisi Garante, enerji sektöründe faaliyet gösteren bir şirket olan Iren Mercato SpA’yı, geçerli bir izin olmaksızın tele pazarlama yaptığı için 3 milyon € para cezasına çarptırdı.
Çeşitli şikayet ve raporların ardından, Iren’in telefonla pazarlama için işlediği kişisel verilerin, üçüncü taraf bir kaynak olan Nethex Digital Merketing’den dolaylı olarak elde edildiği tespit edildi.
Nethex, verileri bağımsız bir veri denetleyicisi olarak diğer iki şirketten almıştı. Bu iki şirket, hem kendileri hem de Nethex de dahil olmak üzere üçüncü şahıslar tarafından gerçekleştirilen telepazarlama faaliyetleri için müşterilerinden gerekli izinleri almıştı. Daha da önemlisi, bu onay, müşteri verilerinin Nethex’ten Iren’e transferini kapsamamıştır.
Garante, Iren’in tüm telefonla pazarlama faaliyetlerinin ücretsiz, özel ve bilgilendirilmiş rızaya dayandığını doğrulamadığını ve dolayısıyla GDPR’nin yasallık, şeffaflık ve hesap verebilirlik ilkelerini ihlal ettiğini tespit etti.

Foodinho
İtalyan veri koruma yetkilisi Garante, çalışanlarıyla bağlantılı performans algoritmaları kullandığı için gıda dağıtım markası Foodinho’ya 2,6 milyon avro para cezası verdi.

Varsayılan olarak ve tasarım gereği şeffaflık, güvenlik, gizlilik ilkelerini ihlal ettikleri ve ayrımcı otomatik karar vermeye karşı çalışan hak ve özgürlüklerini korumak için alınması gereken önlemleri uygulamadıkları tespit edildi.

Foodinho, profesyonel performanslarının, davranışlarının, konumlarının ve hareketlerinin çeşitli yönlerini analiz ederek veya tahmin ederek, yalnızca otomatik karar vermeye dayalı olarak sürücüleri hakkında kararlar verdi. Bu, bazı sürücüleri önemli ölçüde etkiledi.

Şirket, sürücülerinin haklarını kullanmalarına veya bu hakları kendilerine bildirmelerine yönelik herhangi bir önlem almamıştır. İş tahsis sistemi açısından doğruluğu kontrol etmek veya ayrımcılık riskini azaltmak için şirket tarafından hiçbir sistem benimsenmemiştir.

Karar, şirket çalışanlarının algoritmik yönetimiyle ilgili ilk karardı.

Mercadona
İspanyol veri koruma yetkilisi AEPD, Mercadona süpermarket zincirine yüz tanımanın yasa dışı kullanımı nedeniyle 2,5 milyon avro para cezası verdi.
Mercadona, İspanya’daki 48 mağazasında cezai hükümlü veya uzaklaştırma emri olan kişileri tespit etmek için bir yüz tanıma sistemi kullanıyordu. Sistem ayrıca çocuklar ve çalışanlar da dahil olmak üzere süpermarketlerine giren tüm müşterilerin yüz görüntülerini de yakaladı.
AEPD, biyometrik verilerin yüz tanıma sistemi aracılığıyla işlenmesini yasa dışı buldu, çünkü AB GDPR’nin 9. Maddesi kapsamındaki yasal gerekçelerin hiçbiri Mercadona tarafından kullanılamıyor. Ayrıca, yüz tanıma işleminin tasarım gereği gereklilik, orantılılık ve veri minimizasyonu, şeffaflık ve gizlilik ilkelerini karşılamadığı tespit edildi
AEPD ,Mercadona tarafından yürütülen veri koruma etki değerlendirmesi ve veri işlemenin Mercadona çalışanlarına yönelik riskleri hesaba katmadığı için yetersiz ve eksik olduğu sonucuna vardı.

Deliveroo Italy
İtalyan veri koruma yetkilisi Garante, Foodinho’ya benzer bir durumda olan Deliveroo İtalya’ya çalışanlarıyla bağlantılı algoritmaları kullanması nedeniyle 2,5 milyon avro para cezası verdi.
Deliveroo, GDPR’nin 5. Maddesi kapsamında depolama sınırlaması, veri minimizasyonu, şeffaflık ve yasallık ilkelerini ihlal ederek sürücülerinin orantısız miktarda kişisel verilerini topladı.
Şirket, bu verileri, sürücünün performansının otomatik olarak değerlendirilmesi ve iş ataması için kullandı. Şirketin, hem siparişlerin atanması hem de iş vardiyalarının rezervasyonu için sürücülerinin yönetimi için kullanılan algoritmalar konusunda yeterince şeffaf olmadığı sonucuna varıldı.
Garante, Deliveroo’ya bir dizi düzeltici önlem uyguladı. Bunlar, şeffaflık gereksinimlerine uyumu ve algoritmik sistemlerinden elde edilen sonuçların doğruluğunu ve doğruluğunu periyodik olarak doğrulamak için uygun önlemleri uygulamayı içeriyordu.
2021 yılının GDPR kurallarına göre en çok ceza alan ilk 10 şirketinin yanında başka sektörlerden şirketler de var. Verilen cezalardan enerji sektöründen, finans sektörüne, gıda dağıtım girişimlerinden süpermarket zincirlerine kadar birçok kurum ve kuruluş etkilenmiştir. Veri koruma otoriteleri kurum ve kuruluşları veri ihlali yapılmaması için idari ve teknik önlem almaları konusunda uyarmaktadır.

GDPR cezalarından ne öğrenmemiz gerekiyor ?
1-) Hangi kişisel verileri işlediğiniz ve bunu yapmak için yasal dayanağınızın ne olduğu hakkında her zaman bireylere (sözleşmelerde ve gizlilik bildirimlerinde) uygun açıklamalar yapmalısınız.
2-) Kişisel bilgileri asla haksız, zararlı, beklenmedik veya yanıltıcı şekillerde kullanmayın.
3-) Kişisel bilgilerin, toplanma amacı artık geçerli olmadığında derhal silindiğinden veya güvenli bir şekilde imha edildiğinden emin olun.
4-)Kişisel verileri güvende tutmak için prosedürler oluşturun ve kuralları uygulayın – kişisel verilerinin kaybolması veya çalınması durumunda bireylerin rahatsızlığını, endişelerini veya sıkıntılarını hafife almayın.
5-) Şirketiniz genelinde uygun yönetişim ve hesap verebilirliği sağlayabilecek, genel sorumluluğu olan bir Veri Koruma Görevlisi (DPO) atayın.

Kaynakça:
skillcast.com
skillcast.com

< Önceki Sonraki >