Veri güvenliği yasasının hayal kırıklığı: GDPR cezaları ne kadar işe yarıyor?

Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR), yürürlüğe girdiğinde Beyonce’tan daha popülerdi. O zamandan beri, veri yasası etrafında dönen heyecan azaldı, ancak hala insanları heyecanlandıran bir şey var: para cezaları. Wired’in haberine göre, yasa gereği, Avrupa genelindeki veri koruma düzenleyicilerinin GDPR’ye aykırı faaliyetlerde bulunan şirketleri ve kuruluşları cezalandırma yetkileri artırıldı. Yasa sonucu ortaya çıkabilecek en ciddi netice olarak 20 milyon Euro’ya varan para cezaları sayılabilir. Bir diğeri de şirketin küresel cirosunun dörtte birine denk gelen cezalar. Bunlardan hangisi daha çoksa o uygulanıyor.  Bu cezalar, eski veri koruma yasaları uyarınca, Birleşik Krallık’a bağlı Bilgi Komiserliği tarafından verilebilecek 500,00 Sterlinlik cezadan daha yüksek. GDPR yürürlüğe girmeden önce, veri koruma konularında işletmelere büyük para cezaları uygulanacağına ilişkin tuhaf tahminler vardı. Bazıları GDPR cezalarının önceki kurallara göre 79 kat daha yüksek olacağını iddia ediyordu, bazıları ise bankaların önümüzdeki yıllarda 4,7 milyar Euro’ya varan para cezası ile karşı karşıya kalacağını…

İlgili haber: Yapay Zeka Veri Güvenliği ve GDPR

Milyarlarca Euro’ya ulaşan çok büyük miktarda para cezaları olmadı ama AB’nin 28 veri koruma düzenleyicisi,  yavaş yavaş başta büyük teknoloji şirketleri olmak üzere dev şirketlere karşı paçalarını sıvamaya başladı. GDPR’nin ilk yılından sonra, Avrupa Veri Koruma Kurulu, yasa uyarınca ülkelerin 206 bin 326 vakayı incelediklerini bildirdi. ABD’li teknoloji şirketleri konusunda yetkili olan İrlanda Veri Koruma Düzenleyicisi Helen Dixon, en az 17 çok uluslu şirkete soruşturma açtı. Bunlara Facebook ve yan kuruluşları WhatsApp ve Instagram, ayrıca Google ve Twitter da dahil. Düzenleyiciler, hâlihazırda büyük teknoloji şirketlerine ve tüketici verilerini gerektiği gibi koruyamayan diğer şirketlere karşı harekete geçtiler. İşte Avrupa’da şu ana kadar verilen GDPR cezaları ve nedenleri:

Google

GDPR’nin Avrupa genelinde yürürlüğe girdiği gün yani 25 Mayıs 2018’de Fransız veri koruma düzenleyicisi, Google hakkında bir şikayet aldı. Üç gün sonra bir başkası Ulusal Veri Koruma Komisyonu (CNIL)’nin kapısını çaldı ve 2019’un başında CNIL, Google’a 50 milyon Euro para cezası verdi. CNIL cezanın sebebi olarak şunları sıraladı: “Şeffaflıktaki yetersizlik, bilgi eksikliği ve reklamların kişiye özel hale getirilirken alınan izinlerin yeterli olmaması” 

Bulgar DSK bankası

Bulgaristan merkezli finans grubu DSK Bank, Kişisel Verileri Koruma Komisyonu tarafından, 2019’da Ağustos ayı sonunda, 30 binden fazla kişinin banka hesap numaraları, isimleri, adresleri, kimlik kartlarının kopyalarının yanlışlıkla ifşa olmasının ardından, 440 bin Pound tutarında cezaya çarptırıldı.

İspanyol futbol ligi La Liga

GDPR uyarınca şu ana kadar verilen en garip ceza İspanyol futbol ligi LaLiga’ya verilen 250 bin Euro’luk ceza oldu. İspanyol veri koruma ajansı AEPD, LaLiga’yı uygulamasını indiren kişilere yönelik casusluk faaliyetleri yaptığı gerekçesiyle cezalandırdı. Taraftarların maçları ve istatistiklerini takip etmesi amacıyla hazırlanan La Liga mobil uygulamasının, telefonların mikrofon ve GPS’ini kullanarak yasa dışı maç yayını yapan yerlerin tespitinde kullanıldığı ortaya çıkmıştı.  Uygulama 10 milyondan fazla sayıda indirildi. Uygulama, etraftaki maç seslerinin tespiti için telefonun mikrofonuyla ses kaydı gerçekleştiriyor ve telefonun konum bilgileri kullanılıyor. Bu yolla LaLiga’nın lisansı olmadan maç yayını yapan mekanları tespit ettiği ve uygulamayı indirenleri bu konuda bilgilendirmediği ortaya çıkmıştı. 

British Airways

İngiltere’nin Bilgi Komiseri Ofisi (ICO), dev hava yolu şirketi British Airways’in Haziran 2018 boyunca kendi uygulamasında ve web sitesinde ortaya çıkan güvenlik açığı dolayısıyla 183 milyon Sterlin para cezası vermeyi planlıyor. Havayolu şirketine henüz ceza kesilmiş değil. Ceza, ICO’nun bulgularına cevap vermesinin ardından kesinleşecek. Havayolu şirketinin sistemlerine yerleştirilen sahte kod, müşterileri 500 bin kişinin bilgilerinin gizliliğinin ihlal edildiği sahte bir siteye yönlendiriyordu. GDPR’nin güvenlik ilkesi, kullanıcı verilerini korumak için uygun teknik ve kurumsal önlemlerin alınması gerektiğini öngörüyor.

Marriott Otelleri

British Airways’e ceza kesilmesine dair teklifin ardından, ICO bir başka niyet bildiriminde bulundu. Bu kez cezanın hedefinde Marriott otelleri vardı. Önerilen ceza miktarı 99,200,396 Sterlin’di. Marriott olayında 339 milyon otel müşterisi bilgilerinin gizliliği ihlal edilmişti. ICO, niyet bildirimini yayınladığında, “2014 yılında Starwood otelleri grubu sistemleri gizliliğinin ihlal edilmesiyle güvenlik açığının başladığına inanılıyor” dedi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.