Genel Veri Koruma Yönetmeliği (GDPR), Standartlar, Düzenlemeler ve Uyumluluk
Aynı zamanda, tüketicilere yapılan toplam ihlal bildirim sayısı arttı
Mathew J. Schwartz (Euroinfosec) •
3 Şubat 2025
Küresel bir hukuk firması, Avrupa işine sahip şirketlerin, gizlilik düzenleyicileri tarafından değerlendirilen para cezalarında geçen yıldan fazla bir düşüş konusunda çok heyecanlı olmamaları konusunda uyarıyor.
Ayrıca bakınız: Finansal hizmetler için yazılım tedarik zinciri platformu
2024’teki toplam 1,2 milyar Euro’da, yıllık toplamın düştüğü genel veri koruma düzenleme uygulamasının ilk kez ilk kez işaret etmesinden önceki yıla göre üçte bir düşüş. Küresel hukuk firması DLA Piper, azaltmanın neredeyse tamamen İrlanda Veri Koruma Komisyonu’nun Facebook’a karşı 1,2 milyar Euro para cezası verilmesinden kaynaklanan 2023 artışına atfedilebileceğini söyledi (bkz: bkz: Facebook bize Avrupa’dan bize veri transferlerini askıya almayı emretti).
DLA Piper, yaklaşık 600 milyon Euro’nun yıllık düşüşü “kişisel veri uygulamalarından odaklanmada bir değişimi temsil etmiyor; yıllık açık bir eğilim yukarı doğru kalıyor” diye yazdı.
1,23 milyar dolar olan toplam, veri koruma yetkilileri tarafından kamuya açıklanan eylemlerden geliyor. Başarılı bir şekilde temyiz edilen tutarları içermez. Bazı yetkililer, uygulama eylemlerini kamuya açıklamadığından, GDPR uygulayıcıları tarafından açıklanmayan para cezaları da içermez.
Raporda, ABD teknoloji firmaları ve sosyal medya devleri, 2018’den bu yana uygulanan en büyük 10 para cezasından dokuzunu oluşturan düzenleyicilerin en büyük para cezalarının alıcılarıdır. Bu para cezalarının çoğu, birçok Silikon Vadisi teknoloji devinin Avrupa merkezlerini bulduğu İrlanda’da yayınlanmaya devam ediyor.
Geçen yılın en büyük para cezaları arasında İrlanda’nın Veri Koruma Komisyonu Linked’in müşteri verilerini yanlış kullanması için 310 milyon avro para cezası ve 251 milyon avroyu “görünümü” kusuru üzerinden para cezası içeriyordu.
2024 yılında Hollanda Veri Koruma Otoritesi, bugüne kadarki en büyük para cezasından ikisini uyguladı: Uber’e karşı Müşteri Verilerini izinsiz olarak ABD’ye aktarmak için 290 milyon Euro ve yüz verileri de dahil olmak üzere birden fazla gizlilik ihlali için ClearView AI’ya karşı 30,5 milyon avro para cezası verdi. hasat. Diğer dört Avrupa ülkesi de aynı davranış için daha düşük para cezaları uyguladı.
GDPR 25 Mayıs 2018’de yürürlüğe girdiğinden beri, trend çizgisi yakın zamanda bir konikleşmeyi göstermesine rağmen, Avrupa’daki kuruluşlar tarafından verilen toplam veri ihlali bildirimleri arttı.
Günlük olarak, geçen yıl kuruluşlar, 2023’te günde 335’e kıyasla ortalama 363 veri ihlali bildirimi yayınladılar, bu da kuruluşların “soruşturma, uygulama, para cezası ve tazminat riski göz önüne alındığında, veri ihlallerini raporlamaya karşı daha dikkatli hale gelebilir. Bildirimi takip edebilir, “dedi DLA Piper.
Rakam ayrıca, geçen yıl kuruluşların günde sadece dokuz veri uzlaşması bildirdiği Amerika Birleşik Devletleri ile tam bir tezat oluşturuyor, bu da Amerika’nın veri ihlali sorununun gerçek ölçeğinin yetersiz bildirildiğini gösteriyor (bkz: bkz: Mega-Breaches 2024 kurban sayısını artırmak).
İsveç’teki DLA Piper ortağı Gustav Lundin, “GDPR denetiminin geliştiğini ve uyum sağladığını ve aynı zamanda büyük teknoloji şirketlerinin ötesinde sektörleri kapsadığını görüyoruz.” Dedi. Örneğin Hollandalı DPA, ClearView AI’nın yönetim ekibinin GDPR’yi ihlal etmekten kişisel olarak sorumlu olup olamayacağını araştırıyor.
Raporda ayrıca “Avrupalı düzenleyiciler, 2024 yılında AI eğitimi, dağıtım ve kullanımının GDPR’nin korkuluklarında kalmasını sağlamak için 2024 yılı boyunca uygulanmaya daha iddialı bir yaklaşım işaret ettiğini” belirtiyor.
Raporda, İtalya ve İspanya da dahil olmak üzere bazı yargı bölgeleri, finansal hizmetler de dahil olmak üzere çok daha geniş bir sektör yelpazesine karşı para cezası veriyor ve bazen diğer ülkelerdeki veri koruma otoritelerine kıyasla nispeten küçük miktarlar alıyor.
İspanyol Veri Koruma Otoritesi, zayıf güvenlik için büyük bir banka 6.2 milyon avro para cezasına çarptırılırken, Polonya Veri Koruma Komiseri Ofisi, bir veri ihlali yaşadıktan ve müşterileri bilgilendirmedikten sonra MBANK’a 950.000 Euro para cezasına çarptırıldı. .
Kamu hizmetleri de daha fazla uygulama eylemi görüyor. İtalyan Veri Koruma Otoritesi geçen yıl elektrik ve gaz tedarikçisi Hera Comm’u “yanlış ve güncel olmayan kişisel veriler” kullanarak bir araya getiren tüketicilerle “istenmeyen sözleşmeler” yapmak için 5 milyon avro para cezasına çarptırdı.
Ayrı olarak, İsveç’in Veri Koruma Otoritesi IMY, pazarlama amaçları için meta piksel kullanımı için bir ilaç perakendeci Apotek’e karşı 3.2 milyon euro para cezası getirdi.
İcra aykırı: Birleşik Krallık
Geçen yıl bir aykırı olarak, bilgi komiserinin önceki yıllara kıyasla nispeten az para cezası verdiği Birleşik Krallık’dı. İngiliz hükümeti, 2020’nin başlarında Avrupa Birliği’nden ayrılmadan önce GDPR’yi iç hukuka kodladı.
İngiltere Bilgi Komiseri John Edwards, geçen Kasım ayında Londra Times ile yapılan bir röportajda bu seyahat yönüne işaret etti.
“Panaların kuantum veya hacminin etki için bir vekil olduğuna inanmıyorum” dedi. “Biliyorsunuz, çok fazla manşet alıyorlar. Lig tablolarını derlemek kolay ama aslında bu yaklaşımın mutlaka en büyük etkiye sahip olduğuna inanmıyorum.”
DLA Piper, Avrupa veri koruma otoritelerinin Edward yaklaşımının olası olmadığını söyledi. Bazı şirketler şüphesiz onaylardı, ancak “bu yaklaşımın Avrupa’nın geri kalanında yakalanması pek olası görünmüyor” dedi.