Çalışma, Avrupa Veri Koruma Kurulu Kararlarının ‘Yüksek Derecede Enflasyonist Etkisi’ Buluyor
Mathew J. Schwartz (euroinfosec) •
17 Ocak 2023
Avrupa’nın Genel Veri Koruma Yönetmeliğini ihlal etmenin maliyeti geçen yıl fırladı ve düzenleyici kurumlar tarafından kesilen 2,9 milyar avroluk cezanın yükünü Büyük Teknoloji şirketleri aldı.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
Hukuk firması DLA Piper’ın analizine göre, yaklaşık 3,1 milyar dolara eşit olan miktar, 2021’de verilen para cezalarının değerinin iki katından fazla.
Google, Apple ve Facebook gibi şirketlerin Avrupa genel merkezlerine ev sahipliği yapan İrlanda, örneğin Kasım ayında bir veri kazıma olayı nedeniyle Facebook’a 265 milyon euro para cezası vererek yüksek değerli para cezalarına öncülük etti.
DLA Piper, multimilyarlık ciro rakamının 28 Ocak 2022’den bu yana 27 AB üye ülkesinin yanı sıra İzlanda, Lihtenştayn, Norveç ve Birleşik Krallık tarafından verilen bilinen tüm GDPR cezalarını içerdiğini söylüyor. İngiltere, Avrupa Birliği’nden çekilmeden önce 2018’de GDPR’yi iç hukuku olarak dahil etti.
Tüm Avrupa ülkeleri her cezanın ayrıntılarını kamuya açıklamadığından ve diğerleri son 12 ayda verilen tüm cezaların tüm ayrıntılarını henüz açıklamadığından, gerçek para cezası toplamı büyük olasılıkla DLA Piper’ın rakamından bile daha fazladır.
Hukuk firmasının bilinen para cezalarının toplam değeri, yine de 2021’de uygulanan 1 milyar avroya göre bir artış ve bu da 2020’de alınan 159 milyon avroluk para cezalarına göre yine büyük bir artış oldu.
25 Mayıs 2018’de tam olarak yürürlüğe giren GDPR uyarınca, Avrupalıların kişisel verilerini işleyen kuruluşların katı veri koruma kurallarına uyması ve bildirim kurallarını ihlal etmesi gerekiyor. GDPR’ye uyulmaması, kuruluşları yıllık küresel gelirlerinin %4’üne veya 20 milyon Euro’ya (hangisi daha büyükse) varan para cezalarına maruz bırakır. Düzenleyici makamlar, bir kuruluşun kişilerin kişisel verilerini işleme hakkını da iptal edebilir.
Geçen yılın en büyük tek para cezası, İrlanda Veri Koruma Komiseri tarafından geçtiğimiz Eylül ayında Facebook ana şirketi Meta’ya çocukların kişisel verilerini korumadığı iddiasıyla verilen 405 milyon avro idi. O sırada Instagram, karara itiraz edeceğini söyledi ve para cezası miktarının nasıl hesaplandığına itiraz etti.
DLA Piper, para cezalarının toplam değerindeki artışın en azından bir kısmını, GDPR uygulamasında ülkeler arasında tutarlılığı sağlamakla görevli bağımsız Avrupa Birliği organı olan Avrupa Veri Koruma Kurulu’na bağlar. Geçen yıl EDPB tarafından kararlaştırılan hiçbir dava, tavsiye edilen para cezası miktarının düşürülmesine yol açmadı, DLA Piper’ın söylediği bir eğilim, bireysel ceza miktarları üzerinde “yüksek oranda enflasyonist bir etkiye” sahipti.
DLA Piper, “Para cezalarının 2022 yılında GDPR tutarlılık mekanizması kapsamında EDPB tarafından atıfta bulunulduğu ve karara bağlandığı yerlerde, baş denetim makamı tarafından orijinal olarak önerilen para cezasına kıyasla EDPB’nin gerektirdiği ortalama %630’luk bir artış vardı.”
Hukuk firması analizine göre, para cezaları artıyor ancak düzenleyicilere bildirilen ihlallerin hacmi azaldı. Ortalama olarak, önceki 12 aylık dönemde günde 328 bildirimden, ülkelerin GDPR gözlemcilerine günlük ortalama 300 veri ihlali bildirimi gönderiliyor.
Azaltmanın bir açıklaması, “kuruluşların soruşturma, para cezası ve tazminat talepleri korkusuyla ihlalleri bildirmekten çekiniyor olabileceği” şeklindedir.
2023, Tampon Yılı Olabilir
Bu ayın başlarında EDPB, İrlanda Veri Koruma Komisyonu’na Meta’nın Facebook operasyonuna 210 milyon euro ve Instagram’a 180 milyon euro para cezası verme talimatı verdi. Her iki ceza da başlangıçta önerilen DPC’den çok daha yüksekti.
GDPR soruşturması, Meta’nın “kişisel verilerin işlenmesi için yasal dayanağı rızadan kullanıcı ile Meta arasındaki bir sözleşmenin yerine getirilmesine kadar değiştirmesine” ve Facebook ve Instagram kullanıcılarını GDPR’nin ardından getirilen yeni şartlar ve koşullara rıza göstermeye zorlamasına dayanıyordu. , Londra merkezli Cordery hukuk firmasının avukatları Jonathan Armstrong ve André Bywater, hizmetlerini kullanmaya devam etmek isterlerse yakın tarihli bir müşteri notunda yazıyorlar.
Meta, karara hem DPC hem de EDPB nezdinde itiraz edeceğini söylüyor. Bu arada İrlanda’nın mahremiyet gözlemcisi, gücünü aşmak ve DPC’nin bağımsızlığını baltalamakla suçladığı EDPB ile kendi yasal mücadelesine yönelebilir. Cordery avukatları, “Etkili bir şekilde, EDPB, DPC’yi Meta’yı ve özel kategori verilerinin işlenmesi de dahil olmak üzere veri koruma uygulamalarını – aynı zamanda hassas kişisel veriler olarak da bilinir” denetlemeye yönlendirmeye çalıştı, dedi.
Meta için, EDPB’nin kararları, açık rızaları olmadan kullanıcıları hedeflemek için kazançlı davranışsal reklamcılık tekniklerinin kullanılmasının ve bireylerin davranışsal reklamcılığı seçmemesi durumunda platformlarına erişimin engellenmesinin yasak olduğu anlamına gelir. Buna ek olarak, diğer birçok teknoloji devi aynı yasaklarla karşı karşıya kalacaktı.
DLA Piper’ın Birleşik Krallık Veri Koruma ve Siber Güvenlik Grubu başkanı Ross McKean, “Neyin tehlikede olduğu göz önüne alındığında, yıllarca temyiz ve dava bekleyebiliriz” diyor. “Yasa bu konularda karara bağlanmaktan çok uzak.”