Veri Koruma Kanununun Yürürlüğe Girmesinden Bu Yana Bilinen Toplam 4,7 Milyar Euro Ceza
Mathew J. Schwartz (euroinfosec) •
18 Ocak 2024
Çok uluslu teknoloji şirketlerinin Avrupa genel merkezlerine ev sahipliği yapan İrlanda, Avrupa Birliği Genel Veri Koruma Yönetmeliği’nin yürürlüğe girmesinden bu yana en büyük toplam veri koruma cezalarından sorumludur.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Küresel hukuk firması DLA Piper’ın 2023 yılında Avrupa veri koruma otoritelerinin bilinen para cezaları olarak 1,8 milyar euro – 1,9 milyar dolar – verdiğini ortaya koyan bir raporu böyle söylüyor; bu, önceki yılın 1,6 milyar euro’suna göre %14 artış.
Ticaret bloğunun katı gizlilik düzenlemesi 25 Mayıs 2018’de yürürlüğe girdiğinden bu yana İrlanda, bugüne kadar bilinen en büyük 10 para cezasından yedisi de dahil olmak üzere 2,9 milyar avroluk para cezası verdi. Buna, Avrupalıların kişisel verilerini AB üyesi olmayan ülkelere aktarması nedeniyle Mayıs 2023’te Meta Platforms İrlanda’ya uygulanan rekor kıran 1,2 milyar euroluk para cezası da dahil.
Raporda, “İrlanda, teknoloji şirketlerinin Avrupa Birliği’ndeki ana kuruluşlarını kurmaları için popüler bir yer olduğundan, uygulanan cezaların toplam değeri açısından ülke lig tablosunda en üst sıraya yükselmesi şaşırtıcı değil” deniyor .
DLA Piper ortağı John Magee, “İrlanda Veri Koruma Komisyonu, özellikle şeffaflık ve veri aktarımından bilgi güvenliği ve çocukların mahremiyetine kadar çeşitli konulardaki önemli kararlar ve cezalarla, bu yıl GDPR yorumlarını şekillendirmede merkezi bir rol oynamaya devam etti” dedi. Dublin’de.
DLA Piper, geçen yıl Almanya’daki kuruluşların Avrupalıların kişisel verilerini içeren veri ihlallerini denetleyici makamlara bildirdiğini, ardından Hollanda ve Polonya’nın geldiğini tespit etti. Genel olarak, düzenleyicilere günde ortalama 335 ihlal bildirimi gönderildi; bu rakam, 2022’de bildirilen 328’den neredeyse hiç değişmedi.
Rapor, 27 AB üye ülkesinin yanı sıra Avrupa Ekonomik Alanı’nın bir parçası olan Norveç, İzlanda ve Lihtenştayn ile 31 Ocak 2020’de AB’den ayrılan Birleşik Krallık’tan veriler alıyor. Birleşik Krallık olarak bilinen GDPR’nin Britanya versiyonu GDPR şu anda AB gizlilik yasasını yansıtıyor ancak bu durum değişebilir. Başbakan Rishi Sunak liderliğindeki Muhafazakar İngiliz hükümeti, Birleşik Krallık GDPR’sini, eleştirmenlerin, AB ile yasal uyumunun bozulmasına yol açabileceği ve potansiyel olarak veri akışını kesintiye uğratabileceği konusunda uyardığı şekillerde değiştirmeye çalışıyor (bkz.: İngiliz Milletvekilleri Birleşik Krallık GDPR’sini Değiştirmeye Devam Ediyor).
Rapor, 28 Ocak 2023’ten itibaren yaklaşık 12 aylık dönemi gözden geçiriyor ve Avrupa veri koruma yetkilileri tarafından kamuya açıklanan veya açıklanan para cezaları ve itirazlara dayanıyor. Başarıyla itiraz edilen tutarları içermez. Tüm DPA’lar para cezaları veya itirazlarla ilgili bilgi yayınlamaz – bazıları bu bilgiyi gizli olarak kabul eder – yani cezaların gerçek, toplam toplam tutarının bilinmediği anlamına gelir.
Yürürlüğe girmesinin üzerinden beş yılı aşkın bir süre geçmesine rağmen GDPR, dengesiz bir şekilde uygulandığı yönündeki suçlamalarla gölgelenmeye devam ediyor. Farklı ülkeler farklı uygulama stratejileri izlemeye devam ediyor. Raporda, İrlanda, Lüksemburg veya Fransa gibi ülkelerle karşılaştırıldığında, “İspanya ve İtalya’nın küçük ve sık sık yaklaşımını tercih ettiği, genellikle çok küçük miktarlarda para cezaları verdiği” ifade ediliyor.
Bilinenlere dayanarak rapor, yasanın Mayıs 2018’de yürürlüğe girmesinden bu yana toplam 4,7 milyar avroluk GDPR para cezası uygulandığını söylüyor; ancak şirketlerin başarılı itirazları muhtemelen bu rakamı düşürecek. Zorluklar, başlangıçta 2022’de değerlendirilen 2,9 milyar tutarındaki para cezasını şimdiden 1,6 milyar avroya düşürdü.
Raporda, şirketlerin “cezaların azaltıldığı veya bazı durumlarda tamamen tersine çevrildiği ve ayrıca Avrupa Veri Koruma Kurulu’nun GDPR tutarlılık mekanizması kapsamındaki görüşleri ve bağlayıcı kararları sonrasında Avrupa veri koruma yetkilileri tarafından verilen cezaların azaldığını” gördükleri belirtiliyor.
E-ticaret devinin Avrupa operasyonlarının merkezinin bulunduğu Lüksemburg’daki DPA tarafından Amazon’a 2021’de verilen 746 milyon avroluk para cezası da dahil olmak üzere diğer cezalar hâlâ temyizde. Geçtiğimiz hafta Amazon, Lüksemburg’daki bir mahkeme salonunda kendisine verilen para cezasının bozulması gerektiğini savundu.
Üçüncü en büyük GDPR cezası, Meta Ireland’ın, Instagram platformuyla ilgili çocukların gizliliğini ihlal ettiği için bu kez Eylül 2022’de İrlanda Veri Koruma Komisyonu tarafından 405 milyon euro para cezasına çarptırılması oldu. Meta, DPC tarafından verilen birden fazla para cezasına itiraz etmeye devam ediyor.
İrlanda’da değişiklikler yaşanıyor ve Komisyon Üyesi Helen Dixon, on yıl boyunca DPC’yi yönettikten sonra 19 Şubat’ta görevi bırakacağını duyurdu.
Dixon, “GDPR’nin tam olarak uygulanması AB genelinde devam eden bir çalışma olmaya devam edecek ve artık daha büyük ölçekli uygulama davaları sonuçlandırıldığında, İrlanda ve ötesinde bu kararların sıklıkla yargısal itiraza tabi olduğunu görüyoruz” dedi. bir LinkedIn gönderisinde. “Bu ilkelere dayalı yasanın uygulamalarına ilişkin kesin yorumların ortaya çıkarılması birkaç yıl daha alacak, ancak temel artık iyi bir şekilde atıldı.”