Veri Gizliliği: Yanlış Anlamanın Maliyeti

Avrupa'nın Genel Veri Koruma Yönetmeliği (GDPR) Mayıs 2018'de yürürlüğe girdiğinde, tüketicilere daha fazla koruma sağlayan yeni nesil veri gizliliği yasaları için bir temel oluşturdu. Belirsiz rıza, veri minimizasyonu, amacın sınırlandırılması ve itiraz hakkı gibi temel ilkeler, yerleşik veri en iyi uygulamalarını etkin bir şekilde kanun haline getirmişti.

O zamandan beri, GDPR tarzı gizlilik mevzuatı dünya çapında kabul edilmiştir. Kaliforniya'nın CCPA'sı, diğer birçok eyaletin takip ettiği (Colorado, Connecticut, Utah ve Virginia) veya takip sürecinde olduğu (Michigan, New Jersey, Ohio ve Pennsylvania) ABD'de topu yuvarladı. Dünyanın her yerinde, Brezilya'da LGPD'nin ve Çin'de PIPL'nin tanıtımını da gördük, bunlardan sadece ikisi.

Veri kontrolörlerinin ve veri işlemcilerinin karşı karşıya olduğu bir zorluk, belirsizliktir. Yani, bu yeni mevzuattaki kilit maddeler aslında ne anlama geliyor? Çoğu zaman, gerçek niyetlerini netleştirmek ve yasal emsal oluşturmak için mahkemelerde test edilmeleri gerekir. Bu, şu anda Avrupa'da oluyor ve başka yerlerdeki uygulayıcılar bu vakalardan ders alabilir ve bulguları kendi ülkelerinde sorun çıkmadan önce uygulayabilir.

Avrupa veri gizliliğini çökertiyor

Avrupalı ​​düzenleyiciler kesinlikle 2022'de dişlerini gösteriyorlar.

Bir yüz tanıma şirketi olan Clearview AI, biyometrik ve coğrafi konum kişisel verilerinin yasa dışı işlenmesi nedeniyle İtalya'nın veri koruma ajansı tarafından 20 milyon Euro ve İngiltere Bilgi Komisyonu Ofisi (ICO) tarafından 9 milyon Euro para cezasına çarptırıldı.

İrlandalı düzenleyici, uygun teknik ve organizasyonel tedbirlerin alınmaması nedeniyle Meta'ya (Facebook) 17 milyon € empoze etti.

İspanya'da Google, kullanıcıları içerik kaldırma taleplerini üçüncü bir tarafa aktarmayı kabul etmeye zorladığı için 10 milyon Euro para cezasına çarptırıldı.

Son zamanlarda, platformu kullanırken çocukların gizliliğini koruyamamanın bir sonucu olarak TikTok, İngiltere veri koruma yasalarının olası bir ihlalini takiben 27 milyon sterlinlik bir para cezasıyla karşı karşıya kalabilir.

Bu davalarda ortak bir tema, "yasallık, adalet ve şeffaflık" temel ilkeleridir, yani işletmelerin kişisel verilerinin nasıl işleneceği konusunda bireylere karşı net olması ve bunu yapmak için uygun bir yasal temelin oluşturulması gerekir.

Birleşik Krallık'ta, 2022'deki yaptırım eylemi, büyük ölçüde pazarlama mesajlarının izinsiz gönderilmesine odaklandı. GDPR gibi yeni veri gizliliği yasaları, pazarlama faaliyetini de içeren kişisel verilerin işlenmesi için yasal bir temel (genellikle rıza veya meşru menfaat) gerektirir.

Son vakalar*, bu gereksinimin hala tam olarak anlaşılmadığını (veya kasten göz ardı edildiğini!):

• Finance Giant Ltd ( £ 60.000 ): Onaylanmış toplam 505.759 istenmeyen doğrudan pazarlama mesajının gönderilmesini teşvik etti.
• Bizfella Limited ( £ 30.000 ): 224.550 adet istenmeyen doğrudan pazarlama SMS mesajının gönderilmesini teşvik etti.
• H&L Business Consulting Limited ( £ 80.000 ): Doğrudan pazarlama amacıyla 451.705 adet istenmeyen SMS mesajının gönderilmesini teşvik etti.

*Okuyucular tüm kararların tam metinlerini ICO'nun web sitesinden edinebilir ve ayrıca ICO'nun “Uygulama Eylemleri” haber bültenini almak için kayıt olabilirler.

Tüketiciler, verilerinin nasıl kullanıldığını bilmek istiyor

Tüm bu vakaların (ve diğerlerinin) içinden geçen önemli bir tema, bunların başlangıçta tüketici şikayetleri ile gün ışığına çıkarılmasıdır. Tüketiciler artık veri gizliliği haklarını daha iyi anlıyor ve kişisel verilerinin kötüye kullanıldığına inanırlarsa bu hakları kullanmaya hazırlar.

Tüketici verilerini işlerken şunu hatırlamak önemlidir:

• Geçerli rıza, bireylere gerçek seçim ve kontrol verilmesini gerektirir.
• Bireyler, pazarlama mesajları alacakları konusunda açıkça bilgilendirilmelidir.
• Onay, gönderenlerin diğer gizlilik politikalarından ve/veya hüküm ve koşullarından ayrılmalıdır.
• Dolaylı rıza ancak yeterince açık ve spesifik olduğunda geçerli olabilir.
• Bireylerin iletişim bilgilerini kullanmayı reddetmeleri için basit bir yol olmalıdır.

Bazı işletmeler başka gizlilik tuzaklarına düştü

Yeni bir CRM sistemine geçişin ardından, Reed Online, daha önce abonelikten çıkmış/baskılanmış müşterilere yanlışlıkla pazarlama e-postaları planladı.

Tuckers Solicitors, kişisel veri ihlaliyle sonuçlanan bir fidye yazılımı saldırısı yaşadı. ICO, şirketin uygun teknik ve organizasyonel önlemleri uygulamadaki başarısızlığının onları saldırılara karşı savunmasız hale getirdiğine karar verdi.

Birleşik Krallık hükümetinin Kabine Ofisi, 2020 Yeni Yıl Onur Ödülü alıcılarının posta adreslerini çevrimiçi olarak açıkladı; bu, kişilerin bilgilerinin yetkisiz olarak ifşa edilmesini engelleyemedi.

Birçok veri gizliliği olayı manşet olmaz

Yüksek profilli ihlaller manşetlere çıkarken, birçok olay çok daha sıradan.

ICO, aşağıdakileri içeren en son "siber olmayan" (yani, kendi kendine zarar veren) sorunlarla üç ayda bir veri güvenliği raporu yayınlar:

• Yanlış alıcıya e-postayla gönderilen veriler ( yüzde 22 )
• Yetkisiz erişim ( yüzde 14 )
• Yanlış alıcıya gönderilen veya fakslanan veriler ( yüzde 13 )
• Güvenli olmayan yerde kalan evrak veya verilerin kaybolması/çalınması ( yüzde 8 )
• Redaksiyon başarısızlığı ( yüzde 6 )

Bu eğilimler büyük ölçüde insan hatasına ve/veya yetersiz eğitime işaret eder ve sağlam süreçlerin uyumsuzluk fırsatlarını en aza indirdiği “tasarım yoluyla gizlilik” uygulamalarının uygulanması lehine ikna edici bir argüman sunar.

Teorik olarak uygulanabilecek “küresel gelirin yüzde dördü” cezalarını hala gerçekten görmüyoruz, ancak bunun olmayacağı söylenemez. British Airways (BA) cezası -önerildiği gibi- Covid-19 krizinin BA'nın maliyesi üzerindeki etkisi de dahil olmak üzere bir dizi hafifletici faktör nedeniyle düşürülmeden önce yaklaştı. Hiçbir işletme bir gizlilik ihlaliyle uğraşmak istemezken, böyle bir şey olursa dikkate alınacak hafifletici faktörler vardır:

• İlk kez ihlal olup olmadığı
• ihlalin ciddiyeti
• Kasıtlı mı yoksa tesadüfi mi
• Denetim makamına proaktif bildirim
• Veri sahipleri üzerindeki etkiyi azaltmak için alınan önlemler

Düzenleyiciler, neyin yanlış gittiği konusunda şeffaf olan, soruşturmaya yardımcı olma konusunda işbirliği yapan ve bir tekrarı önleyecek önlemleri almak için hızla hareket eden işletmelere karşı genellikle daha hoşgörülü olacaktır.

Bu sadece başlangıç…

Bu konu hakkında söylenecek daha çok şey var. Dünya çapındaki veri gizliliği mevzuatı hakkında daha fazla bilgi edinmek ister misiniz? Küresel Gizlilik Yasaları ve Uyumluluk Rehberimize göz atın.